Urus Mac tersebut: Panduan untuk pentadbir Windows

Membawa Mac ke persekitaran IT yang ada boleh membuat mana-mana pentadbir Windows merasa sedikit salah. Semuanya sudah biasa, dari segi tugas dan tetapan, tetapi dengan sedikit kelainan untuk kelihatan agak asing pada mulanya. Siri petua pengurusan Mac kami yang berterusan ada di sini untuk membantu membimbing anda melancarkan Mac dengan selamat dan produktif.

Dalam bahagian pertama dari siri ini, saya melihat keperluan penting untuk mengintegrasikan Mac ke dalam persekitaran perusahaan, termasuk bagaimana menggabungkannya ke sistem perusahaan. Pada skala besar, penyebaran Mac yang besar sering memerlukan satu set kemahiran dan alat yang unik untuk berjaya. Perkara yang sama berlaku untuk menerapkan dasar pengurusan pada Mac, yang saya bahas dalam artikel ini. Di sini, anda akan mendapat gambaran keseluruhan mengenai kebijakan Mac dan pandangan mengenai cara merancang strategi untuk menerapkannya.

Dalam bahagian terakhir siri ini, saya akan melihat alat khusus yang digunakan untuk menerapkan dasar, serta alat yang menawarkan ciri pengurusan dan penggunaan tambahan.

Hasil dasar pengurusan Mac

Cara menguruskan Mac adalah persoalan skala. Juruteknik di organisasi dengan sebilangan kecil Mac sering dapat mengkonfigurasi setiap Mac secara individu atau membuat satu gambar sistem yang menerapkan konfigurasi yang seragam pada setiap Mac. Dalam organisasi yang lebih besar, cabarannya lebih kompleks. Pengguna atau jabatan yang berbeza akan mempunyai keperluan konfigurasi yang berbeza, dan mereka memerlukan hak akses yang berbeza. Lebih-lebih lagi, mereka sering mempunyai keperluan konfigurasi yang berkaitan dengan pengguna dan kumpulan individu, serta keperluan yang berkaitan dengan Mac tertentu berdasarkan penggunaannya (dan kadang-kadang perkakasan mereka). Oleh kerana itu, konfigurasi manual terlalu tidak cekap. Di sini, automasi adalah kunci.

Untuk tujuan ini, Apple menawarkan berbagai kebijakan yang dapat diterapkan pada armada Mac Anda untuk menerapkan persyaratan keamanan, untuk membantu mengkonfigurasi mesin Mac secara automatik ke profil tertentu, dan untuk mengaktifkan dan menyekat akses ke sumber daya di rangkaian anda.

Sekiranya anda sudah biasa dengan Dasar Kumpulan Windows, anda akan gembira mengetahui bahawa anda dapat mengurus sepenuhnya pengalaman pengguna Mac dengan cara yang sama menggunakan dasar Apple untuk Mac. Sebilangan besar dasar ini boleh digunakan sama ada untuk Mac tertentu (atau kumpulan Mac) atau ke akaun pengguna tertentu (atau keahlian kumpulan). Namun, beberapa dasar hanya dapat dikaitkan dengan Mac atau ke akaun pengguna. Keakraban dengan bagaimana dasar dapat dikonfigurasi sangat penting untuk membuat strategi pengurusan Mac anda.

Sebagai contoh, seperti dengan Dasar Kumpulan Windows, dasar yang berkaitan dengan keperluan pengguna dan kawalan akses sering dikendalikan berdasarkan keahlian kumpulan yang berkaitan dengan jabatan, peranan pekerjaan, dan faktor lain. Keperluan tetapan keselamatan jabatan dan keselamatan Mac ditetapkan paling baik berdasarkan Mac (atau sekumpulan Mac), bukannya pengguna (atau keahlian kumpulan). Beberapa dasar, seperti dasar Penjimat Tenaga, khusus Mac dan bukan khusus pengguna secara lalai.

Kebiasaan pelaksanaan dasar

Dasar pengurusan Mac, seperti dasar iOS, disimpan sebagai data XML dalam profil konfigurasi. Profil ini dapat digunakan untuk Mac dengan salah satu dari tiga cara: dengan membuat dan menyebarkannya secara manual ke Mac / pengguna individu, melalui aplikasi Apple Configurator 2 percuma; dengan melaksanakan penyelesaian MDM / EMM; atau melalui penggunaan suite pengurusan desktop tradisional.

