Verwalten dieser Macs: Eine Anleitung für Windows-Administratoren

Wenn Sie Macs in eine vorhandene IT-Umgebung integrieren, kann sich jeder Windows-Administrator ein wenig falsch fühlen. In Bezug auf die Aufgaben und Einstellungen ist alles vertraut, aber mit einer gewissen Wendung, um zunächst etwas fremd zu wirken. Unsere fortlaufende Reihe von Mac-Verwaltungstipps soll Ihnen dabei helfen, Macs sicher und produktiv einzuführen.

In Teil eins dieser Serie habe ich mich mit den grundlegenden Anforderungen für die Integration von Macs in Unternehmensumgebungen befasst, einschließlich der Art und Weise, wie diese mit Unternehmenssystemen verbunden werden. In großem Maßstab erfordern große Mac-Bereitstellungen häufig einzigartige Fähigkeiten und Tools, um erfolgreich zu sein. Gleiches gilt für die Anwendung von Verwaltungsrichtlinien auf Macs, die in diesem Artikel behandelt werden. Hier erhalten Sie einen Überblick über Mac-Richtlinien und Einblicke in die Planung einer Strategie für deren Bereitstellung.

Im letzten Teil der Serie werde ich mich mit den spezifischen Tools befassen, die zum Anwenden von Richtlinien verwendet werden, sowie mit Tools, die zusätzliche Verwaltungs- und Bereitstellungsfunktionen bieten.

Das Ergebnis der Mac-Verwaltungsrichtlinien

Wie man Macs verwaltet, ist eine Frage der Skalierbarkeit. Techniker in Organisationen mit einer kleinen Anzahl von Macs können häufig jeden Mac einzeln konfigurieren oder ein einzelnes Systemabbild erstellen, das auf jeden Mac eine einheitliche Konfiguration anwendet. In größeren Organisationen sind die Herausforderungen komplexer. Unterschiedliche Benutzer oder Abteilungen haben unterschiedliche Konfigurationsanforderungen und unterschiedliche Zugriffsrechte. Darüber hinaus haben sie häufig Konfigurationsanforderungen in Bezug auf einzelne Benutzer und Gruppen sowie Anforderungen in Bezug auf bestimmte Macs, basierend auf ihrer Verwendung (und manchmal ihrer Hardware). Aus diesem Grund ist die manuelle Konfiguration einfach zu ineffizient. Hier ist Automatisierung der Schlüssel.

Zu diesem Zweck bietet Apple eine Reihe von Richtlinien an, die auf Ihre Mac-Flotte angewendet werden können, um Sicherheitsanforderungen durchzusetzen, die automatische Konfiguration von Mac-Computern für bestimmte Profile zu unterstützen und den Zugriff auf Ressourcen in Ihrem Netzwerk zu aktivieren und einzuschränken.

Wenn Sie bereits mit Windows-Gruppenrichtlinien vertraut sind, werden Sie froh sein zu wissen, dass Sie die Mac-Benutzererfahrung auf ähnliche Weise mithilfe der Apple-Richtlinien für Macs vollständig verwalten können. Die meisten dieser Richtlinien können entweder auf bestimmte Macs (oder Gruppen von Macs) oder auf bestimmte Benutzerkonten (oder Gruppenmitgliedschaften) angewendet werden. Einige Richtlinien können jedoch nur an Macs oder Benutzerkonten gebunden werden. Die Kenntnis der Konfiguration von Richtlinien ist für die Erstellung Ihrer Mac-Verwaltungsstrategie von entscheidender Bedeutung.

Wie bei Windows-Gruppenrichtlinien werden beispielsweise Richtlinien in Bezug auf Benutzeranforderungen und Zugriffssteuerungen häufig basierend auf der Gruppenmitgliedschaft in Bezug auf Abteilung, Jobrollen und andere Faktoren verwaltet. Die Sicherheitsanforderungen für Abteilungs-Apps und Macs werden am besten auf Macs (oder einer Gruppe von Macs) und nicht auf Benutzern (oder Gruppenmitgliedschaften) festgelegt. Einige Richtlinien, z. B. Energiesparrichtlinien, sind standardmäßig eher Mac-spezifisch als benutzerspezifisch.

Das Wesentliche bei der Bereitstellung von Richtlinien

Mac-Verwaltungsrichtlinien werden wie iOS-Richtlinien als XML-Daten in Konfigurationsprofilen gespeichert. Diese Profile können auf drei Arten auf Macs angewendet werden: durch manuelles Erstellen und Verteilen auf einzelne Macs / Benutzer über die kostenlose Apple Configurator 2-App; durch Implementierung einer MDM / EMM-Lösung; oder durch Verwendung traditioneller Desktop-Verwaltungssuiten.

