Intune и управление macOS устройствами

Почему то это все еще остается сюрпризом, но Intune может управлять macOS устройствами. Конечно же это происходит с некоторыми условностями, но управление ими возможно.

Стоит сразу упомянуть, что сам Microsoft решил не вкладывать много сил в работу над управлением macOS устройствами и они запартнерились с компанией Jamf, которая предоставляет лучшее решение по управлению macOS устройствами на рынке, и настроили интеграцию таким образом, что при использовании Jamf вы можете использовать и Conditional Access и SSO в Azure AD.

Но если у вас нет около 80$ на устройство в год, но есть Intune, то давайте разбираться, что вы можете.

Как и любая OS управляемая Intune, macOS устройства могут получать от вас набор конфигураций и политик безопасности, а так же приложения. Конфигурации будут применяться на устройстве как профили и вы все сможете увидеть, что уже применилось на устройстве через Setting > Profiles.

Конфигурации

Через конфигурации вы можете устанавливать:

  • Сертификаты (Root CA,NDES/SCEP).
  • Wi-Fi профили.
  • VPN профили.
  • FileVault шифрование. При этом ключ восстановления будет сохранен в Intune, что очень удобно (функцию добавили недавно, изначально я использовал самописную конфигурацию для этого).
  • Custom Profiles – или самописные конфигурации сделанные в Apple Configurator. Ну или можно в блокнотике писать. Через них можно настраивать очень многое (от шрифтов до включения шифрования).

Традиционно в информации по устройству, вы сможете наблюдать статус применения профилей.

Политики соответствия (или политики безопасности).

Через них вы можете задавать ваши требования к устройству. Таковыми могут быть:

  • Требования к паролю
  • Включение файрволла
  • Включения Integrity protection
  • И т.д.

Статус соответствия этим политикам будет проверяться и на основе статуса можно ограничивать доступ к каким то ресурсам через Conditional Access.

Приложения.

Самое интересное, но и самое проблемное, как мне кажется.

На текущий момент вы можете устанавливать через Intune два типа приложений:

  • Пакет Office 365 без каких то кастомизаций (нет возможности выбора компонентов).
  • Приложения, которые вы загружаете сами.

Если с первым пунктом все понятно, то со вторым возникают определенные проблемы.

Начнем с того, что на macOS существует несколько видов установщиков:

  • .pkg
  • .dmg
  • App

Так вот Intune может работать только с .pkg. Подробнее как паковать приложения, я расскажу в другой статье.

В принципе, существуют способы по переводу приложения из .dmg > .pkg, но на практике это работает через раз и Microsoft отказывается разбираться с приложениями прошедшими через это.

Соответственно, у вас остается достаточно ограниченный набор доступных опций для загрузки приложений.

Помимо ограничений с приложениями, скрипты вы так же не можете доставлять.

Советы

Оцените ограничения, которые существуют и посмотрите достаточно ли Intune для управления macOS устройствами в вашем случает. Это лучше чем ничего, но функционал достаточно беден даже по сравнению с Intune для мобильных устройств, и тем более по сравнению SCCM для Windows.

*Бонус совет – не пытайтесь запихивать macOS устройства в Active Directory. Суппорт самого Apple всячески рекомендует этого не делать, так как создаются определённые проблемы.

Если вам прям нужно, чтобы люди могли использовать свои AD учетки на macOS устройствах, то у вас есть два варианта:

  • Купить Enterprise Connect у самого Apple. Это приложение, которое синхронизирует локальную учетную запись с учетной записью в Active Directory и пользователь может использовать такой же пароль и даже управлять его сменой. При этом его домашняя директория автоматически может добавляться в Finder. Единственная проблема этого решения, что скоро его не будет:)
  • С новой версией macOS функционал Enterprise Connect будет встроен в систему. Как это будет работать я пока не знаю, но как только случится релиз и я его оттестирую (а мне придется), я напишу что и как.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: