Administrar esas Mac: una guía para administradores de Windows

La incorporación de Mac a un entorno de TI existente puede hacer que cualquier administrador de Windows se sienta un poco equivocado. Todo es familiar, en términos de tareas y configuraciones, pero con un giro suficiente para parecer un poco extraño al principio. Nuestra serie continua de consejos de administración de Mac está aquí para ayudarlo a implementar Mac de manera segura y productiva.

En la primera parte de esta serie, analicé los requisitos esenciales para integrar Mac en entornos empresariales, incluido cómo unirlos a sistemas empresariales. A escala, las grandes implementaciones de Mac a menudo requieren un conjunto único de habilidades y herramientas para tener éxito. Lo mismo ocurre con la aplicación de políticas de administración a Mac, que cubro en este artículo. Aquí, obtendrá una descripción general de las políticas de Mac e información sobre cómo planificar una estrategia para implementarlas.

En la parte final de la serie, analizaré las herramientas específicas que se utilizan para aplicar políticas, así como las herramientas que ofrecen funciones adicionales de administración e implementación.

El resultado de las políticas de gestión de Mac

Cómo gestionar Mac es una cuestión de escala. Los técnicos de organizaciones con una pequeña cantidad de Mac a menudo pueden configurar cada Mac individualmente o crear una imagen de sistema única que aplique una configuración uniforme a cada Mac. En organizaciones más grandes, los desafíos son más complejos. Los diferentes usuarios o departamentos tendrán diferentes necesidades de configuración y requerirán diferentes privilegios de acceso. Además, a menudo tendrán necesidades de configuración relacionadas con usuarios individuales y grupos, así como necesidades relacionadas con Mac específicas según su uso (y, a veces, su hardware). Debido a esto, la configuración manual es simplemente demasiado ineficaz. Aquí, la automatización es clave.

Con este fin, Apple ofrece una gama de políticas que se pueden aplicar a su flota de Mac para hacer cumplir los requisitos de seguridad, ayudar a configurar automáticamente las máquinas Mac a perfiles específicos y habilitar y restringir el acceso a los recursos de su red.

Si ya está familiarizado con las políticas de grupo de Windows, le complacerá saber que puede administrar completamente la experiencia del usuario de Mac de una manera similar utilizando las políticas de Apple para Mac. La mayoría de estas políticas se pueden aplicar a Mac específicas (o grupos de Mac) oa cuentas de usuario específicas (o membresías de grupos). Sin embargo, algunas políticas solo se pueden vincular a Mac o cuentas de usuario. La familiaridad con cómo se pueden configurar las políticas es vital para crear su estrategia de administración de Mac.

Por ejemplo, al igual que con las políticas de grupo de Windows, las políticas relacionadas con las necesidades del usuario y los controles de acceso a menudo se administran en función de la pertenencia al grupo relacionada con el departamento, los roles de trabajo y otros factores. Los requisitos de configuración de seguridad de Mac y aplicaciones departamentales se establecen mejor en Mac (o un grupo de Mac), en lugar de usuarios (o membresías de grupos). Algunas políticas, como las de Ahorro de energía, son específicas de Mac en lugar de específicas del usuario de forma predeterminada.

El meollo de la implementación de políticas

Las políticas de administración de Mac, como las políticas de iOS, se almacenan como datos XML en los perfiles de configuración. Estos perfiles se pueden aplicar a Mac de una de estas tres formas: creándolos manualmente y distribuyéndolos a Mac / usuarios individuales, a través de la aplicación gratuita Apple Configurator 2; implementando una solución MDM / EMM; o mediante el uso de suites de administración de escritorio tradicionales.

Si elige distribuir manualmente los perfiles de configuración, deberá utilizar el Administrador de perfiles de OS X Server para crearlos, luego los perfiles resultantes deberán instalarse manualmente en cada Mac. Cuando se abre, el perfil le pedirá al usuario que instale las políticas incluidas. Con este método, no existe una forma totalmente automatizada de distribuir perfiles de configuración sin utilizar herramientas de implementación adicionales. Si confía en los usuarios en lugar del personal de TI para instalarlos, puede ser difícil asegurarse de que se hayan instalado. Debido a esto, la distribución manual de perfiles puede ser la opción más simple, pero probablemente sea menos ideal, o incluso viable, para organizaciones más grandes.

(Nota: Profile Manager en sí es una solución MDM específica de Apple que se puede usar para implementar políticas a la manera de otras ofertas de MDM / EMM, además de crear perfiles de configuración para la distribución manual).

