Ievedot Mac datorus esošā IT vidē, jebkurš Windows administrators var likt justies nedaudz nepareizi. Uzdevumu un iestatījumu ziņā viss ir pazīstams, taču ar pietiekamu vērpjot, lai sākumā šķistu mazliet svešs. Mūsu pastāvīgā Mac pārvaldības padomu sērija ir šeit, lai palīdzētu jums droši un produktīvi ieviest Mac.
Šīs sērijas pirmajā daļā es aplūkoju būtiskās prasības Mac integrēšanai uzņēmuma vidēs, tostarp to, kā tos savienot ar uzņēmuma sistēmām. Vērtējot lielus Mac izvietojumus, veiksmīgai darbībai bieži ir nepieciešams unikāls prasmju un rīku kopums. Tas pats attiecas uz pārvaldības politikas piemērošanu Mac datoriem, kurus es aplūkoju šajā rakstā. Šeit jūs saņemsiet pārskatu par Mac politikām un ieskatu par to ieviešanas stratēģijas plānošanu.
Sērijas pēdējā daļā es apskatīšu īpašos rīkus, kas izmantoti politikas piemērošanai, kā arī rīkus, kas piedāvā papildu pārvaldības un izvietošanas funkcijas.
Pārskats par Mac pārvaldības politikām
Kā rīkoties ar Mac, ir mēroga jautājums. Organizāciju tehniķi ar nelielu skaitu Mac bieži var konfigurēt katru Mac atsevišķi vai izveidot vienu sistēmas attēlu, kas katram Mac pielieto vienotu konfigurāciju. Lielākās organizācijās problēmas ir sarežģītākas. Dažādiem lietotājiem vai nodaļām būs dažādas konfigurācijas vajadzības, un tām būs nepieciešamas dažādas piekļuves privilēģijas. Turklāt viņiem bieži būs konfigurācijas vajadzības, kas saistītas ar atsevišķiem lietotājiem un grupām, kā arī vajadzības, kas saistītas ar konkrētiem Mac datoriem, pamatojoties uz to lietojumu (un dažreiz arī aparatūru). Tāpēc manuālā konfigurēšana ir vienkārši pārāk neefektīva. Šeit galvenā nozīme ir automatizācijai.
Šajā nolūkā Apple piedāvā virkni politiku, kuras var piemērot jūsu Mac flotei, lai ieviestu drošības prasības, palīdzētu automātiski konfigurēt Mac mašīnas atbilstoši noteiktiem profiliem un ļautu ierobežot piekļuvi tīkla resursiem.
Ja jūs jau esat iepazinies ar Windows grupas politikām, ar prieku uzzināsiet, ka varat pilnībā pārvaldīt Mac lietotāja pieredzi līdzīgā veidā, izmantojot Apple politikas Mac datoriem. Lielāko daļu šo politiku var piemērot vai nu konkrētiem Mac datoriem (vai Mac grupām), vai īpašiem lietotāju kontiem (vai grupas dalībai). Dažas politikas var piesaistīt tikai Mac datoriem vai lietotāju kontiem. Lai izveidotu Mac pārvaldības stratēģiju, ir svarīgi iepazīties ar to, kā politikas var konfigurēt.
Piemēram, tāpat kā ar Windows grupas politikām, politikas, kas saistītas ar lietotāju vajadzībām un piekļuves vadīklām, bieži tiek pārvaldītas, pamatojoties uz dalību grupā, kas saistīta ar nodaļu, darba lomām un citiem faktoriem. Departamenta lietotnes un Mac drošības iestatīšanas prasības vislabāk var noteikt, pamatojoties uz Mac (vai Mac grupu), nevis uz lietotājiem (vai grupas dalību). Dažas politikas, piemēram, Enerģijas taupīšanas politika, pēc noklusējuma ir specifiskas Mac, nevis lietotājam.
Politikas ieviešanas asprātība
Mac pārvaldības politikas, tāpat kā iOS politikas, konfigurācijas profilos tiek saglabātas kā XML dati. Šos profilus Mac datoriem var piemērot vienā no trim veidiem: manuāli izveidojot un izplatot tos atsevišķiem Mac / lietotājiem, izmantojot bezmaksas Apple Configurator 2 lietotni; ieviešot MDM / EMM risinājumu; vai izmantojot tradicionālos darbvirsmas pārvaldības komplektus.
