L’adozione dei device macOS in azienda

Fino a poco tempo fa, macOS era un sistema operativo dedicato a grafici, musicisti o comunque all’ambiente consumer, mentre la sfera aziendale era caratterizzata esclusivamente da sistemi Windows; stando a quanto riportato da un sondaggio condotto dall’azienda Parallels, ad oggi, più del 55% delle aziende utilizza device macOS o ne approva l’utilizzo in modo esplicito all’interno della propria rete.

Altri risultati interessanti sull’adozione di questi dispositivi in azienda rivelano come i dipendenti ritengono che la scelta del dispositivo influenzi la produttività:

 

• Il 68% afferma infatti che la possibilità di selezionare il proprio dispositivo preferito li rende più produttivi sul posto di lavoro;
• Il 35% degli intervistati ha ritenuto che l’utilizzo del proprio dispositivo preferito li rendesse orgogliosi del luogo in cui lavorano;

 

In questo articolo andremo a trattare la gestione dei device macOS attraverso le funzionalità messe a disposizione dalla soluzione Microsoft Endpoint Manager.

 

Soluzioni di gestione

Uno dei principali punti di attenzione legati all’adozione dei device Mac in azienda era sicuramente la difficile gestione di questi dispositivi; questo comportava l’adozione di soluzioni ad hoc che a loro volta implicavano costi di licenza aggiuntivi, costi di manutenzione aggiuntivi ed anche una costante re-training del reparto IT.

Per questo motivo, Microsoft ha esteso le attuali soluzioni di gestione per permettere di controllare al meglio tutti i device presenti in azienda; è quindi possibile gestire i device macOS attraverso due modalità:

 

• Tradizionale: l’integrazione del plug-in Parallels con Microsoft Endpoint Configuration Manager permette di gestire i device utilizzando un’infrastruttura on-premise.
• Moderna: attraverso Microsoft Intune, è possibile gestire i device macOS e proteggere le informazioni in essi contenuti sfruttando tutte le potenzialità del cloud.

 

Nei prossimi paragrafi, vedremo come quest’ultima soluzione può essere utilizzata per far fronte alle varie esigenze che scaturiscono dalla gestione di questi endpoint.

 

Provisioning

Disporre di una procedura di provisioning dei Mac strutturata, permette di automatizzare e personalizzare il più possibile il processo di introduzione di questa tipologia di device in azienda; consente inoltre di beneficiare di un’unica procedura per la consegna di nuove postazioni, per i rinnovi tecnologici e per l’aggiornamento di postazioni esistenti.

Tutto questo consente quindi di ridurre il carico di lavoro dell’IT nel processo di provisioning e di standardizzazione della piattaforma aziendale.

Le soluzioni di provisioning disponibili sono differenti sulla base della tipologia di scenario di gestione che si vuole adottare per questi dispositivi:

 

• La prima soluzione consiste nella registrazione manuale attraverso l’installazione e successiva configurazione dell’applicazione Company Portal (o Portale aziendale) disponibile sullo store pubblico Apple.
• La seconda soluzione, ideale per i device company-owned (quindi di proprietà dell’azienda), risulta essere l’adozione di Apple Automated Device Enrollment (o Apple ADE). Questa soluzione non è nient’altro che l’alter-ego di Windows Autopilot per il mondo macOS; consente quindi un rapido provisioning dei device nella modalità supervised con conseguente applicazione di tutto il set di policy disponibili.
  Il processo di provisioning attraverso Apple ADE richiede che i device vengano registrati direttamente da Apple o da un reseller autorizzato sul portale Apple Business Manager e, una volta completata tale procedura, questi dispositivi saranno sincronizzati automaticamente sul portale Microsoft Endpoint Manager.
  Nel caso in cui i device macOS non vengano acquistati direttamente da Apple o da un reseller autorizzato, è possibile comunque eseguire l’enroll su Apple Business Manager in modo manuale attraverso la scansione di un QRCode dall’applicazione Apple Configurator per iPhone.

