Mac 관리 : Windows 관리자를위한 가이드

Mac을 기존 IT 환경으로 가져 오면 모든 Windows 관리자가 약간 잘못된 느낌을받을 수 있습니다. 작업과 설정면에서 모든 것이 익숙하지만 처음에는 약간 이질적으로 보일 정도로 충분히 비틀어 있습니다. 지속적인 Mac 관리 팁 시리즈는 Mac을 안전하고 생산적으로 배포하는 데 도움을주기 위해 여기에 있습니다.

이 시리즈의 1 부에서는 Mac을 엔터프라이즈 시스템에 연결하는 방법을 포함하여 Mac을 엔터프라이즈 환경에 통합하기위한 필수 요구 사항을 살펴 보았습니다. 대규모 Mac 배포에는 종종 성공하기 위해 고유 한 기술과 도구가 필요합니다. 이 기사에서 다루는 Mac에 관리 정책을 적용하는 경우에도 마찬가지입니다. 여기에서는 Mac 정책에 대한 개요와이를 배포하기위한 전략을 계획하는 방법에 대한 통찰력을 얻을 수 있습니다.

시리즈의 마지막 부분에서는 정책을 적용하는 데 사용되는 특정 도구와 추가 관리 및 배포 기능을 제공하는 도구를 살펴 보겠습니다.

Mac 관리 정책의 결과

Mac 관리 방법은 규모의 문제입니다. Mac 수가 적은 조직의 기술자는 종종 각 Mac을 개별적으로 구성하거나 모든 Mac에 균일 한 구성을 적용하는 단일 시스템 이미지를 만들 수 있습니다. 대규모 조직에서는 문제가 더 복잡합니다. 사용자 또는 부서마다 구성 요구 사항이 다르며 서로 다른 액세스 권한이 필요합니다. 또한 개별 사용자 및 그룹과 관련된 구성 요구 사항은 물론 용도 (때로는 하드웨어)에 따라 특정 Mac과 관련된 요구 사항이있는 경우가 많습니다. 이 때문에 수동 구성은 너무 비효율적입니다. 여기에서 자동화가 핵심입니다.

이를 위해 Apple은 보안 요구 사항을 적용하고, Mac 컴퓨터를 특정 프로필에 자동으로 구성하고, 네트워크의 리소스에 대한 액세스를 활성화 및 제한하기 위해 Mac 집합에 적용 할 수있는 다양한 정책을 제공합니다.

Windows 그룹 정책에 이미 익숙하다면 Apple의 Mac 용 정책을 사용하여 유사한 방식으로 Mac 사용자 경험을 완전히 관리 할 수 ​​있다는 사실에 기뻐할 것입니다. 이러한 정책의 대부분은 특정 Mac (또는 Mac 그룹) 또는 특정 사용자 계정 (또는 그룹 멤버십)에 적용될 수 있습니다. 그러나 일부 정책은 Mac 또는 사용자 계정에만 연결할 수 있습니다. Mac 관리 전략을 수립하려면 정책을 구성하는 방법에 대해 잘 알고 있어야합니다.

예를 들어 Windows 그룹 정책과 마찬가지로 사용자 요구 및 액세스 제어와 관련된 정책은 종종 부서, 직무 및 기타 요인과 관련된 그룹 구성원 자격을 기반으로 관리됩니다. 부서별 앱 및 Mac 보안 설정 요구 사항은 사용자 (또는 그룹 멤버십)가 아닌 Mac (또는 Mac 그룹)을 기반으로 설정하는 것이 가장 좋습니다. 에너지 절약 정책과 같은 일부 정책은 기본적으로 사용자 별이 아닌 Mac 전용입니다.

정책 배포의 핵심

iOS 정책과 같은 Mac 관리 정책은 구성 프로필에 XML 데이터로 저장됩니다. 이러한 프로파일은 세 가지 방법 중 하나로 Mac에 적용 할 수 있습니다. 무료 Apple Configurator 2 앱을 통해 수동으로 생성하여 개별 Mac / 사용자에게 배포하는 방법; MDM / EMM 솔루션 구현 또는 기존 데스크탑 관리 제품군을 사용합니다.

