Apple tööjaamade haldus mitme domeenivõrguga suurettevõttes

Lõputöö teemaks oli Apple tööjaamade haldus mitme domeenivõrguga suurettevõttes. 2020. aastal juurutati Ekspress Grupis Apple tööjaamade keskhaldustarkvara Mosyle Business, kuid seni puudus võimalus keskhaldussüsteemis seadmeid lisada mitmesse domeeni – seetõttu oli võimalus keskhaldust reaalselt kasutada vaid ühel tütarettevõttel, Delfi Meedial (kontsernis on kokku 14 tütarettevõtet).

Lõputöö käigus loodi ning implementeeriti olemasolevasse keskhaldussüsteemi uus funktsionaalsus, tänu millele on võimalik erinevate Windowsi domeenide kasutajatel ennast halduses olevates Apple seadmetes autentida – ehk enam pole takistusi haldustarkvara juurutamiseks kõigis tütarettevõtetes.

Juurutusprojekti esimeses osas kirjeldas autor Apple tööjaamade senist haldust kontserni ettevõtetes (as-is), analüüsis lähtuvalt E-ITSi etalonturbe kataloogist Apple seadmete käsitsi seadistamise protsessi ja arvuti edasist kasutust (ilma keskhalduseta ettevõtte näitel) ning kirjeldas projekti ajakava. Seejärel andis autor ülevaate Apple tööjaamade keskhalduse teoreetilistest lähtekohtadest ning kirjeldas seadmete keskhaldussüsteemi liidestamise protsessi.

Lisatava funktsionaalsuse loomise esimese etapina alustas lõputöö autor koostöös IT süsteemide administraatori ning IT kasutajatoe juhiga vajalike nõuete kaardistamise ning prioritiseerimisega. Nõuete kaardistamiseks kasutas autor laialt levinud FURPS metoodikat ning prioritiseerimiseks MoSCoW meetodit, tulemused kirjeldati tabelitena.

Funktsionaalsuse loomiseks valis autor agiilse Scrum raamistiku. Autori hinnangul raamistiku peamisteks eelisteks on – paindlikkus, meeskonnatööle orienteeritus ning jooksvalt projekti muudatuste sisseviimise lihtsus. Funktsionaalsuse arendus toimus kolme sprindi jooksul.

Projekti arenduskäiku ning testimist on lõputöö autor kirjeldanud töö viiendas peatükis, tuues välja sprindi jooksul tehtud ülesanded, testimine ja sprindi jooksul täidetud nõuded. Esimese sprindi eesmärgiks oli luua uue domeeni jaoks konfiguratsiooniprofiilid, teise sprindi eesmärgiks lisada macOS seade deploy jooksul teise domeeni ning viimase sprindi eesmärgiks keskhalduses oleva seadme tõrgeteta kasutamine ning kasutajale üle andmine.

Eelviimases ehk kuuendas peatükis toob autor välja omapoolsed kuus ettepanekut kontsernis keskhalduse edasiseks arendamiseks, nendeks on: ● Võtta MDM rakenduses kasutusele Mosyle Embark featuur. ● Asendada hetkel kasutuses olevad võrgukettad Sharepointi pilveteenusega. ● Juurutada kontsernis eriõigustega kontode ehk eeliskontode haldamine (privileged access management, PAM). ● Viia kasutajakontode autentimine Azure AD peale. ● Automatiseerida Mac arvutite deploy protsessi selliselt, et IT süsteemide administraator ei peaks töövoos enam olema. ● Kasutada ettevõtte põhist brändingut läbi MDM teenuse.

Lõputöö tulemusel on loodud ning juurutatud lahendus keskhaldussüsteemist mitmest domeenist autentimiseks – tänu millele on võimalik keskhaldusrakendus võtta kasutusele kontserniüleselt. Loodud lahendusega tõhustatakse tööjaamade turvameetmeid ning seeläbi parendatakse ettevõtetes tunduvalt küberturvalisust. Keskhaldusega on võimalik saada mugavalt ülevaade ettevõttes kasutusel olevatest varadest, monitoorida kasutajate kasutuses olevaid seadmeid, kontrollida tööjaamade olekut, uuendada tööjaamades tarkvara ning kõige tähtsam – seadmeid on võimalik keskselt hallata ning rakendada turvapoliitikaid.

Autori hinnangul said kõik töö alguses püstitatud eesmärgid sooritatud.

The title of this thesis is Management of Apple workstations within a large enterprise with multiple domain networks.

This thesis consists of six chapters with a total of 61 pages. The chapters of this thesis are: An overview of Ekspress Grupp's media group and an analysis of Apple workstation management in their companies (as-is); Theoretical Basis for Centralized Apple Workstation Management (as-is); Mapping and Prioritizing requirements; Theoretical and methodological framework for the development, testing and implementation of additional functionality; Creating, Testing and implementing new functionality in the media group and the last chapter is proposals for further development of the central management.

The thesis consists of 26 figures, 3 tables and is based on 45 references, mostly digital articles or books in Estonian and English and diploma works.

Based on the results of Cyber Security Yearly Assessments made in 2021, 2022 and 2023 by Estonian Information System Authority (RIA), the increase in the number of cyber incidents in Estonia over the past few years demonstrates that security vulnerabilities, outdated software and device configuration errors can lead to cyber attacks that can impact our daily lives. Management of Apple workstations (MDM) is highly advisable by Estonian Information Security Standard (E-ITS) for companies of various sizes. MDM software allows organizations to centrally manage their workstations, enforce security policies, disable specific features or applications for end users, check the status of devices and additionally, it simplifies the process of assisting end users.

The aim of the thesis is to create and implement the functionality of a centralized management system (MDM) to allow users to authenticate from various Windows domains thereby making it possible to implement centralized Apple Workstation Management in Ekspress Grupp’s companies.

The following tasks have been created to achieve the goal of the thesis: ● To describe the existing system (as-is). ● To analyze the compliance of the workflow used in companies with the E-ITS information security standard and determine the project schedule. ● To describe the requirements for the additional functionality to be added. ● To prioritize the described requirements. 47 ● To select a suitable development methodology. ● To create and implement functionality for authenticating from various Windows domains. ● To make suggestions for further improvement of the central management software.

Author analyzed current management of Apple devices in Ekspress Grupp’s companies using Estonian Information Security Standard (E-ITS). The requirements for the additional functionality were defined by the author using the FURPS methodology and prioritized using the MoSCow method. Functionality was developed using the agile framework Scrum. For testing black box methodology and Integration testing, System testing, Regression testing and Usability testing methodologies were used.

After implementing the functionality author proposed the following suggestions for further improvement of the central management software: ● Author suggests enabling the Mosyle Embark feature in the MDM application. ● Replace the currently used network drives with SharePoint cloud service. ● Implement privileged access management (PAM) to improve security, compliance, accountability, and operational efficiency in companies. ● Migrate user account authentication to Azure AD. ● Automate the Mac computer deployment process in such a way that the IT systems administrator no longer needs to be involved in the workflow. ● Utilize enterprise branding through MDM service.

In the author's opinion, all the goals of this thesis have been achieved: current management of Apple devices was analyzed, a new functionality to allow users to authenticate from various Windows domain through MDM was developed and implemented. In the end, the author provided suggestions for improving central management of Apple devices.