Gestisci quei Mac: una guida per gli amministratori di Windows

Portare i Mac in un ambiente IT esistente può far sentire un po 'spiazzato qualsiasi amministratore di Windows. Tutto è familiare, in termini di compiti e impostazioni, ma con una svolta tale da sembrare inizialmente un po 'estraneo. La nostra serie continua di suggerimenti per la gestione dei Mac è qui per aiutarti a implementare i Mac in modo sicuro e produttivo.

Nella prima parte di questa serie, ho esaminato i requisiti essenziali per l'integrazione dei Mac negli ambienti aziendali, compreso come unirli ai sistemi aziendali. Su larga scala, le distribuzioni su Mac di grandi dimensioni richiedono spesso un set unico di competenze e strumenti per avere successo. Lo stesso vale per l'applicazione dei criteri di gestione ai Mac, che tratterò in questo articolo. Qui otterrai una panoramica delle policy Mac e approfondimenti su come pianificare una strategia per la loro distribuzione.

Nella parte finale della serie, esaminerò gli strumenti specifici utilizzati per applicare i criteri, nonché gli strumenti che offrono funzionalità aggiuntive di gestione e distribuzione.

Il risultato sulle politiche di gestione del Mac

Come gestire i Mac è una questione di scala. I tecnici delle organizzazioni con un numero limitato di Mac possono spesso configurare ogni Mac individualmente o creare un'unica immagine di sistema che applica una configurazione uniforme a ogni Mac. Nelle organizzazioni più grandi, le sfide sono più complesse. Utenti o reparti diversi avranno esigenze di configurazione diverse e richiederanno privilegi di accesso diversi. Inoltre, avranno spesso esigenze di configurazione relative a singoli utenti e gruppi, nonché esigenze relative a Mac specifici in base al loro utilizzo (e talvolta al loro hardware). Per questo motivo, la configurazione manuale è semplicemente troppo inefficiente. Qui l'automazione è fondamentale.

A tal fine, Apple offre una gamma di criteri che possono essere applicati alla tua flotta di Mac per applicare i requisiti di sicurezza, per aiutare a configurare automaticamente le macchine Mac per profili specifici e per abilitare e limitare l'accesso alle risorse sulla tua rete.

Se hai già familiarità con i criteri di gruppo di Windows, sarai felice di sapere che puoi gestire completamente l'esperienza utente del Mac in modo simile utilizzando i criteri di Apple per i Mac. La maggior parte di questi criteri può essere applicata a Mac specifici (o gruppi di Mac) o ad account utente specifici (o appartenenze a gruppi). Alcuni criteri, tuttavia, possono essere associati solo a Mac o ad account utente. La familiarità con le modalità di configurazione delle policy è fondamentale per creare una gestione strategica del Mac.

Ad esempio, come con i Criteri di gruppo di Windows, i criteri relativi alle esigenze degli utenti e ai controlli di accesso vengono spesso gestiti in base all'appartenenza a gruppi correlati al reparto, ai ruoli lavorativi e ad altri fattori. I requisiti delle impostazioni di sicurezza dell'app dipartimentale e del Mac sono impostati al meglio in base ai Mac (o un gruppo di Mac), piuttosto che agli utenti (o all'appartenenza a gruppi). Alcuni criteri, come i criteri di risparmio energetico, sono specifici del Mac anziché dell'utente per impostazione predefinita.

Il nocciolo della distribuzione delle politiche

I criteri di gestione del Mac, come i criteri iOS, vengono archiviati come dati XML nei profili di configurazione. Questi profili possono essere applicati ai Mac in tre modi: creandoli manualmente e distribuendoli a singoli Mac / utenti, tramite l'app gratuita Apple Configurator 2; implementando una soluzione MDM / EMM; o tramite l'uso di suite di gestione desktop tradizionali.

Se scegli di distribuire manualmente i profili di configurazione, dovrai utilizzare il Gestore profili di OS X Server per crearli, quindi i profili risultanti dovranno essere installati manualmente su ciascun Mac. Una volta aperto, il profilo chiederà all'utente di installare i criteri inclusi. Utilizzando questo metodo, non esiste un modo completamente automatizzato per distribuire i profili di configurazione senza utilizzare strumenti di distribuzione aggiuntivi. Se ci si affida agli utenti piuttosto che al personale IT per installarli, può essere difficile assicurarsi che siano stati installati. Per questo motivo, la distribuzione manuale dei profili può essere l'opzione più semplice, ma è probabilmente meno ideale, o addirittura praticabile, per le organizzazioni più grandi.

(Nota: lo stesso Profile Manager è una soluzione MDM specifica per Apple che può essere utilizzata per distribuire i criteri allo stesso modo di altre offerte MDM / EMM, oltre a creare profili di configurazione per la distribuzione manuale.)

