„Imaging gehört der Vergangenheit an!“ - Und jetzt? (Teil 1)

Bereits seit geraumer Zeit gibt es immer wieder leise Stimmen, die das Ende der Imaging-Ära verkünden. Hierbei bleiben jedoch einige Fragen offen:

• Was sind die Alternativen?
• Wie groß wird der Arbeitsaufwand für den Umstieg auf einen anderen Workflow sein?
• Woher soll ich die Zeit nehmen, um so viele weitere Prozesse zu testen und zu erstellen?
• Ist Ihnen überhaupt klar, dass ich hier der einzige IT-Administrator bin und bereits genug mit allem anderen zu tun habe?
• Ich erstelle seit Jahrzehnten monolithische Images! Monolithisch ist super.

Dies sind alles gute Argumente. Die Einführung von APFS, dem Apple eigenen Dateisystem, hat die Welt des Imagings vollkommen auf den Kopf gestellt. Sofern Sie jedoch Jamf Pro nutzen, sind Sie bereits mit den Prozessen und Workflows vertraut, die erforderlich sind, um einen neuen und effizienteren Bereitstellungsprozess in Ihrer Organisation – sei es ein Unternehmen oder eine Bildungseinrichtung – einzuführen!

Monolithisches Imaging gehört tatsächlich der Vergangenheit an. Mit Jamf können Sie Daten auf Computern löschen, Computer registrieren und die gesamte vom Endbenutzer benötigte Software darauf installieren – ganz gleich, wo auf der Welt Sie sich befinden, und ohne dass ein IT-Administrator das Gerät tatsächlich in den Händen halten muss.

Wie das? Sie denken jetzt bestimmt, dass es sich um eine Art Wunschmethode handelt, die nur an ganz bestimmten Arbeitsplätzen oder in ganz bestimmten Umgebungen angewandt wird. Doch weit gefehlt. Bereits jetzt, in diesem Moment, machen sich Organisationen jeder Art und Größe die neuen Methoden zunutze. Auf einige davon werde ich weiter unten noch genauer eingehen. Alles, was ich Ihnen im Folgenden erläutere, wird von Jamf unterstützt.

Worum geht es genau beim „Imaging“?

Diese Frage sollten wir vermutlich zuerst klären. Wie das Wort „Imaging“ bereits verrät, wird eine Maschine abgebildet. Hierzu nehmen Sie die Maschine aus der Verpackung und schließen sie an einen Dongle mit Ethernet und NetBoot oder einen Dongle mit einer externen Festplatte an. Anschließend kopieren Sie Daten von einem großen Speichergerät auf das Zielgerät.

Was haben Sie davon? Einen Computer, der auf einen Schlag mit dem richtigen Betriebssystem und allen benötigten Anwendungen, Anpassungen und Sicherheitseinstellungen eingerichtet ist und sofort bereitgestellt werden kann. Und das vollautomatisch. Wir wissen jedoch inzwischen, dass die Zeit des Imagings vorbei ist. Also wollen wir uns dies genauer anschauen und versuchen, uns ausgehend davon zurückzuarbeiten.

Das Wunschergebnis

Ihre erste Aufgabe besteht darin, es sich bequem zu machen und das Tabellenkalkulationsprogramm Ihrer Wahl zu öffnen. Wenn Sie die Vorgehensweise zum Einrichten eines Computers, der für die Bereitstellung fertig vorbereitet ist und über alle gewünschten Anwendungen und Anpassungen verfügt, an einem physischen Gerät live nachvollziehen wollen, nehmen Sie auch dieses gerne zur Hand. Notieren Sie in Spalte A Ihres Arbeitsblattes jede einzelne Anwendung, Einstellung und Anpassung und fügen Sie dabei in jede Zeile immer nur einen Eintrag hinzu. Überlegen Sie, was alles auf dem Computer vorhanden sein muss, bevor Ihr Endbenutzer ihn in die Hände bekommt. Wenn Sie zum Beispiel Chrome sowie eine bestimmte Homepage bereitstellen möchten, tragen Sie beides in jeweils separate Zeilen ein. Wenn gewisse Netzwerkeinstellungen auf dem Gerät angewendet werden sollen, müssen Sie jede SSID, jedes VPN und jede 802.1X-Konfiguration in jeweils eine eigene Zeile eintragen. Sie haben bereits eine solche Checkliste für die Bereitstellung? Wunderbar! Dann können Sie sie jetzt zur Hand nehmen und prüfen, ob sie noch aktuell ist und nicht noch den Stand vom Winter 2014 wiederspiegelt!

