Conseils d'administration essentiels: comment intégrer les Mac à votre entreprise

Si vous pensez toujours que les Mac ne conviennent qu'aux départements spécialisés comme la conception et le marketing, détrompez-vous. L'utilisation professionnelle des Mac est en hausse, et avec elle la nécessité de mieux gérer la flotte.

L'automne dernier, par exemple, Apple et IBM ont mis en évidence le nombre croissant de Mac utilisés par les employés de Big Blue, IBM s'engageant à acheter 50000 nouveaux MacBook, un bon de commande qui a vu IBM déployer environ 1900 Mac chaque semaine.

Bien que la taille et la vitesse du déploiement Mac d'IBM soient importantes, les chiffres les plus notables impliquent les coûts de déploiement et de prise en charge des Mac: selon le directeur financier Luca Maestri, IBM a économisé environ 270 $ pour chaque MacBook que ses employés utilisent au lieu d'un PC traditionnel, et IBM VP Fletcher Previn a déclaré que seulement 5% des employés d'IBM utilisant des MacBooks ont appelé le service d'assistance pour obtenir de l'aide, contre 40% des utilisateurs de PC.

Le lancement d'un déploiement Mac majeur devient une option plus attrayante pour de nombreuses entreprises en raison des économies de coûts potentielles sur le support, une sécurité plus robuste et un matériel fiable (si premium), ainsi que pour des raisons de demande et / ou de satisfaction des utilisateurs. L'intégration avec l'écosystème plus large d'Apple, en particulier lorsqu'il s'agit de l'iPhone, qui domine toujours en tant que smartphone d'entreprise, fournit un argument supplémentaire pour les Mac en entreprise.

Ce qui suit est le premier de trois articles visant à vous aider à tirer le meilleur parti de votre flotte Mac.

L'échelle est importante lorsqu'il s'agit de déploiements Mac

Avec une suite solide d'applications commerciales et de productivité majeures et la capacité des Mac à s'intégrer facilement dans les principaux systèmes d'entreprise, il existe aujourd'hui beaucoup moins d'obstacles à l'adoption du Mac dans l'entreprise qu'il y a quelques années.

Une barrière qui existe toujours: le fait qu'OS X est architecturalement différent de Windows. Par conséquent, les services informatiques qui adoptent des Mac doivent comprendre ces différences et s'assurer qu'ils ont les compétences nécessaires pour prendre en charge, gérer et déployer les Mac de manière adéquate et efficace à grande échelle.

Le mot clé ici est «échelle» car le support efficace d'une poignée de Mac n'est pas particulièrement difficile. Le personnel d'assistance et de support devra se familiariser avec la prise en charge de Mac OS et de son matériel, mais ce n'est pas particulièrement difficile car Apple propose des options de formation, d'auto-apprentissage et de certification pour acquérir ces compétences. Cependant, la mise à l'échelle des déploiements Mac signifie être capable d'automatiser de nombreux processus, en particulier autour de la mise en œuvre et de la configuration, et savoir comment appliquer des politiques de gestion pour un grand nombre de Mac dans une organisation. Ces compétences vont bien au-delà de la simple configuration et du dépannage de Mac individuels, tout comme les compétences des administrateurs système Windows vont bien au-delà de celles des agents du service d'assistance.

Les éléments clés de la gestion Mac

La gestion Mac dans l'entreprise comprend trois composants principaux:

  1. Intégration des Mac avec les principaux systèmes d'entreprise tels qu'Active Directory et Exchange
  2. Application de stratégies pour gérer les Mac de la même manière que les stratégies de groupe gèrent les PC Windows
  3. Comprendre comment déployer et mettre à jour efficacement les Mac, les applications et les configurations qu'ils exécutent

Tout comme pour la gestion de PC, ces domaines se combinent dans un flux de travail global, bien qu'ils aient tendance à être des processus un peu plus discrets. Cet article se penchera sur le premier de ces domaines: l'intégration des Mac aux systèmes d'entreprise. Les deux articles suivants de cette série se pencheront sur la compréhension des options de stratégie pour les Mac gérés et les méthodes de déploiement, respectivement.

