[30/04/2016] Llevar Mac a un entorno de TI existente puede hacer que cualquier administrador de Windows se sienta descolocado. Todo es familiar, en función de las tareas y la configuración, pero parece un poco extraño al principio. Nuestra serie de consejos de administración de Mac tiene la intención de guiarlo en el despliegue seguro y productivo de las Mac.
En escala, los grandes despliegues de Mac a menudo requieren un conjunto único de habilidades y herramientas para tener éxito. Lo mismo ocurre con la aplicación de las políticas de gestión a los Mac, que cubro en este artículo. A continuación, obtendrá una visión general de las políticas y puntos de vista de Mac sobre la forma de planificar una estrategia para implementarlas.
El resultado de las políticas de gestión de Mac
Cómo administrar Mac es una cuestión de escala. Los técnicos de las organizaciones con un pequeño número de Macs a menudo pueden configurar cada Mac de forma individual o crear una imagen de sistema único que aplica una configuración uniforme para todas las Mac. En las organizaciones más grandes, los desafíos son más complejos. Los diferentes usuarios o departamentos tendrán diferentes necesidades de configuración, y se requerirán diferentes privilegios de acceso. Por otra parte, a menudo tienen necesidades de configuración relacionadas con usuarios individuales y grupos, así como necesidades relacionadas con Macs específicas en función de su uso (ya veces su hardware). Debido a esto, la configuración manual es simplemente demasiado ineficiente. Aquí, la automatización es la clave.
Con este fin, Apple ofrece una serie de políticas que se pueden aplicar a su flota de Mac para hacer cumplir los requisitos de seguridad, para ayudar en la configuración automática de las Mac para perfiles específicos, y para permitir y restringir el acceso a los recursos de la red.
Si ya está familiarizado con las directivas de grupo de Windows, le alegrará saber que se puede administrar por completo la experiencia del usuario Mac de una manera similar utilizando las políticas de Apple para Mac. La mayoría de estas políticas se pueden aplicar ya sea para Mac específicas (o grupos de Mac), o para las cuentas de usuario específicas (o membresía de grupos). Algunas políticas, sin embargo, solo pueden estar vinculadas a Mac o a cuentas de usuario. La familiaridad con cómo pueden estar configuradas las políticas es vital para la creación de su gestión estratégica Mac.
Por ejemplo, al igual que con las políticas de grupo de Windows, las políticas relacionadas con las necesidades del usuario y los controles de acceso a menudo son manejados en base a la pertenencia a grupos relacionados con el departamento, los roles de trabajo, y otros factores. Las aplicaciones del departamento y los requisitos de configuración de seguridad de Mac se hacen mejor en base a Mac (o grupo de Macs), en lugar de los usuarios (o la pertenencia a grupos). Algunas políticas, como las políticas de ahorro de energía, son específicas para Mac en lugar de específicas para usuario por defecto.
El meollo de la cuestión del despliegue de políticas
Las políticas de gestión de Mac, al igual que las políticas de iOS, se almacenan como datos XML en perfiles de configuración. Estos perfiles se pueden aplicar a equipos Mac en una de tres maneras: mediante la creación y distribución a las Macs/usuarios individuales de forma manual, a través de la conexión libre a la aplicación de Apple Configurator 2; mediante la implementación de una solución MDM/EMM; o mediante el uso de suites tradicionales de gestión de escritorio.
Si decide distribuir perfiles de configuración manualmente, tendrá que utilizar el perfil de OS X Server Manager para crearlos, luego tendrá que instalarlos manualmente en cada Mac. Cuando se abra, el perfil le pedirá al usuario que instale las políticas incluidas. Con el uso de este método, no hay manera totalmente automatizada para distribuir perfiles de configuración sin necesidad de utilizar herramientas de implementación adicionales. Si se basa en usuarios en lugar de personal de TI para instalarlos, puede ser difícil asegurarse de que se han instalado. Debido a esto, los perfiles de distribución manual pueden ser la opción más simple, pero probablemente menos ideal, o incluso viable, para las grandes organizaciones.
(Nota: Profile Manager es una solución MDM específica para Apple que se puede utilizar para empujar las políticas en la forma de otras ofertas MDM/EMM, además de crear perfiles de configuración para la distribución manual.)
La aplicación de Apple Configurator 2 se puede utilizar para instalar perfiles/políticas a Macs "atadas”, así como a dispositivos iOS. Esto proporciona una solución sencilla, sin costo, para garantizar que los perfiles/políticas se han instalado y están en funcionamiento. Sin embargo, se requiere que cada Mac logre conectarse a una Mac con Apple Configurator 2 mediante USB para configurarla. Esto hace de Apple Configurator 2 una excelente herramienta para las pequeñas empresas y organizaciones educativas, que a menudo tienen necesidades simples, pero es una estrategia ineficaz de gestión si necesita configurar un gran número de Macs.
