Charles Edge, Rich Trouton - Apple Device Management_ A Unified Theory of Managing Macs, iPads, iPho

  • No School
  • AA 1
  • 796

This preview shows page 1 out of 796 pages.

You've reached the end of your free preview.

Want to read all 796 pages?

Unformatted text preview: Apple Device Management A Unified Theory of Managing Macs, iPads, iPhones, and AppleTVs — Charles Edge Rich Trouton Apple Device Management A Unified Theory of Managing Macs, iPads, iPhones, and AppleTVs Charles Edge Rich Trouton Apple Device Management: A Unified Theory of Managing Macs, iPads, iPhones, and AppleTVs Charles Edge Minneapolis, MN, USA Rich Trouton Middletown, MD, USA ISBN-13 (pbk): 978-1-4842-5387-8 ISBN-13 (electronic): 978-1-4842-5388-5 Copyright © 2020 by Charles Edge and Rich Trouton This work is subject to copyright. All rights are reserved by the Publisher, whether the whole or part of the material is concerned, specifically the rights of translation, reprinting, reuse of illustrations, recitation, broadcasting, reproduction on microfilms or in any other physical way, and transmission or information storage and retrieval, electronic adaptation, computer software, or by similar or dissimilar methodology now known or hereafter developed. Trademarked names, logos, and images may appear in this book. Rather than use a trademark symbol with every occurrence of a trademarked name, logo, or image we use the names, logos, and images only in an editorial fashion and to the benefit of the trademark owner, with no intention of infringement of the trademark. The use in this publication of trade names, trademarks, service marks, and similar terms, even if they are not identified as such, is not to be taken as an expression of opinion as to whether or not they are subject to proprietary rights. While the advice and information in this book are believed to be true and accurate at the date of publication, neither the authors nor the editors nor the publisher can accept any legal responsibility for any errors or omissions that may be made. The publisher makes no warranty, express or implied, with respect to the material contained herein. Managing Director, Apress Media LLC: Welmoed Spahr Acquisitions Editor: Aaron Black Development Editor: James Markham Coordinating Editor: Jessica Vakili Distributed to the book trade worldwide by Springer Science+Business Media New York, 233 Spring Street, 6th Floor, New York, NY 10013. Phone 1-800-SPRINGER, fax (201) 348-4505, e-mail [email protected], or visit . Apress Media, LLC is a California LLC and the sole member (owner) is Springer Science + Business Media Finance Inc (SSBM Finance Inc). SSBM Finance Inc is a Delaware corporation. For information on translations, please e-mail [email protected], or visit . com/rights-permissions. Apress titles may be purchased in bulk for academic, corporate, or promotional use. eBook versions and licenses are also available for most titles. For more information, reference our Print and eBook Bulk Sales web page at . Any source code or other supplementary material referenced by the author in this book is available to readers on GitHub via the book’s product page, located at 978-1-4842-5387-8. For more detailed information, please visit source-code. Printed on acid-free paper Table of Contents About the Authors�������������������������������������������������������������������������������xv About the Technical Reviewer����������������������������������������������������������xvii Preface����������������������������������������������������������������������������������������������xix Chapter 1: The Evolution of Apple Device Management����������������������1 The Classic Mac Operating System����������������������������������������������������������������������2 Network Protocols�������������������������������������������������������������������������������������������������3 Early Device Management������������������������������������������������������������������������������������6 NeXT����������������������������������������������������������������������������������������������������������������������9 Mac + Unix = Mac OS X��������������������������������������������������������������������������������������11 Server�����������������������������������������������������������������������������������������������������������������15 Apple Remote Desktop����������������������������������������������������������������������������������������22 Ecosystem Coexistence��������������������������������������������������������������������������������������24 iOS Device Management�������������������������������������������������������������������������������������26 Mobile Device Management�������������������������������������������������������������������������������28 Apple Device Management Programs�����������������������������������������������������������������30 Enterprise Mobility����������������������������������������������������������������������������������������������31 iOS + Mac OS X = macOS�����������������������������������������������������������������������������������35 Imaging Is Dead?�������������������������������������������������������������������������������������������36 macOS – Unix = appleOS������������������������������������������������������������������������������������39 Moving Away from Active Directory��������������������������������������������������������������������42 The Apple Admin Community������������������������������������������������������������������������������43 iii Table of Contents Conferences��������������������������������������������������������������������������������������������������44 Online Communities��������������������������������������������������������������������������������������48 User Groups��������������������������������������������������������������������������������������������������������50 Summary������������������������������������������������������������������������������������������������������������52 Chapter 2: Agent-Based Management������������������������������������������������55 Daemons and Agents������������������������������������������������������������������������������������������56 Use Lingon to See and Change Daemons and Agents Easily�������������������������60 Controlling LaunchDaemons with launchctl��������������������������������������������������64 Deeper Inspection: What Does the App Have Access To?