נהל את אותם מחשבי מקינטוש: מדריך למנהלי חלונות

הכנסת מחשבי מקינטוש לסביבת IT קיימת יכולה לגרום לכל מנהל חלונות להרגיש מעט ברגל שגויה. הכל מוכר, מבחינת המשימות וההגדרות, אבל עם מספיק טוויסט כדי להיראות קצת זר בהתחלה. הסדרה המתמשכת שלנו של טיפים לניהול Mac היא כאן כדי לעזור לך להדריך אותך בהשקת מחשבי Mac בצורה מאובטחת ויצרנית.

בחלק אחד מסדרה זו בחנתי את הדרישות החיוניות לשילוב מחשבי מקינטוש בסביבות ארגוניות, כולל כיצד להצטרף אליהם למערכות ארגוניות. בקנה מידה גדול, פריסות גדולות של Mac דורשות לעתים קרובות מערך ייחודי של מיומנויות וכלים כדי להצליח. כנ"ל לגבי החלת מדיניות ניהול על מחשבי מקינטוש, אותה אני עוסק במאמר זה. כאן תקבל סקירה של מדיניות Mac ותובנות כיצד לתכנן אסטרטגיה לפריסתם.

בחלק האחרון של הסדרה, אסתכל על הכלים הספציפיים המשמשים להחלת מדיניות, כמו גם על כלים המציעים תכונות ניהול ופריסה נוספות.

התוצאה על מדיניות ניהול מק

כיצד לנהל ניהול מחשבי מקינטוש זו שאלה בקנה מידה. טכנאים בארגונים עם מספר מצומצם של מחשבי מקינטוש יכולים לעיתים קרובות לקבוע את תצורתם של כל מק בנפרד או ליצור תמונת מערכת אחת המחילה תצורה אחידה על כל מק. בארגונים גדולים האתגרים מורכבים יותר. למשתמשים או למחלקות שונות יהיו צרכי תצורה שונים, והם ידרשו הרשאות גישה שונות. יתר על כן, לעיתים קרובות יהיו להם צרכי תצורה הקשורים למשתמשים וקבוצות בודדים, כמו גם צרכים הקשורים למחשבי מקינטוש ספציפיים בהתבסס על השימוש בהם (ולעיתים גם בחומרה שלהם). בגלל זה, תצורה ידנית פשוט לא יעילה מדי. כאן, אוטומציה היא המפתח.

לשם כך, אפל מציעה מגוון מדיניות שניתן להחיל על צי המק שלך כדי לאכוף את דרישות האבטחה, כדי לסייע בתצורה אוטומטית של מכונות Mac לפרופילים ספציפיים וכדי לאפשר ולהגביל את הגישה למשאבים ברשת שלך.

אם אתה כבר מכיר את המדיניות הקבוצתית של Windows, תשמח לדעת שתוכל לנהל באופן מלא את חוויית המשתמש ב- Mac באופן דומה באמצעות המדיניות של Apple עבור מחשבי Mac. ניתן להחיל את מרבית המדיניות הזו על מחשבי מקינטוש (או קבוצות של מחשבי מקינטוש) ספציפיים או על חשבונות משתמש ספציפיים (או על חברות בקבוצה). עם זאת, ניתן לקשור מדיניות מסוימת רק למחשבי מקינטוש או לחשבונות משתמש. היכרות עם אופן הגדרת המדיניות היא חיונית ליצירת אסטרטגיית ניהול מק שלך.

לדוגמא, כמו במדיניות קבוצתית של Windows, מדיניות הקשורה לצרכי המשתמש ובקרות הגישה מנוהלת לרוב על בסיס חברות בקבוצה הקשורה למחלקה, לתפקידי תפקידים וגורמים אחרים. דרישות הגדרת האבטחה של אפליקציות ומחשבי מק מוגדרות בצורה הטובה ביותר על בסיס מחשבי מקינטוש (או קבוצת מחשבי מקינטוש), ולא משתמשים (או חברות בקבוצות). מדיניות מסוימת, כגון מדיניות חיסכון באנרגיה, היא ספציפית למקינטוש ולא למשתמש ספציפית כברירת מחדל.

