Ohjelmointi

Hallitse näitä Mac-tietokoneita: Opas Windows-järjestelmänvalvojille

Macien tuominen olemassa olevaan IT-ympäristöön voi saada minkä tahansa Windows-järjestelmänvalvojan tuntemaan olonsa hieman väärin. Kaikki on tuttua tehtävien ja asetusten suhteen, mutta riittävän vääntynyt näyttämään aluksi hieman vieraalta. Jatkuva Mac-hallintavinkkisarjamme on täällä auttamaan sinua Macien turvallisessa ja tuottavassa käyttöönotossa.

Tämän sarjan ensimmäisessä osassa tarkastelin olennaisia ​​vaatimuksia Mac-tietokoneiden integroimiseksi yritysympäristöihin, mukaan lukien miten liittää ne yritysjärjestelmiin. Suuressa Mac-käyttöjärjestelmässä onnistuminen edellyttää usein ainutlaatuisia taitoja ja työkaluja. Sama koskee hallintakäytäntöjen soveltamista Mac-tietokoneisiin, joita käsittelen tässä artikkelissa. Täältä saat yleiskuvan Mac-käytännöistä ja oivalluksia strategian suunnittelusta niiden käyttöönottamiseksi.

Sarjan viimeisessä kappaleessa tarkastelen käytäntöjen soveltamiseen käytettyjä työkaluja sekä työkaluja, jotka tarjoavat ylimääräisiä hallinta- ja käyttöönotto-ominaisuuksia.

Tulos Macin hallintakäytännöistä

Mac-tietokoneiden hallinta on mittakaavan kysymys. Organisaatioiden teknikot, joilla on pieni määrä Mac-tietokoneita, voivat usein määrittää jokaisen Macin erikseen tai luoda yhden järjestelmäkuvan, joka soveltaa yhdenmukaista kokoonpanoa jokaiseen Maciin. Suuremmissa organisaatioissa haasteet ovat monimutkaisempia. Eri käyttäjillä tai osastoilla on erilaiset määritystarpeet, ja ne edellyttävät erilaisia ​​käyttöoikeuksia. Lisäksi heillä on usein kokoonpanotarpeita, jotka liittyvät yksittäisiin käyttäjiin ja ryhmiin, sekä tarpeita, jotka liittyvät tiettyihin Mac-tietokoneisiin niiden käytön (ja joskus laitteiston) perusteella. Tämän vuoksi manuaalinen määritys on yksinkertaisesti liian tehotonta. Tässä automaatio on avainasemassa.

Tätä varten Apple tarjoaa useita käytäntöjä, joita voidaan soveltaa Mac-kalustoon turvavaatimusten noudattamiseksi, auttamaan Mac-koneiden automaattisessa määrityksessä tiettyihin profiileihin sekä verkon resurssien käytön sallimiseksi ja rajoittamiseksi.

Jos olet jo perehtynyt Windowsin ryhmäkäytäntöihin, tiedät mielellämme, että voit hallita Mac-käyttäjäkokemusta täysin samalla tavalla käyttämällä Applen Mac-käyttöjärjestelmiä. Suurinta osaa näistä käytännöistä voidaan soveltaa joko tiettyihin Mac-tietokoneisiin (tai Mac-ryhmiin) tai tiettyihin käyttäjätileihin (tai ryhmäjäsenyyksiin). Jotkin käytännöt voidaan kuitenkin sitoa vain Mac-tietokoneisiin tai käyttäjätileihin. Mac-hallintastrategian luomisessa on välttämätöntä perehtyä käytäntöjen määritykseen.

Esimerkiksi kuten Windowsin ryhmäkäytännöissä, käyttäjien tarpeisiin ja käyttöoikeuksien hallintaan liittyviä käytäntöjä hallitaan usein ryhmän jäsenyyden perusteella, joka liittyy osastoon, työtehtäviin ja muihin tekijöihin. Osastosovelluksen ja Macin suojausasetukset asetetaan parhaiten Macien (tai Mac-ryhmien) eikä käyttäjien (tai ryhmäjäsenyyksien) perusteella. Jotkut käytännöt, kuten Energy Saver -käytännöt, ovat oletusarvoisesti pikemminkin Mac- kuin käyttäjäkohtaisia.

Politiikan käyttöönoton hienovarainen

Mac-hallintakäytännöt, kuten iOS-käytännöt, tallennetaan XML-tiedoina määritysprofiileihin. Näitä profiileja voidaan käyttää Mac-tietokoneilla kolmella tavalla: luomalla ja jakamalla ne manuaalisesti yksittäisille Mac-tietokoneille / käyttäjille ilmaisen Apple Configurator 2 -sovelluksen kautta; toteuttamalla MDM / EMM-ratkaisu; tai käyttämällä perinteisiä työpöydän hallintapaketteja.

