@Billi_Kid

Менеджмент MacOS. Аналоги Active directory для MacOS?

Стал вопрос о менеджменте компьютеров на macos.
В windows есть active directory и microsoft azure. Есть ли что-то подобное для MACos? Или же возможна полноценная интеграция в AD?

Задача минимум - удаленно подключаться к пк, иметь возможность заблочить пк
Задача максимум - централизованный сетап пк с macos возможности схожие с AD
  • Вопрос задан
  • 3524 просмотра
Решения вопроса 1
@nl13
To bind or not to bind ....
С последним обновлением и созданием KerberosExtension Apple вроде как поставила точку в вопросе - сказав что лишнее это (вводить Мак в домен). Это в части взаимодействия Мака с доменной инфраструктурой.
А вот управляется Мак идеологически при помощью MDM решений путем применения профилей управления, все остальные подходы есть костыли которые как это обычно бывает перестают работать с очередным автообновлением.

Hint 1.
Обязательно почитайте сначала про ProfileManager ... и изучите его работу.
https://support.apple.com/ru-ru/guide/profile-mana...

Hint 2.
Если парк ПК под Мак маленький (до 25 машин) - то можно воспользоваться ManageEngine Desktop Central в качестве бесплатного решения (там и МДМ и агент и удаленный суппорт и портал самообслуживания )....
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@elbrus56
Ок, давайте рассмотрим вопрос в различных аспектах. Прежде всего, не будем вдаваться в подробности того, почему такой вопрос вообще возник. Может у компании аудит на горизонте, или бюджеты не освоены или у CTO ачивка намечается. А отдуваться админу, конечно.

Тут уже написали, что Windows подход не работает, но это не совсем так. Устроить огораживание на Mac можно, но это уже неэффективно. И это первая ошибка в подходе закоренелого Windows-админа, воображение которого волею судеб оказалось заперто в рамках того, с чем он привык работать.

Отдельно добавлю, что формулировки вопросов на Тостере сегодня показывают грустную картину отсутствия инженерного подхода. Ну да ладно.

Итак.

Менеджмент Mac
Все как привыкли? gpupdate запустил и счастлив. Если у AD есть свои политики и механизмы, то Apple со своей стороны сделало свои, которые работают только под управлением сервера MDM, который вы можете реализовать самостоятельно, потому что это, по сути, веб-сервер и БД, которые для доставки используют APNS. Функционал MDM ограничен тем, что добавило в него Apple. И каждый год он обновляется. Где-то он круче AD, где-то нет. Например, для 10.15 добавили Activation Lock. Что касается коммуникации с сервером - вы не привязаны к конкретному офису, достаточно доступа в Интернет. А так как команды “прилетают” через Push - о NAT думать не надо.

Но не политиками едиными. На Windows мы ещё и скрипты используем, батники запускать любим. А что с MDM? Сам по себе сервер MDM скрипты не выполняет, но решения MDM, которые продаются сегодня, (Jamf, Workspace One, Mobileron, Filewave, Fleetsmith...) предлагают возможности установки агента, который будет эти функции выполнять. И заметьте, что скрипты полностью не перекрывают функционал MDM, это заблокировано на уровне системы в целях безопасности.

Что касается интеграции с AD, Azure AD, Microsoft 365 - решения есть (Nomad, Jamf Connect), но это уже надстройки к MDM.

Задача (задачи?) минимум
Подключение
Вы же на Windows не через механизмы AD подключаетесь (если отбросить аутентификацию и авторизацию), а через определенный протокол, который обеспечивает определенная служба, которую можно включить вручную или через AD. На Mac почти также, просто протокол другой.

Блокировка
Это зашито в протоколе MDM и Works like magic. Но желательно к этому включить пароль прошивки и Activation Lock

Задача (задачи) максимум
Централизованный сетап пк с macos возможности схожие с AD
С настройками разобрались, теперь надо ставить ПО. MDM ставить PKG не умеет (ну почти), поэтому пользуемся решениями вендоров, которые по сути выполняют команды в терминале. Учимся паковать Skype в PKG, меня настройки, боремся с TCC, UAKEL и что там еще...

Соответственно читаем:
Apple Device Managemnet за авторством Charles Edge и Rick Trouton
Если сложно - можно и Arek Dreyer почитать
Bash Cookbook
Python
Про упаковку приложений в PKG

САМЫЙ ВАЖНЫЙ АБЗАЦ
Когда мы (мак-админы) объясняем Windows-админам то, как происходит современное управление устройствами Apple, у последних (у админов) происходит катарсис и в лучшем случае просветление.
Почему? Потому что в современном мире вы не даете все права, а потом отбираете их по кусочкам. Вы даете пользователю только то, что ему требуется для работы. Это нелегко понять, особенно с первого раза.
Ответ написан
@q2digger
никого не трогаю, починяю примус
Есть свой собственный Apple-овский macOS Server , он немного костыльный, но мы его используем для авторазворачивания софта , туда ставятся профили организации и он позволяет (если комп имеет доступ к серверу , через интернет например) удаленно его заблочить , поставить на него софт, рулить некоторыми настройками.
Есть еще разные облачные системы, ищите по словам Apple MDM
Ответ написан
Комментировать
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы