Gérer ces Mac: un guide pour les administrateurs Windows

Faire entrer des Mac dans un environnement informatique existant peut donner l'impression à tout administrateur Windows de se sentir un peu mal à l'aise. Tout est familier, en termes de tâches et de paramètres, mais avec suffisamment de torsion pour paraître un peu étranger au début. Notre série continue de conseils de gestion Mac est là pour vous aider à déployer des Mac de manière sécurisée et productive.

Dans la première partie de cette série, j'ai examiné les exigences essentielles pour l'intégration des Mac dans les environnements d'entreprise, y compris la manière de les intégrer aux systèmes d'entreprise. À grande échelle, les déploiements Mac à grande échelle nécessitent souvent un ensemble unique de compétences et d'outils pour réussir. Il en va de même pour l'application des politiques de gestion aux Mac, que je couvre dans cet article. Ici, vous aurez un aperçu des politiques Mac et des informations sur la façon de planifier une stratégie pour les déployer.

Dans la dernière partie de la série, j'examinerai les outils spécifiques utilisés pour appliquer les politiques, ainsi que les outils qui offrent des fonctionnalités de gestion et de déploiement supplémentaires.

Le résultat sur les politiques de gestion Mac

Comment gérer les Mac est une question d'échelle. Les techniciens des organisations disposant d'un petit nombre de Mac peuvent souvent configurer chaque Mac individuellement ou créer une seule image système qui applique une configuration uniforme à chaque Mac. Dans les grandes organisations, les défis sont plus complexes. Différents utilisateurs ou services auront des besoins de configuration différents et ils auront besoin de privilèges d'accès différents. De plus, ils auront souvent des besoins de configuration liés aux utilisateurs individuels et aux groupes, ainsi que des besoins liés à des Mac spécifiques en fonction de leur utilisation (et parfois de leur matériel). Pour cette raison, la configuration manuelle est tout simplement trop inefficace. Ici, l'automatisation est la clé.

À cette fin, Apple propose une gamme de politiques qui peuvent être appliquées à votre flotte de Mac pour appliquer les exigences de sécurité, pour aider à configurer automatiquement les machines Mac sur des profils spécifiques et pour activer et restreindre l'accès aux ressources de votre réseau.

Si vous connaissez déjà les stratégies de groupe Windows, vous serez heureux de savoir que vous pouvez entièrement gérer l'expérience utilisateur Mac de la même manière en utilisant les stratégies Apple pour Mac. La plupart de ces politiques peuvent être appliquées soit à des Mac spécifiques (ou à des groupes de Mac), soit à des comptes d'utilisateurs spécifiques (ou à des appartenances à des groupes). Cependant, certaines politiques ne peuvent être liées qu'aux Mac ou aux comptes d'utilisateurs. La connaissance de la façon dont les politiques peuvent être configurées est essentielle pour créer votre stratégie de gestion Mac.

Par exemple, comme pour les stratégies de groupe Windows, les stratégies liées aux besoins des utilisateurs et aux contrôles d'accès sont souvent gérées en fonction de l'appartenance à un groupe liée au service, aux rôles de travail et à d'autres facteurs. Les exigences des paramètres de sécurité des applications départementales et Mac sont mieux définies en fonction des Mac (ou d'un groupe de Mac), plutôt que des utilisateurs (ou des appartenances à des groupes). Certaines stratégies, telles que les stratégies d'économie d'énergie, sont par défaut spécifiques à Mac plutôt qu'à l'utilisateur.

L'essentiel du déploiement de politiques

Les politiques de gestion Mac, comme les politiques iOS, sont stockées sous forme de données XML dans les profils de configuration. Ces profils peuvent être appliqués aux Mac de trois manières: en les créant manuellement et en les distribuant à des Mac / utilisateurs individuels, via l'application gratuite Apple Configurator 2; en implémentant une solution MDM / EMM; ou grâce à l'utilisation de suites de gestion de bureau traditionnelles.

Si vous choisissez de distribuer manuellement les profils de configuration, vous devrez utiliser le Gestionnaire de profils d'OS X Server pour les créer, puis les profils résultants devront être installés manuellement sur chaque Mac. Une fois ouvert, le profil invite l'utilisateur à installer les stratégies incluses. En utilisant cette méthode, il n'y a pas de moyen entièrement automatisé de distribuer des profils de configuration sans utiliser d'outils de déploiement supplémentaires. Si vous comptez sur les utilisateurs plutôt que sur le personnel informatique pour les installer, il peut être difficile de s'assurer qu'ils ont été installés. Pour cette raison, la distribution manuelle des profils peut être l'option la plus simple, mais elle est probablement moins idéale, voire viable, pour les grandes organisations.

(Remarque: Profile Manager lui-même est une solution MDM spécifique à Apple qui peut être utilisée pour pousser des politiques à la manière d'autres offres MDM / EMM, en plus de créer des profils de configuration pour une distribution manuelle.)