Ja izvēlaties manuāli izplatīt konfigurācijas profilus, to izveidošanai būs jāizmanto OS X Server Server Manager, tad iegūtie profili būs jāinstalē manuāli katrā Mac. Pēc atvēršanas profils liks lietotājam instalēt iekļautās politikas. Izmantojot šo metodi, nav pilnībā automatizēta veida, kā izplatīt konfigurācijas profilus, neizmantojot papildu izvietošanas rīkus. Ja to instalēšanai izmantojat lietotājus, nevis IT darbiniekus, var būt grūti pārliecināties, vai tie ir instalēti. Tāpēc manuāla profilu izplatīšana var būt vienkāršākā iespēja, taču lielākām organizācijām tas, visticamāk, nav tik ideāls vai pat dzīvotspējīgs.
(Piezīme: Profila pārvaldnieks pats par sevi ir Apple specifisks MDM risinājums, ko var izmantot, lai politikas izspiestu citu MDM / EMM piedāvājumu veidā, papildus konfigurācijas profilu izveidei manuālai izplatīšanai.)
Apple Configurator 2 lietotni var izmantot, lai instalētu profilus / politikas piesaistītiem Mac datoriem, kā arī iOS ierīcēm. Tas nodrošina vienkāršu un bezmaksas risinājumu, lai nodrošinātu profilu / politiku uzstādīšanu un darbību. Tomēr tas prasa, lai katrs pārvaldītais Mac konfigurācijai būtu savienots ar Mac, kurā darbojas Apple Configurator 2, izmantojot USB. Tas padara Apple Configurator 2 par lielisku rīku mazajiem uzņēmumiem un izglītības organizācijām, kurām bieži ir vienkāršs politikas vajadzību kopums, taču tā ir neefektīva Mac pārvaldības stratēģija, ja jākonfigurē liels skaits Mac.
Šeit var palīdzēt MDM / EMM rīki, jo Mac politikas var piemērot, izmantojot to pašu MDM ietvaru, ko izmanto iOS ierīces. Lielākā daļa pārdevēju, kas atbalsta iOS pārvaldību, atbalsta arī Mac pārvaldību. Tādējādi viņi ir uzņēmumam piemēroti varianti, jo īpaši tāpēc, ka daudzas organizācijas jau izmanto šādus risinājumus, lai pārvaldītu iOS un Android ierīces.
Vēl viena iespēja, kas labi pielāgota lietošanai uzņēmumā, ir tradicionālā darbvirsmas pārvaldības pakete, ieskaitot gan Apple specifiskos komplektus, piemēram, JAMF Casper Suite, gan daudzplatformu komplektus, piemēram, LanDesk Management Suite un Symantec Management Platform. Šie komplekti ne tikai piemēro politikas, bet arī bieži piedāvā pārvaldības un izvietošanas rīkus. Ņemot vērā komplektu popularitāti, daudzām organizācijām bieži vien jau tiek izmantoti šādi rīki, vai arī viņu papildu funkcijas var būt pietiekami pārliecinošas, lai tajos varētu ieguldīt (vairāk par šiem rīkiem šīs sērijas trešajā daļā).
Ja jums ir bažas par Mac politiku XML raksturu, esiet droši: administratoriem parasti nav nepieciešams tieši izveidot vai rediģēt Mac pārvaldības politikās izmantotos XML datus. Lielākā daļa Apple un trešo pušu rīku nodrošina intuitīvu lietotāja interfeisu politikas opciju iestatīšanai, un tie pārvalda nepieciešamo XML izveidi zem pārsega. Viens izņēmums ir politika Pielāgotie iestatījumi instalēto lietotņu iestatījumu un papildu OS X funkciju norādīšanai, kas aplūkota vēlāk šajā rakstā. Konfigurējot pielāgotos iestatījumus, būs jāiekļūst XML zarnās.