L'app Apple Configurator 2 può essere utilizzata per installare profili / criteri su Mac con tethering e dispositivi iOS. Ciò fornisce una soluzione semplice e gratuita per garantire che i profili / criteri siano installati e funzionanti. Tuttavia, richiede che ogni Mac gestito sia connesso a un Mac con Apple Configurator 2 tramite USB per la configurazione. Ciò rende Apple Configurator 2 uno strumento eccellente per le piccole imprese e le organizzazioni educative, che spesso hanno una semplice serie di esigenze di policy, ma è una strategia di gestione del Mac inefficiente se è necessario configurare un gran numero di Mac.

Qui, gli strumenti MDM / EMM possono essere d'aiuto, poiché i criteri Mac possono essere applicati utilizzando lo stesso framework MDM utilizzato dai dispositivi iOS. Pertanto, la maggior parte dei fornitori che supportano la gestione iOS supporta anche la gestione Mac. Pertanto, sono un'opzione a misura di azienda, in particolare perché molte organizzazioni utilizzano già tali soluzioni per gestire i dispositivi iOS e Android.

Un'altra opzione che si adatta bene all'uso aziendale è la tradizionale suite di gestione desktop, che include sia suite specifiche di Apple, come Casper Suite di JAMF, sia suite multipiattaforma, come LanDesk Management Suite e Symantec Management Platform. Queste suite non solo applicano criteri, ma spesso offrono strumenti di gestione e distribuzione. Data la popolarità delle suite, molte organizzazioni spesso dispongono già di tali strumenti in uso, oppure potrebbero trovare le loro funzionalità aggiuntive abbastanza interessanti da investire in esse (maggiori informazioni su questi strumenti nella terza parte di questa serie).

In caso di dubbi sulla natura basata su XML delle politiche Mac, state tranquilli: gli amministratori in genere non hanno bisogno di creare o modificare direttamente i dati XML utilizzati nelle politiche di gestione Mac. La maggior parte degli strumenti Apple e di terze parti fornisce interfacce utente intuitive per l'impostazione delle opzioni dei criteri e gestiscono la creazione XML necessaria sotto il cofano. Un'eccezione è rappresentata dai criteri delle impostazioni personalizzate per specificare le impostazioni per le app installate e le funzionalità aggiuntive di OS X, discusse più avanti in questo articolo. La configurazione delle impostazioni personalizzate richiederà di entrare nelle viscere di XML.

Criteri di gestione principali del Mac che ogni amministratore deve conoscere

Apple offre una gamma vertiginosa di opzioni di policy per la gestione dei Mac, ma una serie specifica di 13 policy è quella più comunemente utilizzata ed è la più critica per la gestione e la protezione dei Mac in un ambiente aziendale. Ognuno dei seguenti criteri di gestione di base si applica ai Mac o agli utenti, se non diversamente specificato:

  • Rete: per configurare le impostazioni di rete, inclusa la configurazione Wi-Fi e alcuni dettagli sulla connessione Ethernet.
  • Certificato: per la distribuzione di certificati digitali utilizzati nelle comunicazioni crittografate all'interno di un'organizzazione, nonché alcune credenziali di identità per servizi specifici (molti servizi di rete si basano su certificati per comunicazioni e autenticazioni protette).
  • SCEP: per definire le impostazioni per l'acquisizione e / o il rinnovo dei certificati da una CA (Autorità di certificazione) utilizzando SCEP (Simple Certificate Enrollment Protocol). SCEP fornisce un'opzione automatizzata che consente ai dispositivi di acquisire / rinnovare certificati. Viene utilizzato come parte del processo di registrazione MDM di Apple per i dispositivi iOS e può essere utilizzato anche per la registrazione di Mac in un ambiente gestito. La configurazione di SCEP varierà a seconda della CA e dei relativi strumenti di gestione in funzione.  
  • Certificato Active Directory: per fornire le informazioni di autenticazione per i server del certificato Active Directory. Questo criterio può essere impostato solo per gli account utente.
  • Directory: per configurare i servizi di directory dei membri, inclusi Active Directory e Open Directory di Apple. È possibile configurare più sistemi di directory. Questo criterio può essere impostato solo per i Mac.
  • Exchange: per configurare l'accesso all'account Exchange di un utente nelle app native di Apple Mail, Contatti e Calendario. (Non configura Microsoft Outlook.) Può essere impostato solo per gli account utente.
  • VPN: per configurare il client VPN integrato nel Mac. Possono essere configurate più variabili. Se in funzione, gli utenti non saranno in grado di modificare la configurazione VPN.
  • Sicurezza e privacy: per configurare molte delle funzionalità di sicurezza integrate di OS X, tra cui la reputazione dell'app GateKeeper e lo strumento di sicurezza, la crittografia FileVault (può essere impostata solo per Mac, non per gli utenti) e se i dati diagnostici possono essere inviati ad Apple.
  • Mobilità: per impostare se la creazione di account mobili è supportata o meno, così come le variabili correlate (vedere il primo articolo di questa serie per informazioni sugli account mobili).
  • Restrizioni: per limitare l'accesso a una gamma di funzionalità di OS X, come Game Center, App Store, la possibilità di avviare app specifiche, l'accesso a supporti esterni, l'uso della fotocamera integrata, l'accesso a iCloud, suggerimenti di ricerca Spotlight, AirDrop condivisione e accesso a vari servizi nel menu di condivisione di OS X.
  • Finestra di accesso: per configurare la finestra di accesso di OS X, inclusi i messaggi della finestra di accesso (indicati come banner); se un utente può riavviare o spegnere un Mac senza effettuare l'accesso; e se è possibile accedere o meno a informazioni aggiuntive sul Mac dalla finestra di accesso.
  • Stampa: per preconfigurare l'accesso alle stampanti e per specificare un piè di pagina opzionale per tutte le pagine stampate.
  • Proxy: per specificare i server proxy.

