Главная » Linux

Mac os in the enterprise

Содержание
  1. How to create a bootable installer for macOS
  2. What you need to create a bootable installer
  3. Download macOS
  4. Use the ‘createinstallmedia’ command in Terminal
  5. How to Manage Mac Devices in the Enterprise: Four Approaches and Challenges Explained
  6. 1.Incorporate Mac devices into the Active Directory domain using existing tools.
  7. 2. Use special third-party tools to manage Mac devices in the AD domain.
  8. 3. Manage Mac like mobile devices.
  9. 4. Manage both Mac and PC computers in Microsoft SCCM.
  10. Extend SCCM for Enterprise-Level Mac Management
  11. Как нам пришлось научиться управлять Маками в корпоративной сети

How to create a bootable installer for macOS

You can use an external drive or secondary volume as a startup disk from which to install the Mac operating system.

These advanced steps are primarily for system administrators and others who are familiar with the command line. You don’t need a bootable installer to upgrade macOS or reinstall macOS, but it can be useful when you want to install on multiple computers without downloading the installer each time.

What you need to create a bootable installer

  • A USB flash drive or other secondary volume formatted as Mac OS Extended, with at least 14GB of available storage
  • A downloaded installer for macOS Big Sur, Catalina, Mojave, High Sierra, or El Capitan

Download macOS

  • Download: macOS Big Sur, macOS Catalina, macOS Mojave, or macOS High Sierra
    These download to your Applications folder as an app named Install macOS [ version name ]. If the installer opens after downloading, quit it without continuing installation. To get the correct installer, download from a Mac that is using macOS Sierra 10.12.5 or later, or El Capitan 10.11.6. Enterprise administrators, please download from Apple, not a locally hosted software-update server.
  • Download: OS X El Capitan
    This downloads as a disk image named InstallMacOSX.dmg. On a Mac that is compatible with El Capitan, open the disk image and run the installer within, named InstallMacOSX.pkg. It installs an app named Install OS X El Capitan into your Applications folder. You will create the bootable installer from this app, not from the disk image or .pkg installer.

Use the ‘createinstallmedia’ command in Terminal

  1. Connect the USB flash drive or other volume that you’re using for the bootable installer.
  2. Open Terminal, which is in the Utilities folder of your Applications folder.
  3. Type or paste one of the following commands in Terminal. These assume that the installer is in your Applications folder, and MyVolume is the name of the USB flash drive or other volume you’re using. If it has a different name, replace MyVolume in these commands with the name of your volume.

Big Sur:*

Catalina:*

Mojave:*

High Sierra:*

El Capitan:

* If your Mac is using macOS Sierra or earlier, include the —applicationpath argument and installer path, similar to the way this is done in the command for El Capitan.

After typing the command:

  1. Press Return to enter the command.
  2. When prompted, type your administrator password and press Return again. Terminal doesn’t show any characters as you type your password.
  3. When prompted, type Y to confirm that you want to erase the volume, then press Return. Terminal shows the progress as the volume is erased.
  4. After the volume is erased, you may see an alert that Terminal would like to access files on a removable volume. Click OK to allow the copy to proceed.
  5. When Terminal says that it’s done, the volume will have the same name as the installer you downloaded, such as Install macOS Big Sur. You can now quit Terminal and eject the volume.

Источник

How to Manage Mac Devices in the Enterprise: Four Approaches and Challenges Explained

To read this blog post in Spanish, please click here.

Apple® Mac devices are growing in corporate popularity by the day. It’s up to IT departments to make sure that these devices utilize all resources in the environment, as well as ensure they’re visible and managed.

This can be a challenge, as Mac and Windows are very different, and Mac devices remain a minority in Windows-dominant environments. Determining how to incorporate Mac into a Windows infrastructure includes a number of factors, such as: the number of devices that need support; what type of access they require; and what tools and systems an organization already has. IT departments also need to figure out how to integrate Mac with existing Windows and Active Directory domains.

In Windows-centric organizations, managing Mac is not the highest priority on the IT project list for a variety of reasons. Few IT teams have expertise in managing Mac. Familiar techniques for managing PCs don’t help, and the best practices for dealing with Mac in a complex enterprise infrastructure can be convoluted and are not widely known.

