Kelola Mac itu: Panduan untuk admin Windows

Membawa Mac ke lingkungan TI yang ada dapat membuat admin Windows merasa sedikit salah. Semuanya sudah familiar, dalam hal tugas dan pengaturan, tetapi dengan cukup banyak sentuhan untuk tampak agak asing pada awalnya. Rangkaian kiat manajemen Mac kami yang berkelanjutan hadir untuk membantu memandu Anda dalam meluncurkan Mac secara aman dan produktif.

Di bagian pertama seri ini, saya melihat persyaratan penting untuk mengintegrasikan Mac ke dalam lingkungan perusahaan, termasuk cara menggabungkannya ke sistem perusahaan. Dalam skala besar, penerapan Mac yang besar sering kali membutuhkan seperangkat keterampilan dan alat unik agar berhasil. Hal yang sama berlaku untuk menerapkan kebijakan manajemen ke Mac, yang saya bahas di artikel ini. Di sini, Anda akan mendapatkan gambaran umum tentang kebijakan Mac dan wawasan tentang cara merencanakan strategi untuk menerapkannya.

Di bagian terakhir seri ini, saya akan melihat alat khusus yang digunakan untuk menerapkan kebijakan, serta alat yang menawarkan fitur pengelolaan dan penerapan tambahan.

Hasil dari kebijakan manajemen Mac

Bagaimana cara mengelola Mac adalah pertanyaan tentang skala. Teknisi di organisasi dengan jumlah Mac yang sedikit sering kali dapat mengonfigurasi setiap Mac satu per satu atau membuat gambar sistem tunggal yang menerapkan konfigurasi seragam ke setiap Mac. Dalam organisasi yang lebih besar, tantangannya lebih kompleks. Pengguna atau departemen yang berbeda akan memiliki kebutuhan konfigurasi yang berbeda, dan mereka akan memerlukan hak akses yang berbeda. Selain itu, mereka akan sering memiliki kebutuhan konfigurasi yang terkait dengan pengguna dan grup individu, serta kebutuhan yang terkait dengan Mac tertentu berdasarkan penggunaannya (dan terkadang perangkat keras mereka). Karena itu, konfigurasi manual terlalu tidak efisien. Di sini, otomatisasi adalah kuncinya.

Untuk tujuan ini, Apple menawarkan berbagai kebijakan yang dapat diterapkan ke armada Mac Anda untuk menerapkan persyaratan keamanan, untuk membantu dalam mengonfigurasi mesin Mac secara otomatis ke profil tertentu, dan untuk mengaktifkan serta membatasi akses ke sumber daya di jaringan Anda.

Jika Anda sudah terbiasa dengan Kebijakan Grup Windows, Anda akan senang mengetahui bahwa Anda dapat sepenuhnya mengelola pengalaman pengguna Mac dengan cara yang sama menggunakan kebijakan Apple untuk Mac. Sebagian besar kebijakan ini dapat diterapkan ke Mac tertentu (atau grup Mac) atau ke akun pengguna tertentu (atau keanggotaan grup). Namun, beberapa kebijakan hanya dapat dikaitkan ke Mac atau ke akun pengguna. Pemahaman tentang bagaimana kebijakan dapat dikonfigurasi sangat penting untuk membuat strategi manajemen Mac Anda.

Misalnya, seperti Kebijakan Grup Windows, kebijakan yang terkait dengan kebutuhan pengguna dan kontrol akses sering kali dikelola berdasarkan keanggotaan grup yang terkait dengan departemen, peran pekerjaan, dan faktor lainnya. Persyaratan pengaturan keamanan Mac dan aplikasi Departemen paling baik diatur berdasarkan Mac (atau grup Mac), daripada pengguna (atau keanggotaan grup). Beberapa kebijakan, seperti kebijakan Energy Saver, secara default bersifat khusus Mac dan bukan khusus pengguna.

Seluk-beluk penerapan kebijakan

Kebijakan manajemen Mac, seperti kebijakan iOS, disimpan sebagai data XML di profil konfigurasi. Profil ini dapat diterapkan ke Mac dengan salah satu dari tiga cara: dengan membuat dan mendistribusikannya secara manual ke Mac / pengguna individu, melalui aplikasi gratis Apple Configurator 2; dengan menerapkan solusi MDM / EMM; atau melalui penggunaan suite manajemen desktop tradisional.