구성 프로파일을 수동으로 배포하기로 선택한 경우 OS X Server의 프로파일 관리자를 사용하여 생성 한 다음 결과 프로파일을 각 Mac에 수동으로 설치해야합니다. 프로필을 열면 사용자에게 포함 된 정책을 설치하라는 메시지가 표시됩니다. 이 방법을 사용하면 추가 배포 도구를 사용하지 않고 구성 프로필을 배포하는 완전히 자동화 된 방법이 없습니다. 설치하는 데 IT 직원이 아닌 사용자에게 의존하는 경우 설치되었는지 확인하기가 어려울 수 있습니다. 이 때문에 수동으로 프로필을 배포하는 것이 가장 간단한 옵션 일 수 있지만 대규모 조직에서는 덜 이상적이거나 실행 가능할 수 있습니다.

(참고 : 프로필 관리자 자체는 수동 배포를위한 구성 프로필을 생성하는 것 외에도 다른 MDM / EMM 제공 방식으로 정책을 푸시하는 데 사용할 수있는 Apple 전용 MDM 솔루션입니다.)

Apple Configurator 2 앱을 사용하여 테 더링 된 Mac 및 iOS 기기에 프로필 / 정책을 설치할 수 있습니다. 이는 프로필 / 정책이 설치되고 작동하는지 확인하기위한 간단한 무료 솔루션을 제공합니다. 그러나 구성을 위해 각 관리 Mac을 USB로 Apple Configurator 2를 실행하는 Mac에 연결해야합니다. 따라서 Apple Configurator 2는 종종 간단한 정책 요구 사항이있는 소규모 비즈니스 및 교육 기관을위한 훌륭한 도구이지만 많은 수의 Mac을 구성해야하는 경우 비효율적 인 Mac 관리 전략입니다.

iOS 장치에서 사용하는 것과 동일한 MDM 프레임 워크를 사용하여 Mac 정책을 적용 할 수 있으므로 여기서 MDM / EMM 도구가 도움이 될 수 있습니다. 따라서 iOS 관리를 지원하는 대부분의 공급 업체는 Mac 관리도 지원합니다. 따라서 특히 많은 조직에서 이미 이러한 솔루션을 사용하여 iOS 및 Android 장치를 관리하기 때문에 엔터프라이즈 친화적 인 옵션입니다.

엔터프라이즈 용으로 잘 확장되는 또 다른 옵션은 JAMF의 Casper Suite와 같은 Apple 전용 제품군과 LanDesk Management Suite 및 Symantec Management Platform과 같은 멀티 플랫폼 제품군을 모두 포함하는 기존 데스크톱 관리 제품군입니다. 이러한 제품군은 정책을 적용 할뿐만 아니라 종종 관리 및 배포 도구를 제공합니다. 제품군의 인기를 감안할 때 많은 조직에서 이미 이러한 도구를 사용 중이거나 투자 할 수있는 추가 기능을 찾을 수 있습니다 (이 시리즈의 3 부에서 이러한 도구에 대해 자세히 설명).

Mac 정책의 XML 기반 특성에 대한 우려가있는 경우 안심하십시오. 관리자는 일반적으로 Mac 관리 정책에 사용되는 XML 데이터를 직접 생성하거나 편집 할 필요가 없습니다. 대부분의 Apple 및 타사 도구는 정책 옵션 설정을위한 직관적 인 UI를 제공하며 내부적으로 필요한 XML 생성을 처리합니다. 한 가지 예외는이 문서의 뒷부분에서 설명하는 설치된 앱 및 추가 OS X 기능에 대한 설정을 지정하는 사용자 지정 설정 정책입니다. 사용자 정의 설정을 구성하려면 XML의 핵심에 들어가야합니다.

