MobileIron – ניהול MacOS - Teraworks
בלוג

MobileIron – ניהול MacOS

מולי מוטולה  |  01 אוג 2019

"בשנת 2015 אפשרו IBM לעובדים את השימוש בתחנות עבודה Mac של אפל, שלוש שנים מאוחר יותר והמספר עומד על 135,000 תחנות." כך פתח בדבריו ה-CIO של יבמ פלצ'ר פלבין בכנס למשתמשי Mac בשנה שעברה (אוקטובר 2018). כמו יבמ, השימוש במאק צובר תאוצה בארגונים גדולים נוספים. אפל זיהו את הפוטנציאל ולכן מערכות ההפעלה האחרונות יצאו עם פתרונות מובנים המאפשרים ניהול מרכזי המותאם לצרכי השוק העסקי.

 

 

"יותר ממחצית מהארגונים (52%) מציעים כעת לעובדיהם את היכולת לבחור באיזה סוג מחשב הם משתמשים בעבודה. כאשר ארגונים נותנים לעובדים את היכולת לבחור את הטכנולוגיה שלהם, הם בחרו באופן עקבי באפל. 72% מהעובדים בוחרים ב- Mac בארגונים המאפשרים בחירה." סקר בקרב 580 ארגונים בנושא השפעת אפשרות הבחירה בטכנולוגיות על שביעות רצון עובדים 2018.

בנוסף לתהליכים הללו, המפץ הגדול הקרוב בשוק תחנות העבודה, סיום התמיכה של מיקרוסופט ב- Windows 7 תותיר מאות מיליוני משתמשים עם מערכת הפעלה בת עשר. הנגשת מערכות Mac לשוק העסקי, תפתח לראשונה את האפשרות לארגונים לבחור באלטרנטיבה נוספת בכמויות שלא נראו בעבר.

בסביבת העבודה עמה מתמודדים ארגונים כיום המורכבת מתחנות Windows10 ו-MacOS, היתרון בניהול ואבטחה באמצעות פלטפורמה אחודה גדול. לקוחות שכבר משתמשים ב- MobileIron לניהול הניידים מסוג Android ו- iOS על בסיס יומיומי יכולים למנף את ההשקעה במערכת הקיימת, תוך כדי הוזלת עלויות. MobileIron UEM מכסה תרחישים רבים שמטרתם לייעל את האבטחה, כמו גם לשפר את השימושיות עבור מנהלי מערכת ומשתמשים כאחד. מערך היכולות הרחב של המערכת משתרע על מחזור החיים המלא של תחנת העבודה MacOS – החל מפריסתה עד לגריטה. במאמר זה נדגיש את הערך שאנו מביאים ללקוחות בכל אחד מהשלבים הללו.

 

פריסת תחנות הקצה On-Boarding and Deployment

המערכת תומכת בתכנית אפל לפריסת מחשבים (המכונה DEP), המאפשר הפצה ​​ללא מגע של מכשירי macOS ו- iOS. זהו חיסכון זמן ענקי עבור ה-IT ומאפשר למשתמשים להיות פרודוקטיביים במהירות. בנוסף לתמיכה ב-DEP, MobileIron תומך גם בתוכנית רכישת האפליקציות הארגונית של אפל (VPP), מה שהופך את הקצאת וניהול הרישיונות לאוטומטי. רישום תחנות וגם אפליקציות זמינים כעת דרך פורטל ה-DEP של אפל. MobileIron UEM תומך גם בפריסת תחנות קצה של macOS כולל הרשמה באמצעות דפדפן אינטרנט (iREG), הרשמה בתוך אפליקציית ה- Mobile @ Work שלנו והרשמה באמצעות Apple Configurator 2. הרשמה יעילה, חוסכת זמן ופשוטה עם הרבה אפשרויות גמישות למנהל העסוק. תהליך הרישום מתבצע ללא התערכות של מנהל המערכת ועובד באופן הבא:

 

ניהול תצורה Configuration and Profile

MobileIron מציעה אפשרויות גמישות רבות שיעזרו לך ליצור ולדחוף תצורות למחשבי מקינטוש. לדוגמה, אתה יכול לדחוף אישורים באמצעות שירות ה- CA המובנה במוצר (Certificate Authority) כדי להבטיח שמחשבי ה- Mac של המשתמשים מוגדרים עם גישה ל- Wi-Fi ו- VPN ארגוניים. באפשרותך ליצור תגיות וקבוצות מכשירים (Device Groups) ובאמצעותם להגדיר הגבלות שונות על המכשירים. אותו מנוע מדיניות מהימן בו המערכת משתמשת כדי ליצור ולאכוף מדיניות במערכות הפעלה אחרות חל גם על macOS, כך שנוכל להיות בטוחים כי המכשיר פועל על פי הכללים שמחלקת ה- IT שלך קבעה.

 

פעולות אפשריות נוספות:

  1. ניתן להשתמש ב- MobileIron UEM גם ליצירת חשבונות Office 365 עבור מחשבי ה- Mac שלך.
  2. דחיפת עדכוני מערכת הפעלה –Patch Management.
  3. עיכוב עדכוני מערכת הפעלה עד 90 יום כדי להתאים אותם ללוחות הזמנים של המשתמשים ולהבטיח תאימות לאפליקציות נוספות שפרסתם.
  4. באמצעות ה-Agent המותקן במכשיר ניתן להשתמש ולהתקין סקריפטים בהתאמה אישית כגון הוספת מדפסות.