Jika Anda memilih untuk mendistribusikan profil konfigurasi secara manual, Anda harus menggunakan Manajer Profil OS X Server untuk membuatnya, lalu profil yang dihasilkan harus diinstal secara manual di setiap Mac. Saat dibuka, profil akan meminta pengguna untuk menginstal kebijakan yang disertakan. Dengan menggunakan metode ini, tidak ada cara yang sepenuhnya otomatis untuk mendistribusikan profil konfigurasi tanpa menggunakan alat penerapan tambahan. Jika Anda lebih mengandalkan pengguna daripada staf TI untuk menginstalnya, mungkin sulit untuk memastikan bahwa mereka telah diinstal. Oleh karena itu, mendistribusikan profil secara manual mungkin merupakan opsi yang paling sederhana, tetapi kemungkinan besar kurang ideal, atau bahkan layak, untuk organisasi yang lebih besar.

(Catatan: Manajer Profil itu sendiri adalah solusi MDM khusus Apple yang dapat digunakan untuk mengeluarkan kebijakan dengan cara penawaran MDM / EMM lainnya, selain membuat profil konfigurasi untuk distribusi manual.)

Aplikasi Apple Configurator 2 dapat digunakan untuk menginstal profil / kebijakan ke Mac yang tertambat serta perangkat iOS. Ini memberikan solusi langsung dan tanpa biaya untuk memastikan profil / kebijakan dipasang dan berfungsi. Namun, setiap Mac yang dikelola harus disambungkan ke Mac yang menjalankan Apple Configurator 2 dengan USB untuk konfigurasi. Hal ini menjadikan Apple Configurator 2 alat yang sangat baik untuk bisnis kecil dan organisasi pendidikan, yang sering kali memiliki serangkaian kebutuhan kebijakan sederhana, tetapi ini merupakan strategi manajemen Mac yang tidak efisien jika Anda perlu mengonfigurasi Mac dalam jumlah besar.

Di sini, alat MDM / EMM dapat membantu, karena kebijakan Mac dapat diterapkan menggunakan kerangka kerja MDM yang sama yang digunakan oleh perangkat iOS. Dengan demikian, sebagian besar vendor yang mendukung manajemen iOS juga mendukung manajemen Mac. Jadi, ini adalah opsi yang ramah perusahaan, terutama karena banyak organisasi sudah menggunakan solusi seperti itu untuk mengelola perangkat iOS dan Android.

Opsi lain yang dapat diskalakan dengan baik untuk penggunaan perusahaan adalah paket manajemen desktop tradisional, termasuk suite khusus Apple, seperti Casper Suite JAMF, dan suite multiplatform, seperti LanDesk Management Suite dan Symantec Management Platform. Rangkaian ini tidak hanya menerapkan kebijakan, tetapi juga sering menawarkan alat pengelolaan dan penerapan. Mengingat popularitas suite, banyak organisasi sering kali sudah menggunakan alat seperti itu, atau mereka mungkin merasa fitur tambahan mereka cukup menarik untuk diinvestasikan di dalamnya (lebih lanjut tentang alat ini di bagian tiga seri ini).

Jika Anda khawatir tentang sifat kebijakan Mac berbasis XML, yakinlah: Admin biasanya tidak perlu langsung membuat atau mengedit data XML yang digunakan dalam kebijakan manajemen Mac. Sebagian besar alat Apple dan pihak ketiga menyediakan UI intuitif untuk mengatur opsi kebijakan, dan mereka menangani pembuatan XML yang diperlukan di bawah tenda. Satu pengecualian adalah kebijakan Pengaturan Kustom untuk menentukan pengaturan untuk aplikasi yang diinstal dan fitur OS X tambahan, yang dibahas nanti di artikel ini. Mengonfigurasi Pengaturan Kustom akan membutuhkan pemahaman XML.

