管理者にとって重要なヒント:Macをビジネスに融合させる方法

それでもMacがデザインやマーケティングなどの専門部門だけに適していると思うなら、もう一度考えてみてください。Macのビジネスでの使用は増加しており、それに伴い、フリートをより適切に管理する必要があります。

たとえば、この過去の秋、AppleとIBMは、Big Blueの従業員が使用するMacの数が増えていることを強調し、IBMは50,000台の新しいMacBookを約束しました。これは、IBMが毎週約1,900台のMacを展開する注文書です。

IBMのMac展開のサイズと速度は重要ですが、より注目すべき数字にはMacの展開とサポートのコストが含まれます。CFOのLuca Maestriによると、IBMは従業員が従来のPCの代わりに使用するMacBookごとに約270ドルを節約しています。 IBM VP Fletcher Previnは、MacBookを使用しているIBM従業員のわずか5%が、PCユーザーの40%と比較して、サポートのためにヘルプデスクに電話をかけていると述べています。

主要なMac展開を開始することは、サポートの潜在的なコスト削減、より堅牢なセキュリティ、信頼性の高い(プレミアムの場合)ハードウェア、およびユーザーの需要や満足度の理由から、多くの組織にとってより魅力的なオプションになりつつあります。Appleのより大きなエコシステムとの統合は、特にそれがまだエンタープライズスマートフォンとして支配的であるiPhoneに関連している場合、ビジネスにおけるMacに追加の議論を提供します。

以下は、Macフリートを最大限に活用することを目的とした3つの記事の最初の記事です。

Macの展開に関しては規模が重要です

主要なビジネスおよび生産性アプリの堅実なスイートと、Macを主要なエンタープライズシステムに簡単に統合する機能により、今日の企業でのMacの採用に対する障壁は、数年前と比べてはるかに少なくなっています。

まだ存在する1つの障壁:OSXがWindowsとアーキテクチャ的に異なるという事実。その結果、Macを採用するIT部門は、これらの違いを理解し、Macを大規模に適切かつ効率的にサポート、管理、および展開するスキルを確実に身に付ける必要があります。

少数のMacを効果的にサポートすることは特に難しいことではないため、ここでの実用的な言葉は「スケール」です。ヘルプデスクとサポートスタッフは、Mac OSとそのハードウェアのサポートについて理解する必要がありますが、Appleはこれらのスキルを習得するためのトレーニング、自習、認定オプションを提供しているため、特に難しいことではありません。ただし、Macの展開をスケーリングするということは、特に実装と構成に関する多くのプロセスを自動化できること、および組織全体の多数のMacに管理ポリシーを適用する方法を知っていることを意味します。これらのスキルは、Windowsシステム管理者のスキルがヘルプデスクエージェントのスキルをはるかに超えているように、単に個々のMacをセットアップしてトラブルシューティングするだけではありません。

Mac管理の重要な部分

企業のMac管理は、次の3つの主要コンポーネントで構成されています。

  1. MacをActiveDirectoryやExchangeなどの主要なエンタープライズシステムと統合する
  2. グループポリシーがWindowsPCを管理するのと同様に、ポリシーを適用してMacを管理します。
  3. Macと、Macが実行するアプリと構成を効率的に展開および更新する方法を理解する

PC管理の場合と同様に、これらの領域は全体的なワークフローに統合されますが、プロセスはやや個別になる傾向があります。この記事では、これらの領域の最初の領域であるMacとエンタープライズシステムの統合について説明します。このシリーズの次の2つの記事では、マネージドMacのポリシーオプションと展開方法をそれぞれ理解する方法について説明します。

Macの管理に関連するさまざまなタスクを実行するための複数のツールとメカニズムがあります。OSX自体に組み込まれているツールを使用することが最も基本的なオプションです。これは効果的ですが、大規模なMac展開を管理する場合には制限となる可能性があります。もう1つのオプションは、OS X Server、Appleのデバイス登録プログラム(DEP)、およびそのボリューム購入プログラム(VPP)など、Appleの追加のエンタープライズ指向ソリューションを利用して、プロセスのさまざまな部分を合理化および強化することです。Appleが提供するものを大幅に拡張するサードパーティソリューションの範囲もあります。

OSXとActiveDirectory

Active Directoryは、事実上すべての組織にとって重要なエンタープライズコンピューティングです。 PCをActiveDirectory環境に参加させると、ユーザー認証、アクセス制御、監査ログ、Windows環境の管理、Exchangeなどのさまざまな追加システムとの統合など、あらゆる種類の重要な機能が提供されます。 Active Directoryは、組織内のほぼすべてに関する情報の中心的なソースとして機能し、PCだけではありません。エンタープライズコンピューティングの多くを可能にするのは、本質的に接着剤です。

幸いなことに、MacはActiveDirectoryに参加できます。個々のMacでは、プロセスはかなり簡単です。システム環境設定を起動し、[ユーザーとグループ]に移動し、サイドバーの[ログインオプション]を選択し、[ネットワークアカウントサーバー]の横にある[参加]ボタンをクリックして、ドメインの適切な情報を入力し、PCをドメインに参加させる権限を持つアカウントを使用して認証します。これが完了すると、ユーザーはPCとほぼ同じようにActiveDirectory資格情報を使用してそのMacにログインできるようになります。シングルサインオンは、ネットワークブラウジングやファイル共有などの多くのサービスでもサポートされています。