IT teams take four main approaches when trying to accommodate Mac devices:

  1. Incorporate Mac devices into the Active Directory (AD) domain using existing tools meant for Windows computers.
  2. Use special third-party tools to manage Mac devices in the AD domain.
  3. Manage Mac like mobile devices.
  4. Manage both Mac and PC computers in Microsoft SCCM.

Some teams decide to have unmanaged macOS® devices in the environment, but this is a big security risk. You won’t necessarily lose a job if a Mac gets hacked and your infrastructure becomes vulnerable, but this can be destructive in many other ways.

Let’s take an in-depth look at these four approaches to managing Mac devices in a Windows environment.

1.Incorporate Mac devices into the Active Directory domain using existing tools.

This is the preference of many IT administrators. It’s possible to a certain degree; Mac desktops and laptops include the client component necessary to join AD and other standards-based directory services. Binding a Mac to the domain is relatively simple. Windows Server automatically creates the computer object in AD (unless it already exists), just like it would with a Windows desktop.

Recent macOS releases make it even easier to integrate Apple products, as the OS can work with Microsoft System Center Configuration Manager (SCCM) and Microsoft Exchange ActiveSync.

The fact remains, however, that Mac computers are not Windows desktops, and most management products are built for Windows. Native SCCM capabilities for Mac devices are limited and insufficient for full macOS lifecycle management. Compatibility issues inevitably come up. One way to smooth these issues is to extend the AD schema to better accommodate Mac computers. However, that requires development resources and technical expertise beyond what many companies can commit, especially if Mac devices are in the minority.

Читайте также:  Acpi 8086228a 1 windows 10

2. Use special third-party tools to manage Mac devices in the AD domain.

AD and command support in macOS make integrating Mac devices easier, but many administrators still like to use other tools to help with management. For example, IT admins can join Mac devices to AD domains and then use Apple Remote Desktop™ to push commands out to Mac clients.

An alternative is to implement Mac OS X® Server on its own system; Apple Profile Manager can then be used to set Mac policies based on AD groups. This entails setting up an Apple Open Directory domain alongside the AD service, which can make management easier in the long term. The Mac devices are still bound to AD, so there is seamless communication between the two environments, as well as shared file and printer services.

If this sounds too complicated, there is Centrify User Suite (Mac Edition), which can administer Mac devices and centrally manage authentication, policy enforcement, and single sign-on. Another option is Jamf Pro, a comprehensive endpoint management product.

3. Manage Mac like mobile devices.

Apple is moving toward a mobile device management (MDM) model, rather than a traditional directory services model. This means that IT admins can use the same management tools on Mac computers, iOS, and Android devices.

The new Apple MDM framework allows administrators to initiate AirPlay® sessions on managed devices and push enterprise applications to Mac computers. Improved OS X Server and platform capabilities also make it more MDM-friendly. Users can register Mac devices, and vendors can make use of a greater number of application programming interfaces available to third-party security and management solutions.

Many MDM vendors have quickly embraced new Mac features, such as VMware AirWatch. AirWatch allows admins to manage Mac computers alongside smartphones and tablets and perform a wide variety of tasks.

Organizations can also implement a separate tool, such as MobileIron or an Apple server not bound to AD. This allows IT admins to implement user access through virtual private networks without having to join the devices to the domain. This is useful when incorporating users’ personal Mac laptops.

4. Manage both Mac and PC computers in Microsoft SCCM.

This approach works best for organizations that already use Microsoft SCCM to manage PC. However, Microsoft SCCM alone has only a few features for managing Mac devices—not enough for managing Mac in enterprise. SCCM allows for the following:

  • Setting up support and enrolling macOS clients.
  • Deploying settings to macOS clients.
  • Performing hardware inventory of macOS clients.
  • Deploying applications to macOS clients.

While SCCM is capable of managing these devices, additional items need to be installed and configured to support Mac. You’ll need to implement a public key infrastructure for Active Directory Certificate Services. These certificates are used to communicate with SCCM through SSL communications. Each Mac with a SCCM client installed acts like an Internet-based client.