Wenn Sie Konfigurationsprofile manuell verteilen möchten, müssen Sie den Profil-Manager von OS X Server verwenden, um sie zu erstellen. Die resultierenden Profile müssen dann manuell auf jedem Mac installiert werden. Beim Öffnen fordert das Profil den Benutzer auf, die enthaltenen Richtlinien zu installieren. Mit dieser Methode gibt es keine vollautomatische Möglichkeit, Konfigurationsprofile ohne zusätzliche Bereitstellungstools zu verteilen. Wenn Sie sich bei der Installation eher auf Benutzer als auf IT-Mitarbeiter verlassen, kann es schwierig sein, sicherzustellen, dass diese installiert wurden. Aus diesem Grund ist das manuelle Verteilen von Profilen möglicherweise die einfachste Option, für größere Unternehmen jedoch wahrscheinlich weniger ideal oder sogar praktikabel.

(Hinweis: Profile Manager selbst ist eine Apple-spezifische MDM-Lösung, mit der Richtlinien wie andere MDM / EMM-Angebote veröffentlicht und Konfigurationsprofile für die manuelle Verteilung erstellt werden können.)

Mit der Apple Configurator 2-App können Profile / Richtlinien sowohl auf angebundenen Macs als auch auf iOS-Geräten installiert werden. Dies bietet eine einfache und kostenlose Lösung, um sicherzustellen, dass Profile / Richtlinien installiert sind und funktionieren. Für die Konfiguration muss jedoch jeder verwaltete Mac über USB mit einem Mac verbunden sein, auf dem Apple Configurator 2 ausgeführt wird. Dies macht Apple Configurator 2 zu einem hervorragenden Tool für kleine Unternehmen und Bildungseinrichtungen, die häufig einfache Richtlinienanforderungen haben. Es ist jedoch eine ineffiziente Mac-Verwaltungsstrategie, wenn Sie eine große Anzahl von Macs konfigurieren müssen.

Hier können MDM / EMM-Tools hilfreich sein, da Mac-Richtlinien mit demselben MDM-Framework angewendet werden können, das von iOS-Geräten verwendet wird. Daher unterstützen die meisten Anbieter, die die iOS-Verwaltung unterstützen, auch die Mac-Verwaltung. Daher sind sie eine unternehmensfreundliche Option, insbesondere weil viele Unternehmen solche Lösungen bereits zur Verwaltung von iOS- und Android-Geräten verwenden.

Eine weitere Option, die sich gut für den Einsatz in Unternehmen eignet, ist die traditionelle Desktop-Verwaltungssuite, die sowohl Apple-spezifische Suiten wie die Casper Suite von JAMF als auch Multiplattform-Suiten wie die LanDesk Management Suite und die Symantec Management Platform umfasst. Diese Suiten wenden nicht nur Richtlinien an, sondern bieten häufig Verwaltungs- und Bereitstellungstools. Angesichts der Beliebtheit der Suiten verfügen viele Unternehmen häufig bereits über solche Tools, oder sie finden ihre zusätzlichen Funktionen möglicherweise überzeugend genug, um in sie zu investieren (mehr zu diesen Tools in Teil 3 dieser Serie).

Wenn Sie Bedenken hinsichtlich des XML-basierten Charakters von Mac-Richtlinien haben, können Sie sicher sein, dass Administratoren die in Mac-Verwaltungsrichtlinien verwendeten XML-Daten im Allgemeinen nicht direkt erstellen oder bearbeiten müssen. Die meisten Tools von Apple und Drittanbietern bieten intuitive Benutzeroberflächen zum Festlegen von Richtlinienoptionen und übernehmen die erforderliche XML-Erstellung unter der Haube. Eine Ausnahme bildet die Richtlinie "Benutzerdefinierte Einstellungen" zum Festlegen von Einstellungen für installierte Apps und zusätzliche OS X-Funktionen, die weiter unten in diesem Artikel erläutert werden. Um benutzerdefinierte Einstellungen zu konfigurieren, müssen Sie sich mit XML vertraut machen.

Grundlegende Mac-Verwaltungsrichtlinien, die jeder Administrator kennen muss

Apple bietet eine schwindelerregende Auswahl an Richtlinienoptionen für die Mac-Verwaltung. Am häufigsten wird jedoch ein bestimmter Satz von 13 Richtlinien verwendet - und der wichtigste für die Verwaltung und Sicherung von Macs in einer Unternehmensumgebung. Sofern nicht anders angegeben, gilt jede der folgenden zentralen Verwaltungsrichtlinien für Macs oder Benutzer:

  • Netzwerk: Zum Konfigurieren der Netzwerkeinstellungen, einschließlich der Wi-Fi-Konfiguration und einiger Details zur Ethernet-Verbindung.
  • Zertifikat: Zum Bereitstellen digitaler Zertifikate, die für die verschlüsselte Kommunikation innerhalb eines Unternehmens verwendet werden, sowie einiger Identitätsnachweise für bestimmte Dienste (viele Netzwerkdienste verwenden Zertifikate für die sichere Kommunikation und Authentifizierung).
  • SCEP: Definieren von Einstellungen zum Erfassen und / oder Erneuern von Zertifikaten von einer Zertifizierungsstelle (Certificate Authority) mithilfe von SCEP (Simple Certificate Enrollment Protocol). SCEP bietet eine automatisierte Option, mit der Geräte Zertifikate erwerben / erneuern können. Es wird im Rahmen des MDM-Registrierungsprozesses von Apple für iOS-Geräte verwendet und kann auch für die Registrierung von Macs in einer verwalteten Umgebung verwendet werden. Die SCEP-Konfiguration hängt von der Zertifizierungsstelle und den zugehörigen Verwaltungstools ab.  
  • Active Directory-Zertifikat: Zum Bereitstellen von Authentifizierungsinformationen für Active Directory-Zertifikatsserver. Diese Richtlinie kann nur für Benutzerkonten festgelegt werden.
  • Verzeichnis: Zum Konfigurieren von Mitgliedschaftsverzeichnisdiensten, einschließlich Active Directory und Apples Open Directory. Es können mehrere Verzeichnissysteme konfiguriert werden. Diese Richtlinie kann nur für Macs festgelegt werden.
  • Exchange: Zum Konfigurieren des Zugriffs auf das Exchange-Konto eines Benutzers in den nativen E-Mail-, Kontakt- und Kalender-Apps von Apple. (Microsoft Outlook wird nicht konfiguriert.) Dies kann nur für Benutzerkonten festgelegt werden.
  • VPN: Zum Konfigurieren des integrierten VPN-Clients des Mac. Es können mehrere Variablen konfiguriert werden. Im Betrieb können Benutzer die VPN-Konfiguration nicht ändern.
  • Sicherheit und Datenschutz: Zum Konfigurieren mehrerer integrierter Sicherheitsfunktionen von OS X, einschließlich des Reputations- und Sicherheitstools der GateKeeper-App, der FileVault-Verschlüsselung (kann nur für Macs und nicht für Benutzer festgelegt werden) und ob Diagnosedaten an Apple gesendet werden können.
  • Mobilität: Festlegen, ob die Erstellung mobiler Konten unterstützt wird oder nicht, sowie zugehörige Variablen (Informationen zu mobilen Konten finden Sie im ersten Artikel dieser Reihe).
  • Einschränkungen: Zum Einschränken des Zugriffs auf eine Reihe von OS X-Funktionen wie Game Center, App Store, Starten bestimmter Apps, Zugriff auf externe Medien, Verwendung der integrierten Kamera, Zugriff auf iCloud, Spotlight-Suchvorschläge, AirDrop Freigabe und Zugriff auf verschiedene Dienste im OS X-Freigabemenü.
  • Anmeldefenster: Zum Konfigurieren des OS X-Anmeldefensters, einschließlich aller Meldungen im Anmeldefenster (als Banner bezeichnet); ob ein Benutzer einen Mac neu starten oder herunterfahren kann, ohne sich anzumelden; und ob über das Anmeldefenster auf zusätzliche Informationen zum Mac zugegriffen werden kann.
  • Drucken: Zum Vorkonfigurieren des Zugriffs auf Drucker und zum Angeben einer optionalen Fußzeile für alle gedruckten Seiten.
  • Proxies: Zum Angeben von Proxy-Servern.

