Ок, давайте рассмотрим вопрос в различных аспектах. Прежде всего, не будем вдаваться в подробности того, почему такой вопрос вообще возник. Может у компании аудит на горизонте, или бюджеты не освоены или у CTO ачивка намечается. А отдуваться админу, конечно.
Тут уже написали, что Windows подход не работает, но это не совсем так. Устроить огораживание на Mac можно, но это уже неэффективно. И это первая ошибка в подходе закоренелого Windows-админа, воображение которого волею судеб оказалось заперто в рамках того, с чем он привык работать.
Отдельно добавлю, что формулировки вопросов на Тостере сегодня показывают грустную картину отсутствия инженерного подхода. Ну да ладно.
Итак.
Менеджмент Mac
Все как привыкли? gpupdate запустил и счастлив. Если у AD есть свои политики и механизмы, то Apple со своей стороны сделало свои, которые работают только под управлением сервера MDM, который вы можете реализовать самостоятельно, потому что это, по сути, веб-сервер и БД, которые для доставки используют APNS. Функционал MDM ограничен тем, что добавило в него Apple. И каждый год он обновляется. Где-то он круче AD, где-то нет. Например, для 10.15 добавили Activation Lock. Что касается коммуникации с сервером - вы не привязаны к конкретному офису, достаточно доступа в Интернет. А так как команды “прилетают” через Push - о NAT думать не надо.
Но не политиками едиными. На Windows мы ещё и скрипты используем, батники запускать любим. А что с MDM? Сам по себе сервер MDM скрипты не выполняет, но решения MDM, которые продаются сегодня, (Jamf, Workspace One, Mobileron, Filewave, Fleetsmith...) предлагают возможности установки агента, который будет эти функции выполнять. И заметьте, что скрипты полностью не перекрывают функционал MDM, это заблокировано на уровне системы в целях безопасности.
Что касается интеграции с AD, Azure AD, Microsoft 365 - решения есть (Nomad, Jamf Connect), но это уже надстройки к MDM.
Задача (задачи?) минимум
Подключение
Вы же на Windows не через механизмы AD подключаетесь (если отбросить аутентификацию и авторизацию), а через определенный протокол, который обеспечивает определенная служба, которую можно включить вручную или через AD. На Mac почти также, просто протокол другой.
Блокировка
Это зашито в протоколе MDM и Works like magic. Но желательно к этому включить пароль прошивки и Activation Lock
Задача (задачи) максимум
Централизованный сетап пк с macos возможности схожие с AD
С настройками разобрались, теперь надо ставить ПО. MDM ставить PKG не умеет (ну почти), поэтому пользуемся решениями вендоров, которые по сути выполняют команды в терминале. Учимся паковать Skype в PKG, меня настройки, боремся с TCC, UAKEL и что там еще...
Соответственно читаем:
Apple Device Managemnet за авторством Charles Edge и Rick Trouton
Если сложно - можно и Arek Dreyer почитать
Bash Cookbook
Python
Про упаковку приложений в PKG
САМЫЙ ВАЖНЫЙ АБЗАЦ
Когда мы (мак-админы) объясняем Windows-админам то, как происходит современное управление устройствами Apple, у последних (у админов) происходит катарсис и в лучшем случае просветление.
Почему? Потому что в современном мире вы не даете все права, а потом отбираете их по кусочкам. Вы даете пользователю только то, что ему требуется для работы. Это нелегко понять, особенно с первого раза.