Since the Mac devices are acting like Internet-based clients, you’ll need to have a Configuration Manager Site server with a fully qualified domain name, as well as a minimum of one HTTPS-enabled management point and one HTTPS-enabled distribution point.

You’ll also need to configure the enrollment point and enrollment proxy point features in SCCM. This will allow your macOS clients to be enrolled in the SCCM environment after the client is installed. In order to enable the management of these macOS clients, you’ll need to configure custom client settings.

SCCM’s built-in support for Mac OS does work great, but there are certain limitations to the features and functionality of this support. To manage Max OS X clients, you must have PKI infrastructure and additional SCCM site systems. If you’re not planning on enabling HTTPS communications for your entire corporate environment, you’ll need to have multiple management points and distribution points. One management point will be configured for HTTP communications, and one will be configured for HTTPS communications, as is the same for the multiple distribution points.

Extend SCCM for Enterprise-Level Mac Management

What if you could add the same right-click management that Windows devices receive in SCCM to Mac devices? What if you could do it with a short learning curve, no silos, and the same system administrators?

There is a solution that can do all of this and more: Parallels® Mac Management for Microsoft® SCCM. Parallels Mac Management gives SCCM all the missing tools for Mac management, including FileVault® 2 encryption, macOS deployment, application delivery, Apple Device Enrollment Program, and compliance via SCCM configuration items and baselines.

With Parallels Mac Management, you simply add full macOS lifecycle management to Microsoft SCCM and manage PC and Mac computers in a single pane of glass. There’s a minimum learning curve and no additional infrastructure required. The solution leverages your Microsoft SCCM investments and enables Windows admins to manage Mac computers.

For further information on Parallels Mac Management, please feel free to contact our sales team to request a free trial.

Источник

Как нам пришлось научиться управлять Маками в корпоративной сети

Bring Your Own Device (BYOD) — уже вполне реальная головная боль админов, у которых в корпоративной сетке появился не только Macbook топ-менеджера, но и iPad (а то и iPhone) его заместителя. Мы в этом году опросили в США более сотни сисадминов крупных компаний – что они используют для управления мобильными гаджетами в корпоративной сети, занятой преимущественно ПК под Windows. Победили варианты «ничего» и «крепкие выражения/алкоголь/слезы». При этом 45% признались, что в их компаниях уже закуплены Mac в рабочих целях. Значит, задачу уже надо решать, так как через BYOD-устройства, которыми пользуются руководители и ключевые сотрудники, может проходить информация ценой в миллионы рублей, и для них жизненно важно соответствовать корпоративным политикам.

В этом посте мы хотим рассказать, как внедряли в своей же компании собственное решение для управления Маками в корпоративной среде – Parallels Mac Management, с чего начали и с чем столкнулись в процессе (включая чисто психологические аспекты поведения своих же сотрудников). А еще — порассуждать о том, действительно ли нужен Mac в корпоративной сети (и узнать ваше мнение об этом), для чего, и кто чем пользуется для управления.

Читайте также:  Восстановление через recovery windows
«Страшная» реальность

Несмотря на то, что далеко не во всех ИТ-службах компаний могут найти ответ на вопрос, зачем им нужен именно Mac в корпоративной среде, их рост – это факт (см. исследования Greyhound Research и независимых экспертов). Рост продаж наших собственных десктопных и мобильных продуктов для корпоративного рынка (Parallels Desktop для Mac Enterprise Edition, того же Parallels Mac Management и бизнес-версии Parallels Access) это тоже подтверждает. Плюс опрос, который говорит о том, что 95% тех, кто работает на Windows, с удовольствием перебегут на Mac OS X, как только смогут использовать единую систему управления ПК на различных платформах.

Будем честными – для многих компаний с точки зрения экономии затрат и ресурсов выгоднее выбирать ПК под Windows: Маки дороже, экосистема специализированных приложений под Mac OS X значительно менее развита, ими менее привычно массово управлять. Почему же продукция Apple продолжает настойчиво проникать в корпоративную среду?

Есть свое устройство поработать? А если найду?