Aquí, las herramientas de MDM/EMM pueden ayudar, a medida que las políticas de Mac puedan ser aplicadas utilizando el mismo marco MDM utilizado por los dispositivos iOS. Por ello, la mayoría de los proveedores que apoyan la gestión de iOS también respaldan la gestión de Mac. Por lo tanto, son una opción favorable para las empresas, sobre todo debido a que muchas organizaciones ya utilizan este tipo de soluciones para gestionar dispositivos iOS y Android.
Otra opción que se adapta bien para el uso empresarial es el conjunto tradicional de gestión de escritorio, incluyendo ambas suites específicas de Apple como JAMF de Casper Suite, y suites de varias plataformas, tales como LANDesk Management Suite y la plataforma de administración Symantec. Estas suites no solo aplican políticas, sino que a menudo ofrecen herramientas de gestión e implementación. Dada la popularidad de las suites, muchas organizaciones suelen tener ya este tipo de herramientas en uso, o pueden encontrar a sus características adicionales suficientemente convincentes como para invertir en ellas.
Si tiene preocupaciones acerca de la naturaleza de las políticas de Mac basadas en XML, puede estar seguro: Los administradores generalmente no necesitan crear o editar directamente los datos XML que se utilizan en las políticas de gestión de Mac. La mayoría de las herramientas de Apple y de otros fabricantes proporcionan interfaces de usuario intuitivas para configurar las opciones de política, y manejan la creación XML necesaria bajo el capó. Una excepción es la política de ajustes personalizados para especificar la configuración de las aplicaciones instaladas y características adicionales de OS X, que se analizan más adelante en este artículo. La configuración de los ajustes personalizados requerirá entrar en las entrañas de XML.
Las políticas de gestión centrales de Mac que cada administrador debe conocer
Apple proporciona una vertiginosa gama de opciones de políticas para la gestión de Mac, pero un conjunto específico de 13 políticas más comúnmente utilizadas son las más críticas para la gestión y seguridad de las Mac en un entorno empresarial. Cada una de las siguientes políticas de gestión básicas se aplican a cualquiera de las Mac o usuarios, a menos que se especifique lo contrario:
* Red: Para la configuración de red, incluyendo la configuración WiFi y algunos detalles de la conexión Ethernet.
* Certificado: Para implementar certificados digitales utilizados en la comunicación codificada dentro de una organización, así como algunas credenciales de identidad para servicios específicos (muchos servicios de red se basan en certificados para la comunicación segura y la autenticación).
* SCEP: Para definir los ajustes para la adquisición y/o renovación de certificados de una CA (autoridad certificada, por sus siglas en inglés) mediante SCEP (protocolo simple de inscripción de certificados, por sus siglas en inglés). SCEP ofrece una opción automatizada que permite a los dispositivos adquirir/renovar certificados. Se utiliza como parte del proceso de inscripción MDM de Apple para dispositivos iOS, y se puede utilizar también para la inscripción de las Mac en un entorno gestionado. La configuración SCEP puede variar dependiendo de las herramientas de CA y de gestión en funcionamiento.
* Certificado de Active Directory: Para proporcionar información de autenticación para los servidores de certificados de Active Directory. Esta política solo puede ajustarse para las cuentas de usuario.
* Directorio: Para la configuración de los servicios de directorio de miembros, incluyendo Active Directory y Open Directory de Apple. Los sistemas de directorios múltiples se pueden configurar. Esta política sólo se puede configurar para Macs.
* Intercambio: Para configurar el acceso a la cuenta de un usuario de Exchange en las aplicaciones nativas de Apple de correo, contactos y calendario. (No configurar Microsoft Outlook.) Esto solo puede ajustarse para las cuentas de usuario.
* VPN: Para la configuración de cliente de VPN incorporado en la Mac. Se pueden configurar varias variables. Si está en funcionamiento, los usuarios no serán capaces de modificar la configuración de la VPN.
* Seguridad y privacidad: Por configurar las características incorporadas de seguridad de varios OS X, incluyendo la reputada aplicación GateKeeper y herramienta de seguridad, FileVault (se puede configurar para Mac, no para usuarios), y los datos de diagnóstico se pueden enviar a Apple.
* Movilidad: Para establecer si es o no compatible con la creación de cuentas móviles, así como variables relacionadas.
* Restricciones: Para restringir el acceso a una gama de características OS X, como el Game Center, App Store, la capacidad de lanzar aplicaciones específicas, el acceso a los medios de comunicación externos, el uso de la cámara integrada, el acceso a iCloud, sugerencias de búsqueda de Spotlight, Lanzamiento desde el aire el intercambio y acceso a diversos servicios en el menú compartido de OS X.
* Ventana de acceso: Para la configuración de la ventana de inicio de sesión OS X, incluyendo cualquier mensaje de la ventana de inicio de sesión (en adelante, paneles); Ya sea que un usuario reinicie o apague una Mac sin necesidad de acceder a ella; y ya sea que se pueda o no acceder a la información adicional sobre la Mac desde la ventana de inicio de sesión.
* Impresión: Para preconfigurar el acceso a impresoras y especificar un pie de página opcional para todas las páginas impresas.
* Proxis: Para especificar los servidores proxy.
