それらのMacを管理する:Windows管理者向けのガイド

Macを既存のIT環境に導入すると、Windows管理者は少し足が不自由に感じる可能性があります。タスクと設定の点ではすべてがよく知られていますが、最初は少し異質に見えるほどのひねりがあります。Macの管理に関する継続的なヒントは、Macを安全かつ生産的に展開するためのガイドとしてここにあります。

このシリーズのパート1では、Macをエンタープライズシステムに結合する方法など、Macをエンタープライズ環境に統合するための基本的な要件について説明しました。大規模なMacの展開では、成功するために独自のスキルとツールのセットが必要になることがよくあります。この記事で取り上げるMacへの管理ポリシーの適用についても同じことが言えます。ここでは、Macポリシーの概要と、それらを展開するための戦略を計画する方法についての洞察を得ることができます。

シリーズの最後の部分では、ポリシーの適用に使用される特定のツールと、追加の管理および展開機能を提供するツールについて説明します。

Mac管理ポリシーの結果

Macの管理方法は規模の問題です。 Macの数が少ない組織の技術者は、多くの場合、各Macを個別に構成したり、すべてのMacに統一された構成を適用する単一のシステムイメージを作成したりできます。大規模な組織では、課題はより複雑です。ユーザーまたは部門が異なれば、構成のニーズも異なり、必要なアクセス権限も異なります。さらに、多くの場合、個々のユーザーやグループに関連する構成のニーズや、用途(場合によってはハードウェア)に基づいた特定のMacに関連するニーズがあります。このため、手動構成は単純に非効率的です。ここでは、自動化が鍵となります。

この目的のために、Appleは、セキュリティ要件を適用し、Macマシンを特定のプロファイルに自動的に構成し、ネットワーク上のリソースへのアクセスを有効化および制限するために、Macフリートに適用できるさまざまなポリシーを提供します。

すでにWindowsグループポリシーに精通している場合は、AppleのMac用ポリシーを使用して同様の方法でMacユーザーエクスペリエンスを完全に管理できることを知って幸せです。これらのポリシーのほとんどは、特定のMac(またはMacのグループ)または特定のユーザーアカウント(またはグループメンバーシップ)のいずれかに適用できます。ただし、一部のポリシーはMacまたはユーザーアカウントにのみ関連付けることができます。Mac管理戦略を作成するには、ポリシーの構成方法に精通していることが重要です。

たとえば、Windowsのグループポリシーと同様に、ユーザーのニーズとアクセス制御に関連するポリシーは、部門、職務、およびその他の要因に関連するグループメンバーシップに基づいて管理されることがよくあります。部門別アプリとMacのセキュリティ設定要件は、ユーザー(またはグループメンバーシップ)ではなく、Mac(またはMacのグループ)に基づいて設定するのが最適です。Energy Saverポリシーなどの一部のポリシーは、デフォルトではユーザー固有ではなくMac固有です。

ポリシー展開の要点

iOSポリシーと同様に、Mac管理ポリシーはXMLデータとして構成プロファイルに保存されます。これらのプロファイルは、次の3つの方法のいずれかでMacに適用できます。無料のApple Configurator 2アプリを使用して、プロファイルを手動で作成し、個々のMac /ユーザーに配布する。MDM / EMMソリューションを実装する。または、従来のデスクトップ管理スイートを使用します。

構成プロファイルを手動で配布することを選択した場合は、OS X Serverのプロファイルマネージャーを使用してそれらを作成する必要があります。その後、結果のプロファイルを各Macに手動でインストールする必要があります。プロファイルを開くと、含まれているポリシーをインストールするようにユーザーに求められます。この方法を使用すると、追加の展開ツールを使用せずに構成プロファイルを配布する完全に自動化された方法はありません。 ITスタッフではなくユーザーにインストールを依頼している場合、それらがインストールされていることを確認するのは難しい場合があります。このため、プロファイルを手動で配布するのが最も簡単なオプションかもしれませんが、大規模な組織にとっては理想的ではないか、実行可能でさえありません。

(注:プロファイルマネージャー自体は、手動配布用の構成プロファイルの作成に加えて、他のMDM / EMM製品の方法でポリシーをプッシュするために使用できるApple固有のMDMソリューションです。)

