macOS management

About Davide • User Endpoint Solution Architect @4wardPRO • Design e implementazione di soluzioni per la gestione ed il provisioning degli endpoint aziendali • Microsoft MVP Enterprise Mobility davide.salsi@4wardpro.it https://emm-blog.com/

About Marco • Senior Customer Engineer @Microsoft • Mi occupo di tematiche relative al Device Management sia in ambito formazione che deployment.

01 Soluzioni di gestione 02 Ciclo di vita dei dispositivi 03 Demo 04 Gestione delle identità 05 Demo Agenda

Soluzioni di gestione

 Tradizionale con tecnologie on-prem  Configuration Manager + Parallels plug-in  Moderna e Cloud based:  Microsoft Intune Soluzioni per la gestione dei macOS

Provisioning • Processo di introduzione dei nuovi endpoint in azienda Provisioning

Soluzioni di provisioning • Enrollment manuale attraverso Company Portal (BYOD) • Apple Automated Device Enrollment (ADE) • Consente la registrazione automatica nella modalità supervised • Direct Enrollment • Registrazione su Apple Business Manager attraverso Apple Configurator for iPhone • Device enrollment manager (DEM) • Idoneo per ambienti kiosk o dove non è prevista una user affinity

Configurazione Provisioning • Processo di introduzione dei nuovi endpoint in azienda Configure • Configurazione dei dispositivi sulla base delle politiche aziendali

Device features Device restrictions Access configuration Custom Configuration Profile

Microsoft Apps Web Link LOB Apps macOS Apps (DMG) Software Distribution

Demo

Protezione/Update Provisioning • Processo di introduzione dei nuovi endpoint in azienda Configure • Configurazione dei dispositivi sulla base delle politiche aziendali Protect/Update • Messa in sicurezza dei dispositivi e protezione dei dati aziendali • Aggiornamento dei sistemi per mantenere supporto e livello di sicurezza adeguati

Firewall Encryption Defender for Endpoint Device/Account Protection Endpoint Security Policy

Provisioning • Processo di introduzione dei nuovi endpoint in azienda Configure • Configurazione dei dispositivi sulla base delle politiche aziendali Protect/Update • Messa in sicurezza dei dispositivi e protezione dei dati aziendali • Aggiornamento dei sistemi per mantenere supporto e livello di sicurezza adeguati Support/Retire • Governare i device e fornire assistenza da remoto • Gestire la dismissione o la riassegnazione dei device Supporto e dismissione

Autenticazione ai servizi aziendali • Integrazione con i servizi di Directory per accesso in SSO Identità aziendali • Integrazione con le identità aziendali e gestione sicura e centralizzata degli Apple ID Gestione delle identità

Microsoft Enterprise SSO plug-in for Apple devices • Plugin realizzato da Microsoft in collaborazione con Apple • Necessario dal momento in cui le credenziali sono basate su Azure AD • Può essere utilizzato congiuntamente con Apple Kerberos SSO Extension per accedere alle risorse cloud Cloud Apple Kerberos Single Sign-On Extension • Sostituisce Enterprise Connect • Consente l’autenticazione verso l’IdP aziendale da Safari e dalle app native • Supporta modern authentication, smart card, certificate based • Sincronizza l’identità locale sul Mac con le credenziali AD • Richiede un MDM ed è ottimizzato per Big Sur AD/Hybrid Autenticazione ai servizi aziendali

Federated authentication con Apple Business Manager • Sincronizza le identità di AAD su Apple Business Manager • Le identità corp. possono essere utilizzate per l’accesso ai servizi Apple • Ammette la sincronizzazione da più domini (purchè associate ad un unico tenant) • L’UPN deve corrispondere all’indirizzo e- mail (UPN alias o Alternate ID non sono supportati) Identità aziendali

Consigliato non mettere in join ad AD i device Mac: • Utilizzo delle identità locali per l’accesso ai device a discapito delle identità di dominio o del mobile account adottando Kerberos SSO extension • In linea con le best practise Microsoft e Apple • Non pone vincoli alle future evoluzioni in casa Apple Gestione delle identità

Demo