Jos päätät jakaa kokoonpanoprofiileja manuaalisesti, sinun on käytettävä niiden luomiseen OS X Server -palvelimen profiilinhallintaa. Tuloksena olevat profiilit on asennettava manuaalisesti jokaiselle Macille. Avaamisen jälkeen profiili kehottaa käyttäjää asentamaan mukana olevat käytännöt. Tätä menetelmää käyttämällä ei ole täysin automatisoitua tapaa jakaa kokoonpanoprofiileja ilman muita käyttöönottotyökaluja. Jos luotat käyttäjien asentamiseen pikemminkin kuin IT-henkilöstöön, voi olla vaikeaa varmistaa, että käyttäjät on asennettu. Tämän vuoksi profiilien manuaalinen jakelu voi olla yksinkertaisin vaihtoehto, mutta se on todennäköisesti vähemmän ihanteellinen tai jopa elinkelpoinen suuremmille organisaatioille.

(Huomaa: Profiilien hallinta on itse Applen omaa MDM-ratkaisua, jota voidaan käyttää käytäntöjen esittämiseen muiden MDM / EMM-tarjousten tapaan, lisäksi luomalla kokoonpanoprofiileja manuaalista jakelua varten.)

Apple Configurator 2 -sovelluksella voidaan asentaa profiileja / käytäntöjä jaettuihin Mac-tietokoneisiin sekä iOS-laitteisiin. Tämä tarjoaa yksinkertaisen, maksuttoman ratkaisun profiilien / käytäntöjen asennuksen ja toiminnan varmistamiseksi. Se edellyttää kuitenkin, että kukin hallittu Mac on liitetty Maciin, jossa on Apple Configurator 2 USB: llä määrityksiä varten. Tämä tekee Apple Configurator 2: sta erinomaisen työkalun pienyrityksille ja koulutusorganisaatioille, joilla on usein yksinkertainen joukko käytäntöjä, mutta se on tehoton Mac-hallintastrategia, jos sinun on määritettävä suuri määrä Mac-tietokoneita.

Tässä MDM / EMM-työkalut voivat auttaa, koska Mac-käytäntöjä voidaan käyttää samalla MDM-kehyksellä, jota iOS-laitteet käyttävät. Sellaisena suurin osa iOS-hallintaa tukevista myyjistä tukee myös Mac-hallintaa. Siksi ne ovat yritysystävällinen vaihtoehto, varsinkin kun monet organisaatiot käyttävät jo tällaisia ​​ratkaisuja iOS- ja Android-laitteiden hallintaan.

Toinen vaihtoehto, joka skaalautuu hyvin yrityskäyttöön, on perinteinen työpöydänhallintasarja, joka sisältää sekä Apple-kohtaiset paketit, kuten JAMFin Casper Suite, että monitasoiset sviitit, kuten LanDesk Management Suite ja Symantec Management Platform. Näissä sviiteissä ei vain noudateta käytäntöjä, mutta ne tarjoavat usein hallinnan ja käyttöönoton työkaluja. Koska sviitit ovat suosittuja, monilla organisaatioilla on jo usein tällaisia ​​työkaluja käytössä, tai niiden lisäominaisuudet saattavat olla tarpeeksi houkuttelevia investoimaan niihin (lisää näistä työkaluista tämän sarjan kolmannessa osassa).

Jos sinulla on huolta Mac-käytäntöjen XML-pohjaisesta luonteesta, voit olla varma: Järjestelmänvalvojien ei yleensä tarvitse luoda tai muokata suoraan Macin hallintakäytännöissä käytettyjä XML-tietoja. Suurin osa Applen ja kolmansien osapuolten työkaluista tarjoaa intuitiiviset käyttöliittymät toimintavaihtoehtojen asettamiseen, ja ne käsittelevät tarvittavan XML-luomisen konepellin alla. Yksi poikkeus on mukautettujen asetusten käytäntö asennettujen sovellusten ja OS X: n lisäominaisuuksien määrittämiseksi, josta keskustellaan myöhemmin tässä artikkelissa. Mukautettujen asetusten määrittäminen vaatii pääsyä XML: n sisäpuolelle.