В том же опросе нам сказали: платформа Mac более надежна — меньше «глюков» и вирусов (заявило 77% опрошенных), легко обслуживается (65%) и помогает привлечь сотрудников (тоже 65%). Но нам кажется, что причина все-таки в росте популярности самой концепции BYOD, который вызван следующими факторами:

Во-первых, это взрывной рост количества мобильных устройств — телефонов и планшетов — и их переориентация на профессиональные задачи. Становится все больше легко носимых гаджетов, способных делать все то, что совсем недавно могли делать только компьютеры. Это касается как смартфонов, так и планшетов. В 2013 году продано больше 195 млн планшетов (62% — под Android, 36% — под iOS). Тогда же количество используемых телефонов на платформах Android и iOS X в мире превысило 900 млн (доля iPhone — 15,2%, Android -78,6%). И уже в этом году люди купят больше планшетов, чем портативных компьютеров.

Во-вторых – мода на BYOD, вполне возможно, отражает новые отношения между компаниями-работодателями и сотрудниками. Эти новые веяния постепенно проникают к нам с Запада, и выражаются в том, что сотрудники все реже рассматривают себя как часть организации, либо даже не входят в штат. Например, contractors («подрядчики») в США сотрудниками не считаются, компания имеет право указывать им, что делать, но не как. Штатные сотрудники ведут себя так же. При таком подходе у сотрудников меньше ограничений, и он де-факто навязывается всем участникам рынка, включая работодателей. А раз не важно, как решаются задачи, то можно использовать любые милые сердцу устройства. Вопросы их технического сопровождения редко обсуждаются, так как не связаны непосредственно с бизнесом. К тому же BYOD снимает затраты на приобретение устройств с работодателя и перекладывает их на сотрудника.

Зачем включать Mac в корпоративную среду?

Может быть, проще проигнорировать отдельные случаи их появления? Мы считаем, что нужно делать это ровно с теми же целями, с которыми мы контролируем и ПК под Windows. Например, в нашей компании они следующие:

  • Предотвращение утраты данных на ноутбуке из-за технического сбоя или ухода пользователя из компании.
  • Инвентаризация ПО и оборудования для точного планирования обновлений, соответствия лицензионным требованиям и верного прогноза расходов на ИТ.
  • Упрощение удаленного администрирования – развертывание стандартных образов ОС, развертывание или обновление программных продуктов, удаленное управление для разрешения инцидентов, конфигурации, соответствующие политикам.
  • Специфическая для нас цель: опыт практического применения продуктов собственной разработки.
Как начался проект внедрения

Придя к пониманию, для чего нам все-таки нужно научиться управлять своими собственными Маками (нам кажется, каждый ИТ-отдел задает себе этот вопрос, но, по опыту, ответ в случае с Маками может быть и неожиданным), мы открыли новый проект. Выбирая инструмент администрирования Mac, мы исходили из предпосылки, что корпоративная среда по определению имеет единый каталог учетных записей на основе Microsoft Active Directory и инфраструктуру VPN для предоставления доступа к корпоративной сети удаленным пользователям, и что пользователи заинтересованы в том, чтобы служба ИТ решала их проблемы. Это важно, потому что нерадивый и незаинтересованный сотрудник вполне может удалить агент на Mac, а потом уверять, что «все не работает».

В конце 2012 года мы определили 3 потенциально пригодных продукта: Centrify User Suite Mac edition, Microsoft System Center 2012 SP1 (находившийся в тот момент на этапе Customer Technology Preview, CTP) и версия 1.0 Parallels Mac Management (далее — PMM). От Centrify отвратила необходимость платить за лицензию. Лицензия на System Center предоставляется партнерам Microsoft бесплатно в рамках программы Microsoft Partner Network (а мы ее участники). Дополнительное число клиентских лицензий (Client Management License, CML) для System Center уже купили раньше под задачу развертывания System Center Configuration Manager 2007 в российском офисе. Эти лицензии нужны и для развертывания PMM, потому что содержание Product Use Rights* на System Center 2012 явно указывало на то, что CML требуется на каждое управляемое устройство, без оговорок на происхождение агента. Кстати, и дистрибутив сервера SCCM 2012 получить можно было только при покупке CML: лицензия на сервер отсутствовала в номенклатуре Microsoft, доступ же к дистрибутиву на Volume Licensing Service Center был привязан к приобретению CML.