הכושל של פריסת המדיניות

מדיניות ניהול מקינטוש, כמו מדיניות iOS, נשמרת כנתוני XML בפרופילי תצורה. ניתן להחיל פרופילים אלה על מחשבי מקינטוש באחת משלוש דרכים: על ידי יצירה והפצה ידנית של מחשבי מקינטוש / משתמשים בודדים, באמצעות אפליקציית Apple Configurator 2 בחינם; על ידי יישום פתרון MDM / EMM; או באמצעות סוויטות ניהול שולחן עבודה מסורתיות.

אם תבחר להפיץ ידנית פרופילי תצורה, יהיה עליך להשתמש במנהל הפרופילים של OS X Server כדי ליצור אותם, ואז יהיה צורך להתקין את הפרופילים המתקבלים באופן ידני על כל Mac. כאשר נפתח, הפרופיל יבקש מהמשתמש להתקין את המדיניות הכלולה. באמצעות שיטה זו, אין דרך אוטומטית לחלוטין להפיץ פרופילי תצורה ללא שימוש בכלי פריסה נוספים. אם אתה מסתמך על משתמשים במקום על צוות IT שיתקין אותם, זה יכול להיות קשה להבטיח שהם הותקנו. מסיבה זו, הפצה ידנית של פרופילים עשויה להיות האופציה הפשוטה ביותר, אך סביר להניח שהיא פחות אידיאלית, או אפילו קיימאית, עבור ארגונים גדולים יותר.

(הערה: מנהל הפרופיל עצמו הוא פתרון MDM ספציפי ל- Apple שיכול לשמש כדי לדחוף את המדיניות בצורה של הצעות MDM / EMM אחרות, בנוסף ליצירת פרופילי תצורה להפצה ידנית.)

אפליקציית Apple Configurator 2 יכולה לשמש להתקנת פרופילים / מדיניות עבור מחשבי מקושר קשורים כמו גם מכשירי iOS. זה מספק פתרון פשוט ללא עלות להבטיח התקנת פרופילים / מדיניות ותפקוד. עם זאת, הוא מחייב כל מחשב מק מנוהל להיות מחובר ל- Mac שמריץ את Apple Configurator 2 באמצעות USB לצורך תצורה. זה הופך את Apple Configurator 2 לכלי מצוין עבור עסקים קטנים וארגונים חינוכיים, שלעתים קרובות יש להם סט פשוט של צרכי מדיניות, אך זוהי אסטרטגיית ניהול Mac לא יעילה אם עליך להגדיר מספר גדול של מחשבי Mac.

כאן, כלי MDM / EMM יכול לעזור, מכיוון שניתן להחיל מדיניות Mac באמצעות אותה מסגרת MDM בה משתמשים מכשירי iOS. ככאלה, רוב הספקים התומכים בניהול iOS תומכים גם בניהול מק. לפיכך, הם אופציה ידידותית לארגונים, במיוחד מכיוון שארגונים רבים כבר משתמשים בפתרונות כאלה לניהול מכשירי iOS ו- Android.

אפשרות נוספת שמתאימה היטב לשימוש ארגוני היא חבילת ניהול שולחן העבודה המסורתית, הכוללת גם סוויטות ספציפיות לאפל, כגון Casper Suite של JAMF, וגם סוויטות מרובות צורות, כגון LanDesk Management Suite ו- Symantec Management Platform. סוויטות אלה לא רק מיישמות מדיניות, אלא לעתים קרובות הן מציעות כלי ניהול ופריסה. לאור הפופולריות של הסוויטות, לארגונים רבים כבר יש כלים כאלה בשימוש, או שהם עשויים למצוא את התכונות הנוספות שלהם משכנעות מספיק כדי להשקיע בהן (עוד על כלים אלה בחלק השלישי של הסדרה).

אם אתה חושש מהאופי מבוסס ה- XML ​​של מדיניות Mac, היה סמוך ובטוח: מנהלים בדרך כלל לא צריכים ליצור או לערוך ישירות את נתוני ה- XML ​​המשמשים במדיניות ניהול ה- Mac. רוב הכלים של אפל ושל צד שלישי מספקים ממשקי משתמש אינטואיטיביים לקביעת אפשרויות מדיניות, והם מטפלים ביצירת ה- XML ​​הדרושה מתחת למכסה המנוע. חריג אחד הוא מדיניות ההגדרות המותאמות אישית לציון הגדרות עבור יישומים מותקנים ותכונות נוספות של OS X, הנדונות בהמשך מאמר זה. קביעת תצורה של הגדרות מותאמות אישית תדרוש כניסה למעיים של XML.