Políticas adicionales para completar su flota
Además de las políticas mencionadas anteriormente, Apple ofrece una gama de opciones de política para la configuración de la experiencia del usuario de Mac. Algunas organizaciones encuentran que estas políticas son útiles para todas las Macs, o solo para un subconjunto de su flota. Estas políticas incluyen la capacidad de preconfigurar AirPlay; configurar el acceso a un servidor CalDAV y un servidor CardDAV en las aplicaciones de calendario y contactos; establecer la capacidad de instalar fuentes adicionales; configurar el acceso a un servidor LDAP con el único fin de buscar los datos de contacto; preconfigurar cuentas POP e IMAP en la aplicación de correo; configurar y añadir elementos (clips Web, carpetas, aplicaciones) en Dock; para establecer las preferencias de ahorro de energía, así como la puesta en marcha/horarios de apagado/vigilia/sueño; para permitir una versión simplificada del Finder y bloquear ciertos comandos, como Conectar al servidor, Expulsar volumen, Grabar disco, Ir a la carpeta, Reiniciar y Apagar el sistema; para especificar los elementos que deberían abrirse automáticamente al iniciar la sesión; configurar las funciones de accesibilidad para los usuarios con discapacidad; configurar las cuentas de Jabber en la aplicación de mensajes; y así sucesivamente.
También hay una opción para rellenar previamente la identificación de cuenta de usuario cuando se ha instalado un perfil. Esto se utiliza generalmente cuando los perfiles están instalados en Macs individuales. Cuando una Mac está unida a un directorio, la información de cuenta de usuario se recupera del directorio.
La política de actualización de software es relevante para las organizaciones que despliegan OS X Server para su uso como una actualización de software de servidor local. OS X Server tiene la capacidad de almacenar en caché copias locales del software de actualizaciones de Apple con el fin de mejorar el rendimiento y reducir la congestión de la red para actualizar su flota.
Configuración personalizada: Su política para definir la configuración de la aplicación o del sistema
La política de ajustes personalizados juega un papel importante en la maximización de la capacidad de TI para gestionar toda la experiencia del usuario de Mac. Permite que un administrador especifique la configuración de las aplicaciones instaladas y cualquier característica adicional de OS X, incluso si esas aplicaciones o características no tienen una política explícita definida por Apple. Cuando se usa, los datos XML de una aplicación o archivo de preferencias de función deben ser especificados. La forma más fácil de utilizar esta opción es configurar una aplicación o función con el ajuste deseado y, a continuación, buscar el archivo .Plist apropiado (generalmente en el directorio/Preferencias/Biblioteca, dentro de la carpeta de inicio del usuario actual). Alternativamente, las teclas XML relacionadas y la información se pueden introducir manualmente.
Interacción en la política
Dado que las políticas se pueden aplicar sobre la base de las Mac individuales, los grupos de Macs, cuentas de usuarios individuales o grupos de usuarios, hay situaciones donde se pueden aplicar múltiples políticas al mismo tiempo. La experiencia resultante depende en gran medida del tipo de política.
La mayoría de las políticas añade un elemento de configuración; cuando hay varias instancias de estas políticas, todas se aplican. Por ejemplo, si una Mac tiene una política que especifica elementos del Dock, y un usuario es miembro de dos grupos que especifican elementos adicionales de Dock, el usuario verá un conjunto combinado de todos los elementos del Dock especificados cuando él o ella se registren en esa Mac. (Otro usuario que inicie sesión en la misma Mac vería los elementos del Dock especificados para la Mac, así como cualquier especificación a sus afiliaciones de grupo.)
Sin embargo, hay algunos casos en los que las políticas no pueden simplemente añadirse unas a otras. Esto es particularmente cierto acerca de las características que restringen el acceso del usuario a la funcionalidad o características. En estos casos se aplica la política más restrictiva.
Planificación de una estrategia de política
La determinación de qué políticas aplicar y cómo aplicarlas puede ser un reto. En la mayoría de las empresas, existe una plantilla y guía organizativa que ya existe en la forma de directivas de grupo de Active Directory. Aunque puede que no sea ideal para aplicar todas las políticas correspondientes (y puede que no haya siempre políticas correspondientes entre Windows y OS X), sus estructuras políticas existentes a menudo proporcionan un excelente punto de partida. También hace que tenga sentido aprovechar sus grupos existentes o unidades de organizaciones dentro de Active Directory para la aplicación de políticas basadas en el usuario.
La determinación de las políticas basadas en Mac puede tomar un poco más de pensamiento. Una vez más, usted puede utilizar sus unidades organizativas o estructura de PC existentes como guía, pero puede que le resulte más eficiente y eficaz la creación de unidades o grupos específicos de Mac.
También es importante tener en cuenta que la mayoría de las herramientas que aplican apoyo a la gestión Mac que aprovechan su entorno de Active Directory -incluso Active Directory en sí- no son la fuente de las políticas como sucede con las directivas de grupo de Windows.
Si desea obtener más detalles sobre Mac (iOS) y opciones de política y estructura de archivos de configuración, dele un vistazo a la documentación Profile Manager de Apple.
Ryan Faas, InfoWorld (EE.UU.)