Wichtige Tipps für Administratoren: So integrieren Sie Macs in Ihr Unternehmen

Wenn Sie immer noch der Meinung sind, dass Macs nur für Fachabteilungen wie Design und Marketing geeignet sind, denken Sie noch einmal darüber nach. Die geschäftliche Nutzung von Macs nimmt zu und damit die Notwendigkeit, die Flotte besser zu verwalten.

Im vergangenen Herbst haben beispielsweise Apple und IBM die wachsende Anzahl von Macs hervorgehoben, die von Mitarbeitern von Big Blue verwendet werden. IBM hat 50.000 neue MacBooks zugesagt, eine Bestellung, bei der IBM wöchentlich etwa 1.900 Macs bereitstellte.

Obwohl die Größe und Geschwindigkeit der Mac-Bereitstellung von IBM erheblich sind, sind die Kosten für die Bereitstellung und den Support von Macs mit den bemerkenswerteren Zahlen verbunden: Laut CFO Luca Maestri hat IBM für jedes MacBook, das seine Mitarbeiter anstelle eines herkömmlichen PCs verwenden, rund 270 US-Dollar eingespart IBM VP Fletcher Previn sagte, dass nur 5 Prozent der IBM Mitarbeiter, die MacBooks verwenden, den Helpdesk um Support gebeten haben, verglichen mit 40 Prozent der PC-Benutzer.

Die Initiierung einer größeren Mac-Bereitstellung wird für viele Unternehmen aufgrund der potenziellen Kosteneinsparungen beim Support, der robusteren Sicherheit und der zuverlässigen (wenn auch Premium-) Hardware sowie aus Gründen der Benutzeranforderung und / oder -zufriedenheit zu einer attraktiveren Option. Die Integration in das größere Ökosystem von Apple, insbesondere in Bezug auf das iPhone, das immer noch als Unternehmens-Smartphone dominiert, ist ein zusätzliches Argument für Macs in Unternehmen.

Das Folgende ist der erste von drei Artikeln, die Ihnen helfen sollen, das Beste aus Ihrer Mac-Flotte herauszuholen.

Skalierung ist wichtig, wenn es um Mac-Bereitstellungen geht

Mit einer soliden Suite wichtiger Geschäfts- und Produktivitäts-Apps und der Möglichkeit für Macs, sich problemlos in wichtige Unternehmenssysteme zu integrieren, gibt es heute weitaus weniger Hindernisse für die Einführung von Macs im Unternehmen als noch vor einigen Jahren.

Eine Barriere, die noch besteht: die Tatsache, dass sich OS X architektonisch von Windows unterscheidet. Daher müssen IT-Abteilungen, die Macs einsetzen, diese Unterschiede verstehen und sicherstellen, dass sie über die Fähigkeiten verfügen, Macs in angemessenem Umfang angemessen und effizient zu unterstützen, zu verwalten und bereitzustellen.

Das maßgebliche Wort hier ist "Skalierung", da die effektive Unterstützung einer Handvoll Macs keine besondere Herausforderung darstellt. Helpdesk- und Support-Mitarbeiter müssen sich mit der Unterstützung von Mac OS und seiner Hardware vertraut machen. Dies ist jedoch nicht besonders schwierig, da Apple Schulungs-, Selbststudien- und Zertifizierungsoptionen anbietet, um diese Fähigkeiten zu erwerben. Das Skalieren von Mac-Bereitstellungen bedeutet jedoch, viele Prozesse automatisieren zu können, insbesondere in Bezug auf Implementierung und Konfiguration, und zu wissen, wie Verwaltungsrichtlinien für eine große Anzahl von Macs in einem Unternehmen angewendet werden. Diese Fähigkeiten gehen weit über das einfache Einrichten und Beheben einzelner Fehler auf Macs hinaus, ebenso wie die Fähigkeiten von Windows-Systemadministratoren weit über die von Helpdesk-Agenten hinausgehen.

Die wichtigsten Teile der Mac-Verwaltung

Das Mac-Management im Unternehmen besteht aus drei Hauptkomponenten:

  1. Integration von Macs in wichtige Unternehmenssysteme wie Active Directory und Exchange
  2. Anwenden von Richtlinien zum Verwalten von Macs, ähnlich wie Gruppenrichtlinien Windows-PCs verwalten
  3. Verstehen, wie Macs und die von ihnen ausgeführten Apps und Konfigurationen effizient bereitgestellt und aktualisiert werden

Ähnlich wie beim PC-Management bilden diese Bereiche einen Gesamtworkflow, obwohl es sich in der Regel um etwas diskretere Prozesse handelt. Dieser Artikel befasst sich mit dem ersten dieser Bereiche: Integration von Macs in Unternehmenssysteme. In den folgenden beiden Artikeln dieser Reihe wird das Verständnis der Richtlinienoptionen für verwaltete Macs bzw. Bereitstellungsmethoden erläutert.