Jokaisen järjestelmänvalvojan on tiedettävä Macin ydinhallintakäytännöt

Apple tarjoaa huimaavan valikoiman Mac-hallinnan toimintavaihtoehtoja, mutta tiettyä 13 käytäntöä käytetään yleisimmin - ja se on kriittisin Mac-tietokoneiden hallinnassa ja suojaamisessa yritysympäristössä. Kukin seuraavista ydinhallintakäytännöistä koskee joko Mac-tietokoneita tai käyttäjiä, ellei toisin mainita:

  • Verkko: Verkkoasetusten määrittäminen, mukaan lukien Wi-Fi-määritykset ja jotkut Ethernet-yhteyden tiedot.
  • Sertifikaatti: Organisaation sisäisessä salatussa viestinnässä käytettävien digitaalisten varmenteiden sekä tiettyjen palveluiden henkilöllisyystodistusten käyttöönotossa (monet verkkopalvelut luottavat varmenteisiin turvallisessa viestinnässä ja todennuksessa).
  • SCEP: Määritä asetukset varmenteiden hankkimiselle ja / tai uusimiselle CA: lta (Certificate Authority) käyttämällä SCEP: tä (Simple Certificate Enrollment Protocol). SCEP tarjoaa automaattisen vaihtoehdon, jonka avulla laitteet voivat hankkia / uusia sertifikaatteja. Sitä käytetään osana Applen MDM-rekisteröintiprosessia iOS-laitteille, ja sitä voidaan käyttää myös Mac-tietokoneiden rekisteröimiseen hallittuun ympäristöön. SCEP-kokoonpano vaihtelee varmentajan ja siihen liittyvien hallintatyökalujen mukaan.
  • Active Directory -varmenne: Tarjoaa todennustietoja Active Directory -varmennepalvelimille. Tämä käytäntö voidaan asettaa vain käyttäjätileille.
  • Hakemisto: Määritä jäsenhakemistopalvelut, mukaan lukien Active Directory ja Applen Open Directory. Useita hakemistojärjestelmiä voidaan konfiguroida. Tämä käytäntö voidaan asettaa vain Mac-tietokoneille.
  • Exchange: Käyttäjän Exchange-tilin käyttöoikeuksien määrittäminen Applen natiivipostisovelluksissa, Yhteystiedot ja Kalenteri. (Se ei määritä Microsoft Outlookia.) Tämä voidaan asettaa vain käyttäjätileille.
  • VPN: Macin sisäänrakennetun VPN-asiakkaan määrittämiseen. Useita muuttujia voidaan konfiguroida. Jos käytössä, käyttäjät eivät voi muokata VPN-kokoonpanoa.
  • Turvallisuus ja yksityisyys: Useiden OS X: n sisäisten suojausominaisuuksien, kuten GateKeeper-sovelluksen maineen ja suojaustyökalun, määrittäminen, FileVault-salaus (voidaan asettaa vain Mac-tietokoneille, ei käyttäjille) ja diagnostiikkatietojen lähettäminen Applelle.
  • Liikkuvuus: Määritä, tuetaanko mobiilitilin luomista, sekä siihen liittyvät muuttujat (katso lisätietoja mobiilitileistä tämän sarjan ensimmäisestä artikkelista).
  • Rajoitukset: Rajoittaa pääsyä useisiin OS X -ominaisuuksiin, kuten Game Center, App Store, mahdollisuus käynnistää tiettyjä sovelluksia, pääsy ulkoiseen mediaan, sisäänrakennetun kameran käyttö, pääsy iCloudiin, Spotlight-hakuehdotukset, AirDrop jakaminen ja pääsy erilaisiin palveluihin OS X: n jakovalikossa.
  • Kirjautumisikkuna: OS X -ikkunan, mukaan lukien kaikki kirjautumisikkunan viestit (kutsutaan bannereiksi), määrittämiseen; voiko käyttäjä käynnistää Macin uudelleen tai sammuttaa sen kirjautumatta; ja onko pääsy Maciin liittyviin lisätietoihin kirjautumisikkunasta.
  • Tulostus: Määritä tulostimien käyttöoikeudet valmiiksi ja määritetään valinnainen alatunniste kaikille tulostetuille sivuille.
  • Välityspalvelimet: Välityspalvelinten määrittelemiseen.

