Mobilidade e Mac
Os serviços de diretório foram concebidos inicialmente para oferecer suporte ao início de sessão de vários usuários em um único computador conectado ao serviço de diretório através de uma conexão de rede confiável e persistente. A implementação de um computador portátil para um único usuário que transite frequentemente entre várias redes requer uma estratégia diferente.
Dispositivos móveis raramente têm acesso ao serviço de diretório de uma empresa. Portanto, as atualizações feitas aos serviços de diretório podem não repercutir de imediato em dispositivos móveis. Administradores podem usar o MDM para atualizar políticas e configurações remotamente, mesmo que os computadores Mac não estejam conectados ao serviço de diretório constantemente.
O mesmo processo e filosofia usados para a implementação de configurações e políticas no iOS e iPadOS podem ser aplicados ao macOS. Através do uso do serviço de Notificações Push da Apple (APNS), uma solução MDM pode notificar computadores Mac sobre a disponibilidade de atualizações de configuração ou de política. Ao receber a notificação push, o Mac conecta-se silenciosa e seguramente à solução MDM usando os protocolos SSL (Secure Socket Layer) ou TLS (Transport Layer Security) para obter os dados da política ou da configuração atualizada, desde que o cliente tenha uma conexão à Internet. Nesse cenário, não há pré-requisito para que o dispositivo esteja em uma VPN ou em uma rede explicitamente confiável.
Vários dos benefícios originais do vínculo a serviços de diretório e do uso de contas de rede são fornecidos ao usar uma solução MDM ou de gerenciamento de clientes. Políticas de senha e de cliente, incluindo identidades de certificado, podem ser implementadas e atualizadas através de conexões sem fio. Os dispositivos ainda podem ser vinculados ao serviço de diretório no nível do sistema para que resoluções de autorização de usuário e grupo a serviços de servidores de arquivos da rede sejam fornecidas, por exemplo. Isso elimina a complexidade da manutenção de contas de rede no Mac local.
O Início de Sessão Único ainda pode ser obtido aproveitando-se da linha de comando kinit, a qual pode ser implementada ao AppleScript para criar um app gráfico simples para obter o tíquete Kerberos inicial.