L'application Apple Configurator 2 peut être utilisée pour installer des profils / politiques sur des Mac connectés ainsi que sur des appareils iOS. Cela fournit une solution simple et gratuite pour garantir que les profils / stratégies sont installés et fonctionnent. Cependant, chaque Mac géré doit être connecté à un Mac exécutant Apple Configurator 2 par USB pour la configuration. Cela fait d'Apple Configurator 2 un excellent outil pour les petites entreprises et les organisations éducatives, qui ont souvent un ensemble simple de besoins en matière de politiques, mais c'est une stratégie de gestion Mac inefficace si vous devez configurer un grand nombre de Mac.

Ici, les outils MDM / EMM peuvent vous aider, car les stratégies Mac peuvent être appliquées à l'aide du même framework MDM utilisé par les appareils iOS. En tant que tel, la plupart des fournisseurs prenant en charge la gestion iOS prennent également en charge la gestion Mac. Il s'agit donc d'une option adaptée aux entreprises, en particulier parce que de nombreuses organisations utilisent déjà de telles solutions pour gérer les appareils iOS et Android.

Une autre option qui s'adapte bien à une utilisation en entreprise est la suite de gestion de bureau traditionnelle, qui comprend à la fois des suites spécifiques à Apple, telles que Casper Suite de JAMF, et des suites multiplateformes, telles que LanDesk Management Suite et Symantec Management Platform. Ces suites appliquent non seulement des politiques, mais offrent souvent des outils de gestion et de déploiement. Compte tenu de la popularité des suites, de nombreuses organisations ont souvent déjà de tels outils en service, ou elles peuvent trouver leurs fonctionnalités supplémentaires suffisamment convaincantes pour y investir (plus d'informations sur ces outils dans la troisième partie de cette série).

Si vous avez des inquiétudes concernant la nature XML des stratégies Mac, soyez assuré: les administrateurs n'ont généralement pas besoin de créer ou de modifier directement les données XML utilisées dans les stratégies de gestion Mac. La plupart des outils Apple et tiers fournissent des interfaces utilisateur intuitives pour définir les options de stratégie et gèrent la création XML nécessaire sous le capot. Une exception est la stratégie de paramètres personnalisés pour spécifier les paramètres des applications installées et des fonctionnalités supplémentaires d'OS X, abordées plus loin dans cet article. La configuration des paramètres personnalisés nécessitera de pénétrer dans les entrailles de XML.

Politiques de gestion Mac de base que chaque administrateur doit connaître

Apple propose une gamme vertigineuse d'options de stratégie pour la gestion des Mac, mais un ensemble spécifique de 13 stratégies est le plus couramment utilisé - et le plus critique pour la gestion et la sécurisation des Mac dans un environnement d'entreprise. Chacune des politiques de gestion de base suivantes s'applique aux Mac ou aux utilisateurs, sauf indication contraire:

  • Réseau: pour configurer les paramètres réseau, y compris la configuration Wi-Fi et certains détails de connexion Ethernet.
  • Certificat: pour le déploiement de certificats numériques utilisés dans la communication chiffrée au sein d'une organisation ainsi que de certaines informations d'identification pour des services spécifiques (de nombreux services réseau reposent sur des certificats pour une communication et une authentification sécurisées).
  • SCEP: Pour définir les paramètres d'acquisition et / ou de renouvellement de certificats auprès d'une CA (autorité de certification) en utilisant SCEP (Simple Certificate Enrollment Protocol). SCEP fournit une option automatisée qui permet aux appareils d'acquérir / de renouveler des certificats. Il est utilisé dans le cadre du processus d'inscription MDM d'Apple pour les appareils iOS et peut également être utilisé pour l'inscription de Mac dans un environnement géré. La configuration du SCEP varie en fonction de l'autorité de certification et des outils de gestion associés en fonctionnement.  
  • Certificat Active Directory: pour fournir des informations d'authentification pour les serveurs de certificats Active Directory. Cette stratégie ne peut être définie que pour les comptes d'utilisateurs.
  • Annuaire: pour configurer les services d'annuaire des membres, y compris Active Directory et l'Open Directory d'Apple. Plusieurs systèmes d'annuaire peuvent être configurés. Cette politique ne peut être définie que pour les Mac.
  • Exchange: pour configurer l'accès au compte Exchange d'un utilisateur dans les applications natives de messagerie, de contacts et de calendrier d'Apple. (Il ne configure pas Microsoft Outlook.) Cela ne peut être défini que pour les comptes d'utilisateurs.
  • VPN: pour configurer le client VPN intégré du Mac. Plusieurs variables peuvent être configurées. S'il est en fonctionnement, les utilisateurs ne pourront pas modifier la configuration VPN.
  • Sécurité et confidentialité: pour configurer plusieurs des fonctionnalités de sécurité intégrées d'OS X, y compris l'outil de réputation et de sécurité de l'application GateKeeper, le cryptage FileVault (peut être défini pour les Mac uniquement, pas pour les utilisateurs) et si les données de diagnostic peuvent être envoyées à Apple.
  • Mobilité: pour définir si la création de compte mobile est prise en charge ou non, ainsi que les variables associées (voir le premier article de cette série pour plus d'informations sur les comptes mobiles).
  • Restrictions: pour restreindre l'accès à une gamme de fonctionnalités OS X, telles que Game Center, App Store, la possibilité de lancer des applications spécifiques, l'accès à des médias externes, l'utilisation de la caméra intégrée, l'accès à iCloud, les suggestions de recherche Spotlight, AirDrop partage et accès à divers services dans le menu de partage OS X.
  • Fenêtre de connexion: pour configurer la fenêtre de connexion OS X, y compris les messages de la fenêtre de connexion (appelés bannières); si un utilisateur peut ou non redémarrer ou arrêter un Mac sans se connecter; et si des informations supplémentaires sur le Mac sont accessibles ou non à partir de la fenêtre de connexion.
  • Impression: pour préconfigurer l'accès aux imprimantes et spécifier un pied de page facultatif pour toutes les pages imprimées.
  • Proxies: pour spécifier les serveurs proxy.

