Zatímco většina uživatelů zná své Apple zařízení velmi dobře, mnoho z nich o správě zařízení slyší poprvé, popřípadě netuší „kudy na to“. Tento článek je určen pro druhou kategorii a klade si za cíl vytvořit základní představu o nástrojích pro správu zařízení.

Správa Apple zařízení

Nenechme se mýlit – obliba Apple zařízení neroste pouze u koncových uživatelů, ale také u administrátorů. Podle magazínu Forbes roste počet Apple zařízení ve velkých a středních firmách meziročně o 20%. A podle nedávné studie zahrnující zhruba 1 000 pracovníků v segmentu IT bylo zjištěno, že 77% z nich považuje Mac za bezpečnější platformu a 79% se domnívá, že jsou Apple zařízení snadnější na údržbu. 

Důvod je pochopitelný. Operační systém macOS je stabilní systém postavený na unixových základech a administrátor může jít za určitých podmínek poměrně do hloubky. Nemusí však používat pouze vestavěné nástroje Konzola, Monitor aktivity a Terminál. Pokročilejší nástroje si může stáhnout, ručně zkompilovat či najít v některém z repozitářů Fink, MacPorts nebo Homebrew.

Ani Mac App Store nestojí stranou a lze najít užitečné nástroje, které pomáhají administrátorům zvládnout každodenní úkoly. Ať se již jedná o jednoduché utility typu 1Password, LanScan, Microsoft Remote Desktop nebo ty robustnější typu BBEdit.

 
Základní arzenál 

Spravovaná zařízení, která jsou majetkem firmy, je potřeba mít vždy zaregistrovaná v Apple Business Manageru nebo v Apple School Manageru. Výhody, které bezplatná registrace jednoho z portálů přináší, nebudu zde rozebírat; pouze vyslovím základní tezi – bez registrace je práce výrazně komplikovanější a někdy nelze cíle dosáhnout. 

Druhý nástroj, který je nutný pro efektivní správu, je server pro hromadnou správu zařízení (označovaný zkratkou MDM). Ten může běžet v cloudu nebo u vás ve firmě. V tom druhém případě budete potřebovat ještě hardware, o který se bude někdo muset průběžně starat. 

Stejný MDM server lze však s úspěchem použít pro více platforem současně a administrátor nemusí přeskakovat mezi několika nástroji. To představuje neskutečnou úsporu času a výdajů na správu zařízení. Typickým zástupcem unifikovaného řešení je například VMware Workspace ONE. 

Životní cyklus správy 

Při správě je užitečné rozdělit si veškeré úkoly, které má administrátor na starosti, do několika samostatných skupin. Toto rozdělení je označuje jako „životní cyklus zařízení“. Rozlišujeme celkem šest klíčových momentů v celém životním cyklu zařízení.

1. Deployment 

Jde o krok, který je poměrně časově náročný, nicméně je potřeba všechny jeho body postupně zrealizovat. Nejdříve se zaregistrujte do portálu Apple Business Manager (popřípadě Apple School Manager). Poté přidejte do tohoto portálu svůj MDM server. Máte hotovo? Výborně!

Zkontrolujte, že nakoupená zařízení máte uvedena ve svém portálu a fyzicky je předejte uživatelům. Když uživatel zapne své zařízení poprvé, automaticky se zaregistruje do MDM serveru, který pro změnu nakonfiguruje zařízení – to vše bez toho, aby se ho IT zaměstnanec musel dotknout. Tuto variantu označujeme jako „Zero-Touch Deployment“. 

2. Konfigurace 

Konfigurovat lze některou z hardwarovových nebo softwarových součástí počítače. Můžete spravovat Wi-Fi, VPN, nastavení e-mailu, instalovat vlastní software a tiskárny, spravovat místní uživatelské účty a provádět pokročilá nastavení aplikací. Definice nastavení probíhá díky konfiguračnímu profilu, který generuje MDM server. Tento malý XML soubor se pak rozdistribuuje do spravovaných zařízení.

Popřípadě lze provést spuštění shell skriptů. Cokoli, co lze v Terminálu spustit pomocí příkazového řádku, lze změnit na skript. Schopnost spouštět skripty poskytuje mnohem větší flexibilitu než standardní konfigurační profily a otevírá tak dveře k nekonečným možnostem správy zařízení.