Apple Configurator 2アプリを使用して、テザーMacおよびiOSデバイスにプロファイル/ポリシーをインストールできます。これにより、プロファイル/ポリシーがインストールされ、機能していることを確認するための簡単で無料のソリューションが提供されます。ただし、構成するには、管理対象の各MacをUSBでApple Configurator2を実行しているMacに接続する必要があります。これにより、Apple Configurator 2は、ポリシーのニーズが単純なものであることが多い中小企業や教育機関にとって優れたツールになりますが、多数のMacを構成する必要がある場合は非効率的なMac管理戦略になります。

ここでは、iOSデバイスで使用されているのと同じMDMフレームワークを使用してMacポリシーを適用できるため、MDM / EMMツールが役立ちます。そのため、iOS管理をサポートするほとんどのベンダーは、Mac管理もサポートしています。したがって、特に多くの組織がすでにiOSおよびAndroidデバイスを管理するためにそのようなソリューションを使用しているため、これらは企業向けのオプションです。

エンタープライズでの使用に適したもう1つのオプションは、JAMFのCasperSuiteなどのApple固有のスイートとLanDeskManagementSuiteやSymantecManagementPlatformなどのマルチプラットフォームスイートの両方を含む従来のデスクトップ管理スイートです。これらのスイートは、ポリシーを適用するだけでなく、多くの場合、管理および展開ツールを提供します。スイートの人気を考えると、多くの組織はすでにそのようなツールを使用していることが多く、またはそれらに投資するのに十分な魅力的な追加機能を見つけることができます(これらのツールの詳細はこのシリーズのパート3にあります)。

MacポリシーのXMLベースの性質について懸念がある場合は、ご安心ください。通常、管理者はMac管理ポリシーで使用されるXMLデータを直接作成または編集する必要はありません。ほとんどのAppleおよびサードパーティのツールは、ポリシーオプションを設定するための直感的なUIを提供し、内部で必要なXML作成を処理します。1つの例外は、この記事の後半で説明する、インストールされているアプリと追加のOSX機能の設定を指定するためのカスタム設定ポリシーです。カスタム設定を構成するには、XMLの本質を理解する必要があります。

すべての管理者が知っておく必要のあるコアMac管理ポリシー

AppleはMac管理のために目まぐるしい範囲のポリシーオプションを提供していますが、13のポリシーの特定のセットが最も一般的に使用されており、エンタープライズ環境でMacを管理および保護するために最も重要です。特に指定がない限り、次の各コア管理ポリシーはMacまたはユーザーのいずれかに適用されます。

  • ネットワーク:Wi-Fi構成や一部のイーサネット接続の詳細など、ネットワーク設定を構成します。
  • 証明書:組織内の暗号化通信で使用されるデジタル証明書と、特定のサービスの一部のID資格情報を展開するため(多くのネットワークサービスは、安全な通信と認証のために証明書に依存しています)。
  • SCEP:SCEP(Simple Certificate Enrollment Protocol)を使用して、CA(認証局)から証明書を取得および/または更新するための設定を定義します。SCEPは、デバイスが証明書を取得/更新できるようにする自動化されたオプションを提供します。これは、iOSデバイス用のAppleのMDM登録プロセスの一部として使用され、管理された環境へのMacの登録にも使用できます。SCEP構成は、動作中のCAおよび関連する管理ツールによって異なります。  
  • Active Directory証明書:ActiveDirectory証明書サーバーの認証情報を提供します。このポリシーは、ユーザーアカウントにのみ設定できます。
  • ディレクトリ:ActiveDirectoryやAppleのOpenDirectoryなどのメンバーシップディレクトリサービスを構成するため。複数のディレクトリシステムを構成できます。このポリシーはMacにのみ設定できます。
  • Exchange:Appleのネイティブのメール、連絡先、およびカレンダーアプリでユーザーのExchangeアカウントへのアクセスを構成します。(Microsoft Outlookは構成されません。)これは、ユーザーアカウントに対してのみ設定できます。
  • VPN:Macの組み込みVPNクライアントを構成するため。いくつかの変数を構成できます。動作中の場合、ユーザーはVPN構成を変更できません。
  • セキュリティとプライバシー:GateKeeperアプリのレピュテーションとセキュリティツール、FileVault暗号化(ユーザーではなくMacのみに設定可能)、診断データをAppleに送信できるかどうかなど、OSXに組み込まれているセキュリティ機能のいくつかを構成します。
  • モビリティ:モバイルアカウントの作成がサポートされているかどうか、および関連する変数を設定します(モバイルアカウントについては、このシリーズの最初の記事を参照してください)。
  • 制限:Game Center、App Store、特定のアプリを起動する機能、外部メディアへのアクセス、内蔵カメラの使用、iCloudへのアクセス、Spotlight検索候補、AirDropなどのさまざまなOSX機能へのアクセスを制限するため共有、およびOSX共有メニューのさまざまなサービスへのアクセス。
  • ログインウィンドウ:ログインウィンドウメッセージ(バナーと呼ばれる)を含む、OSXログインウィンドウを構成するため。ユーザーがログインせずにMacを再起動またはシャットダウンできるかどうか。ログインウィンドウからMacに関する追加情報にアクセスできるかどうか。
  • 印刷:プリンターへのアクセスを事前構成し、すべての印刷ページにオプションのフッターを指定します。
  • プロキシ:プロキシサーバーを指定します。