������������������������������������66 Third-Party Management Agents������������������������������������������������������������������������67 Addigy������������������������������������������������������������������������������������������������������������68 FileWave��������������������������������������������������������������������������������������������������������71 Fleetsmith������������������������������������������������������������������������������������������������������73 Jamf��������������������������������������������������������������������������������������������������������������76 Munki�������������������������������������������������������������������������������������������������������������80 osquery����������������������������������������������������������������������������������������������������������97 Chef�������������������������������������������������������������������������������������������������������������105 Edit a Recipe������������������������������������������������������������������������������������������������109 Puppet���������������������������������������������������������������������������������������������������������111 Use git to Manage All the Things�����������������������������������������������������������������������112 The Impact of UAMDM��������������������������������������������������������������������������������������117 Rootless������������������������������������������������������������������������������������������������������������118 Frameworks������������������������������������������������������������������������������������������������������119 Miscellaneous Automation Tools�����������������������������������������������������������������������121 Summary����������������������������������������������������������������������������������������������������������122 iv Table of Contents Chapter 3: Profiles����������������������������������������������������������������������������125 Manually Configure Settings on Devices����������������������������������������������������������126 Use Apple Configurator to Create a Profile��������������������������������������������������������136 View the Raw Contents of a Profile�������������������������������������������������������������146 Install a Profile on macOS���������������������������������������������������������������������������149 Install a Profile on iOS���������������������������������������������������������������������������������152 Install a Profile on tvOS�������������������������������������������������������������������������������157 View a Profile from macOS��������������������������������������������������������������������������162 View a Profile from iOS��������������������������������������������������������������������������������164 View a Profile from tvOS������������������������������������������������������������������������������167 Remove a Profile on macOS������������������������������������������������������������������������169 Remove a Profile on iOS������������������������������������������������������������������������������170 Remove a Profile on tvOS����������������������������������������������������������������������������175 Effects of Profile Removal���������������������������������������������������������������������������177 Use the Profiles Command on macOS��������������������������������������������������������������178 Using the Profiles Command�����������������������������������������������������������������������179 MCX Profile Extensions��������������������������������������������������������������������������������181 Summary����������������������������������������������������������������������������������������������������������183 Chapter 4: MDM Internals�����������������������������������������������������������������185 What MDM Can Access�������������������������������������������������������������������������������������186 Apple Business Manager and Apple School Manager���������������������������������������187 Apple Push Notifications�����������������������������������������������������������������������������������192 Checkins: Device Enrollment�����������������������������������������������������������������������������193 MDM: Device Management�������������������������������������������������������������������������������200 MDM Commands�����������������������������������������������������������������������������������������������201 Automated Enrollment, or DEP��������������������������������������������������������������������������209 The Reseller DEP API�����������������������������������������������������������������������������������210 The Cloud Service DEP API��������������������������������������������������������������������������211 v Table of Contents mdmclient���������������������������������������������������������������������������������������������������������214 Device Supervision�������������������������������������������������������������������������������������������216 UAMDM�������������������������������������������������������������������������������������������������������������217 Enrollment Commands��������������������������������������������������������������������������������������220 The Impact of UAMDM���������������������������������������������������������������������������������222 Enable APNs Debug Logging�����������������������������������������������������������������������������235 App Deployment������������������������������������������������������������������������������������������������239 Gift and VPP Codes��������������������������������������������������������������������������������������240 Volume Purchase Program��������������������������������������������������������������������������241 Managed Open-In���������������������������������������������������������������������������������������������245 Host a .ipa on a Web Server������������������������������������������������������������������������������246 Sign and Resign macOS Applications���������������������������������������������������������������249 App Notarization������������������������������������������������������������������������������������������249 Summary����������������������������������������������������������������������������������������������������������253 Chapter 5: iOS Provisioning��������������������������������������������������������������255 iOS Provisioning������������������������������������������������������������������������������������������������256 Prepare an iOS Device Using Apple Configurator����������������������������������������257 Create Blueprints�����������������������������������������������������������������������������������������257 Manage Content������������������������������������������������������������������������������������������������259 Add Certificates for 802.1x with Profiles to Blueprints��������������������������������259 Install Apps with Apple Configurator�����������������������������������������������������������265 Automate Enrollment with Apple Configurator��������������������������������������������268 Change Device Names Using Apple Configurator����������������������������������������273 Change Device Wallpaper with Apple Configurator�������������������������������������275 Prepare a Device�����������������������������������������������������������������������������������������277 Apple Configurator Debug Logging��������������������������������������������������������������283 Using an ipsw As Part of Device Restores���������������������������������������������������284 vi Table of Contents Device Supervision Using Manual Configurations���������������������������������������286 Automating iOS Actions�������������������������������������������������������������������������������290 AEiOS�����������������������������������������������������������������������������������������������������������302 Caching Services����������������������������������������������������������������������������������������������305 What’s Cached?