Začínáme s firemní správou zařízení Apple

Návod Ivan Malík

Zatímco většina uživatelů zná svůj Apple velmi dobře, mnoho z nich slyší o správě zařízení poprvé, popřípadě netuší, kudy na to. Tento článek je určen pro druhou kategorii a jeho cílem je vytvořit základní představu, s jakými nástroji se pustit do správy zařízení.

4 D www.ipure.cz enechme se mýlit – obliba zaříze- v Apple Business Manageru nebo v Apple School ní Apple neroste pouze u koncových Manageru. Výhody, které bezplatná registra- uživatelů, ale také u administráto- ce jednoho z portálů přináší, nebudu zde rozebí- rů. Podle magazínu Forbes roste počet rat; pouze vyslovím základní tezi – bez registra- Nzařízení Apple ve velkých a středních firmách ce je práce výrazně komplikovanější a někdy nelze meziročně o 20 %. A podle nedávné studie zahr- cíle dosáhnout. nující zhruba 1 000 pracovníků v segmentu IT Druhým nástrojem, nutným pro efektivní sprá- bylo zjištěno, že 77 % z nich považuje Mac za bez- vu, je server pro hromadnou správu zařízení (ozna- pečnější platformu a 79 % se domnívá, že jsou čovaný zkratkou MDM). Ten může běžet v cloudu snadnější na údržbu. nebo ve firmě – v takovém případě budete potřebo- Důvod je pochopitelný. Operační systém macOS vat ještě hardware a někoho, kdo se o něj bude prů- je stabilní systém postavený na unixových zákla- běžně starat. dech a administrátor může jít za určitých podmí- Stejný server MDM lze však s úspěchem pou- nek poměrně do hloubky. Nemusí však používat žít pro více platforem současně, takže adminis- pouze vestavěné nástroje Konzola, Monitor aktivity trátor nemusí přeskakovat mezi několika nástroji. a Terminál. Pokročilejší nástroje si může stáhnout, To představuje neskutečnou úsporu času a výda- ručně zkompilovat či najít v některém z repozitářů jů na správu zařízení. Typickým zástupcem tako- , MacPorts nebo Homebrew. vého unifikovaného řešení je například VMware Ani nestojí stranou a lze najít uži- Workspace ONE. tečné nástroje, které pomáhají administrátorům zvládnout každodenní úkoly. Ať se již jedná o jedno- ŽIVOTNÍ CYKLUS SPRÁVY duché utility typu 1Password, LanScan, Microsoft Při správě je užitečné rozdělit si veškeré úkoly, Remote Desktop nebo ty robustnější typu BBEdit. které má administrátor na starosti, do několika samostatných skupin. Toto rozdělení se označuje ZÁKLADNÍ ARZENÁL jako životní cyklus zařízení. Framework MDM defi- Spravovaná zařízení, která jsou majetkem orga- nuje celkem šest klíčových momentů v celém život- nizace, je potřeba mít vždy zaregistrovaná ním cyklu zařízení.

5 C D www.ipure.cz 1. DEPLOYMENT Nejdříve se zaregistrujte do portálu Apple Business Manager (popřípadě Apple School Manager) a přidej- te do tohoto portálu svůj server MDM. Máte hotovo? Výborně! Zkontrolujte, že nakoupená zařízení máte uvedena ve svém portálu a fyzicky je předejte uživa- telům. Když uživatel zapne své zařízení poprvé, auto- maticky se zaregistruje do serveru MDM, který pro změnu nakonfiguruje zařízení – to vše bez toho, aby soubor XML se pak rozdistribuuje do spravova- se ho IT zaměstnanec musel dotknout. Tuto variantu ných zařízení. označujeme jako Zero‑Touch Deployment. Popřípadě lze provést spuštění shellových skriptů. Cokoli, co lze v Terminálu spustit pomocí příkazo- 2. KONFIGURACE vého řádku, lze změnit na skript. Schopnost spouš- Konfigurovat lze jakoukoliv hardwarovou nebo tět skripty poskytuje mnohem větší flexibilitu než softwarovou část počítače. Můžete spravovat standardní konfigurační profily a otevírá tak dveře Wi‑Fi, VPN, nastavení e‑mailu, instalovat vlast- k nekonečným možnostem správy zařízení. ní software a tiskárny, spravovat místní uživatel- ské účty a provádět pokročilá nastavení aplikací. 3. SPRÁVA APLIKACÍ Definice nastavení probíhá díky konfiguračnímu Jistě znáte velmi podrobně App Store na svém iPho- profilu, který generuje server MDM. Tento malý nu nebo iPadu. Jde o jediný oficiální způsob, jak