 

• La terza soluzione di provisioning consiste nella registrazione dei device attraverso un account DEM (Device Enrollment Manager); questa soluzione risulta essere ideale per gli ambienti kiosk o dove non è prevista un’associazione tra utente e dispositivo. Inoltre, questo tipo di registrazione comporta tutta una serie di limitazioni come, per esempio, l’impossibilità di utilizzare il canale Apple Volume Purchase Program per l’acquisto delle applicazioni.

 

Configurazione

Una volta completato il processo di provisioning, dobbiamo prevedere la configurazione di questi endpoint sulla base di quelle che sono le politiche aziendali.

Questa fase ha lo scopo di gestire e rendere sicuro l’accesso e l’utilizzo dei servizi e delle informazioni aziendali dai dispositivi Mac, fornendo però la medesima User Experience disponibile sulle piattaforme Microsoft.

Attraverso i Configuration Profile (o Configuration Policy), disponibili sul portale Microsoft Endpoint Manager, ho la possibilità di effettuare varie tipologie di configurazione sui dispositivi macOS:

 

• Governare le funzionalità del sistema operativo e personalizzare l’ambiente utente, come ad esempio: la configurazione delle stampanti che utilizzano il protocollo di AirPrint, la gestione di altri tipi di autenticazione (come ad esempio OKTA), la possibilità di eseguire content caching;
• Controllare tutta una serie di impostazioni a livello di device come ad esempio: il blocco di funzionalità non aziendali come Game Center, Apple Music, e soprattutto iCloud. Quest’ultimo servizio risulta essere non gestibile e quindi al di fuori del perimetro aziendale; disattivando tale funzionalità ho la possibilità di inibire la sincronizzazione delle stored credential nel Keychain, dati, mail, ecc… che potrebbero andare compromessi se memorizzate su questo servizio.
• Bloccare la possibilità di eseguire il reset del sistema operativo e l’unenroll da Intune.
• Erogare profili VPN, profili WiFi, certificati e configurazioni per le Wired-Network 802.1x.

 

Infine, tutto quello che non è possibile fare nativamente attraverso il portale Microsoft Endpoint Manager admin center, è possibile farlo attraverso l’utilizzo di profili custom sfruttando file di configurazione con estensione mobileconfig.

Nella configurazione di questi endpoint rientra senza dubbio anche la distribuzione delle applicazioni; di recente Microsoft ha esteso il pacchetto di applicazioni erogabili attraverso Microsoft Endpoint Manager con l’introduzione delle applicazioni in formato DMG. Oltre a questo formato, è possibile distribuire:

 

• Microsoft Apps (Microsoft 365 Apps, Microsoft Edge, Microsoft Defender for Endpoint).
• Web Link.
• Line-of-Business app nel formato PKG.

 

Protezione e aggiornamento

La protezione dei device ha lo scopo di impedire ai dispositivi aziendali di esporre la rete e le informazioni aziendali a un’ampia gamma di minacce. Microsoft Endpoint Manager permette di distribuire configurazioni attraverso policy denominate Endpoint Security Policy che sono strettamente focalizzate alla messa in sicurezza dei dispositivi; attraverso queste policy, infatti è possibile:

 

• Gestire il Firewall presente sui device Apple con possibilità di definire delle esclusioni a livello di app.
• Eseguire l’encryption dei volumi attraverso File Vault – questa soluzione non è nient’altro che l’alter ego di Microsoft BitLocker su device macOS; sfruttando la piena integrazione con il mondo Microsoft 365, ho la possibilità di eseguire il salvataggio delle recovery key direttamente su Azure Active Directory.
• Attivare la protezione antimalware affidandola a Micosoft Defender for Endpoint (MDE) in modo tale da adottare le funzionalità avanzate presenti nella soluzione come Cloud-delivered protection, Endpoint detection and response, Potentially Unwanted App, ecc…
• Controllare i file scaricati dal Web tramite Gate keeper equivalente di Microsoft Smart Screen sui sistemi Windows.
• Gestire le interazioni tra le app e l’OS tramite System Extensions. Le System Extension vengono utilizzate per le applicazioni che devono interagire con i driver (es. antivirus, VPN) e non fanno nient’altro che creare delle relazioni di trust tra l’applicazione e il sistema operativo (Kernel o System);

 

Sempre in ottica di messa in sicurezza degli endpoint, attraverso Microsoft Endpoint Manager, ho la possibilità di configurare come e quando i miei dispositivi Apple possono eseguire l’aggiornamento in modo tale da mantenere un livello di sicurezza adeguato secondo gli standard aziendali; al momento, tale configurazione è possibile solamente attraverso un profilo Custom ma Microsoft sta lavorando per renderla disponibile direttamente via UI.