Polizze aggiuntive per completare la tua flotta

Oltre ai criteri sopra elencati, Apple fornisce una gamma di opzioni per i criteri per la configurazione dell'esperienza utente Mac. Alcune organizzazioni troveranno queste policy utili per tutti i Mac o solo per un sottoinsieme della loro flotta. Queste politiche includono la possibilità di preconfigurare AirPlay; per configurare l'accesso a un server CalDAV e un server CardDAV nelle app Calendario e Contatti; stabilire la possibilità di installare caratteri aggiuntivi; configurare l'accesso a un server LDAP esclusivamente allo scopo di cercare i dati di contatto; preconfigurare account POP e IMAP nell'app Mail; per configurare e aggiungere elementi (clip Web, cartelle, app) al Dock; per impostare le preferenze di risparmio energetico, nonché i programmi di avvio / spegnimento / riattivazione / sospensione; per abilitare una versione semplificata del Finder e bloccare determinati comandi, come Connetti al server, Espelli volume, Masterizza disco, Vai alla cartella,Riavvia e spegni; per specificare gli elementi che dovrebbero aprirsi automaticamente all'accesso; configurare le funzioni di accessibilità per gli utenti con disabilità; configurare gli account Jabber nell'app Messaggi; e così via.

È inoltre disponibile un'opzione per prepopolare l'identificazione dell'account utente quando viene installato un profilo. Viene generalmente utilizzato quando i profili sono installati su singoli Mac. Quando un Mac viene unito a una directory, le informazioni sull'account utente vengono recuperate dalla directory.

Il criterio di aggiornamento software è rilevante per le organizzazioni che distribuiscono OS X Server da utilizzare come server di aggiornamento software locale. OS X Server ha la capacità di memorizzare nella cache copie locali degli aggiornamenti software Apple per migliorare le prestazioni e ridurre la congestione della rete durante l'aggiornamento della flotta.

Impostazioni personalizzate: la tua politica per la definizione delle impostazioni dell'app o del sistema

Il criterio Impostazioni personalizzate gioca un ruolo importante nel massimizzare la capacità dell'IT di gestire l'intera esperienza utente del Mac. Consente a un amministratore di specificare le impostazioni per tutte le app installate e le funzionalità aggiuntive di OS X anche se tali app o funzionalità non hanno una politica esplicita definita da Apple. Quando vengono utilizzati, è necessario specificare i dati XML da un'app o dal file delle preferenze della funzionalità. Il modo più semplice per utilizzare questa opzione è configurare un'app o una funzionalità con l'impostazione desiderata, quindi individuare il file .plist appropriato (in genere nella directory / Library / Preferences all'interno della cartella home dell'utente corrente). In alternativa, le chiavi e le informazioni XML correlate possono essere inserite manualmente.

Interazione politica

Poiché i criteri possono essere applicati in base a singoli Mac, gruppi di Mac, account utente individuali o gruppi di utenti, esistono situazioni in cui possono essere applicati più criteri contemporaneamente. L'esperienza risultante dipende in gran parte dal tipo di politica.

La maggior parte delle politiche aggiunge un elemento di configurazione; quando sono presenti più istanze di questi criteri, vengono applicati tutti. Ad esempio, se un Mac ha un criterio che specifica gli elementi Dock e un utente è membro di due gruppi che specificano ciascuno elementi Dock aggiuntivi, quell'utente vedrà un insieme combinato di tutti gli elementi Dock specificati quando accede a quel Mac. (Un altro utente che accede allo stesso Mac vedrà gli elementi Dock specificati per quel Mac, così come quelli specificati per le sue affiliazioni di gruppo.)

In alcuni casi, tuttavia, le politiche non possono semplicemente aggiungersi l'una all'altra. Ciò è particolarmente vero per le funzionalità che limitano l'accesso dell'utente a funzionalità o caratteristiche. In questi casi, la politica più restrittiva è quella che viene applicata.