Возможность управления Mac на момент начала проекта была только объявлена для SCCM 2012 SP1. Выход его релиза был назначен на начало 2013 года, так что сложности были очевидны. РММ тогда согласились протестировать у себя несколько партнеров компании, и когда служба ИТ нашей собственной взялась за развертывание РММ «внутри», то появилась новая цель — быстрее получить отзывы, чтобы ускорить доработку продукта. От «своих» разработчики получали их, естественно, в более короткие сроки, потому что этот процесс через обычную цепочку «сейлз-инженер»-«продукт-менеджер»-«руководитель разработчиков» обычно затягивается. К тому же партнеры находились в США (а это разница еще и во времени, и в языке). Зато — никаких тепличных условий для нашего ИТ: обращение в техподдержку PMM в общем порядке, постановка задач на доработку в общей очереди, согласно приносимой выручке (а раз в этом случае выручки нет, то доработки будут выполнены, только если их потребует один из платящих заказчиков). В итоге у службы ИТ появился опыт по детальному описанию user case для каждой новой функции, а ее реализация зависела от того, пожелает ли получить ее один из заказчиков.

Читайте также:  Windows show system users
Развертывание PMM

Для этого были выбраны все Mac сотрудники, которые не занимались разработкой или тестированием продуктов. Географически они находились по всему миру: в офисах в Рентоне, штате Вашингтон в США, Москве, Новосибирске, Мюнхене, Сингапуре, Токио; у удаленных сотрудников на территории США, стран ЕС, Австралии и стран Юго-Восточной Азии.
Предполагалось, что системные администраторы этих офисов смогут облегчить выполнение своих обязанностей за счет возможностей PMM: удаленного управления, централизованной установки стандартных пакетов ПО и обновлений, централизованного применения политик безопасности (на основе Mac OS X Profile), установки стандартных образов ОС, инвентаризации оборудования.

Особо выделим задачу по удаленному администрированию Parallels Desktop для Mac (хорошо знакомый пользователям Mac продукт десктопной виртуализации, мы про него писали здесь) и распространению стандартных виртуальных машин для него. Удаленное администрирование включает в себя задание оптимальных настроек ВМ, активацию и установку обновлений. Стандартные виртуальные машины (Windows 8 с Office 2013) были выбраны как из соображений совместимости документов и привычки пользователей к интерфейсу Office для Windows, который значительно отличается от интерфейса Office for Mac, так и потому, что многие приложения до сих пор просто не имеют версий для Mac OS X.

Для решения всего набора задач было решено установить Primary server SCCM в Рентоне и по одной Distribution Point в офисах со значительным числом пользователей – Рентоне, Мюнхене, Сингапуре, Москве и Новосибирске. Удаленные пользователи подключаются через VPN к ближайшему из дата-центров (Рентон, Мюнхен, Москва или Сингапур), откуда их трафик пробрасывается через корпоративную сеть MPLS до Distribution Point, к которой пользователь приписан.

Наш extension интегрируется в интерфейс System Center Configuration Manager

Серверная часть PMM была установлена на Primary server. Установку клиента делали вручную, частично сами пользователи, частично – системные администраторы. Пользователям прислали письмо с гиперссылкой на дистрибутив агента, вмешательство системного администратора требовалось лишь в случаях, когда установка не заканчивалась успешно. Начиная с версии PMM 1.7 установка, включая обновление версии агента по команде SCCM, успешно выполнялась в автоматическом режиме примерно в 90% случаев. В большей части случаев, когда установка агента на компьютер, где его раньше не было, проваливалась, причиной было несоблюдение пользователем порядка установки (запустить установку можно без подключения к VPN, но для успешного завершения необходим доступ к домен-контроллеру, который доступен только через VPN). Сейчас текущая версия PMM – 3.1, детские болезни можно считать преодоленными, а дальнейшее развитие направлено на расширение функций.