Galvenās Mac pārvaldības politikas jāzina katram administratoram
Apple nodrošina galvu reibinošu politikas iespēju klāstu Mac pārvaldībai, taču visbiežāk tiek izmantots īpašs 13 politiku kopums - un tas ir vissvarīgākais Mac datoru pārvaldībai un drošībai uzņēmuma vidē. Katra no šīm galvenajām pārvaldības politikām attiecas gan uz Mac, gan uz lietotājiem, ja vien nav norādīts citādi:
- Tīkls: tīkla iestatījumu konfigurēšanai, ieskaitot Wi-Fi konfigurāciju un dažas Ethernet savienojuma detaļas.
- Sertifikāts: digitālo sertifikātu, kas tiek izmantoti šifrētā saziņā, izvietošanai organizācijā, kā arī daži identitātes akreditācijas dati konkrētiem pakalpojumiem (daudzi tīkla pakalpojumi drošai saziņai un autentifikācijai ir atkarīgi no sertifikātiem).
- SCEP: lai definētu iestatījumus sertifikātu iegūšanai un / vai atjaunošanai no CA (sertifikātu iestādes), izmantojot SCEP (vienkāršu sertifikātu reģistrēšanas protokolu). SCEP nodrošina automatizētu iespēju, kas ļauj ierīcēm iegūt / atjaunot sertifikātus. To izmanto kā daļu no Apple MDM reģistrācijas procesa iOS ierīcēm, un to var izmantot arī Mac reģistrēšanai pārvaldītā vidē. SCEP konfigurācija mainīsies atkarībā no SI un saistītajiem pārvaldības rīkiem, kas darbojas.
- Active Directory sertifikāts: lai nodrošinātu autentifikācijas informāciju Active Directory sertifikātu serveriem. Šo politiku var iestatīt tikai lietotāju kontiem.
- Katalogs: Dalības direktoriju pakalpojumu, tostarp Active Directory un Apple Open Directory, konfigurēšanai. Var konfigurēt vairākas direktoriju sistēmas. Šo politiku var iestatīt tikai Mac datoriem.
- Exchange: piekļuves konfigurēšanai lietotāja Exchange kontam Apple vietējās lietotnēs Mail, Contacts un Calendar. (Tas nekonfigurē Microsoft Outlook.) To var iestatīt tikai lietotāju kontiem.
- VPN: Mac iebūvētā VPN klienta konfigurēšanai. Var konfigurēt vairākus mainīgos. Ja tas darbojas, lietotāji nevarēs mainīt VPN konfigurāciju.
- Drošība un konfidencialitāte: lai konfigurētu vairākus OS X iebūvētos drošības līdzekļus, tostarp lietotnes GateKeeper reputāciju un drošības rīku, FileVault šifrēšanu (var iestatīt tikai Mac, nevis lietotājiem) un vai diagnostikas datus var nosūtīt Apple.
- Mobilitāte: lai iestatītu, vai tiek atbalstīta mobilā konta izveide, kā arī saistītos mainīgos (informāciju par mobilajiem kontiem skatiet šīs sērijas pirmajā rakstā).
- Ierobežojumi: piekļuves ierobežošanai virknei OS X funkciju, piemēram, Game Center, App Store, iespējai palaist noteiktas lietotnes, piekļuvi ārējiem datu nesējiem, iebūvētās kameras lietošanai, piekļuvei iCloud, Spotlight meklēšanas ieteikumiem, AirDrop koplietošana un piekļuve dažādiem OS X koplietošanas izvēlnes pakalpojumiem.
- Pieteikšanās logs: lai konfigurētu OS X pieteikšanās logu, ieskaitot visus pieteikšanās loga ziņojumus (turpmāk tekstā - baneri); vai lietotājs var restartēt vai izslēgt Mac, nepiesakoties; un vai no pieteikšanās loga var piekļūt papildu informācijai par Mac.
- Drukāšana: lai iepriekš konfigurētu piekļuvi printeriem un norādītu izvēles kājeni visām izdrukātajām lappusēm.
- Starpniekserveri: starpniekserveru norādīšanai.