フリートを完成させるための追加ポリシー

上記のポリシーに加えて、AppleはMacユーザーエクスペリエンスを構成するためのさまざまなポリシーオプションを提供しています。一部の組織では、これらのポリシーがすべてのMacまたはそのフリートのサブセットにのみ役立つことがわかります。これらのポリシーには、AirPlayを事前設定する機能が含まれています。カレンダーアプリと連絡先アプリでCalDAVサーバーとCardDAVサーバーへのアクセスを設定する。追加のフォントをインストールする機能を確立するため。連絡先データを検索する目的でのみLDAPサーバーへのアクセスを構成するため。メールアプリでPOPアカウントとIMAPアカウントを事前設定する。アイテム(Webクリップ、フォルダー、アプリ)を構成してDockに追加するため。省エネ設定、および起動/シャットダウン/スリープ解除/スリープのスケジュールを設定します。 Finderの簡易バージョンを有効にし、サーバーへの接続、ボリュームの取り出し、ディスクの書き込み、フォルダへの移動、フォルダへの移動などの特定のコマンドをブロックします。再起動してシャットダウンします。ログイン時に自動的に開くアイテムを指定します。障害を持つユーザーのアクセシビリティ機能を構成するため。メッセージアプリでJabberアカウントを設定する。等々。

プロファイルのインストール時にユーザーアカウントIDを事前入力するオプションもあります。これは通常、プロファイルが個々のMacにインストールされている場合に使用されます。Macがディレクトリに参加すると、ユーザーアカウント情報がディレクトリから取得されます。

ソフトウェアアップデートポリシーは、ローカルソフトウェアアップデートサーバーとして使用するためにOSXサーバーを展開している組織に関連しています。OS X Serverには、フリートを更新する際のパフォーマンスを向上させ、ネットワークの輻輳を軽減するために、Apple SoftwareUpdatesのローカルコピーをキャッシュする機能があります。

カスタム設定:アプリまたはシステム設定を定義するためのポリシー

カスタム設定ポリシーは、Macのユーザーエクスペリエンス全体を管理するITの能力を最大化する上で重要な役割を果たします。これにより、管理者は、インストールされているアプリや追加のOS X機能の設定を、それらのアプリや機能にAppleによって定義された明示的なポリシーがない場合でも指定できます。使用する場合、アプリまたは機能の設定ファイルからのXMLデータを指定する必要があります。このオプションを使用する最も簡単な方法は、目的の設定でアプリまたは機能を構成してから、適切な.plistファイル(通常は現在のユーザーのホームフォルダー内の/ Library / Preferencesディレクトリ)を見つけることです。または、関連するXMLキーと情報を手動で入力することもできます。

ポリシーの相互作用

ポリシーは、個々のMac、Macのグループ、個々のユーザーアカウント、またはユーザーグループに基づいて適用できるため、一度に複数のポリシーが適用される場合があります。結果として得られるエクスペリエンスは、ポリシーのタイプに大きく依存します。

ポリシーの大部分は構成要素を追加します。これらのポリシーのインスタンスが複数ある場合、それらすべてが適用されます。たとえば、MacにDockアイテムを指定するポリシーがあり、ユーザーがそれぞれ追加のDockアイテムを指定する2つのグループのメンバーである場合、そのユーザーは、そのMacにログインすると、指定されたすべてのDockアイテムの組み合わせセットを表示します。(同じMacにログインしている別のユーザーには、そのMacに指定されているDockアイテムと、自分のグループ所属に指定されているアイテムが表示されます。)

ただし、ポリシーを単純に相互に追加できない場合もあります。これは、機能または機能へのユーザーアクセスを制限する機能に特に当てはまります。このような場合、最も制限の厳しいポリシーが適用されます。