Politiques supplémentaires pour compléter votre flotte

En plus des stratégies répertoriées ci-dessus, Apple propose une gamme d'options de stratégie pour configurer l'expérience utilisateur Mac. Certaines organisations trouveront ces politiques utiles pour tous les Mac ou seulement un sous-ensemble de leur flotte. Ces politiques incluent la possibilité de préconfigurer AirPlay; pour configurer l'accès à un serveur CalDAV et un serveur CardDAV dans les applications Calendrier et Contacts; pour établir la capacité d'installer des polices supplémentaires; pour configurer l'accès à un serveur LDAP uniquement dans le but de rechercher des données de contact; pour préconfigurer les comptes POP et IMAP dans l'application Mail; pour configurer et ajouter des éléments (clips Web, dossiers, applications) au Dock; pour définir les préférences d'économie d'énergie, ainsi que les horaires de démarrage / arrêt / réveil / sommeil; pour activer une version simplifiée du Finder et bloquer certaines commandes, telles que Se connecter au serveur, Éjecter le volume, Graver le disque, Aller au dossier,Redémarrez et arrêtez; pour spécifier les éléments qui doivent s'ouvrir automatiquement à la connexion; pour configurer les fonctionnalités d'accessibilité pour les utilisateurs handicapés; pour configurer des comptes Jabber dans l'application Messages; etc.

Il existe également une option pour préremplir l'identification du compte utilisateur lorsqu'un profil est installé. Ceci est généralement utilisé lorsque les profils sont installés sur des Mac individuels. Lorsqu'un Mac est joint à un annuaire, les informations du compte utilisateur sont extraites de l'annuaire.

La politique de mise à jour logicielle est pertinente pour les organisations déployant OS X Server pour une utilisation en tant que serveur de mise à jour logicielle local. OS X Server a la capacité de mettre en cache des copies locales des mises à jour logicielles Apple afin d'améliorer les performances et de réduire la congestion du réseau lors de la mise à jour de votre parc.

Paramètres personnalisés: votre stratégie pour définir les paramètres de l'application ou du système

La politique de paramètres personnalisés joue un rôle important dans l'optimisation de la capacité du service informatique à gérer l'ensemble de l'expérience utilisateur Mac. Il permet à un administrateur de spécifier les paramètres pour toutes les applications installées et les fonctionnalités supplémentaires d'OS X, même si ces applications ou fonctionnalités n'ont pas de politique explicite définie par Apple. Lorsqu'elles sont utilisées, les données XML provenant du fichier de préférences d'une application ou d'une fonctionnalité doivent être spécifiées. Le moyen le plus simple d'utiliser cette option est de configurer une application ou une fonctionnalité avec le paramètre souhaité, puis de localiser le fichier .plist approprié (généralement dans le répertoire / Library / Preferences dans le dossier d'accueil de l'utilisateur actuel). Alternativement, les clés et informations XML associées peuvent être saisies manuellement.

Interaction politique

Étant donné que les stratégies peuvent être appliquées en fonction de Mac individuels, de groupes de Mac, de comptes d'utilisateurs individuels ou de groupes d'utilisateurs, il existe des situations dans lesquelles plusieurs stratégies peuvent être appliquées à la fois. L'expérience qui en résulte dépend largement du type de politique.

La majorité des stratégies ajoutent un élément de configuration; lorsqu'il existe plusieurs instances de ces stratégies, elles sont toutes appliquées. Par exemple, si un Mac a une stratégie qui spécifie les éléments Dock et qu'un utilisateur est membre de deux groupes qui spécifient chacun des éléments Dock supplémentaires, cet utilisateur verra un ensemble combiné de tous les éléments Dock spécifiés lorsqu'il se connectera à ce Mac. (Un autre utilisateur se connectant à ce même Mac verrait les éléments du Dock spécifiés sur ce Mac, ainsi que ceux spécifiés dans ses affiliations de groupe.)

Il y a cependant des cas où les politiques ne peuvent pas simplement s'ajouter les unes aux autres. Cela est particulièrement vrai pour les fonctionnalités qui restreignent l'accès des utilisateurs aux fonctionnalités ou fonctionnalités. Dans ces cas, la politique la plus restrictive est celle qui est appliquée.