�������������������������������������������������������������������������������������������306 Caching Service Configuration��������������������������������������������������������������������307 Summary����������������������������������������������������������������������������������������������������������312 Chapter 6: Mac Provisioning������������������������������������������������������������313 macOS Startup Modifier Keys���������������������������������������������������������������������������314 macOS Provisioning with DEP��������������������������������������������������������������������������316 SplashBuddy������������������������������������������������������������������������������������������������318 DEPNotify�����������������������������������������������������������������������������������������������������318 macOS Provisioning Without DEP���������������������������������������������������������������������318 Installation���������������������������������������������������������������������������������������������������319 Create a Workflow���������������������������������������������������������������������������������������319 Imagr�����������������������������������������������������������������������������������������������������������330 Bootstrappr��������������������������������������������������������������������������������������������������330 Installr���������������������������������������������������������������������������������������������������������330 Boot Camp���������������������������������������������������������������������������������������������������330 Winclone������������������������������������������������������������������������������������������������������330 Upgrades and Installations�������������������������������������������������������������������������������331 Reprovisioning a Mac����������������������������������������������������������������������������������334 Virtual Machines������������������������������������������������������������������������������������������339 VMware Fusion�������������������������������������������������������������������������������������������340 Parallels�������������������������������������������������������������������������������������������������������340 VirtualBox����������������������������������������������������������������������������������������������������341 Summary����������������������������������������������������������������������������������������������������������341 vii Table of Contents Chapter 7: Endpoint Encryption��������������������������������������������������������343 iOS Encryption Overview�����������������������������������������������������������������������������������343 Enabling Encryption on iOS�������������������������������������������������������������������������������346 macOS Encryption Overview�����������������������������������������������������������������������������350 Secure Token�����������������������������������������������������������������������������������������������������352 Enabling Encryption on macOS�������������������������������������������������������������������353 FileVault Recovery Keys������������������������������������������������������������������������������357 FileVault 1 and the FileVaultMaster.keychain File���������������������������������������359 Creating an Institutional Recovery Key��������������������������������������������������������360 Enabling Filevault 2 Encryption for One or Multiple Users��������������������������369 Enabling Filevault 2 Encryption Using One or Multiple Recovery Keys�������378 Disabling FileVault 2 Encryption������������������������������������������������������������������382 Listing Current FileVault 2 Users����������������������������������������������������������������385 Managing Individual and Institutional Recovery Keys���������������������������������387 Removing Individual and Institutional Recovery Keys���������������������������������391 Recovery Key Reporting������������������������������������������������������������������������������394 Reporting on Filevault 2 Encryption or Decryption Status���������������������������397 Summary����������������������������������������������������������������������������������������������������������402 Chapter 8: Securing Your Fleet���������������������������������������������������������403 Securing the Platform���������������������������������������������������������������������������������������403 Mac Security�����������������������������������������������������������������������������������������������������405 System Integrity Protection�������������������������������������������������������������������������406 SIP-Protected Applications��������������������������������������������������������������������������408 SIP-Protected Directories����������������������������������������������������������������������������409 View SIP Protections Interactively���������������������������������������������������������������412 Runtime Protections������������������������������������������������������������������������������������414 Kernel Extension Protections�����������������������������������������������������������������������415 viii Table of Contents Managing System Integrity Protection��������������������������������������������������������������416 NetBoot and System Integrity Protection����������������������������������������������������419 Running csrutil Outside of the Recovery environment��������������������...
View Full Document

  • Fall '19
  • Mac OS X

What students are saying

  • Left Quote Icon

    As a current student on this bumpy collegiate pathway, I stumbled upon Course Hero, where I can find study resources for nearly all my courses, get online help from tutors 24/7, and even share my old projects, papers, and lecture notes with other students.

    Student Picture

    Kiran Temple University Fox School of Business ‘17, Course Hero Intern

  • Left Quote Icon

    I cannot even describe how much Course Hero helped me this summer. It’s truly become something I can always rely on and help me. In the end, I was not only able to survive summer classes, but I was able to thrive thanks to Course Hero.

    Student Picture

    Dana University of Pennsylvania ‘17, Course Hero Intern

  • Left Quote Icon

    The ability to access any university’s resources through Course Hero proved invaluable in my case. I was behind on Tulane coursework and actually used UCLA’s materials to help me move forward and get everything together on time.

    Student Picture

    Jill Tulane University ‘16, Course Hero Intern

Stuck? We have tutors online 24/7 who can help you get unstuck.
A+ icon
Ask Expert Tutors You can ask You can ask You can ask (will expire )
Answers in as fast as 15 minutes