Sekiranya anda memilih untuk menyebarkan profil konfigurasi secara manual, anda perlu menggunakan Pengurus Profil Pelayan OS X untuk membuatnya, maka profil yang dihasilkan perlu dipasang secara manual pada setiap Mac. Apabila dibuka, profil akan meminta pengguna untuk memasang polisi yang disertakan. Menggunakan kaedah ini, tidak ada cara sepenuhnya automatik untuk menyebarkan profil konfigurasi tanpa menggunakan alat penyebaran tambahan. Sekiranya anda bergantung pada pengguna dan bukannya kakitangan IT untuk memasangnya, sukar untuk memastikan bahawa mereka telah dipasang. Oleh kerana itu, menyebarkan profil secara manual mungkin merupakan pilihan yang paling mudah, tetapi kemungkinan tidak sesuai untuk organisasi yang lebih besar.

(Catatan: Profil Pengurus itu sendiri adalah penyelesaian MDM khusus Apple yang dapat digunakan untuk mendorong dasar mengikut cara penawaran MDM / EMM lain, selain membuat profil konfigurasi untuk pengedaran manual.)

Aplikasi Apple Configurator 2 dapat digunakan untuk memasang profil / kebijakan ke Mac yang ditambatkan dan juga peranti iOS. Ini memberikan penyelesaian langsung tanpa kos untuk memastikan profil / dasar dipasang dan berfungsi. Walau bagaimanapun, ia memerlukan setiap Mac yang dikendalikan disambungkan ke Mac yang menjalankan Apple Configurator 2 oleh USB untuk konfigurasi. Ini menjadikan Apple Configurator 2 alat yang sangat baik untuk perniagaan kecil dan organisasi pendidikan, yang sering mempunyai satu set keperluan dasar yang sederhana, tetapi strategi pengurusan Mac yang tidak cekap jika anda perlu mengkonfigurasi sejumlah besar Mac.

Di sini, alat MDM / EMM dapat membantu, kerana dasar Mac dapat diterapkan menggunakan kerangka MDM yang sama yang digunakan oleh peranti iOS. Oleh itu, kebanyakan vendor yang menyokong pengurusan iOS juga menyokong pengurusan Mac. Oleh itu, mereka adalah pilihan yang mesra syarikat, terutamanya kerana banyak organisasi sudah menggunakan penyelesaian sedemikian untuk menguruskan peranti iOS dan Android.

Pilihan lain yang sesuai untuk penggunaan perusahaan adalah suite pengurusan desktop tradisional, termasuk kedua-dua suite khusus Apple, seperti Suite Casper JAMF, dan suite berbilang platform, seperti LanDesk Management Suite dan Symantec Management Platform. Suite ini tidak hanya menggunakan dasar, tetapi mereka sering menawarkan alat pengurusan dan penyebaran. Memandangkan populariti suite, banyak organisasi sering sudah menggunakan alat seperti itu, atau mereka mungkin mempunyai ciri tambahan yang cukup menarik untuk melabur di dalamnya (lebih banyak lagi mengenai alat ini di bahagian ketiga siri ini).

Sekiranya anda mempunyai kebimbangan mengenai sifat dasar Mac yang berasaskan XML, yakinlah: Pentadbir umumnya tidak perlu membuat atau mengedit data XML yang digunakan dalam dasar pengurusan Mac secara langsung. Sebilangan besar alat Apple dan pihak ketiga menyediakan UI intuitif untuk menetapkan pilihan dasar, dan mereka menangani pembuatan XML yang diperlukan di bawahnya. Satu pengecualian adalah kebijakan Tetapan Khusus untuk menentukan tetapan untuk aplikasi yang dipasang dan tambahan ciri OS X, yang akan dibahas kemudian dalam artikel ini. Mengkonfigurasi Tetapan Tersuai memerlukan masuk ke dalam XML.