 

Gestione delle identità

Come riportato all’inizio di questo articolo, fino a qualche anno fa, l’utilizzo dei Mac in azienda era qualcosa di difficile applicazione a causa delle molteplici incompatibilità e difficoltà di integrazione con il mondo Windows; negli ultimi 2 anni, Microsoft e Apple hanno lavorato in sinergia per consentire un’integrazione ottimale tra i due mondi soprattutto sul fronte identità in modo tale da fornire la medesima user-experience indipendentemente dal device utilizzato.

 

Nel caso di identità basate su Active Directory oppure sincronizzate con Azure AD, è possibile utilizzare l’estensione Apple Kerberos Single Sign-On Extension: questa soluzione consente l’autenticazione verso il provider delle identità aziendale da Safari e dalle app native consentendo così l’utilizzo delle medesime credenziali dal momento in cui devo accedere ai servizi aziendali. Risulta inoltre possibile configurare diversi provider in base al proprio Identity Provider, sia questo basato su OpenID Connect, Oauth, Kerberos o SAML ed evitare così di utilizzare, e di conseguenza gestire, credenziali legate all’Apple ID.

Proprio tramite questa estensione ho quindi la possibilità di sincronizzare la password del mio account corporate oltre alla possibilità di determinare quali applicazioni possono sfruttare il SSO.

 

Per quanto riguarda invece le identità basate su Azure Active Directory, è necessario utilizzare il plugin Microsoft Enterprise SSO for Apple device.

Questo plugin sviluppato da Microsoft in collaborazione con Apple è fondamentale per permettere l’autenticazione da parte degli account Cloud-native e può essere utilizzato congiuntamente con Apple Kerberos SSO Extension per accedere alle risorse cloud.

 

L’introduzione di queste due estensioni consente quindi di evitare l’utilizzo di identità di dominio (e conseguente join ad AD) o di mobile account a favore di account locali per l’autenticazione e l’accesso su questi device.

 

Un ultimo aspetto da tenere in considerazione in merito alla gestione delle identità riguarda la gestione degli Apple ID: attraverso la soluzione Federated Authentication, si ha la possibilità di mettere in comunicazione la propria infrastruttura Azure Active Directory con Apple Business Manager; questo fa sì che le mie identità Azure AD vengano sincronizzate su Apple Business Manager e queste identità possano essere utilizzate come veri e propri Apple ID per l’accesso ai servizi Apple.

 

Questa funzionalità garantisce una separazione tra il contesto personale e quello aziendale – separazione dal momento in cui registro più Apple ID sul device.

Unica particolarità ma molto importante da tenere in considerazione è legata al fatto che, dopo 60 giorni dall’attivazione della federation, tutti gli Apple ID “personali” registrati con l’indirizzo aziendale verranno revocati.

Dal momento in cui viene attivata questa funzionalità, viene inviato da parte di Apple un warning che indicherà all’utente di aggiornare il suo Apple ID con i riferimenti ad un indirizzo e-mail diverso dal dominio corporate; se questa attività non verrà eseguita entro la deadline indicata, Apple provvederà ad eseguire automaticamente lo switch verso un dominio temporaneo.

 

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

• Set up enrollment for macOS devices in Intune
• macOS device settings to allow or restrict features using Intune
• Add a macOS DMG app to Microsoft Intune
• Kerberos Single sign-on extension with Apple devices
• Intro to federated authentication with Apple Business Manager

 

Conclusioni

In questo articolo sono state fornite le informazioni necessarie per poter gestire nel migliore dei modi i dispositivi macOS; attraverso l’adozione della soluzione Microsoft Endpoint Manager, è possibile gestire in modo semplice e centralizzato tutte le fasi del ciclo di vita dei device Mac (e non solo).