Mac/ Apple im Büroalltag

… viele Mac-User und keine Erfahrung im Thema Connectivität/ Synergie unter Apple-Geräten und zugehöriger Organisation? Kann ich nicht glauben.

Offenbar ein nicht ganz uninteressantes Thema, aber ich wollte keinen Monolog starten. Rödelt echt jeder auf seinem Mac mit eigener Apple-ID und freut sich? Oder habe ich unbewusst und laienhaft ein Tabu angesprochen?

Ich bin mir bewusst, dass viele auf Mac auch einfach (nur) ihren Job (im besten Fall auf 5k oder 6k) machen, ohne zu fragen warum und wie geht’s; das iPhone/ iPad anstöpseln und Daten austauschen/ synchronisieren - aber ein bissl mehr Input von denen, die für das „warum und wie“ zuständig sind, hätte ich mir schon erhofft. Oder hat da jeder seinen Nerd im Keller, der am produktiven Einsatz nicht teilnimmt/ hier nicht mitmachen darf/ kann/ will?

@bmatt Wir können uns gerne mal kurz per Teams austauschen.

Ich schicke Dir mal per PM meine Mail-Adresse. 

Okey Männers,

das ist doch schon mal ne Aussage. Es deckt sich im Grunde mit dem, was mir beim Obstwaren-Support empfohlen wurde. 

iCloud- Nutzung ist nicht wirklich sinnvoll umsetzbar, wie ich sehe. Familienfreigabe würde gehen für bis zu 6 Personen mit Teilen von App-Käufen wie z.B. Morpholio etc. Was den gemeinsamen Speicher anbelangt ist das auch mit Apple Business Manager mau; von daher brennt wohl nix an und das Verwaltungsgedöns ist wirklich für Institute mit hoher Nutzeranzahl die sich meist nicht mal beim Namen kennen.

Noch eine Info, die ich bekommen habe: Apple Business Essentials ist bei uns noch nicht vollumfänglich verfügbar; wenn das der Fall sein, soll es auf 🍏-Seite noch ein Stück einfacher werden. Schad, dass es für die K in KMU (oder Minis)  keine smarte Lösung (bislang) parat hat.

Vielleicht hat sonst noch wer Erfahrung mit dem Thema, die hier geteilt werden möchte. Danke!

Wir sind ein vollständig macOS-basiertes Büro. Alle Geräte laufen über eine gemeinsame Apple-ID, gleiches gilt für die iPads, für die iPhones werden in der Regel individuelle IDs genutzt.

Für uns zählt in erster Linie die Leistungsfähigkeit uns Ausfallsicherheit der Hardware - softwareseitig sehen wir mit der Software aus dem Apple-Universum keinen besonderen Mehrwert. Für die Kommunikation gibt es nextcloud und dazugehörige Dienste, wir haben auch eine sehr enge Integration von AC und bimcollab, darüber hinaus natürlich sämtliche Projekte in der BIMcloud.

Die Business-Services sind uns auch angeboten worden, wir haben das aber wegen der Komplexität nicht weiter verfolgt. Der Aufwand steht für uns in keinem Verhältnis zum Nutzen, nicht bei den insgesamt ca. 30 Geräten, die bei uns unter der gleichen Apple-ID laufen.

Ich denke, das Thema muss man erst allgemein angehen, um dann auf die Mac-Spezifika einzugehen.

1.) Netzwerkaufbau, Domäne, Administration

Was sich (leider) nicht bewährt hat, sind Netzwerk-basierte User-Verzeichnisse (roaming directories). Was aber gut funktioniert ist die zentrale Benutzerverwaltung in einer Windows-Domäne. Dafür braucht man allerdings keinen Windows-Server, sondern z.B. eine (Open Source ) Lösung wie Univention. Damit die Domäne aber funktioniert, benötigt es außerdem einen funktionierenden DNS. Das kann Univention (https://www.univention.de/) gleich mitmachen, wenn man aber schon einen hat, geht das auch damit. DHCP ist dann auch kein Problem mehr.

Achtung: wer bis hierher nix verstanden hat, sollte auch das eigene Netzwerk nicht verwalten. Oder sich schlau machen und in die Materie eintauchen.

Über die Domäne und die Einbindung der Rechner in die Domäne werden die Computer allgemein zentral administrierbar, da mit dem Aufnehmen der Rechner in die Domäne auch der Domänen Administrator zugriff auf die Rechner bekommt. Auch aus der Ferne. Zusätzlich bekommen bei mir alle Computer bei der Erstinstallation auch einen lokalen Admin-Account (localadmin), aber keine lokalen Benutzer. Die Benutzeranmeldung wird dann über  das eigene Domänenkonto geregelt. Dies betrifft nur stationäre Rechner. Hier der Link zu Apple, der das detailliert beschreibt.

https://support.apple.com/de-de/guide/deployment/depd1a7cad1f/web

2.) Zentrale Dienste

a) Kalender/Adressen: Thunderbird, Nextcloud, Univention

eMail und Kalender sind immer Geschmacksache. Um eine gewisse Einheitlichkeit zu gewährleisten kommt bei mir Thunderbird zum Einsatz. Dadurch ist es möglich auf die CalDAV- und CardDAV-Dienste unserer Nextcloud zuzugreifen. Da Nextcloud auch unsere Cloud-Lösung nach Innen und nach Außen darstellt, benötigen wir kein MS - außer Teams. Die eMail haben wir extern bei IONOS laufen, die zentrale eMail-Ablage und Archivierung erfolgt intern über einen eigenen eMail-Server, den Univention hostet.