Il existe plusieurs outils et mécanismes pour accomplir les différentes tâches liées à la gestion Mac. L'utilisation des outils intégrés à OS X lui-même est l'option la plus élémentaire. Bien qu'efficace, cela peut être limitant lors de la gestion d'un déploiement Mac à grande échelle. Une autre option consiste à utiliser des solutions d'entreprise supplémentaires d'Apple, telles que OS X Server, le programme d'inscription des appareils (DEP) d'Apple et son programme d'achat en volume (VPP), pour rationaliser et améliorer diverses parties du processus. Il existe également une gamme de solutions tierces qui élargissent considérablement ce qu'offre Apple.

OS X et Active Directory

Active Directory est un élément essentiel de l'informatique d'entreprise pour pratiquement toutes les organisations. La connexion de PC à un environnement Active Directory offre toutes sortes de fonctionnalités essentielles, notamment l'authentification des utilisateurs, les contrôles d'accès, les journaux d'audit, la gestion de l'environnement Windows et l'intégration avec une gamme de systèmes supplémentaires comme Exchange. Agissant comme une source centrale d'informations sur presque tout au sein d'une organisation, Active Directory va également au-delà des PC. C'est essentiellement la colle qui rend possible une grande partie de l'informatique d'entreprise.

La bonne nouvelle est que les Mac peuvent être joints à Active Directory. Sur un Mac individuel, le processus est assez simple. Lancez les Préférences système, accédez à Utilisateurs et groupes, sélectionnez Options de connexion dans la barre latérale, cliquez sur le bouton Rejoindre à côté de Serveur de compte réseau, saisissez les informations appropriées pour le domaine et authentifiez-vous à l'aide d'un compte disposant de privilèges pour rejoindre un PC dans le domaine. . Une fois cela fait, les utilisateurs pourront se connecter à ce Mac avec leurs informations d'identification Active Directory à peu près de la même manière que sur un PC. L'authentification unique est également prise en charge pour de nombreux services tels que la navigation réseau ou le partage de fichiers.

La connexion d'un Mac à Active Directory permet principalement l'authentification des utilisateurs et le respect des politiques de mot de passe. Certaines fonctionnalités courantes lorsqu'un PC est joint à Active Directory ne se produisent pas automatiquement. La configuration basée sur des stratégies de groupe ou la configuration automatique pour l'accès à des services tels qu'Exchange en fonction du compte d'un utilisateur en sont deux exemples. Celles-ci peuvent être automatisées à l'aide de politiques, mais ces politiques ne sont généralement pas directement liées à l'adhésion à Active Directory d'un Mac. Cependant, les attributs de base du Mac lui-même sont stockés dans Active Directory comme ils le seraient pour un PC.

Options lors de la connexion d'un Mac à Active Directory

Il convient de noter qu'une série d'options peuvent être spécifiées lors de la connexion d'un Mac à Active Directory. Ces options peuvent être ajustées manuellement, bien que dans de nombreux environnements, les valeurs par défaut fonctionnent bien. Pour apporter des modifications, cliquez sur le bouton Open Directory Utility dans la boîte de dialogue Network Account Server décrite ci-dessus. Plus tard dans cette série, je discuterai de la manière d'automatiser ces changements lors du déploiement d'une flotte de Mac.

Les réglages manuels se décomposent en trois domaines:

  1. Expérience utilisateur
  2. Mappages d'attributs
  3. Options administratives

Les options d'expérience utilisateur incluent le répertoire de base du réseau de l'utilisateur et le shell Unix par défaut que les utilisateurs du shell Unix rencontreront s'ils lancent l'application Terminal d'OS X (sauf indication contraire, /bin/bashc'est la valeur par défaut).

En ce qui concerne les répertoires de départ, OS X prend en charge la création d'un répertoire de départ local sur le Mac d'un utilisateur (le comportement par défaut, similaire à la création d'un répertoire de départ sur un Mac autonome), un répertoire de pour accéder aux fichiers et aux paramètres sur plusieurs Mac, et la possibilité d'autoriser l'accès à un répertoire de base réseau monté en tant que dossier dans le Dock OS X. Il existe également la possibilité de créer un compte mobile, qui est un compte local (et un répertoire de base local) qui synchronise / met en miroir le compte Active Directory (et le répertoire de base du réseau) pour un accès hors connexion. Les comptes mobiles peuvent être créés automatiquement, ce qui peut entraîner de la confusion et des problèmes de synchronisation si un utilisateur possède des comptes mobiles sur plusieurs Mac, ou la fonctionnalité peut être rendue facultative en exigeant la confirmation de l'utilisateur de la création du compte mobile lorsqu'il se connecte à un nouveau Mac.

