将mac电脑引入现有的IT环境可能会让任何Windows管理员感到有点手足无措。在任务和设置方面,一切都是熟悉的,但有足够的扭曲,看起来有点陌生,一开始。我们正在进行的Mac管理技巧系列在这里帮助指导您安全地、高效地推出Mac电脑。
在本系列的第一部分中,我研究了将mac集成到企业环境的基本要求,包括如何将它们连接到企业系统。大规模的Mac部署通常需要一套独特的技能和工具才能成功。将管理策略应用到mac上也是如此,我将在本文中介绍。在这里,您将了解Mac策略的概述,并了解如何规划部署策略。
在本系列的最后一篇文章中,我将介绍用于应用策略的特定工具,以及提供额外管理和部署特性的工具。
MAC管理策略上的结果
如何管理mac是一个规模问题。在拥有少量Mac电脑的机构中,技术人员通常可以单独配置每台Mac电脑,或者创建一个系统映像,将统一的配置应用于每台Mac电脑。在规模较大的机构中,挑战则更为复杂。不同的用户或部门有不同的配置需求,对访问权限的要求也不同。此外,他们通常会有与个人用户和组相关的配置需求,以及与基于他们的使用(有时是他们的硬件)的特定mac相关的需求。因此,手动配置效率太低。在这里,自动化是关键。
为此,苹果公司提供了一系列策略,可以应用于你的Mac机群,以加强安全要求,帮助自动配置Mac机器到特定的配置文件,并启用和限制对网络资源的访问。
如果您已经熟悉Windows组策略,您将很高兴地知道您可以使用Apple对Mac的策略以类似的方式全管理Mac用户体验。这些策略中的大多数可以应用于特定MAC(或MAC组)或特定的用户帐户(或组成员资格)。但是,一些策略只能与MAC或用户帐户联系在一起。熟悉如何配置策略对于创建MAC管理战略至关重要。
例如,与Windows组策略一样,与用户需求和访问控制相关的策略通常基于与部门,作业角色和其他因素相关的组成员资格来管理。部门应用程序和MAC安全设置要求基于Mac(或一组Mac),而不是用户(或组成员资格)。某些策略(例如节能策略)是特定于MAC特定的,而不是用户特定于默认情况下。
政策部署的核心棍棒
像iOS策略一样,Mac Management策略存储为配置配置文件中的XML数据。这些配置文件可以以三种方式中的一种应用于MAC:通过自由手动创建和分发给单个MAC /用户,Apple Configurator 2.应用程序;通过实施MDM/EMM解决方案;或者通过使用传统的桌面管理套件。
如果您选择手动分发配置配置文件,则需要使用OS X Server的Profile Manager来创建它们,然后需要在每个Mac上手动安装生成的配置文件。打开后,配置文件将提示用户安装包含的策略。使用此方法,在不使用其他部署工具的情况下,没有完全自动化的方式分发配置配置文件。如果您依靠用户而不是员工安装它们,则可能很难确保已安装它们。因此,手动分发配置文件可能是最简单的选项,但对于更大的组织来说,它可能不太理想,甚至是可行的。
(注意:配置文件管理器本身是一个特定于apple的MDM解决方案,除了创建用于手动分发的配置文件外,还可以使用其他MDM/EMM产品的方式来推出策略。)
Apple Configurator 2应用程序可用于将配置文件/策略安装到TETHETED MAC以及IOS设备。这提供了直接的,无成本的解决方案,以确保安装配置文件/策略并运行。但是,它要求每个托管MAC通过USB连接到MAC运行Apple Configurator 2进行配置。这使Apple Configurator 2成为小型企业和教育组织的优秀工具,通常具有一系列简单的政策需求,但如果您需要配置大量MAC,则这是一个低效的MAC管理策略。
在这里,MDM/EMM工具可以提供帮助,因为Mac策略可以使用与iOS设备相同的MDM框架。因此,大多数支持iOS管理的供应商也支持Mac管理。因此,它们是企业友好的选择,特别是因为许多组织已经使用这种解决方案来管理iOS和Android设备。
另一个适合企业使用的选择是传统的桌面管理套件,包括特定于苹果的套件,如JAMF的Casper套件,以及多平台套件,如LanDesk管理套件和赛门铁克管理平台。这些套件不仅应用策略,还经常提供管理和部署工具。考虑到套件的流行程度,许多组织通常已经在使用这些工具,或者他们可能发现它们的附加特性足够吸引人而投资于它们(在本系列的第3部分中有更多关于这些工具的内容)。
如果您涉及Mac策略的基于XML的性质,请放心:Admins通常不需要直接创建或编辑MAC管理策略中使用的XML数据。大多数Apple和第三方工具都提供了用于设置策略选项的直观UI,并且它们处理引擎盖下的必要XML创建。一个例外是自定义设置策略,用于指定已安装的应用程序的设置和其他操作系统X功能,稍后讨论本文中的稍后讨论。配置自定义设置将需要进入XML的肠道。
每个管理员都必须知道核心Mac管理策略
Apple为Mac Management提供了一个令人眼花缭乱的政策选项范围,但是一个特定的13个政策集是最常用的 - 最重要的 - 对于管理和保护企业环境中的MAC最为关键。除非另有规定,否则以下每个核心管理策略适用于Mac或用户:
- 网络:用于配置网络设置,包括Wi-Fi配置和某些以太网连接详细信息。
- 证书:用于部署组织内加密通信中使用的数字证书,以及特定服务的一些身份凭证(许多网络服务依赖证书进行安全通信和身份验证)。
- SCEP:定义使用SCEP(简单证书注册协议)从CA(证书颁发机构)获取和/或续订证书的设置。SCEP提供了一种自动选项,允许设备获取/续订证书。它用作苹果公司的一部分iOS设备MDM注册流程并且可以用于MAC的注册到托管环境中。SCEP配置取决于CA和相关管理工具的操作。
- Active Directory证书:为Active Directory证书服务器提供身份验证信息。此策略只能为用户帐户设置。
- 目录:用于配置隶属度目录服务,包括Active Directory和Apple的打开目录。可以配置多个目录系统。此策略只能为Mac设置。
- Exchange:用于配置对苹果原生邮件、联系人和日历应用程序中用户Exchange帐户的访问。(它不配置Microsoft Outlook。)只能对用户帐户进行设置。
- VPN:配置MAC内置VPN客户端。可以配置多个变量。如果在操作中,用户将无法修改VPN配置。
- 安全性和隐私:用于配置多个OS X内置安全功能,包括网守应用程序声誉和安全工具,FileVault加密(只能为Macs设置为Mac,而不是用户),以及是否可以将诊断数据发送到Apple。
- 移动性:设置是否支持创建移动帐户,以及相关变量(参见本系列的第一篇文章有关移动帐户的信息)。
- 限制:限制访问一系列的OS X功能,如游戏中心,应用程序商店,能够发射特定的应用程序,访问外部媒体,使用内置摄像头,iCloud,焦点搜索建议,空投共享和访问各种服务在OS X分享菜单。
- 登录窗口:用于配置OS X登录窗口,包括任何登录窗口消息(称为横幅);用户是否可以重新启动或关闭Mac而无需登录;以及可以从登录窗口访问关于MAC的其他信息。
- 打印:预先配置对打印机的访问,并为所有打印页面指定可选的页脚。
- 代理:用于指定代理服务器。