Zusätzliche Richtlinien zur Abrundung Ihrer Flotte

Zusätzlich zu den oben aufgeführten Richtlinien bietet Apple eine Reihe von Richtlinienoptionen zum Konfigurieren der Mac-Benutzererfahrung. Einige Unternehmen finden diese Richtlinien hilfreich für alle Macs oder nur für einen Teil ihrer Flotte. Diese Richtlinien umfassen die Möglichkeit, AirPlay vorkonfigurieren zu können. Einrichten des Zugriffs auf einen CalDAV-Server und einen CardDAV-Server in den Kalender- und Kontakt-Apps; die Möglichkeit zu schaffen, zusätzliche Schriftarten zu installieren; den Zugriff auf einen LDAP-Server nur zum Nachschlagen von Kontaktdaten zu konfigurieren; POP- und IMAP-Konten in der Mail-App vorkonfigurieren; Konfigurieren und Hinzufügen von Elementen (Webclips, Ordner, Apps) zum Dock; Einstellen der Energiespareinstellungen sowie der Zeitpläne für das Starten / Herunterfahren / Aufwachen / Schlafen; um eine vereinfachte Version von Finder zu aktivieren und bestimmte Befehle zu blockieren, z. B. Mit Server verbinden, Volume auswerfen, Disc brennen, Zum Ordner wechselnNeustart und Herunterfahren; um Elemente anzugeben, die beim Anmelden automatisch geöffnet werden sollen; Zugänglichkeitsfunktionen für Benutzer mit Behinderungen konfigurieren; Jabber-Konten in der Nachrichten-App einrichten; und so weiter.

Es besteht auch die Möglichkeit, die Identifizierung des Benutzerkontos bei der Installation eines Profils vorab auszufüllen. Dies wird im Allgemeinen verwendet, wenn Profile auf einzelnen Macs installiert sind. Wenn ein Mac mit einem Verzeichnis verbunden wird, werden Benutzerkontoinformationen aus dem Verzeichnis abgerufen.

Die Softwareupdate-Richtlinie ist für Organisationen relevant, die OS X Server zur Verwendung als lokaler Softwareupdate-Server bereitstellen. OS X Server kann lokale Kopien von Apple Software Updates zwischenspeichern, um die Leistung zu verbessern und die Überlastung des Netzwerks beim Aktualisieren Ihrer Flotte zu verringern.

Benutzerdefinierte Einstellungen: Ihre Richtlinie zum Definieren von App- oder Systemeinstellungen

Die Richtlinie für benutzerdefinierte Einstellungen spielt eine wichtige Rolle bei der Maximierung der Fähigkeit der IT, die gesamte Mac-Benutzererfahrung zu verwalten. Ein Administrator kann Einstellungen für installierte Apps und zusätzliche OS X-Funktionen festlegen, auch wenn für diese Apps oder Funktionen keine explizite Richtlinie von Apple definiert wurde. Bei Verwendung müssen die XML-Daten aus der Einstellungsdatei einer App oder eines Features angegeben werden. Die einfachste Möglichkeit, diese Option zu verwenden, besteht darin, eine App oder Funktion mit der gewünschten Einstellung zu konfigurieren und dann die entsprechende .plist-Datei zu suchen (normalerweise im Verzeichnis / Library / Preferences im Home-Ordner des aktuellen Benutzers). Alternativ können die zugehörigen XML-Schlüssel und -Informationen manuell eingegeben werden.

Richtlinieninteraktion

Da Richtlinien basierend auf einzelnen Macs, Mac-Gruppen, einzelnen Benutzerkonten oder Benutzergruppen angewendet werden können, gibt es Situationen, in denen mehrere Richtlinien gleichzeitig angewendet werden können. Die daraus resultierenden Erfahrungen hängen weitgehend von der Art der Politik ab.

Die meisten Richtlinien fügen ein Konfigurationselement hinzu. Wenn es mehrere Instanzen dieser Richtlinien gibt, werden alle angewendet. Wenn ein Mac beispielsweise über eine Richtlinie verfügt, die Dock-Elemente angibt, und ein Benutzer Mitglied von zwei Gruppen ist, die jeweils zusätzliche Dock-Elemente angeben, wird diesem Benutzer ein kombinierter Satz aller angegebenen Dock-Elemente angezeigt, wenn er sich bei diesem Mac anmeldet. (Ein anderer Benutzer, der sich bei demselben Mac anmeldet, sieht die für diesen Mac angegebenen Dock-Elemente sowie alle für seine Gruppenzugehörigkeiten angegebenen Elemente.)

In einigen Fällen können sich Richtlinien jedoch nicht einfach gegenseitig ergänzen. Dies gilt insbesondere für Funktionen, die den Benutzerzugriff auf Funktionen oder Features einschränken. In diesen Fällen ist die restriktivste Richtlinie diejenige, die durchgesetzt wird.