6 C D www.ipure.cz do takového zařízení nainstalovat novou aplika- source řešení MunkiReport a je upraven tak, aby ci. Tato forma distribuce aplikací je pro uživate- vyhovoval jejich podmínkám. le výhodná – Apple vždy zkontroluje kód vývojáře a dohlíží tak na bezpečnost a výkon platformy. Pro 5. BEZPEČNOST Mac lze software získat i mimo App Store. Každoročními aktualizacemi hlavních verzí macOS, Mezi oblíbené tituly, které nejsou v obchodě Mac iOS, iPadOS a tvOS nastavila společnost Apple App Store, patří například TeamViewer nebo Adobe poměrně svižné tempo. Kromě nových a skvělých Creative Suite. Proto je důležité mít po ruce tako- funkcí, které zajímají spíše koncového spotřebite- vé nástroje, které umožní software distribuo- le, přidává bezpečnostní vrstvy a opravuje známé vat na spravované počítače. Některé nástroje mají chyby. Aktualizace systému mají proto zásad- schopnost vytvářet vlastní balíčky.pkg nebo otisky. ní význam na bezpečnost zařízení a je důležité, aby dmg a nasadit je na spravované počítače bez toho, byly nainstalovány vždy všechny aktualizace ope- aby uživatelé museli být správci. račního systému. Mezi oblíbené nástroje patří například open sour- V případě ztráty zařízení mají administráto- ce projekt studia Walt Disney Animation Studios ři k dispozici navíc Režim ztraceného zařízení, kdy nazvaný Munki. Pokud jej doplníte o další podpůrné mohou zařízení vzdáleně smazat nebo zamknout. nástroje jako například AutoPkg, rázem máte k dis- V tomto režimu odesílá zařízení svou aktuální polo- pozici kompletní ekosystém potřebný k distribuci hu, je možné jej vysledovat a následně vypnout aplikací pro Mac získaných mimo App Store. Režim ztraceného zařízení. Stejným způsobem lze nainstalovat například i nové ovladače k tabletu, tiskárně nebo skeneru, 6. POSÍLENÍ SOBĚSTAČNOSTI popřípadě další komponenty systému. Zajímavostí UŽIVATELŮ je, že výše uvedený nástroj Munki přidává VMware Soběstačnost koncových uživatelů je odrazem pande- k produktu Workspace ONE. mie COVID‑19, díky které se zaměstnanci přesunuli z kanceláří na home office a chtějí si některé základ- 4. INVENTÁŘ ní úkony řešit sami. Proto by neměl chybět nástroj, V IT platí pravidlo: „Nelze spravovat to, co nelze který dává uživatelům do rukou možnost doinstalovat změřit.“ Údaje o inventáři hardware a software si ověřené aplikace, tiskárny, popřípadě získat základ- jsou proto kritické pro další práci administrátora. ní nápovědu – a to vše na jedno kliknutí. Umožňují odpovídat na základní otázky, jako: „Jsou Takový katalog aplikací lze vytvořit opět open všechna moje zařízení zabezpečená?“, nebo: „Kolik source nástrojem Managed Software Center. a jaké aplikace jsme nasadili?“ A pokud jste si jako server MDM zvolili VMware Některé nástroje však umožňují shromažďovat Workspace ONE, máte vyhráno. V takovém přípa- další informace o dalších doplňcích hardwaru nebo dě použijte VMware Intelligent Hub, který kombi- softwaru. Lze tak snadno zjistit, kdy došlo k posled- nuje aplikace zakoupené v App Store v rámci Volume nímu spuštění zálohy a s jakým výsledkem zálo- Purchase Programu, aplikace mimo App Store díky hování skončilo. S úspěchem nabízíme klientům Workspace ONE Munki, webové aplikace SaaS a apli- nástroj Sensei MacReport, který je postaven na open kace VDI Windows ve VMware Horizon. Pro základní nápovědu zaměstnanců, která supluje HR oddělení, doporučuji použít nástroj Octory a DEPNotify. Jde o „švýcarské nože“ digitál- ního onboardingu a offboardingu.

JAKÉ JSOU DALŠÍ KROKY SPRÁVY? Žádný operační systém nebo hardware však není doko- nalý. Bez ohledu na hardware a nástroje musí admi- nistrátoři neustále sledovat vývoj v oblasti správy, tes- tovat dopředu nové verze používaných nástrojů, dbát na zabezpečení klíčových oblastí jako například preven- ce ztráty, nástroje na ochranu koncových bodů či anti- virový software. O těch si ale můžeme povědět v někte- rém z dalších dílů věnovaných správě zařízení. D

7 C D www.ipure.cz