מדיניות ניהול הליבה של Mac שכל מנהל חייב לדעת

אפל מספקת מגוון מסחרר של אפשרויות מדיניות לניהול מקינטוש, אך קבוצה ספציפית של 13 מדיניות היא הנפוצה ביותר - והיא הקריטית ביותר לניהול ואבטחת מחשבי מקינטיים בסביבה ארגונית. כל אחת ממדיניות ניהול הליבה הבאה חלה על מחשבי מקינטוש או משתמשים, אלא אם כן צוין אחרת:

  • רשת: לתצורה של הגדרות רשת, כולל תצורת Wi-Fi ומספר פרטי חיבור אתרנט.
  • תעודה: לפריסת אישורים דיגיטליים המשמשים בתקשורת מוצפנת בארגון כמו גם אישורי זהות מסוימים עבור שירותים ספציפיים (שירותי רשת רבים נשענים על אישורים לצורך תקשורת ואימות מאובטח).
  • SCEP: להגדרת הגדרות לרכישת ו / או חידוש אישורים מ- CA (רשות אישורים) באמצעות SCEP (Simple Certificate Enrolment Protocol). SCEP מספק אפשרות אוטומטית המאפשרת למכשירים לרכוש / לחדש אישורים. הוא משמש כחלק מתהליך ההרשמה ל- Apple MDM למכשירי iOS וניתן להשתמש בו גם להרשמת מחשבי Mac לסביבה מנוהלת. תצורת ה- SCEP תשתנה בהתאם ל- CA ולכלי הניהול הקשורים לפעולה.  
  • אישור Active Directory: כדי לספק מידע אימות עבור שרתי אישורי Active Directory. ניתן להגדיר מדיניות זו רק עבור חשבונות משתמש.
  • מדריך: לתצורה של שירותי מדריכי חברות, כולל Active Directory וספריה הפתוחה של אפל. ניתן להגדיר מערכות ספריות מרובות. ניתן להגדיר מדיניות זו רק עבור מחשבי מקינטוש.
  • Exchange: להגדרת גישה לחשבון Exchange של משתמש ביישומי הדואר, אנשי הקשר והלוח השנה של אפל. (זה לא מגדיר את התצורה של Microsoft Outlook.) ניתן להגדיר זאת רק לחשבונות משתמש.
  • VPN: להגדרת תצורת לקוח ה- VPN המובנה של Mac. ניתן להגדיר מספר משתנים. אם הוא פועל, משתמשים לא יוכלו לשנות את תצורת ה- VPN.
  • אבטחה ופרטיות: להגדרת תצורה של כמה מתכונות האבטחה המובנות של OS X, כולל מוניטין האפליקציה GateKeeper וכלי האבטחה, הצפנת FileVault (ניתן להגדיר עבור מחשבי מקינטוש בלבד ולא עבור משתמשים) והאם ניתן לשלוח נתוני אבחון ל- Apple.
  • ניידות: כדי לקבוע אם תומכת ביצירת חשבון נייד או לא, כמו גם משתנים קשורים (עיין במאמר הראשון בסדרה זו למידע על חשבונות ניידים).
  • הגבלות: להגבלת הגישה למגוון של תכונות OS X, כגון Game Center, App Store, האפשרות להפעיל אפליקציות ספציפיות, גישה למדיה חיצונית, שימוש במצלמה המובנית, גישה ל- iCloud, הצעות לחיפוש Spotlight, AirDrop שיתוף וגישה לשירותים שונים בתפריט השיתוף של OS X.
  • חלון כניסה: לתצורה של חלון הכניסה של OS X, כולל כל הודעות חלון הכניסה (המכונות באנרים); האם משתמש רשאי להפעיל מחדש או לכבות את ה- Mac מבלי להיכנס; והאם ניתן לגשת למידע נוסף אודות ה- Mac מחלון הכניסה.
  • הדפסה: כדי להגדיר מראש גישה למדפסות ולציין כותרת תחתונה אופציונלית לכל הדפים המודפסים.
  • פרוקסי: לציון שרתי פרוקסי.