Möglicherweise wissen Sie bereits genau, was Sie bereitstellen möchten und empfinden eine zusätzliche Liste als überflüssig. Die Liste ist jedoch nicht dazu gedacht, Ihr Wissen zu testen. Sie dient vielmehr als Referenz für die Ausarbeitung der Workflows für das Thin Imaging bzw. die Bereitstellung mit Jamf Pro. Ich bin mir sicher, dass, nachdem Sie alles aufgeschrieben haben und Ihre Liste mit den Elementen verglichen haben, die Sie bereits in Jamf Pro konfiguriert haben, die bereitgestellt werden können oder vielleicht schon bereitgestellt wurden, werden deutlich weniger „neue Elemente“ übrig bleiben als ursprünglich gedacht. Geben Sie dann in Spalte B die Kategorie an, der die notierten Elemente zugeordnet werden können. Diese sind „Einstellungen“, „Anpassungen“, „Anwendungen“ und „Betriebssystem“. Kennzeichnen Sie nun jedes notierte Element, indem Sie es einer der genannten Kategorien zuweisen.

Organisation ist der Schlüssel

Die Erstellung eines neuen Workflows oder eines neuen Bereitstellungsverfahrens sollte immer so strukturiert wie möglich angegangen werden. Wenn Sie der neue IT-Administrator in Ihrer Organisation sind und Ihr Vorgänger die Dinge auf seine eigene Weise gehandhabt hat, ist es nun an der Zeit, ein für Sie sinnvolles Verfahren zu entwickeln und zu dokumentieren, was von Ihnen erstellt und konfiguriert wurde. So sind Sie bestens gerüstet, wenn Sie einen neuen Administrator in Ihrer Organisation einarbeiten oder Berichte erstellen müssen. Dabei sollten Sie die Namenskonvention berücksichtigen, die auf Ihre Richtlinien, Anwendungen, Dateinamen und Ihre erstellten Gruppen angewendet werden soll. Jede Organisation hat jeweils ihre eigenen Namenskonventionen. Wählen Sie eine Namenskonvention, die für Ihre Umgebung und für Sie selbst am sinnvollsten ist. Sie könnten zum Beispiel folgendes Format wählen: „APPNAME-VERSION.pkg“. Der Dateiname könnte dann zum Beispiel folgendermaßen lauten: „Google Chrome-67.0.3396.79.pkg“. Auch folgendes Format ist denkbar: „KATEGORIE-APPNAME-VERSION_ERSTELLUNGSDATUM.pkg“. Dann könnte der Dateiname folgendermaßen lauten: „Browser-Google Chrome-67.0.3396.79_13052018.pkg“. Auf diese Weise können Sie später eine Anwendung schnell anhand der Kategorie ausfindig machen. Und wenn Sie sicherstellen möchten, dass die neue Version nicht versehentlich durch eine ältere ersetzt wird, sollten Sie die Versionsnummer in den Dateinamen aufnehmen. Für Einstellungen könnten Sie folgendes Format wählen: „EINSTELLUNG_APPNAME-KONFIGURIERTESELEMENT_ERSTELLUNGSDATUM.dmg”. Der Dateiname könnte dann folgendermaßen lauten: „Einstellung_Google Chrome-Homepage_13052018.dmg”. Es gibt sicherlich viele verschiedene Varianten der obigen Beispiele. Wichtig ist, dass Sie sich jetzt Gedanken um die Namenskonvention machen. So ersparen Sie sich im weiteren Verlauf viel Zeit und Nerven.

