Mobilidade e Mac
Os serviços de diretório foram inicialmente concebidos para suportar o início de sessão de vários utilizadores num único computador ligado ao serviço de diretório através de uma ligação de rede fidedigna e persistente. A implementação de um computador portátil num único utilizador que faz transições frequentes entre várias redes requer outra estratégia.
Os dispositivos móveis podem raramente ter acesso ao serviço de diretório de uma organização. Assim, quaisquer atualizações efetuadas nos serviços de diretório podem não se refletir imediatamente nos dispositivos móveis. Os administradores podem usar MDM para atualizar políticas e configurações remotamente, mesmo que os computadores Mac não estejam constantemente ligados ao serviço de diretório.
Podem ser aplicados no macOS os mesmos processos e filosofias para a implementação de configurações e políticas no iOS e iPadOS. Ao usar o serviço de notificações por push da Apple (APNS), uma solução MDM pode notificar os computadores Mac de que está disponível uma atualização de configuração ou política. Quando um Mac recebe a notificação por push, acede em silêncio e segurança à solução MDM através do protocolo SSL (Secure Socket Layer) ou TLS (Transport Layer Security) para obter os dados da política ou configuração atualizada, desde que o cliente tenha uma ligação à Internet. Neste cenário, não há o pré-requisito de o dispositivo ter de estar numa VPN ou numa rede explicitamente autorizada.
Muitos dos benefícios de ligar um serviço de diretório e utilizar contas de rede são fornecidos através da utilização de uma solução MDM ou de uma solução de gestão de clientes. As políticas de palavra-passe e cliente, incluindo identidades de certificação, podem ser implementadas e atualizadas sem fios. Os dispositivos ainda podem ser ligados ao serviço de diretório ao nível do sistema para fornecer resoluções de utilizador e grupo para autorização para serviços como, por exemplo, servidores de ficheiros em rede. Desta forma, elimina-se a complexidade de manter contas em rede no Mac local.
O início de sessão único ainda pode ser obtido através da aplicação da linha de comandos kinit, que pode ser implementada em AppleScript para criar uma aplicação gráfica simples para adquirir o ticket de Kerberos inicial.