모든 관리자가 알아야하는 핵심 Mac 관리 정책

Apple은 Mac 관리를위한 어지러운 범위의 정책 옵션을 제공하지만 특정 13 개 정책 세트가 가장 일반적으로 사용되며 엔터프라이즈 환경에서 Mac을 관리하고 보호하는 데 가장 중요합니다. 다음 각 핵심 관리 정책은 별도로 지정되지 않는 한 Mac 또는 사용자에게 적용됩니다.

  • 네트워크 : Wi-Fi 구성 및 일부 이더넷 연결 세부 정보를 포함한 네트워크 설정을 구성합니다.
  • 인증서 : 조직 내에서 암호화 된 통신에 사용되는 디지털 인증서와 특정 서비스에 대한 일부 ID 자격 증명을 배포하는 데 사용됩니다 (많은 네트워크 서비스가 보안 통신 및 인증을 위해 인증서에 의존 함).
  • SCEP : SCEP (Simple Certificate Enrollment Protocol)를 사용하여 CA (인증 기관)에서 인증서를 획득 및 / 또는 갱신하기위한 설정을 정의합니다. SCEP는 장치가 인증서를 획득 / 갱신 할 수있는 자동화 된 옵션을 제공합니다. iOS 장치에 대한 Apple의 MDM 등록 프로세스의 일부로 사용되며 관리 환경에 Mac을 등록하는데도 사용할 수 있습니다. SCEP 구성은 작동중인 CA 및 관련 관리 도구에 따라 다릅니다.  
  • Active Directory 인증서 : Active Directory 인증서 서버에 대한 인증 정보를 제공합니다. 이 정책은 사용자 계정에 대해서만 설정할 수 있습니다.
  • 디렉토리 : Active Directory 및 Apple의 Open Directory를 포함한 멤버십 디렉토리 서비스를 구성합니다. 여러 디렉토리 시스템을 구성 할 수 있습니다. 이 정책은 Mac에서만 설정할 수 있습니다.
  • Exchange : Apple의 기본 메일, 연락처 및 캘린더 앱에서 사용자의 Exchange 계정에 대한 액세스를 구성합니다. (Microsoft Outlook을 구성하지 않습니다.) 사용자 계정에 대해서만 설정할 수 있습니다.
  • VPN : Mac의 내장 VPN 클라이언트를 구성합니다. 여러 변수를 구성 할 수 있습니다. 작동중인 경우 사용자는 VPN 구성을 수정할 수 없습니다.
  • 보안 및 개인 정보 보호 : GateKeeper 앱 평판 및 보안 도구, FileVault 암호화 (사용자가 아닌 Mac에만 설정 가능), 진단 데이터를 Apple로 보낼 수 있는지 여부를 포함하여 OS X의 여러 내장 보안 기능을 구성합니다.
  • 이동성 : 모바일 계정 생성이 지원되는지 여부 및 관련 변수를 설정합니다 (모바일 계정에 대한 정보는이 시리즈의 첫 번째 기사 참조).
  • 제한 : Game Center, App Store, 특정 앱 실행 기능, 외부 미디어에 대한 접근, 내장 카메라 사용, iCloud 접근, Spotlight 검색 제안, AirDrop과 같은 다양한 OS X 기능에 대한 접근을 제한하기 위해 공유 및 OS X 공유 메뉴에서 다양한 서비스에 액세스합니다.
  • 로그인 창 : 로그인 창 메시지 (배너라고 함)를 포함하여 OS X 로그인 창을 구성합니다. 사용자가 로그인하지 않고 Mac을 재시동하거나 종료 할 수 있는지 여부 로그인 창에서 Mac에 대한 추가 정보에 액세스 할 수 있는지 여부.
  • 인쇄 : 프린터에 대한 액세스를 사전 구성하고 인쇄 된 모든 페이지에 대해 선택적 바닥 글을 지정합니다.
  • 프록시 : 프록시 서버를 지정합니다.