Kebijakan manajemen Mac Inti yang harus diketahui setiap admin

Apple menyediakan serangkaian opsi kebijakan yang memusingkan untuk manajemen Mac, tetapi sekumpulan 13 kebijakan tertentu adalah yang paling umum digunakan - dan paling penting untuk mengelola dan mengamankan Mac di lingkungan perusahaan. Setiap kebijakan manajemen inti berikut berlaku untuk Mac atau pengguna, kecuali ditentukan lain:

  • Jaringan: Untuk mengonfigurasi pengaturan jaringan, termasuk konfigurasi Wi-Fi dan beberapa detail koneksi Ethernet.
  • Sertifikat: Untuk menyebarkan sertifikat digital yang digunakan dalam komunikasi terenkripsi dalam organisasi serta beberapa kredensial identitas untuk layanan tertentu (banyak layanan jaringan mengandalkan sertifikat untuk komunikasi dan otentikasi yang aman).
  • SCEP: Untuk menentukan pengaturan untuk memperoleh dan / atau memperbarui sertifikat dari CA (Otoritas Sertifikat) menggunakan SCEP (Simple Certificate Enrollment Protocol). SCEP menyediakan opsi otomatis yang memungkinkan perangkat memperoleh / memperbarui sertifikat. Ini digunakan sebagai bagian dari proses pendaftaran MDM Apple untuk perangkat iOS dan juga dapat digunakan untuk pendaftaran Mac ke lingkungan terkelola. Konfigurasi SCEP akan bervariasi tergantung pada CA dan alat manajemen terkait yang beroperasi.  
  • Sertifikat Direktori Aktif: Untuk memberikan informasi otentikasi untuk server Sertifikat Direktori Aktif. Kebijakan ini hanya dapat disetel untuk akun pengguna.
  • Direktori: Untuk mengonfigurasi layanan direktori keanggotaan, termasuk Direktori Aktif dan Direktori Terbuka Apple. Beberapa sistem direktori dapat dikonfigurasi. Kebijakan ini hanya dapat disetel untuk Mac.
  • Exchange: Untuk mengonfigurasi akses ke akun Exchange pengguna di aplikasi Mail, Kontak, dan Kalender asli Apple. (Ini tidak mengkonfigurasi Microsoft Outlook.) Ini dapat diatur hanya untuk akun pengguna.
  • VPN: Untuk mengonfigurasi klien VPN bawaan Mac. Beberapa variabel dapat dikonfigurasi. Jika beroperasi, pengguna tidak akan bisa mengubah konfigurasi VPN.
  • Keamanan & Privasi: Untuk mengonfigurasi beberapa fitur keamanan bawaan OS X, termasuk reputasi aplikasi GateKeeper dan alat keamanan, enkripsi FileVault (hanya dapat diatur untuk Mac, bukan pengguna), dan apakah data diagnostik dapat dikirim ke Apple.
  • Mobilitas: Untuk mengatur apakah pembuatan akun seluler didukung atau tidak, serta variabel terkait (lihat artikel pertama dalam seri ini untuk informasi tentang akun seluler).
  • Batasan: Untuk membatasi akses ke berbagai fitur OS X, seperti Game Center, App Store, kemampuan untuk meluncurkan aplikasi tertentu, akses ke media eksternal, penggunaan kamera internal, akses ke iCloud, saran pencarian Spotlight, AirDrop berbagi, dan akses ke berbagai layanan di menu berbagi OS X.
  • Jendela Masuk: Untuk mengonfigurasi jendela masuk OS X, termasuk pesan jendela masuk apa pun (disebut sebagai spanduk); apakah pengguna dapat memulai ulang atau mematikan Mac tanpa masuk atau tidak; dan apakah informasi tambahan tentang Mac dapat diakses atau tidak dari Jendela masuk.
  • Pencetakan: Untuk mengkonfigurasikan akses ke printer dan untuk menentukan footer opsional untuk semua halaman yang dicetak.
  • Proxies: Untuk menentukan server proxy.

