Mobilität und Mac
Verzeichnisdienste wurden ursprünglich so konzipiert, dass sich mehrere Benutzer an einem Computer anmelden können, der mit dem Verzeichnisdienst über eine dauerhafte vertrauenswürdige Netzwerkverbindung verbunden ist. Die Implementierung eines Mobilcomputers für einen einzelnen Benutzer, der häufig zwischen verschiedenen Netzwerken wechselt, erfordert eine andere Strategie.
Mobilgeräte haben kaum Zugriff auf den Verzeichnisdienst einer Organisation. Daher werden Aktualisierungen an den Verzeichnisdiensten möglicherweise nicht sofort auf mobilen Geräten reflektiert. Administratoren können MDM zum entfernten Aktualisieren von Richtlinien und Konfigurationen verwenden, und zwar auch dann, wenn Mac-Computer nicht konstant mit dem Verzeichnisdienst verbunden sind.
Für die Implementierung von Konfigurationen und Richtlinien kann dieselbe Vorgehensweise und derselbe Ansatz wie bei iOS und iPadOS auch bei macOS verwendet werden. Durch Verwenden von APNS (Apple Push Notification Service) kann eine MDM-Lösung Mac-Computer darüber informieren, dass eine Aktualisierung für eine Konfiguration oder Richtlinie verfügbar ist. Erhält ein Mac eine Push-Benachrichtigung meldet er sich still und sicher mit dem SSL- (Secure Socket Layer) oder TLS-Protokoll (Transport Layer Security) bei der MDM-Lösung an, um die aktualisierten Daten für die Richtlinie oder Konfiguration abzurufen. Voraussetzung ist, dass der Client über eine Internetverbindung verfügt. In diesem Szenario ist es nicht erforderlich, dass das Gerät über eine VPN-Verbindung verfügt oder sich in einem explizit als vertrauenswürdig eingestuften Netzwerk befindet.
Viele der Originalvorteile einer Bindung an einen Verzeichnisdienst und der Verwendung von Netzwerkaccounts werden auch von einer MDM-Lösung oder einer Clientverwaltungslösung bereitgestellt. Passwort- und Clientrichtlinien einschließlich Zertifikatsidentitäten werden drahtlos implementiert und aktualisiert. Geräte können weiterhin auf Systemebene mit dem Verzeichnisdienst verbunden werden, um eine Benutzer- und Gruppenlösung für die Autorisierung bei Diensten wie Netzwerkdateiservern bereitzustellen. Hierdurch wird die umfassende Verwaltung von Netzwerkaccounts auf lokalen Mac-Computern eliminiert.
Single Sign-On ist weiterhin verfügbar, indem die Befehlszeile kinit für die Implementierung in AppleScript verwendet wird, um eine einfache grafische App zum Erwerb des ersten Kerberos-Tickets zu erstellen.