Einstellungen und Sicherheit

Falls Sie bereits Jamf Pro nutzen oder gerade den Umstieg von einem anderen Anbieter für Mobile Device Management (MDM) vollziehen, wird das Übertragen von Einstellungen auf Geräte, die bereits in Ihrer Umgebung bereitgestellt wurden, kein Neuland mehr für Sie sein. Für die Übertragung dieser Einstellungen stehen Ihnen in Jamf Pro Konfigurationsprofile, Richtlinien und Restriktionen zur Verfügung. Es wird sicher Zeiten geben, in denen Sie eine bestimmte Payload verwenden wollen oder in denen ein Gerät andere Einstellungen erhalten soll als die anderen Geräte in Ihrer Umgebung (z. B. Desktop-Computer im Gegensatz zu Laptops oder Geräte von Lehrern im Gegensatz zu Schülergeräten oder Geräte von Grafikdesignern im Gegensatz zum Gerät des CEO). Die beste Methode, eine ordnungsgemäße Bereitstellung zu gewährleisten, ist das Erstellen einer konkreten Einstellung für jede Bereitstellungsoption. Dies bedeutet zum Beispiel, dass Sie nur eine 802.1x-Konfiguration pro Konfigurationsprofil behalten. Bei Voreinstellungen für Finder und Richtlinien für den Ruhebildschirm oder Bildschirmschoner sollten Sie zwei separate Richtlinien erstellen: eine für Finder und eine für den Ruhebildschirm bzw. den Bildschirmschoner.

Der Grund ist einfach. Angenommen, Sie würden einem Konfigurationsprofil folgende Komponenten hinzufügen: eine Payload für ein lokales Kennwort, zwei SSIDs mitsamt Kennwörtern, zu denen automatisch eine Verbindung hergestellt werden soll, und zudem Einstellungen für VPNs.

Wenn Sie nun eines der SSID-Kennwörter oder die VPN-Einstellungen ändern müssten, werden nicht nur die betreffenden Einstellungen im Konfigurationsprofil angepasst, sondern das Konfigurationsprofil wird durch das Profil mit den neuen Einstellungen ersetzt. Resultat: Das Gerät hätte plötzlich keinen Internetzugang mehr. Ein Workflow, den es unbedingt zu vermeiden gilt. Wenn Sie stattdessen Richtlinien mit einzelnen Einstellungen bzw. einzelnen benötigten Gruppen von Einstellungen erstellen, können Sie diese bei der Bereitstellung jederzeit auf den gewünschten Zielgeräten anwenden.

Anpassungen

Das ist ein ganz hervorragender Zeitpunkt, um Ihre Workflows für die Bereitstellung zu optimieren und unnötige Arbeitsschritte auszumerzen. Wie bei allen Einstellungen – den allgemeinen wie den sicherheitsbezogenen – dienen Anpassungen am Betriebssystem oder der Benutzerumgebung dazu, den Arbeitsbereich des Benutzers oder die von ihm verwendeten Anwendungen in irgendeiner Weise individuell anzupassen. Beim monolithischen Imaging wurden bisher Anpassungen an den Homepages im Browser, die Standardapps, die nach der Anmeldung automatisch geöffnet werden sollten, und die Voreinstellungen für das E-Mail- oder Kalenderprogramm einmal festgelegt und dann mithilfe einer auf Blockebene erstellten Kopie in Form eines Images auf die gewünschten Computer übertragen.

Mit Jamf Composer können Sie nun genau diese Einstellungen erfassen und auf den Client-Computern bereitstellen! (Dies könnte natürlich auch mithilfe von Skript-Programmen durchgeführt werden.) In Composer können Sie die gewünschten Anpassungen erfassen, in eine PKG- oder DMG-Datei packen und in Jamf hochladen, um sie mithilfe einer Richtlinie bereitzustellen. Und keine Sorge, falls Sie mit Composer noch nicht vertraut sind. Werfen Sie sich einfach die Videoanleitung oder das Benutzerhandbuch für Composer an (bitte beachten Sie, dass beide Ressourcen auf Englisch sind).

Da Sie nun wissen, wie Sie Anpassungspakete erstellen, sollten Sie jede einzelne Anwendung und Einstellung, die Sie normalerweise anpassen müssen, prüfen und überlegen, ob Sie sie wirklich unbedingt bereitstellen müssen – oder Sie das bisher nur aufgrund jahrzehntelanger Gewohnheit getan haben!

Anwendungen

Wenden wir uns jetzt wieder Ihrer Liste mit den Elementen zu, die auf dem Computer bereitgestellt werden sollen, bevor dieser an den Endbenutzer übergeben wird. Stellen Sie Ihre in Ihrer Liste zusammengetragenen Anwendungen zusammen. Sammeln Sie in einem Ordner auf dem Desktop Ihres Computers alle zugehörigen Installationsprogramme und alle Elemente, die für die Installation der Anwendung benötigt werden – als würden Sie die Anwendung zum ersten Mal auf Ihrem Computer installieren. Sie werden feststellen, dass die meisten dieser Elemente einzeln für sich als DMG- oder PKG-Datei bereitgestellt werden können. Der Rest muss dagegen jeweils in Ordnern mit mehreren Elementen, die nacheinander installiert werden müssen, zusammengefasst werden. Schließlich muss für jede dieser Anwendungen bzw. für jedes zugehörige Installationsprogramm eine eigene Richtlinie festgelegt werden. Sie müssen allerdings sicherstellen, dass jedes Paket, das in die Jamf Verwaltungslösung hochgeladen wird, nach der Bereitstellung ordnungsgemäß funktioniert. Die Programme müssen also genau so funktionieren, als hätten Sie sie direkt auf dem Computer vor Ihnen installiert. Und wie immer gilt die goldene Regel: testen, testen und noch einmal testen. Wenn es sich bei der beim Entwickler/Hersteller heruntergeladenen Datei um eine DMG-Datei handelt, muss sie mit 99,9-prozentiger Wahrscheinlichkeit in Composer neu verpackt werden. Im Gegensatz dazu können die meisten PKG-Dateien ohne weitere Änderungen bereitgestellt werden. 