Итоги развертывания

С технической точки зрения развертывание PMM в Parallels можно считать успешным. Агент установлен более чем на 95% выбранных внутри компании Mac (более 150). Возможна доставка пакетов ПО на управляемые Mac, применение парольной политики, удовлетворяющей принятым в компании требованиям к сложности и времени жизни паролей, через профили Mac OS X, настройка параметров виртуальных машин. Начиная с версии 2.0 возможна автоматизированная установка ОС, хотя опыта массового обновления ОС таким способом пока нет, поскольку встроенные средства Mac OS сами справляются с задачей обновления ОС. Также в третьей версии появились и такие новые функции, как портал самообслуживания по работе с приложениями, поддержка инфраструктуры HTTPS SCCM и приложений SCCM. Улучшили поддержку SCCM-клиента, поддерживается также система шифрования FileVault 2 с персональными ключами.

Портал самообслуживания в Parallels Mac Management

Одним из труднейших препятствий на пути внедрения PMM было изучение SCCM. У нас вообще не было опыта работы с этим продуктом, поэтому одному из системных администраторов пришлось изучать его сначала самостоятельно, а затем и на сертифицированных курсах Microsoft. Последнее позволило систематизировать самостоятельно приобретенные знания и опыт, а также получить ответы на накопившиеся за время самостоятельных попыток установки и применения SCCM вопросы. Значительная часть проблем, возникавших при установке и развертывании PMM, в итоге оказывалась обусловленной неоптимальной настройкой SCCM. ВЫВОД РАЗ: браться за развертывание PMM можно только тогда, когда в организации есть опыт работы с SCCM, а если его еще нет, то необходимо формальное обучение администратора.

Второе препятствие было психологически-юридического свойства. Некоторые сотрудники в странах ЕС возражали против установки агента, заявляя, что таким образом отдел ИТ будет вторгаться в их частную жизнь. Это противодействие пришлось преодолевать с помощью генерального поверенного, объяснявшего, что принадлежащие компании компьютеры – не место для личной информации. Такие возражения могут, однако, иметь значительно более твердую почву в случае BYOD. Поскольку технического решения для них по определению быть не может (агент, способный переустановить ОС, может получить доступ к любым данным), то решение должно лежать в договорной плоскости. ВЫВОД ДВА: Сотрудникам, работающим на условиях BYOD, следует предлагать письменно соглашаться с установкой агента как с условием заключения трудовых или договорных отношений.

Что день грядущий нам готовит

В итоге все трудности преодолены, и Parallels Mac Management находится в коммерческой эксплуатации и внедрено в ряде компаний, из самых крупных можно упомянуть Rackspace, Samsung и McAfee. Наш собственный внутренний проект мы при этом не закончили: следующий этап – обучение сотрудников нашей службы технической поддержки применению PMM в ежедневной практике. Это потребует, в первую очередь, научить их основам SCCM, так как все операции выполняются через его интерфейс (Маки в нем управляются так же, как компьютеры). Планируем также внедрить у себя же портал самообслуживания по работе с приложениями (Application Self Service Portal), чтобы сотрудники могли сами устанавливать рекомендуемый и соответствующий корпоративным политикам софт.

Сейчас у Parallels Mac Management самый большой рост продаж по сравнению с другими решениями Parallels – более 50% за год. Это говорит о том, что задачи включения Mac в корпоративную среду стали остро актуальными, и когда наконец-то появилась практическая возможность их решить, реализация не заставила себя ждать.

Мы можем в результате сделать следующие выводы: во-первых, помимо «ничего», «слез» и «крепких выражений» все-таки есть продукты, которые помогут решать задачи управления Маками (и даже помимо нашего собственного). Во-вторых, вам придется улаживать разные конфликтные аспекты взаимодействия ПК и Mac в одной сети, в том числе – неожиданные и психологические (не все сотрудники рассмотрят преимущества BYOD наравне с ответственностью за содержимое этого самого D).

И нам действительно интересно, что вы сами об этом думаете: нужны ли Маки в бизнес-среде и какие тут могут быть сценарии использования. Так что пишите свои соображения и вопросы в комментариях, мы постараемся ответить на каждый.

* Product Use Rights – основной документ, определяющий переданные лицензиату по программам корпоративного лицензирования права на ПО Microsoft.
Автор статьи – Виталий Хозяинов, старший руководитель проектов в Parallels (США)

Источник

Оцените статью
© 2024 Советы по настройке компьютера