Papildu politikas jūsu flotes noapaļošanai
Papildus iepriekš uzskaitītajām politikām Apple nodrošina virkni politikas iespēju Mac lietotāja konfigurēšanai. Dažām organizācijām šīs politikas būs noderīgas visiem Mac datoriem vai tikai to flotes apakškopai. Šīs politikas ietver iespēju iepriekš konfigurēt AirPlay; lietotnēs Kalendārs un kontakti iestatīt piekļuvi CalDAV serverim un CardDAV serverim; izveidot iespēju instalēt papildu fontus; konfigurēt piekļuvi LDAP serverim tikai kontaktu datu meklēšanas nolūkā; iepriekš konfigurēt POP un IMAP kontus lietotnē Mail; konfigurēt un pievienot objektus (tīmekļa klipus, mapes, lietotnes) dokam; iestatīt enerģijas taupīšanas preferences, kā arī startēšanas / izslēgšanas / pamodināšanas / miega grafikus; lai iespējotu vienkāršotu Finder versiju un bloķētu noteiktas komandas, piemēram, Connect to Server, Eject Volume, Burn Disc, Go to Folder, Restart un Shut Down; lai norādītu vienumus, kas automātiski jāatver, piesakoties; konfigurēt pieejamības funkcijas lietotājiem ar invaliditāti; izveidot lietotnē Messages Jabber kontus; un tā tālāk.
Ir arī iespēja iepriekš aizpildīt lietotāja konta identifikāciju, kad ir uzstādīts profils. To parasti izmanto, ja profili tiek instalēti atsevišķos Mac datoros. Kad Mac ir pievienots direktorijai, lietotāja konta informācija tiek izgūta no direktorija.
Programmatūras atjaunināšanas politika attiecas uz organizācijām, kas izvieto OS X Server lietošanai kā vietējo programmatūras atjaunināšanas serveri. OS X Server ir iespēja kešatmiņā saglabāt vietējās Apple programmatūras atjauninājumu kopijas, lai uzlabotu veiktspēju un samazinātu tīkla pārslodzi, atjauninot floti.
Pielāgoti iestatījumi: jūsu lietotnes vai sistēmas iestatījumu noteikšanas politika
Pielāgoto iestatījumu politikai ir svarīga loma, maksimizējot IT spēju pārvaldīt visu Mac lietotāja pieredzi. Tas ļauj administratoram norādīt iestatījumus visām instalētajām lietotnēm un papildu OS X funkcijām, pat ja šīm lietotnēm vai funkcijām nav skaidras Apple definētas politikas. Lietojot, ir jānorāda XML dati no lietotnes vai funkcijas preferenču faila. Vieglākais veids, kā izmantot šo opciju, ir konfigurēt lietotni vai funkciju ar vēlamo iestatījumu un pēc tam atrast atbilstošo .plist failu (parasti direktorijā / Library / Preferences pašreizējā lietotāja mājas mapē). Alternatīvi, saistītās XML atslēgas un informāciju var ievadīt manuāli.
Politikas mijiedarbība
Tā kā politikas var piemērot, pamatojoties uz atsevišķiem Mac datoriem, Mac grupām, atsevišķiem lietotāju kontiem vai lietotāju grupām, pastāv situācijas, kad vienlaikus var piemērot vairākas politikas. Iegūtā pieredze lielā mērā ir atkarīga no politikas veida.
Lielākā daļa politiku pievieno konfigurācijas elementu; ja šīm politikām ir vairāki gadījumi, tiek piemēroti visi no tiem. Piemēram, ja Mac datorā ir politika, kas norāda Dock vienumus, un lietotājs ir divu grupu dalībnieks, kas katrs norāda papildu Dock vienumus, šis lietotājs, piesakoties šajā Mac, redzēs visu norādīto Dock vienību kopu. (Cits lietotājs, piesakoties tajā pašā Mac datorā, redzēs šim Mac norādītos Dock vienumus, kā arī visus, kas norādīti viņa grupas dalībniekiem.)
Tomēr ir daži gadījumi, kad politika nevar vienkārši papildināt viena otru. Tas jo īpaši attiecas uz funkcijām, kas ierobežo lietotāja piekļuvi funkcionalitātei vai funkcijām. Šajos gadījumos visstingrākā politika ir tā, kas tiek īstenota.
