Mobilitet og Mac
Katalogtjenester ble laget for å støtte at flere brukere logget seg på én enkelt datamaskin tilkoblet katalogtjenesten via en varig godkjent nettverkstilkobling. Når man distribuerer en bærbar datamaskin til en bruker som skifter mellom flere nettverk, trenger man en annen strategi.
Mobile enheter kan ha sjelden tilgang til katalogtjenesten til en organisasjon. Derfor kan det være at eventuelle oppdateringer som gjøres i katalogtjenesten, ikke er synlig på de mobile enhetene umiddelbart. Administratorene kan bruke MDM til å oppdatere regler og konfigurasjoner eksternt, selv om Mac-datamaskiner ikke er konstant tilkoblet til katalogtjenesten.
Den samme prosessen og filosofien for å distribuere konfigurasjoner og regler til iOS- og iPadOS, kan tas i bruk på macOS. Ved å bruke APN-tjenesten (Apple Push Notification) kan en MDM-løsning varsle Mac-datamaskiner om at en konfigurasjon eller en regeloppdatering er tilgjengelig. Når en Mac mottar pushvarslingen, kobler den seg usynlig og sikkert til MDM-løsningen via SSL (Secure Socket Layer)- eller TLS (Transport Layer Security)-protokollen for å hente de oppdaterte reglene eller konfigurasjonsdataene, så lenge klienten er koblet til internett. I dette scenarioet er det ingen forutsetning at enheten skal være på VPN eller et uttrykkelig godkjent nettverk.
Mange av de opprinnelige fordelene ved å binde en katalogtjeneste og bruke nettverkskontoer oppnås ved å bruke en MDM-løsning eller en klientadministrasjonsløsning. Passord- og klientregler, inkludert sertifikatidentiteter, kan distribueres og oppdateres trådløst. Enheter kan fortsatt bindes til katalogtjenesten på systemnivå for å levere bruker- og gruppeløsning for godkjenning av tjenester som for eksempel nettverksfiltjenere. Dette fjerner kompleksiteten ved å vedlikeholde nettverkskontoer på den lokale Macen.
Single Sign On kan fortsatt benyttes ved å bruke kommandolinjen kinit, som kan implementeres i AppleScript for å lage en enkel grafisk app for innhenting av den første Kerberos-billetten.