Kebijakan tambahan untuk melengkapi armada Anda

Selain kebijakan yang tercantum di atas, Apple menyediakan berbagai opsi kebijakan untuk mengonfigurasi pengalaman pengguna Mac. Beberapa organisasi akan menganggap kebijakan ini berguna untuk semua Mac atau hanya sebagian dari armada mereka. Kebijakan ini mencakup kemampuan untuk mengkonfigurasi AirPlay sebelumnya; untuk mengatur akses ke server CalDAV dan server CardDAV di aplikasi Kalender dan Kontak; untuk membangun kemampuan untuk menginstal font tambahan; untuk mengkonfigurasi akses ke server LDAP hanya untuk tujuan mencari data kontak; untuk memprakonfigurasi akun POP dan IMAP di aplikasi Mail; untuk mengonfigurasi dan menambahkan item (klip Web, folder, aplikasi) ke Dock; untuk mengatur preferensi Penghemat Energi, serta jadwal mulai / matikan / bangun / tidur; untuk mengaktifkan versi Finder yang disederhanakan dan memblokir perintah tertentu, seperti Connect to Server, Eject Volume, Burn Disc, Go to Folder,Mulai ulang, dan Matikan; untuk menentukan item yang harus terbuka secara otomatis saat login; untuk mengonfigurasi fitur aksesibilitas bagi pengguna penyandang disabilitas; untuk mengatur akun Jabber di aplikasi Pesan; dan seterusnya.

Ada juga opsi untuk mengisi awal identifikasi akun pengguna ketika profil dipasang. Ini biasanya digunakan saat profil diinstal pada Mac individual. Saat Mac digabungkan ke direktori, informasi akun pengguna diambil dari direktori.

Kebijakan Pembaruan Perangkat Lunak relevan untuk organisasi yang menggunakan Server OS X untuk digunakan sebagai Server Pembaruan Perangkat Lunak lokal. OS X Server memiliki kemampuan untuk menyimpan salinan lokal Pembaruan Perangkat Lunak Apple untuk meningkatkan kinerja dan mengurangi kemacetan jaringan saat memperbarui armada Anda.

Pengaturan Kustom: Kebijakan Anda untuk menentukan pengaturan aplikasi atau sistem

Kebijakan Pengaturan Kustom memainkan peran penting dalam memaksimalkan kemampuan TI untuk mengelola seluruh pengalaman pengguna Mac. Ini memungkinkan admin untuk menentukan pengaturan untuk aplikasi yang diinstal dan fitur OS X tambahan meskipun aplikasi atau fitur tersebut tidak memiliki kebijakan eksplisit yang ditentukan oleh Apple. Saat digunakan, data XML dari file preferensi aplikasi atau fitur harus ditentukan. Cara termudah untuk menggunakan opsi ini adalah mengonfigurasi aplikasi atau fitur dengan pengaturan yang diinginkan, lalu mencari file .plist yang sesuai (biasanya di direktori / Library / Preferences dalam folder utama pengguna saat ini). Sebagai alternatif, kunci dan informasi XML terkait dapat dimasukkan secara manual.

Interaksi kebijakan

Karena kebijakan dapat diterapkan berdasarkan masing-masing Mac, grup Mac, akun pengguna individual, atau grup pengguna, terdapat situasi di mana beberapa kebijakan dapat diterapkan pada satu waktu. Pengalaman yang dihasilkan sangat bergantung pada jenis kebijakan.

Mayoritas kebijakan menambahkan elemen konfigurasi; bila ada beberapa contoh kebijakan ini, semuanya diterapkan. Misalnya, jika Mac memiliki kebijakan yang menentukan item Dock dan pengguna adalah anggota dari dua grup yang masing-masing menentukan item Dock tambahan, pengguna tersebut akan melihat kumpulan gabungan dari semua item Dock yang ditentukan saat dia masuk ke Mac tersebut. (Pengguna lain yang masuk ke Mac yang sama akan melihat item Dock yang ditentukan untuk Mac tersebut, serta item apa pun yang ditentukan untuk afiliasi grupnya.)

Namun, ada beberapa kasus di mana kebijakan tidak bisa begitu saja saling menambah. Ini terutama benar tentang fitur yang membatasi akses pengguna ke fungsionalitas atau fitur. Dalam kasus ini, kebijakan yang paling ketat adalah yang diterapkan.