La aplicación Apple Configurator 2 se puede utilizar para instalar perfiles / políticas en Macs conectados, así como en dispositivos iOS. Esto proporciona una solución sencilla y sin costo para garantizar que los perfiles / políticas estén instalados y funcionando. Sin embargo, requiere que cada Mac administrado esté conectado a un Mac que ejecute Apple Configurator 2 por USB para la configuración. Esto hace que Apple Configurator 2 sea una excelente herramienta para pequeñas empresas y organizaciones educativas, que a menudo tienen un conjunto simple de necesidades de políticas, pero es una estrategia de administración de Mac ineficiente si necesita configurar una gran cantidad de Mac.

Aquí, las herramientas MDM / EMM pueden ayudar, ya que las políticas de Mac se pueden aplicar utilizando el mismo marco MDM que utilizan los dispositivos iOS. Como tal, la mayoría de los proveedores que admiten la administración de iOS también admiten la administración de Mac. Por lo tanto, son una opción amigable para las empresas, particularmente porque muchas organizaciones ya usan tales soluciones para administrar dispositivos iOS y Android.

Otra opción que se adapta bien al uso empresarial es la suite de administración de escritorio tradicional, que incluye suites específicas de Apple, como Casper Suite de JAMF, y suites multiplataforma, como LanDesk Management Suite y Symantec Management Platform. Estas suites no solo aplican políticas, sino que a menudo ofrecen herramientas de administración e implementación. Dada la popularidad de las suites, muchas organizaciones a menudo ya tienen tales herramientas en uso, o pueden encontrar sus características adicionales lo suficientemente atractivas como para invertir en ellas (más sobre estas herramientas en la tercera parte de esta serie).

Si le preocupa la naturaleza basada en XML de las políticas de Mac, tenga la seguridad: los administradores generalmente no necesitan crear o editar directamente los datos XML utilizados en las políticas de administración de Mac. La mayoría de las herramientas de Apple y de terceros proporcionan interfaces de usuario intuitivas para establecer opciones de políticas y manejan la creación XML necesaria bajo el capó. Una excepción es la política de configuración personalizada para especificar la configuración de las aplicaciones instaladas y las funciones adicionales de OS X, que se describen más adelante en este artículo. La configuración de ajustes personalizados requerirá entrar en las entrañas de XML.

Políticas básicas de administración de Mac que todo administrador debe conocer

Apple ofrece una gama vertiginosa de opciones de políticas para la administración de Mac, pero un conjunto específico de 13 políticas es el más utilizado y es el más crítico para administrar y asegurar Mac en un entorno empresarial. Cada una de las siguientes políticas de administración central se aplica a Mac o usuarios, a menos que se especifique lo contrario:

  • Red: para configurar los ajustes de red, incluida la configuración de Wi-Fi y algunos detalles de la conexión Ethernet.
  • Certificado: para implementar certificados digitales utilizados en comunicaciones cifradas dentro de una organización, así como algunas credenciales de identidad para servicios específicos (muchos servicios de red dependen de certificados para una comunicación y autenticación seguras).
  • SCEP: Para definir la configuración para adquirir y / o renovar certificados de una CA (Autoridad de certificación) utilizando SCEP (Protocolo simple de inscripción de certificados). SCEP proporciona una opción automatizada que permite a los dispositivos adquirir / renovar certificados. Se utiliza como parte del proceso de inscripción MDM de Apple para dispositivos iOS y también se puede utilizar para la inscripción de Mac en un entorno administrado. La configuración de SCEP variará según la CA y las herramientas de gestión relacionadas en funcionamiento.  
  • Certificado de Active Directory: para proporcionar información de autenticación para los servidores de certificados de Active Directory. Esta política solo se puede establecer para cuentas de usuario.
  • Directorio: para configurar los servicios de directorio de miembros, incluidos Active Directory y Open Directory de Apple. Se pueden configurar varios sistemas de directorio. Esta política solo se puede establecer para Mac.
  • Exchange: para configurar el acceso a la cuenta de Exchange de un usuario en las aplicaciones nativas de correo, contactos y calendario de Apple. (No configura Microsoft Outlook). Esto solo se puede configurar para cuentas de usuario.
  • VPN: para configurar el cliente VPN integrado de Mac. Se pueden configurar varias variables. Si está en funcionamiento, los usuarios no podrán modificar la configuración de VPN.
  • Seguridad y privacidad: para configurar varias de las funciones de seguridad integradas de OS X, incluida la herramienta de seguridad y reputación de la aplicación GateKeeper, el cifrado FileVault (se puede configurar solo para Mac, no para los usuarios) y si los datos de diagnóstico se pueden enviar a Apple.
  • Movilidad: para establecer si se admite o no la creación de cuentas móviles, así como las variables relacionadas (consulte el primer artículo de esta serie para obtener información sobre cuentas móviles).
  • Restricciones: para restringir el acceso a una variedad de funciones de OS X, como Game Center, App Store, la capacidad de iniciar aplicaciones específicas, acceso a medios externos, uso de la cámara incorporada, acceso a iCloud, sugerencias de búsqueda de Spotlight, AirDrop compartir y acceder a varios servicios en el menú para compartir de OS X.
  • Ventana de inicio de sesión: para configurar la ventana de inicio de sesión de OS X, incluidos los mensajes de la ventana de inicio de sesión (denominados banners); si un usuario puede reiniciar o apagar una Mac sin iniciar sesión; y si se puede acceder o no a información adicional sobre Mac desde la ventana de inicio de sesión.
  • Impresión: para preconfigurar el acceso a las impresoras y especificar un pie de página opcional para todas las páginas impresas.
  • Proxies: para especificar servidores proxy.