Les mappages d'attributs concernent l'intégration avec le service d'annuaire LDAP d'Apple, similaire à Active Directory appelé Open Directory, qui est inclus avec OS X Server. Chaque Mac contient un nœud de répertoire local pour les informations de compte local basées sur les attributs Open Directory. Bien qu'Open Directory fournisse les mêmes fonctionnalités qu'Active Directory, certains attributs de compte diffèrent entre les deux. Un Mac joint à Active Directory affecte automatiquement les attributs Open Directory nécessite d'équivalents attributs Active Directory ( uniqueID, primaryGroupIDet gidNumber). Si le schéma Active Directory a été modifié, il est possible de créer des mappages alternatifs, bien que cela ne soit pas nécessaire dans la grande majorité des environnements.

Il existe trois options administratives qui peuvent être définies lorsqu'un Mac est joint à Active Directory. La première consiste à préférer un contrôleur de domaine spécifique. Par défaut, un Mac recherchera le contrôleur de domaine le plus disponible, tout comme un PC. Il est possible de remplacer cela et de spécifier à la place un contrôleur de domaine spécifique auquel accéder en premier.

Le second est la possibilité d'autoriser les membres des groupes Active Directory à avoir un accès administrateur à un Mac lorsqu'ils sont connectés à l'aide de leurs comptes Active Directory. Il s'agit de la même fonctionnalité qui peut être accordée aux PC. Cette option est désactivée par défaut. Lorsqu'il est activé, n'importe quel groupe Active Directory peut être spécifié, bien que les administrateurs de domaine et les administrateurs d'entreprise soient activés par défaut.

La dernière option, qui est activée par défaut, consiste à autoriser l'authentification à l'aide de comptes de n'importe quel domaine dans une forêt Active Directory plutôt que seulement du domaine auquel le Mac est joint.

Des informations supplémentaires sur l'intégration des Mac à Active Directory sont disponibles auprès d'Apple.

OS X et Exchange

Outre Active Directory, Exchange est l'un des services d'entreprise les plus couramment utilisés. Il existe deux options pour intégrer les Mac à Exchange: utiliser les applications PIM natives dans OS X ou déployer Office pour Mac, qui inclut Outlook pour Mac. Aucune des deux options n'est configurée automatiquement en fonction du compte d'un utilisateur lorsqu'un Mac est joint à Active Directory, mais peut être configurée automatiquement en fonction d'une stratégie.

La configuration manuelle est très simple et peut être effectuée par les utilisateurs. Pour les applications natives, l'option se trouve dans le volet Comptes Internet des Préférences Système. Pour Outlook, il se trouve dans la boîte de dialogue Préférences et s'affiche dans la boîte de dialogue de configuration initiale.

Configurations VPN

OS X prend en charge nativement L2TP sur les VPN IPSec, PPTP, Cisco IPSec et IKEv2. Ceux-ci peuvent être automatiquement configurés par une stratégie ou configurés manuellement à l'aide du volet Réseau dans les Préférences Système. Des types de VPN supplémentaires sont pris en charge via l'utilisation de clients tiers. Il est possible d'utiliser des politiques pour configurer la plupart des logiciels tiers, y compris les clients VPN.

Suivant

Dans l'article suivant de cette série, j'examinerai les différentes façons dont les politiques de gestion peuvent être appliquées aux Mac et aux utilisateurs, ainsi que l'ensemble complet des options de politique disponibles dans OS X.

Articles Liés

  • Windows 10 vs Mac OS X: ce qui donne plus de contrôle aux administrateurs système?
  • Un guide clair sur les risques de sécurité réels de Mac OS X
  • Mac au bureau: le succès engendre la sécurité FUD
  • La vérité sur les Mac en entreprise
  • Top 20 des secrets de ligne de commande OS X pour les utilisateurs expérimentés