Projekt-eMails laufen über Weiterleitungen auf die persönlichen Büro-eMails und werden dann in Eigenverantwortung in die zentrale Projekt-eMail gelegt. Dadurch kommt es zu Dopplungen, die sich aber mit einem Add-on in Thunderbird gut löschen lassen. Das ist keine optimale Lösung, vielleicht fällt mir da noch was besseres ein.

b) Datei-Ablage

SMB ist das Mittel der Wahl. Für Büros mit bis zu 20 Mitarbeiter/Zugriffsgeräten darf man tatsächlich einen Windows 10-Rechner als zentralen Dateiserver benutzen (steht so in den Lizenzvereinbarungen von MS)

 Will man kein Microsoft bei sich im Büro, geht die Freigabe über einen anderen Mac (der wieder in der Domäne ist und damit Freigaben über Gruppen ermöglicht) oder wieder über Univention. Zugegeben: die Freigabe am Mac ist echt übel. Ich bevorzuge hier wirklich Windows oder Linux, aka Univention.

c) Time Machine-Backup

Schwieriges Thema. Für die lokalen Rechner eigentlich nicht nötig, da alle Daten ohnehin auf dem Fileserver oder in der Cloud liegen. Lediglich die mobilen Geräte (iPhones, iPads) müssen über einen stationären Rechner gesichert werden und dieses Sicherung muss dann runter vom Rechner. 

Die Backups werden hier abgelegt

~/Library/Application Support/MobileSync/Backup/

und fressen ganz schön viel Speicher. Ein Lösung ist, die stationären Rechner mit einer lokalen Festplatte auszustatten und das Backup da drauf zu sichern. Natürlich muss man auf der Platte die Verschlüsselung einschalten, sonst ...

Leider bietet Apple hier keine Lösung an, das TM-Backup via WLAN ins eigene Netzwerk laufen zu lassen. Das nervt.

d) MDM

Beim MDM stellt sich die Frage, was man erreichen will. Kauft man seine Hardware direkt bei Apple, kann man bei der Bestellung die Geräte gleich von Apple ins eigene MDM einpflegen lassen. Weiterhin will man den Benutzer auf dem i-Gerät zentral verwalten, um das Gerät aus der Ferne stilllegen zu können (im Falle von Diebstahl, Kollege verlässt das Büro, etc.). Da legt man dann eben den iCloud-Account für den Benutzer an und gut ist. mehr will man da auch nicht machen. Eventuell kauft man darin noch Software und verteilt diese dann an die Benutzer. Bei iPads gibt es dann noch die Möglichkeit, diese zu teilen, d.h. das iPad hat mehrere Benutzerprofile (z.B. privat und beruflich).

e) Softwareverteilung

Softwareverteilung auf dem Mac geht am einfachsten mit Apple Remote Desktop. Dafür reicht z.B. auch ein Mac Mini, der die Verteilung vornimmt. Bei Windows ist das etwas komplexer, ...

Den Admin Guide für ARD gibt es hier

https://images.apple.com/server/docs/ARD3.2_AdminGuide.pdf

 Der ARD kostet einmalig 90 EUR im Apple Store.

Fazit:

Den ganzen Linux/Windows-Kram macht man am besten über eine Virtualisierung. Also "dicken" Server hinstellen und los geht's. Wobei für ein normales Büro auch eine gebrauchte High-End-Workstation (z.B. HP Z4 G8) reicht. Das Ding hat 6 SATA-Ports, einen onboard NVME-Port und oberhalb des Prozessors zwei Steckplätze für weitere 4 NVME's auf Riser-Karten. Ausserdem ECC-RAM bis max. 512 GB und fünf PCIe3 Steckplätze (z.B. für 10GbE, mehr NVME etc.) 

Bei den Mac-ARD-Diensten braucht man leider einen echten Mac. Hier reicht aber ein kleiner Mac Mini,  am besten auch mit 10 GbE, denn der verteilt ja nur.

Das sollte erst mal reichen. 

Sehe ich ähnlich. MDM lohnt sich bei nur 30 Usern noch nicht, egal ob Windows oder Apple. 

Active Directory ist ok für die Dateifreigabe und Gruppenrichtlinien und lohnt sich vielleicht ab 20 Usern (wenn Windows zum Einsatz kommt), wobei ich auch dort eher ein normales NAS mit lokalen Usern hinstellen würde, anstelle eines Windows Servers. 

Softwareverteilung ist auch eher nervig (User started während der Hintergrundaktualiserung ArchiCAD) und lohnt sich erst ab einer gewissen Grösse. 

Virtualisierung ist auch eher schwierig, wenn keine Linux Kenntnisse vorhanden sind (und HyperV willst du dir nicht antun).