Políticas adicionales para completar su flota

Además de las políticas enumeradas anteriormente, Apple ofrece una variedad de opciones de políticas para configurar la experiencia del usuario de Mac. Algunas organizaciones encontrarán estas políticas útiles para todas las Mac o solo para un subconjunto de su flota. Estas políticas incluyen la capacidad de preconfigurar AirPlay; para configurar el acceso a un servidor CalDAV y un servidor CardDAV en las aplicaciones Calendario y Contactos; para establecer la capacidad de instalar fuentes adicionales; para configurar el acceso a un servidor LDAP únicamente con el fin de buscar datos de contacto; para preconfigurar cuentas POP e IMAP en la aplicación Correo; para configurar y agregar elementos (clips web, carpetas, aplicaciones) al Dock; para configurar las preferencias de Ahorro de energía, así como los horarios de inicio / apagado / despertar / dormir; para habilitar una versión simplificada de Finder y bloquear ciertos comandos, como Conectar al servidor, Expulsar volumen, Grabar disco, Ir a carpeta,Reiniciar y apagar; para especificar elementos que deberían abrirse automáticamente al iniciar sesión; configurar funciones de accesibilidad para usuarios con discapacidades; para configurar cuentas de Jabber en la aplicación Mensajes; y así.

También existe una opción para rellenar previamente la identificación de la cuenta de usuario cuando se instala un perfil. Esto se usa generalmente cuando los perfiles se instalan en Mac individuales. Cuando una Mac se une a un directorio, la información de la cuenta de usuario se recupera del directorio.

La política de actualización de software es relevante para las organizaciones que implementan OS X Server para su uso como un servidor de actualización de software local. OS X Server tiene la capacidad de almacenar en caché copias locales de las actualizaciones de software de Apple para mejorar el rendimiento y reducir la congestión de la red al actualizar su flota.

Configuración personalizada: su política para definir la configuración del sistema o la aplicación

La política de configuración personalizada juega un papel importante en la maximización de la capacidad de TI para administrar toda la experiencia del usuario de Mac. Permite que un administrador especifique la configuración de cualquier aplicación instalada y funciones adicionales de OS X incluso si esas aplicaciones o funciones no tienen una política explícita definida por Apple. Cuando se utilizan, se deben especificar los datos XML de una aplicación o un archivo de preferencias de funciones. La forma más fácil de usar esta opción es configurar una aplicación o función con la configuración deseada y luego ubicar el archivo .plist apropiado (generalmente en el directorio / Library / Preferences dentro de la carpeta de inicio del usuario actual). Alternativamente, la información y las claves XML relacionadas se pueden ingresar manualmente.

Interacción de políticas

Dado que las políticas se pueden aplicar en función de Mac individuales, grupos de Mac, cuentas de usuario individuales o grupos de usuarios, existen situaciones en las que se pueden aplicar varias políticas a la vez. La experiencia resultante depende en gran medida del tipo de política.

La mayoría de las políticas agregan un elemento de configuración; cuando hay varias instancias de estas políticas, se aplican todas. Por ejemplo, si una Mac tiene una política que especifica elementos del Dock y un usuario es miembro de dos grupos, cada uno de los cuales especifica elementos del Dock adicionales, ese usuario verá un conjunto combinado de todos los elementos del Dock especificados cuando inicie sesión en esa Mac. (Otro usuario que inicie sesión en esa misma Mac vería los elementos del Dock especificados para esa Mac, así como los especificados para las afiliaciones de su grupo).

Sin embargo, hay algunos casos en los que las políticas no pueden simplemente sumarse entre sí. Esto es particularmente cierto en el caso de las funciones que restringen el acceso de los usuarios a funciones o funciones. En estos casos, la política más restrictiva es la que se aplica.