차량을 완성하기위한 추가 정책

위에 나열된 정책 외에도 Apple은 Mac 사용자 경험을 구성하기위한 다양한 정책 옵션을 제공합니다. 일부 조직에서는 이러한 정책이 모든 Mac 또는 해당 제품군의 하위 집합에만 도움이된다는 것을 알게 될 것입니다. 이러한 정책에는 AirPlay를 사전 구성하는 기능이 포함됩니다. 캘린더 및 연락처 앱에서 CalDAV 서버 및 CardDAV 서버에 대한 액세스를 설정합니다. 추가 글꼴을 설치하는 기능을 설정합니다. 연락처 데이터를 조회하기위한 목적으로 만 LDAP 서버에 대한 액세스를 구성합니다. 메일 앱에서 POP 및 IMAP 계정을 사전 구성합니다. Dock에 항목 (웹 클립, 폴더, 앱)을 구성하고 추가합니다. 에너지 절약 환경 설정 및 시작 / 종료 / 깨우기 / 절전 일정 설정 단순화 된 버전의 Finder를 활성화하고 서버에 연결, 볼륨 꺼내기, 디스크 굽기, 폴더로 이동과 같은 특정 명령을 차단합니다.다시 시작하고 종료하십시오. 로그인시 자동으로 열리는 항목을 지정합니다. 장애가있는 사용자를위한 접근성 기능 구성 메시지 앱에서 Jabber 계정 설정 등등.

프로필이 설치 될 때 사용자 계정 식별을 미리 채우는 옵션도 있습니다. 일반적으로 프로필이 개별 Mac에 설치 될 때 사용됩니다. Mac이 디렉토리에 연결되면 디렉토리에서 사용자 계정 정보가 검색됩니다.

소프트웨어 업데이트 정책은 로컬 소프트웨어 업데이트 서버로 사용하기 위해 OS X Server를 배포하는 조직과 관련이 있습니다. OS X Server에는 차량을 업데이트 할 때 성능을 개선하고 네트워크 정체를 줄이기 위해 Apple 소프트웨어 업데이트의 로컬 사본을 캐시하는 기능이 있습니다.

사용자 지정 설정 : 앱 또는 시스템 설정을 정의하기위한 정책

사용자 지정 설정 정책은 전체 Mac 사용자 경험을 관리하는 IT의 능력을 극대화하는 데 중요한 역할을합니다. 이를 통해 관리자는 설치된 앱 및 추가 OS X 기능에 대한 설정을 지정할 수 있습니다. 해당 앱이나 기능에 Apple에서 정의한 명시적인 정책이 없더라도 마찬가지입니다. 사용되는 경우 앱 또는 기능의 기본 설정 파일에서 XML 데이터를 지정해야합니다. 이 옵션을 사용하는 가장 쉬운 방법은 원하는 설정으로 앱이나 기능을 구성한 다음 적절한 .plist 파일을 찾는 것입니다 (일반적으로 현재 사용자의 홈 폴더 내의 / Library / Preferences 디렉터리에 있음). 또는 관련 XML 키 및 정보를 수동으로 입력 할 수 있습니다.

정책 상호 작용

개별 Mac, Mac 그룹, 개별 사용자 계정 또는 사용자 그룹을 기반으로 정책을 적용 할 수 있으므로 한 번에 여러 정책을 적용 할 수있는 상황이 있습니다. 결과 경험은 주로 정책 유형에 따라 다릅니다.

대부분의 정책은 구성 요소를 추가합니다. 이러한 정책의 인스턴스가 여러 개있는 경우 모두 적용됩니다. 예를 들어 Mac에 Dock 항목을 지정하는 정책이 있고 사용자가 각각 추가 Dock 항목을 지정하는 두 그룹의 구성원 인 경우 해당 사용자는 해당 Mac에 로그인 할 때 지정된 모든 Dock 항목의 결합 된 집합을 볼 수 있습니다. (동일한 Mac에 로그인 한 다른 사용자는 해당 Mac에 지정된 Dock 항목과 자신의 그룹 소속에 지정된 항목을 볼 수 있습니다.)

그러나 정책이 단순히 서로 추가 될 수없는 경우가 있습니다. 이는 기능 또는 기능에 대한 사용자 액세스를 제한하는 기능에 특히 해당됩니다. 이러한 경우 가장 제한적인 정책은 적용되는 정책입니다.