Lisäkäytännöt laivastosi täydentämiseksi

Edellä lueteltujen käytäntöjen lisäksi Apple tarjoaa useita käytäntövaihtoehtoja Mac-käyttäjäkokemuksen määrittämiseksi. Jotkut organisaatiot pitävät näitä käytäntöjä hyödyllisinä kaikille Mac-tietokoneille tai vain osalle heidän laivastoa. Nämä käytännöt sisältävät kyvyn määrittää AirPlay valmiiksi; määrittää pääsy CalDAV-palvelimelle ja CardDAV-palvelimelle Kalenteri- ja Yhteystiedot-sovelluksissa; luoda kyky asentaa ylimääräisiä fontteja; määrittää LDAP-palvelimen käyttöoikeus vain yhteystietojen etsimistä varten; määrittää POP- ja IMAP-tilit valmiiksi Mail-sovelluksessa; määrittää ja lisätä kohteita (verkkoleikkeitä, kansioita, sovelluksia) Dockiin; määrittää energiansäästöasetukset sekä käynnistys- / sammutus- / herätys- / uniaikataulut; ottaa käyttöön yksinkertaistettu versio Finderista ja estää tietyt komennot, kuten Yhdistä palvelimeen, Poista äänenvoimakkuus, Polta levy, Siirry kansioon, Käynnistä uudelleen ja Sammuta; määrittää kohteet, joiden pitäisi automaattisesti avautua sisäänkirjautumisen yhteydessä; määrittää esteettömyysominaisuudet vammaisille käyttäjille; määrittää Jabber-tilit Viestit-sovellukseen; ja niin edelleen.

On myös mahdollisuus esitäyttää käyttäjätilin tunniste, kun profiili on asennettu. Tätä käytetään yleensä, kun profiilit asennetaan yksittäisiin Mac-tietokoneisiin. Kun Mac on liitetty hakemistoon, käyttäjätilitiedot haetaan hakemistosta.

Ohjelmistopäivityskäytäntö on tärkeä organisaatioille, jotka ottavat OS X -palvelimen käyttöön paikallisena ohjelmistopäivityspalvelimena. OS X Serverillä on mahdollisuus välimuistiin Apple-ohjelmistopäivitysten paikalliset kopiot suorituskyvyn parantamiseksi ja verkon ruuhkautumisen vähentämiseksi kalustoa päivitettäessä.

Mukautetut asetukset: Käytäntösi määrittää sovelluksen tai järjestelmäasetukset

Mukautettujen asetusten käytännöllä on tärkeä rooli maksimoidessa IT: n kyky hallita koko Mac-käyttäjäkokemusta. Sen avulla järjestelmänvalvoja voi määrittää asetukset asennetuille sovelluksille ja OS X: n lisäominaisuuksille, vaikka näillä sovelluksilla tai ominaisuuksilla ei ole Applen määrittelemää nimenomaista käytäntöä. Käytettäessä XML-tiedot sovelluksesta tai ominaisuuden asetustiedostosta on määritettävä. Helpoin tapa käyttää tätä asetusta on määrittää sovellus tai ominaisuus haluamallasi asetuksella ja etsiä sitten sopiva .plist-tiedosto (tyypillisesti nykyisen käyttäjän kotikansiossa / Kirjasto / Asetukset-hakemistossa). Vaihtoehtoisesti siihen liittyvät XML-avaimet ja tiedot voidaan syöttää manuaalisesti.

Politiikkojen vuorovaikutus

Koska käytäntöjä voidaan soveltaa yksittäisten Macien, Mac-ryhmien, yksittäisten käyttäjätilien tai käyttäjäryhmien perusteella, on tilanteita, joissa useita käytäntöjä voidaan käyttää kerralla. Tuloksena saatu kokemus riippuu suurelta osin politiikan tyypistä.

Suurin osa käytännöistä lisää kokoonpanoelementin; kun näitä käytäntöjä on useita, niitä kaikkia käytetään. Esimerkiksi, jos Macilla on käytäntö, joka määrittää Dock-kohteet ja käyttäjä on kahden ryhmän jäsen, jotka määrittävät kukin muita Dock-kohteita, kyseinen käyttäjä näkee kaikkien määritettyjen Dock-kohteiden yhdistelmän, kun hän kirjautuu kyseiseen Maciin. (Toinen käyttäjä, joka kirjautuu samaan Maciin, näkee kyseiselle Macille määritetyt Dock-kohteet sekä kaikki hänen ryhmänsä jäseniin määritetyt.)

On kuitenkin tapauksia, joissa politiikat eivät voi vain lisätä toisiaan. Tämä pätee erityisesti ominaisuuksiin, jotka rajoittavat käyttäjien pääsyä toimintoihin tai ominaisuuksiin. Näissä tapauksissa rajoittavin käytäntö on se, jota noudatetaan.

saatat myös pitää

$config[zx-auto] not found$config[zx-overlay] not found