 

אפליקציות Per App VPN ואימות מבוסס הקשר Device Trust

מערכת MobileIron כוללת גם רכיב VPN Tunnel המאפשר הגנת VPN ברמת אפליקציה. המערכת תומכת לא רק ב- Mac, אלא גם במכשירי אנדרואיד, iOS ו- Windows 10. באמצעות Tunneling, מנהלי IT יכולים להגדיר ללא מאמץ מכשירים עם סרטיפיקט (Certificate) ותצורות VPN ללא צורך בפתרון VPN של צד שלישי. כל זאת באמצעות MobileIron Sentry, השער המקוון שמנהל, מצפין ומאבטח תנועה בין מחשבי מקינטוש ומערכות ארגוניות אחוריות.

בנוסף לכך, באמצעות MobileIron Access, ניתן להבטיח כי נתונים משירותי ענן נפוצים כמו O365, G Suite, Salesforce או כל שירות התומך ב- SAML 2.0, יהיו זמינים רק למשתמשים מאומתים במחשבי Mac מורשים, ורק כאשר הם משתמשים באפליקציה ייעודית.

המערכת מתממשקת עם Identity Providers צד שלישי כגון OKTA על מנת להוסיף יכולות Device trust בגישה לשירותי ענן קריטיים וכן לאפשר Password less authentication על ידי מינוף התעודות המותקנות על המכשירים כתחליף להזדהות עם סיסמה.

 

הפצת אפליקציות Packager

מערכת ההפצה תומכת בהפצת תוכנה עבור macOS עם וללא DEP (Device Enrollment Program). לאחרונה התווספה גם האפשרות להציג התראות בזמן שהאפליקציות מותקנות. כמו כן, כאשר מנהל מערכת מוסיף אפליקציה במנהל ההפצה של אפל DEP, נתוני ה-Metadata של האפליקציה יסונכרנו עם MobileIron וניתן יהיה לפרוס את האפליקציה ללא מעורבות המשתמש למכשיר.

בנוסף, מנהלי מערכת עשויים לרצות לספק לעובדיהם קטלוג אפליקציות ש- MobileIron יכולה לספק עבור macOS וכן עבור כל מערכות ההפעלה האחרות שאנו מנהלים.  בנוסף, מנהלים יוכלו לקבוע תלות (יחסים) בין אפליקציות מרובות. לדוגמא, הם יוכלו להכתיב שלפני התקנת אפליקציה מסוימת, יש להתקין תחילה אפליקציה אחרת (או סדרת אפליקציות). זה יעזור להבטיח את חווית המשתמש הטובה ביותר האפשרית, תוך צמצום מעורבות המשתמש.

 

 

מעקב וציות Compliance

MobileIron UEM מספק למנהלים את השליטה והראות הנחוצים לניהול מקינטוש ולהבטיח שהם תואמים. ניתן ליצור מדיניות בהתאמה אישית על סמך מספר קריטריונים של מכשירים, לדוגמה, הוחל בהצפנת Filevault2, וסדרה של פעולות ציות שכבות מוגדרות על בסיס חומרת ההפרה. פעולות הציות עשויות להיות פשוטות כמו התראה הנשלחת למשתמש, או במידת הצורך פעולת הסגר או במקרה הגרוע, מחיקה של מכשיר. פעולות ציות יכולות להיות מונעות גם על ידי אפליקציות. דוגמה נוספת להבטיח תאימות ל- Mac היא הגדרת ואכיפת מדיניות קוד סיסמה. אם מזוהה מקינטוש כבעלי קוד סיסמה שאינו תואם, אתה יכול לדרוש מהמשתמש לאפס את קוד הסיסמה שלו בכניסה הבאה, או למנוע גישה למשאבים ארגוניים. מדיניות ציות מדויקת ופעולות תאימות גמישות, שכבותיות, מספקות למנהלים את הכלים הדרושים להם במאבק המתמשך נגד אובדן נתונים פוטנציאלי.

 

 

סיום מחזור חיים למכשיר Off-Boarding

מה לגבי מכשיר macOS שצריך להיפטר ממנו? בין אם מדובר בעובד שעוזב את הארגון, או עובר שדרוג טכנולוגי למכשיר, MobileIron UEM מקל על גריטה (decommission) של מכשירים בכך שהיא מאפשרת למנהלי מערכת לבטל את הרישום בצורה חלקה ומרחוק – ללא מגע יד אדם. המכשיר מפסיק להיות מנוהל וכל התצורות שהותקנו על ידי ה- UEM נמחקות. בנוסף, ניתן למחוק אותו לחלוטין Factory Wipe (חזרה להגדרות היצרן) או למחוק באופן סלקטיבי במקרים בהם העובד הבעלים של המכשיר BYOD ועוזב את הארגון. לאחר מכן ניתן לרשום מחדש בקלות את ה- Mac על שם עובד חדש.