Op een veilige en gestructureerde manier je Mac’s deployen?

06-02-2019
Even terug naar het verleden. Voor die ene, sporadische Mac gingen we niet moeilijk doen. Toestel uit de doos, Setup Assistant doorlopen, gebruikertje aanmaken, manueel software installeren en klaar. De updates zal de collega in kwestie zelf wel doen zeker? Niets mis met deze workflow maar plots komen er nog 5 collega’s om een Mac vragen. Herkenbaar?

Als het over meer Mac’s ging, werd er vaak naar NetBoot, DeployStudio en MDM gegrepen. Enkele betaalbare of zelfs gratis tools die het leven van de Mac admin een stuk eenvoudiger maakten. Met de komst van de T2 processor die vandaag in nagenoeg de volledige productlijn aanwezig is, samen met SecureBoot – dit staat standaard geactiveerd – wordt de gemiddelde admin nu serieus in zijn of haar mogelijkheden beperkt.

Fisher-Price of Enterprise?

Kort door de bocht genomen zijn dit de twee mogelijke benaderingen. Of je past geen beheer toe, of je werkt via een MDM server. Geen beheer brengt je in de situatie waar de gebruiker zelf verantwoordelijk is voor het installeren van updates en toepassingen. Collega’s die samenwerken op dezelfde documenten maar met verschillende versies van de toepassingen forceren elkaar om steeds te updaten met tijdsverlies, frustratie en niet productief zijn als gevolg.

Een MDM-server dus…

Volgens de filosofie van Apple heeft een gebruiker die “vrijwillig” deelneemt aan MDM, ook het recht om die deelname stop te zetten. Hij of zij verliest dan alles wat er dankzij de MDM-server op zijn of haar toestel werd geconfigureerd en komt terug in het Fisher-Price scenario terecht. Wil je dit vermijden, moet het toestel bij aankoop geregistreerd worden in DEP. Dit kan enkel door de reseller gebeuren en het toestel retroactief registreren in DEP kan niet.

DEP zorgt er dus voor dat het toestel bij de initiële setup contact opneemt met een MDM-server en zorgt er tevens voor dat dit contact in stand gehouden wordt. Ook bij de her-installatie van een toestel. De MDM-server zal vervolgens de gewenste configuratie op de client toepassen, zorgen voor de installatie van de nodige software en de status bijhouden zodat deze beschikbaar is voor analyse.

De inrichting van een MDM server en de samenstelling van de configuratieprofielen is dus iets waar je best tijdig aan begint. Maak een afgewogen keuze welke MDM oplossing voor welke prijs welke mogelijkheden biedt. Aangezien een client maar aan één MDM server gekoppeld kan zijn, is het overschakelen van de ene naar de andere MDM server niet iets wat je vaak wil gaan doen.

Zelf doen of uitbesteden?

Een tool aankopen alleen is niet voldoende. Deze moet ook onderhouden worden, samen met de inhoud (configuratie parameters, toepassingen, updates,… ). Proactief werken is hier van groot belang. Een minor update van macOS bracht vorig jaar een en ander in beweging. Plots moesten alle processen die gebruik maken van zogenaamde kernel extensions, opgenomen worden in een whitelist. Klinkt chinees? Denk aan Antivirus, VPN, hardware drivers etc. Later moesten applicaties die toegang nodig hebben buiten hun sandbox, ook weer opgenomen worden in een andere lijst. TeamViewer en consoorten zijn plots niet meer bruikbaar voor een gebruiker zonder admin rechten op zijn of haar systeem en een virusscanner kan voortaan alleen zichzelf scannen...

Je kan achter de feiten aanlopen, je kan de nodige resources voorzien om dit proactief op te vangen of je kan samenwerken met specialisten die de hele dag met niets anders bezig zijn en ruim 15 jaar ervaring kunnen voorleggen op gebied van Apple IT.


Op 21 & 22 maart kan je ons vinden op de Infosecurity beurs te Brussels Expo op stand 08.C091. Kom gerust langs voor een kennismaking!
My Marqit

Registreer je gratis voor de volgende voordelen:

  • Onbeperkt downloaden van meer dan 1500 whitepapers
  • Een marktoverzicht met informatie over alle aangesloten IT leveranciers
  • Kosteloos en vrijblijvend toegang tot alle informatie die de IT sector biedt
E-mailadres
Kies wachtwoord
Wachtwoord vergeten?