Dasar pengurusan Core Mac yang mesti diketahui oleh pentadbir

Apple menyediakan pelbagai pilihan dasar yang sukar untuk pengurusan Mac, tetapi sekumpulan 13 dasar tertentu adalah yang paling sering digunakan - dan paling kritikal untuk mengurus dan mengamankan Mac dalam persekitaran perusahaan. Setiap dasar pengurusan teras berikut berlaku untuk Mac atau pengguna, kecuali dinyatakan sebaliknya:

  • Rangkaian: Untuk mengkonfigurasi tetapan rangkaian, termasuk konfigurasi Wi-Fi dan beberapa perincian sambungan Ethernet.
  • Sijil: Untuk menggunakan sijil digital yang digunakan dalam komunikasi yang dienkripsi dalam organisasi serta beberapa bukti identiti untuk perkhidmatan tertentu (banyak perkhidmatan rangkaian bergantung pada sijil untuk komunikasi dan pengesahan yang selamat).
  • SCEP: Untuk menentukan tetapan untuk memperoleh dan / atau memperbaharui sijil dari CA (Certificate Authority) menggunakan SCEP (Simple Certificate Enrollment Protocol). SCEP menyediakan pilihan automatik yang membolehkan peranti memperoleh / memperbaharui sijil. Ini digunakan sebagai bagian dari proses pendaftaran MDM Apple untuk peranti iOS dan dapat digunakan untuk pendaftaran Mac ke lingkungan yang dikelola juga. Konfigurasi SCEP akan berbeza bergantung pada CA dan alat pengurusan yang berkaitan dalam operasi.  
  • Sijil Direktori Aktif: Untuk memberikan maklumat pengesahan untuk pelayan Sijil Direktori Aktif. Dasar ini hanya dapat ditetapkan untuk akaun pengguna.
  • Direktori: Untuk mengkonfigurasi perkhidmatan direktori keahlian, termasuk Direktori Aktif dan Direktori Terbuka Apple. Banyak sistem direktori dapat dikonfigurasi. Dasar ini hanya boleh ditetapkan untuk Mac.
  • Exchange: Untuk mengkonfigurasi akses ke akaun Exchange pengguna di aplikasi Mel, Kenalan, dan Kalendar asli Apple. (Ini tidak mengkonfigurasi Microsoft Outlook.) Ini hanya dapat ditetapkan untuk akun pengguna.
  • VPN: Untuk mengkonfigurasi klien VPN bawaan Mac. Beberapa pemboleh ubah boleh dikonfigurasi. Sekiranya beroperasi, pengguna tidak akan dapat mengubah konfigurasi VPN.
  • Keselamatan & Privasi: Untuk mengkonfigurasi beberapa ciri keselamatan terpasang OS X, termasuk reputasi aplikasi dan alat keselamatan GateKeeper, penyulitan FileVault (dapat ditetapkan untuk Mac saja, bukan pengguna), dan apakah data diagnostik dapat dikirimkan ke Apple.
  • Mobiliti: Untuk menentukan sama ada penciptaan akaun mudah alih disokong atau tidak, serta pemboleh ubah yang berkaitan (lihat artikel pertama dalam siri ini untuk maklumat mengenai akaun mudah alih).
  • Sekatan: Untuk menyekat akses ke pelbagai ciri OS X, seperti Pusat Permainan, App Store, kemampuan untuk melancarkan aplikasi tertentu, akses ke media luaran, penggunaan kamera bawaan, akses ke iCloud, cadangan carian Spotlight, AirDrop perkongsian, dan akses ke pelbagai perkhidmatan dalam menu kongsi OS X.
  • Tetingkap Log Masuk: Untuk mengkonfigurasi tetingkap masuk OS X, termasuk sebarang mesej tetingkap masuk (disebut sebagai sepanduk); sama ada pengguna boleh memulakan semula atau mematikan Mac tanpa log masuk; dan sama ada maklumat tambahan mengenai Mac boleh diakses dari Tetingkap masuk.
  • Mencetak: Untuk mengkonfigurasi akses ke pencetak dan menentukan footer pilihan untuk semua halaman yang dicetak.
  • Proksi: Untuk menentukan pelayan proksi.

Dasar tambahan untuk melengkapkan armada anda

Sebagai tambahan kepada dasar yang disenaraikan di atas, Apple menyediakan pelbagai pilihan dasar untuk mengkonfigurasi pengalaman pengguna Mac. Beberapa organisasi akan menganggap dasar ini berguna untuk semua Mac atau hanya sebahagian daripada armada mereka. Dasar-dasar ini merangkumi kemampuan untuk mengkonfigurasi AirPlay; untuk menyediakan akses ke pelayan CalDAV dan pelayan CardDAV di aplikasi Kalendar dan Kenalan; untuk membuktikan kemampuan memasang fon tambahan; untuk mengkonfigurasi akses ke pelayan LDAP semata-mata untuk tujuan mencari data hubungan; untuk mengkonfigurasi akaun POP dan IMAP dalam aplikasi Mail; untuk mengkonfigurasi dan menambah item (Klip web, folder, aplikasi) ke Dock; untuk menetapkan pilihan Penjimat Tenaga, serta jadual permulaan / penutupan / bangun / tidur; untuk mengaktifkan versi Finder yang dipermudahkan dan menyekat arahan tertentu, seperti Connect to Server, Eject Volume, Burn Disc, Go to Folder,Mulakan semula, dan Matikan; untuk menentukan item yang mesti dibuka secara automatik semasa log masuk; untuk mengkonfigurasi ciri kebolehaksesan untuk pengguna kurang upaya; untuk menyediakan akaun Jabber dalam aplikasi Mesej; dan sebagainya.

Terdapat juga pilihan untuk mengisi pengenalan akaun pengguna ketika profil dipasang. Ini biasanya digunakan semasa profil dipasang pada Mac individu. Apabila Mac digabungkan ke direktori, maklumat akaun pengguna diambil dari direktori.

Dasar Pembaruan Perisian adalah relevan untuk organisasi yang menggunakan OS X Server untuk digunakan sebagai Pelayan Kemas kini Perisian tempatan. OS X Server mempunyai kemampuan untuk menyimpan salinan tempatan Pembaruan Perisian Apple untuk meningkatkan prestasi dan mengurangkan kesesakan rangkaian ketika mengemas kini armada anda.

Tetapan Khusus: Dasar anda untuk menentukan tetapan aplikasi atau sistem

Dasar Tetapan Khusus memainkan peranan penting dalam memaksimumkan kemampuan IT untuk menguruskan keseluruhan pengalaman pengguna Mac. Ini memungkinkan pentadbir untuk menentukan tetapan untuk aplikasi yang dipasang dan fitur OS X tambahan walaupun aplikasi atau ciri tersebut tidak mempunyai kebijakan eksplisit yang ditentukan oleh Apple. Semasa digunakan, data XML dari aplikasi atau fail pilihan ciri mesti ditentukan. Cara termudah untuk menggunakan pilihan ini adalah dengan mengkonfigurasi aplikasi atau ciri dengan tetapan yang diinginkan, dan kemudian cari fail .plist yang sesuai (biasanya dalam direktori / Perpustakaan / Pilihan dalam folder utama pengguna semasa). Sebagai alternatif, kunci dan maklumat XML yang berkaitan dapat dimasukkan secara manual.

Interaksi dasar

Oleh kerana dasar dapat diterapkan berdasarkan Mac individu, kumpulan Mac, akaun pengguna individu, atau kumpulan pengguna, ada situasi di mana beberapa dasar dapat diterapkan pada satu masa. Pengalaman yang dihasilkan sangat bergantung pada jenis polisi.

Sebilangan besar dasar menambah elemen konfigurasi; apabila terdapat banyak keadaan dasar ini, semuanya diterapkan Sebagai contoh, jika Mac mempunyai dasar yang menentukan item Dock dan pengguna adalah anggota dari dua kumpulan yang masing-masing menentukan item Dock tambahan, pengguna itu akan melihat sekumpulan gabungan semua item Dock yang ditentukan semasa dia log masuk ke Mac tersebut. (Pengguna lain yang masuk ke Mac yang sama akan melihat item Dock yang ditentukan untuk Mac itu, serta apa-apa yang ditentukan untuk gabungan kumpulannya.)

Terdapat beberapa kes, bagaimanapun, di mana dasar tidak boleh saling menambah. Ini benar terutamanya mengenai ciri-ciri yang menyekat akses pengguna ke fungsi atau ciri. Dalam kes ini, polisi yang paling ketat adalah yang dikuatkuasakan.