מדיניות נוספת לפיתוח הצי שלך

בנוסף למדיניות המפורטת לעיל, Apple מספקת מגוון אפשרויות מדיניות לתצורה של חוויית המשתמש ב- Mac. ארגונים מסוימים ימצאו מדיניות זו מועילה לכל מחשבי מקינטוש או רק לקבוצת משנה של הצי שלהם. מדיניות זו כוללת את היכולת להגדיר מראש את AirPlay; להגדרת גישה לשרת CalDAV ולשרת CardDAV באפליקציות לוח השנה ואנשי הקשר; לבסס את היכולת להתקין גופנים נוספים; להגדיר גישה לשרת LDAP אך ורק לצורך חיפוש נתונים ליצירת קשר; כדי להגדיר מראש חשבונות POP ו- IMAP באפליקציית הדואר; כדי להגדיר ולהוסיף פריטים (קטעי אינטרנט, תיקיות, אפליקציות) ל- Dock; להגדרת העדפות חיסכון באנרגיה, כמו גם לוחות זמנים להפעלה / כיבוי / התעוררות / שינה; כדי לאפשר גרסה פשוטה של ​​Finder ולחסום פקודות מסוימות, כגון התחבר לשרת, הוצאת נפח, צריבת דיסק, מעבר לתיקיה,הפעל מחדש וכבה; כדי לציין פריטים שצריכים להיפתח אוטומטית בעת הכניסה; להגדרת תכונות נגישות למשתמשים עם מוגבלות; להגדיר חשבונות ג'אבר באפליקציית Messages; וכן הלאה.

ישנה אפשרות לאכלוס זיהוי חשבון משתמש מראש כאשר מותקן פרופיל. זה משמש בדרך כלל כאשר מותקנים פרופילים במחשבי Mac בודדים. כאשר מק מחובר ל- Mac לספריה, פרטי חשבון המשתמש נשלפים מהספרייה.

מדיניות עדכון התוכנה רלוונטית לארגונים הפורסים את שרת OS X לשימוש כשרת עדכוני תוכנה מקומי. ל- OS X Server יש אפשרות לשמור במטמון עותקים מקומיים של עדכוני תוכנה של Apple על מנת לשפר את הביצועים ולהפחית את עומסי הרשת בעת עדכון הצי שלך.

הגדרות מותאמות אישית: המדיניות שלך להגדרת הגדרות אפליקציה או מערכת

מדיניות ההגדרות המותאמות אישית ממלאת תפקיד חשוב במקסום יכולת ה- IT לנהל את כל חווית המשתמש ב- Mac. זה מאפשר למנהל להגדיר הגדרות עבור כל אפליקציה מותקנת ותכונות OS X נוספות גם אם לאותן אפליקציות או תכונות אין מדיניות מפורשת שהוגדרה על ידי Apple. בעת השימוש יש לציין את נתוני ה- XML ​​מקובץ ההעדפות של אפליקציה או תכונה. הדרך הקלה ביותר להשתמש באפשרות זו היא להגדיר אפליקציה או תכונה עם ההגדרה הרצויה, ואז לאתר את קובץ ה- .plist המתאים (בדרך כלל בספריה / Library / Preferences בתיקיית הבית של המשתמש הנוכחי). לחלופין, ניתן להזין את מקשי ה- XML ​​והמידע הקשורים באופן ידני.

אינטראקציה עם מדיניות

מכיוון שניתן להחיל מדיניות על בסיס מחשבי מקינטוש בודדים, קבוצות מקינטוש, חשבונות משתמש בודדים או קבוצות משתמשים, ישנם מצבים שבהם ניתן להחיל מספר מדיניות בו זמנית. החוויה המתקבלת תלויה במידה רבה בסוג המדיניות.

רוב המדיניות מוסיפה אלמנט תצורה; כאשר ישנם מספר מקרים של מדיניות זו, כולם מוחלים. לדוגמא, אם ל- Mac יש מדיניות שמציינת פריטי Dock ומשתמש הוא חבר בשתי קבוצות שכל אחת מציינת פריטי Dock נוספים, אותו משתמש יראה קבוצה משולבת של כל פריטי ה- Dock שצוינו כאשר הוא או היא נכנסים לאותו Mac. (משתמש אחר שנכנס לאותו מק זה יראה את פריטי העגינה שצוינו לאותו מק, כמו גם כל מה שצוין לשייכותו לקבוצה.)

עם זאת, ישנם מקרים שבהם מדיניות איננה יכולה להוסיף זה לזה פשוט. זה נכון במיוחד לגבי תכונות המגבילות את הגישה של המשתמשים לפונקציונליות או לתכונות. במקרים אלה, המדיניות המגבילה ביותר היא האכיפה.