Doch zurück zu Ihrer Liste. Tragen Sie für jede Anwendung in einer weiteren Spalte ein, ob das zugehörige Installationsprogramm eine App aus dem Mac App Store, eine PKG- oder eine DMG-Datei ist oder ob mehrere Dateien für die Installation benötigt werden, die in einem Ordner zusammengestellt wurden. Geben Sie nun in der nächsten Spalte an, ob bestimmte Einschränkungen hinsichtlich des Betriebssystems gelten. Einige Anwendungen sind beispielsweise nicht mit neueren Betriebssystemversionen kompatibel und müssen aktualisiert werden. Erstellen Sie auf Ihrem Desktop einen weiteren Ordner mit dem Namen „Bereit für Upload“. In diesen kopieren Sie Ihre PKG-Dateien und die neu gepackten Installationsprogramme, die Sie für den Upload in die Jamf Verwaltungslösung vorbereitet haben. Kehren Sie zu dem Ordner mit allen Installationsprogrammen zurück. Halten Sie die Befehlstaste gedrückt und klicken Sie auf alle PKG-Dateien in dem Ordner. Kopieren Sie die markierten Elemente in den Ordner „Bereit für Upload“. Fügen Sie die verbleibenden DMG-Dateien und Ordner mit mehreren Installationsdateien per Drag & Drop oder mithilfe von Snapshots in Composer hinzu. Wie geht das? Auf die gleiche Weise, mit der Sie in Composer Ihre Anpassungen vorgenommen haben. Öffnen Sie Composer auf einem Computer oder in einer virtuellen Maschine, auf der die gewünschte Anwendung noch nicht installiert ist. Erstellen Sie den „Vorher“-Snapshot, wenn die Anwendung noch nicht installiert ist. Führen Sie die Installation durch, als ob Sie die Anwendung tatsächlich auf Ihrem Computer installieren würden. Erstellen Sie dann den „Nachher“-Snapshot. Vergewissern Sie sich, dass keine sonstigen Dateien enthalten sind und erstellen Sie das Paket! Nachdem alle DMG-Dateien und Ordner mit mehreren Installationsprogrammen neu gepackt wurden, fügen Sie sie ebenfalls zum Ordner „Bereit für Upload“ hinzu. Wenn für ein Element kein Installationsprogramm vorhanden ist, stammt es wahrscheinlich aus dem Mac App Store, sodass es nicht gepackt/hochgeladen werden muss. Vergewissern Sie sich, dass für alle Anwendungen in Ihrer Liste die zugehörige PKG- oder DMG-Datei vorhanden ist bzw. dass die Anwendung im Mac App Store verfügbar ist. Sollte ein Installationsprogramm fehlen, wenden Sie sich unbedingt an den Hersteller, um ein Installationsprogramm zu erhalten, das Sie in die Jamf Verwaltungslösung hochladen können.

Ein Betriebssystem

Ab OS X Lion konnten neue Hauptversionen des Betriebssystems einfach mithilfe eines auf dem Computer installierten Installationsprogramms geladen und mit einem Befehl ausgeführt werden. Und so ist es bis heute geblieben. Computer, die macOS High Sierra unterstützen, können mithilfe der im App Store verfügbaren App „macOS ___ installieren“ aktualisiert werden, die mithilfe der Jamf Verwaltungslösung auf allen gewünschten Computern installiert werden kann. Es gibt zahlreiche Workflows für unterschiedliche Szenarien, mit denen Sie veraltete Computer auf den neusten Stand bringen können. Wenn Sie jedoch High Sierra in Ihrer Umgebung nutzen, müssen Sie die betreffenden Computer auf die Version 10.13.4 aktualisieren. Ebenso muss dann jeder neue Computer, den Sie vom Werk beziehen, mindestens über Version 10.13.4 verfügen. Warum? Mit APFS begann der Niedergang von Imaging-Workflows. Zusätzlich zu APFS führte Apple ab Version 10.13.4 den Befehl „startosinstall“ und die Möglichkeit ein, macOS mit dem neuen Flag „--eraseinstall“ zu installieren. Mit dieser Neuerung erreichte die Automatisierung ihren Höhepunkt.

Mithilfe der Befehlszeile oder einem der unten beschriebenen Workflows können Sie die Daten auf einem Computer löschen und diesen ebenso wie ein iOS Gerät auf die Werkseinstellungen zurücksetzen. Ganz gleich, ob sich der Computer in einem Labor oder einem verschlossenen Schrank befindet, es Ihren Mitarbeiter zu neuen Abenteuern zieht oder die Schüler das Semester beendet haben, mit der Jamf Verwaltungslösung können Sie einen Computer zurücksetzen und ihn erneut registrieren und bereitstellen – und das vollkommen drahtlos!

In Teil 2 werden wir uns mit der Erstellung der Richtlinien befassen, die für die Bereitstellung von Paketen und Skripten benötigt werden.

Sie sind noch kein Jamf Kunde? Lernen Sie unsere Best-of-Breed-Lösung für die Verwaltung von Apple Geräten in einer kostenlosen Testversion kennen und wenden Sie die hier gelernten Workflows in der Praxis an.