3. Správa aplikací 

Jistě znáte velmi podrobně App Store na vašem iPhonu nebo iPadu. Jde o jediný oficiální způsob, jak do takového zařízení nainstalovat novou aplikaci. Tato forma distribuce aplikací je pro uživatele výhodná – Apple vždy zkontroluje kód vývojáře a dohlíží tak na bezpečnost a výkon platformy. Pro Mac však lze software získat i mimo App Store.

Mezi oblíbené tituly, které nejsou v obchodě Mac App Store, patří například TeamViewer nebo Adobe Creative Suite. Proto je důležité mít k dispozici po ruce takové nástroje, které umožní tento software distribuovat na spravované počítače. Některé nástroje mají schopnost vytvářet vlastní .pkg balíčky nebo .dmg obrazy a nasadit je na spravované počítač bez toho, aby uživatelé museli být správci.

Mezi oblíbené nástroje patří například open source projekt studia Walt Disney Animation Studios nazvaný Munki. Pokud jej doplníte o další podpůrné nástroje jako například AutoPkg, rázem máte k dispozici kompletní ekosystém potřebný k distribuci Mac aplikací získaných mimo App Store.

Stejným způsobem lze nainstalovat například i nové ovladače k tabletu, tiskárně nebo skeneru popřípadě další komponenty systému. Zajímavostí je, že výše uvedený nástroj Munki přidává VMware k produktu Workspace ONE. 

4. Inventář 

V IT platí pravidlo: „Nelze spravovat to, co nelze změřit“. Údaje o inventáři hardware a software jsou proto kritické pro další práci administrátora. Umožňují odpovídat na základní otázky, jako jsou „Jsou všechna moje zařízení zabezpečená?“ nebo „Kolik a jaké aplikace jsme nasadili?“. 

Některé nástroje však umožňují shromažďovat další informace o dalších doplňcích hardwaru nebo softwaru. Lze tak snadno zjistit, kdy došlo k poslednímu spuštění zálohy a s jakým výsledkem zálohování skončilo. S úspěchem nabízíme klientům nástroj Sensei MacReport, který je postaven na open source řešení MunkiReport a je upraven tak, aby vyhovoval jejich podmínkám.

5. Bezpečnost 

Díky každoroční aktualizaci hlavních verzí macOS, iOS, iPadOS a tvOS nastavila společnost Apple poměrně svižné tempo. Kromě nových a skvělých funkcí, které zajímají spíše koncového spotřebitele, přidává bezpečnostní vrstvy a opravuje známé chyby. Aktualizace systému mají proto zásadní význam na bezpečnost zařízení a je důležité, aby byly nainstalované vždy všechny aktualizace operačního systému.

V případě ztráty zařízení mají administrátoři k dispozici navíc Režim ztraceného zařízení, kdy mohou zařízení vzdáleně smazat nebo zamknout. V tomto režimu odesílá zařízení svou aktuální polohu a je možné jej vysledovat a následně vypnout Režim ztraceného zařízení. 

6. Posílení soběstačnosti uživatelů 

Soběstačnost koncových uživatelů je odrazem pandemie COVID-19, díky které se zaměstnanci přesunuli z kanceláří na home office a chtějí si některé základní úkony řešit sami. Proto by neměl chybět nástroj, který dává uživatelům do rukou možnost doinstalovat si ověřené aplikace, tiskárny, popřípadě získat základní nápovědu – a to vše na jedno kliknutí.

Takový katalog aplikací lze vytvořit opět open sourcovým nástrojem Managed Software Center. A pokud jste si jako MDM server zvolili VMware Workspace ONE, máte vyhráno. V tomto případě máte použít VMware Intelligent Hub, který kombinuje aplikace zakoupené v App Store v rámci Volume Purchase Programu, aplikace mimo App Store díky Workspace ONE Munki, SaaS webové aplikace a VDI Windows aplikace ve VMware Horizon. 

Pro základní nápovědu zaměstnanců, která supluje HR oddělení, doporučuji použít nástroj Octory a DEPNotify. Jde o „švýcarské nože“ digitálního onboardingu.

Jaké jsou další kroky správy? 

Žádný operační systém nebo hardware však není dokonalý. Bez ohledu na hardware a nástroje musí administrátoři neustále sledovat vývoj v oblasti správy, testovat dopředu nové verze používaných nástrojů, dbát na zabezpečení klíčových oblastí jako například prevence ztráty, nástroje na ochranu koncových bodů či antivirový software.
O těch si ale můžeme povědět v některém z dalších dílů věnovaných správě zařízení.

 

Článek vyšel poprvé v magazánu ipure.cz.