Es gibt mehrere Tools und Mechanismen, um die verschiedenen Aufgaben im Zusammenhang mit der Mac-Verwaltung auszuführen. Die Verwendung der in OS X selbst integrierten Tools ist die grundlegendste Option. Dies ist zwar effektiv, kann jedoch bei der Verwaltung einer umfangreichen Mac-Bereitstellung einschränkend sein. Eine weitere Option besteht darin, zusätzliche unternehmensorientierte Lösungen von Apple wie OS X Server, das Device Enrollment Program (DEP) von Apple und das Volume Purchase Program (VPP) zu verwenden, um verschiedene Teile des Prozesses zu optimieren und zu verbessern. Es gibt auch eine Reihe von Lösungen von Drittanbietern, die das Angebot von Apple erheblich erweitern.

OS X und Active Directory

Active Directory ist für praktisch jedes Unternehmen ein wichtiger Bestandteil des Enterprise Computing. Das Verbinden von PCs mit einer Active Directory-Umgebung bietet alle wichtigen Funktionen, einschließlich Benutzerauthentifizierung, Zugriffssteuerung, Überwachungsprotokollen, Verwaltung der Windows-Umgebung und Integration in eine Reihe zusätzlicher Systeme wie Exchange. Active Directory fungiert als zentrale Informationsquelle für fast alles innerhalb eines Unternehmens und geht auch über PCs hinaus. Es ist im Wesentlichen der Klebstoff, der viel von Enterprise Computing ermöglicht.

Die gute Nachricht ist, dass Macs mit Active Directory verbunden werden können. Auf einem einzelnen Mac ist der Vorgang ziemlich einfach. Starten Sie die Systemeinstellungen, gehen Sie zu Benutzer und Gruppen, wählen Sie in der Seitenleiste Anmeldeoptionen aus, klicken Sie neben dem Netzwerkkontoserver auf die Schaltfläche Beitreten, geben Sie die entsprechenden Informationen für die Domäne ein und authentifizieren Sie sich mit einem Konto, das über die Berechtigung verfügt, einem PC der Domäne beizutreten . Sobald dies erledigt ist, können sich Benutzer mit ihren Active Directory-Anmeldeinformationen bei diesem Mac anmelden, ähnlich wie auf einem PC. Single Sign-On wird auch für viele Dienste wie das Durchsuchen des Netzwerks oder die gemeinsame Nutzung von Dateien unterstützt.

Das Verbinden eines Mac mit Active Directory ermöglicht in erster Linie die Benutzerauthentifizierung und die Einhaltung von Kennwortrichtlinien. Einige Funktionen, die häufig auftreten, wenn ein PC mit Active Directory verbunden wird, treten nicht automatisch auf. Die Konfiguration basierend auf Gruppenrichtlinien oder die automatische Konfiguration für den Zugriff auf Dienste wie Exchange basierend auf dem Konto eines Benutzers sind zwei Beispiele. Diese können mithilfe von Richtlinien automatisiert werden. Diese Richtlinien sind jedoch im Allgemeinen nicht direkt an die Active Directory-Mitgliedschaft eines Mac gebunden. Grundlegende Attribute für den Mac selbst werden jedoch wie für einen PC in Active Directory gespeichert.

Optionen beim Verbinden eines Mac mit Active Directory

Es ist erwähnenswert, dass beim Verbinden eines Mac mit Active Directory eine Reihe von Optionen angegeben werden können. Diese Optionen können manuell angepasst werden, obwohl in vielen Umgebungen die Standardeinstellungen gut funktionieren. Um Änderungen vorzunehmen, klicken Sie im oben beschriebenen Dialogfeld "Network Account Server" auf die Schaltfläche "Open Directory Utility". Später in dieser Serie werde ich erläutern, wie diese Änderungen bei der Bereitstellung einer Mac-Flotte automatisiert werden können.

Die manuellen Einstellungen sind in drei Bereiche unterteilt:

  1. Benutzererfahrung
  2. Attributzuordnungen
  3. Administrative Optionen

Zu den Benutzererfahrungsoptionen gehören das Netzwerk-Ausgangsverzeichnis des Benutzers und die Standard-Unix-Shell-Benutzer, die beim Starten der Terminal-App von OS X auftreten (sofern nicht anders angegeben, /bin/bashist dies die Standardeinstellung).

Wenn es um Home-Verzeichnisse geht, unterstützt OS X die Erstellung eines lokalen Home-Verzeichnisses auf dem Mac eines Benutzers (das Standardverhalten ähnelt dem Erstellen eines Home-Verzeichnisses auf einem eigenständigen Mac), einem Netzwerk-Home-Verzeichnis, das es einem Benutzer ermöglicht Zugriff auf Dateien und Einstellungen auf mehreren Macs sowie Option zum Zugriff auf ein Netzwerk-Ausgangsverzeichnis, das als Ordner im OS X Dock bereitgestellt wird. Es besteht auch die Möglichkeit, ein mobiles Konto zu erstellen, bei dem es sich um ein lokales Konto (und ein lokales Basisverzeichnis) handelt, das das Active Directory-Konto (und das Netzwerk-Basisverzeichnis) für den Offline-Zugriff synchronisiert / spiegelt. Mobile Konten können automatisch erstellt werden, was zu Verwirrung und Synchronisierungsproblemen führen kann, wenn ein Benutzer mobile Konten auf mehreren Macs hat, oder die Funktion kann optional gemacht werden, indem eine Benutzerbestätigung für die Erstellung mobiler Konten erforderlich ist, wenn er sich bei einem neuen Mac anmeldet.

Attributzuordnungen beziehen sich auf die Integration in Apples eigenen LDAP-basierten Verzeichnisdienst, ähnlich wie Active Directory namens Open Directory, das in OS X Server enthalten ist. Jeder Mac enthält einen lokalen Verzeichnisknoten für lokale Kontoinformationen basierend auf den Open Directory-Attributen. Obwohl Open Directory dieselbe Funktionalität wie Active Directory bietet, unterscheiden sich einige Kontoattribute zwischen den beiden. Ein Mac verbunden Active Directory ordnet automatisch die Open Directory schreibt sie gleichwertig Active Directory - Attribute erfordert ( uniqueID, primaryGroupID, und gidNumber). Wenn das Active Directory-Schema geändert wurde, können alternative Zuordnungen erstellt werden, obwohl dies in den meisten Umgebungen nicht erforderlich ist.

Es gibt drei Verwaltungsoptionen, die festgelegt werden können, wenn ein Mac mit Active Directory verbunden wird. Der erste besteht darin, einen bestimmten Domänencontroller zu bevorzugen. Standardmäßig sucht ein Mac ähnlich wie ein PC nach dem am besten verfügbaren Domänencontroller. Es ist möglich, dies zu überschreiben und stattdessen einen bestimmten Domänencontroller anzugeben, auf den zuerst zugegriffen werden soll.

Die zweite Möglichkeit besteht darin, Mitgliedern von Active Directory-Gruppen Administratorzugriff auf einen Mac zu gewähren, wenn sie mit ihren Active Directory-Konten angemeldet sind. Dies ist die gleiche Funktionalität, die PCs gewährt werden kann. Diese Option ist standardmäßig deaktiviert. Wenn diese Option aktiviert ist, kann jede Active Directory-Gruppe angegeben werden, obwohl Domänenadministratoren und Unternehmensadministratoren standardmäßig aktiviert sind.

Die letzte Option, die standardmäßig aktiviert ist, besteht darin, die Authentifizierung mithilfe von Konten aus einer beliebigen Domäne in einer Active Directory-Gesamtstruktur zuzulassen und nicht nur mit der Domäne, zu der der Mac gehört.

Weitere Informationen zur Integration von Macs in Active Directory erhalten Sie von Apple.

OS X und Exchange

Exchange ist neben Active Directory einer der am häufigsten verwendeten Unternehmensdienste. Es gibt zwei Möglichkeiten, Macs in Exchange zu integrieren: Verwenden Sie die nativen PIM-Apps in OS X oder stellen Sie Office für Mac bereit, einschließlich Outlook für Mac. Keine der beiden Optionen wird automatisch basierend auf dem Konto eines Benutzers konfiguriert, wenn ein Mac mit Active Directory verbunden wird. Sie kann jedoch automatisch basierend auf einer Richtlinie konfiguriert werden.

Die manuelle Konfiguration ist sehr einfach und kann von Benutzern durchgeführt werden. Bei nativen Apps befindet sich die Option im Bereich Internetkonten in den Systemeinstellungen. Für Outlook befindet es sich im Dialogfeld "Einstellungen" und wird im Dialogfeld "Ersteinrichtung" angezeigt.

VPN-Konfigurationen

OS X unterstützt nativ L2TP über IPSec-, PPTP-, Cisco IPSec- und IKEv2-VPNs. Diese können automatisch von einer Richtlinie konfiguriert oder manuell über den Bereich Netzwerk in den Systemeinstellungen konfiguriert werden. Zusätzliche VPN-Typen werden durch die Verwendung von Clients von Drittanbietern unterstützt. Es ist möglich, Richtlinien zum Konfigurieren der meisten Software von Drittanbietern zu verwenden, einschließlich VPN-Clients.

Als nächstes

Im nächsten Teil dieser Reihe werde ich die verschiedenen Möglichkeiten untersuchen, wie Verwaltungsrichtlinien auf Macs und Benutzer angewendet werden können, sowie die vollständigen Richtlinienoptionen, die in OS X verfügbar sind.

Zum Thema passende Artikel

  • Windows 10 vs. Mac OS X: Was gibt Systemadministratoren mehr Kontrolle?
  • Eine klare Anleitung zu den tatsächlichen Sicherheitsrisiken von Mac OS X.
  • Macs im Büro: Erfolg schafft Sicherheit FUD
  • Die Wahrheit über Macs im Unternehmen
  • Top 20 OS X-Befehlszeilengeheimnisse für Hauptbenutzer