MacをActiveDirectoryに参加させると、主にユーザー認証とパスワードポリシーの順守が可能になります。PCがActiveDirectoryに参加しているときに一般的な一部の機能は、自動的には発生しません。グループポリシーに基づく構成、またはユーザーのアカウントに基づくExchangeなどのサービスへのアクセスの自動構成は2つの例です。これらはポリシーを使用して自動化できますが、これらのポリシーは通常、MacのActiveDirectoryメンバーシップに直接関連付けられていません。ただし、Mac自体に関する基本的な属性は、PCの場合と同じようにActiveDirectoryに保存されます。

MacをActiveDirectoryに参加させるときのオプション

MacをActiveDirectoryに参加させるときに、一連のオプションを指定できることは注目に値します。これらのオプションは手動で調整できますが、多くの環境ではデフォルトが適切に機能します。変更を加えるには、上記の[ネットワークアカウントサーバー]ダイアログの[ディレクトリユーティリティを開く]ボタンをクリックします。このシリーズの後半では、Macのフリートを展開するときにこれらの変更を自動化する方法について説明します。

手動調整は、次の3つの領域に分けられます。

  1. ユーザー体験
  2. 属性マッピング
  3. 管理オプション

ユーザーエクスペリエンスオプションには、ユーザーのネットワークホームディレクトリと、OS Xのターミナルアプリを起動したときにユーザーが遭遇するデフォルトのUnixシェルが含まれます(特に指定されていない限り/bin/bash、デフォルトです)。

ホームディレクトリに関しては、OS Xは、ユーザーのMacでのローカルホームディレクトリの作成(スタンドアロンMacでのホームディレクトリの作成方法と同様のデフォルトの動作)をサポートしています。これは、ユーザーが許可するネットワークホームディレクトリです。複数のMac間でファイルと設定にアクセスするため、およびOS XDockにフォルダとしてマウントされたネットワークホームディレクトリへのアクセスを許可するオプション。オフラインアクセス用にActiveDirectoryアカウント(およびネットワークホームディレクトリ)を同期/ミラーリングするローカルアカウント(およびローカルホームディレクトリ)であるモバイルアカウントを作成するオプションもあります。モバイルアカウントは自動的に作成されるため、ユーザーが複数のMacでモバイルアカウントを持っている場合は混乱や同期の問題が発生する可能性があります。また、新しいMacにログインするときにモバイルアカウントの作成をユーザーに確認させることで、この機能をオプションにすることもできます。

属性マッピングは、OS XServerに含まれているOpenDirectoryと呼ばれるActiveDirectoryに似たApple独自のLDAPベースのディレクトリサービスとの統合に関連しています。各Macには、OpenDirectory属性に基づくローカルアカウント情報用のローカルディレクトリノードが含まれています。 OpenDirectoryはActiveDirectoryと同じ機能を提供しますが、一部のアカウント属性は2つで異なります。 A Macが自動的にActive Directoryに参加し、オープンディレクトリは、それが同等のActive Directory属性に必要となる属性をマップする(uniqueIDprimaryGroupID、およびgidNumber)。 Active Directoryスキーマが変更されている場合、代替マッピングを作成することは可能ですが、これはほとんどの環境では必要ありません。

MacがActiveDirectoryに参加するときに設定できる管理オプションは3つあります。1つ目は、特定のドメインコントローラーを優先することです。デフォルトでは、MacはPCと同じように最も利用可能なドメインコントローラーを検索します。これをオーバーライドして、代わりに最初にアクセスする特定のドメインコントローラーを指定することができます。

2つ目は、Active Directoryグループのメンバーが、ActiveDirectoryアカウントを使用してログインしたときにMacへの管理者アクセスを許可する機能です。これは、PCに付与できる機能と同じです。このオプションはデフォルトで無効になっています。有効にすると、任意のActive Directoryグループを指定できますが、ドメイン管理者とエンタープライズ管理者はデフォルトで有効になっています。

デフォルトで有効になっている最後のオプションは、Macが参加しているドメインだけでなく、ActiveDirectoryフォレスト内の任意のドメインのアカウントを使用した認証を許可することです。

MacとActiveDirectoryの統合に関する追加情報は、Appleから入手できます。

OSXとExchange

Active Directoryの次に、Exchangeは最も一般的に使用されるエンタープライズサービスの1つです。MacをExchangeと統合するには、2つのオプションがあります。OSXでネイティブPIMアプリを使用するか、Outlook forMacを含むOfficeforMacを展開します。どちらのオプションも、MacがActive Directoryに参加しているときにユーザーのアカウントに基づいて自動的に構成されませんが、ポリシーに基づいて自動的に構成できます。

手動での構成は非常に簡単で、ユーザーが実行できます。ネイティブアプリの場合、このオプションは[システム環境設定]の[インターネットアカウント]ペインにあります。Outlookの場合、[設定]ダイアログにあり、[初期設定]ダイアログに表示されます。

VPN構成

OS Xは、L2TP over IPSec、PPTP、Cisco IPSec、およびIKEv2VPNをネイティブにサポートします。これらは、ポリシーによって自動的に構成することも、システム環境設定の「ネットワーク」ペインを使用して手動で構成することもできます。追加のVPNタイプは、サードパーティのクライアントを使用してサポートされます。ポリシーを使用して、VPNクライアントを含むほとんどのサードパーティソフトウェアを構成することができます。

次に

このシリーズの次の記事では、管理ポリシーをMacとユーザーに適用するさまざまな方法と、OSXで使用できるポリシーオプションの完全なセットについて説明します。

関連記事

  • Windows10とMacOS X:どちらがシステム管理者により多くの制御を提供しますか?
  • Mac OSXの実際のセキュリティリスクに関する明確なガイド
  • オフィスのMac:成功はセキュリティFUDを生む
  • 企業におけるMacについての真実
  • パワーユーザー向けのOSXコマンドラインシークレットトップ20