Привет! Я Ильдар Бигашев, Product Owner Ринго MDM, более 10 лет работаю с корпоративными технологиями Apple: прошел путь от сотрудника Service Desk до руководителя системных интеграций.
В этой статье я расскажу, что нужно знать системному администратору о macOS Sequoia 15.0. На какие новые фичи стоит обратить внимание, какие технологии более не поддерживаются и можно ли сегодня обновлять прод до новой версии macOS.
Как только на WWDC 2024 состоялся анонс новой операционки от Apple, мы со свойственным системным администраторам нетерпением, стали ждать выхода первой Developer Beta, чтобы как можно скорее установить ее на свои устройства, протестировать новые фичи и репортить фидбэк в Apple.
Как это часто бывает, не вся информация по новым возможностям системы была доступна в KB Apple или на Apple Developer. Со многими вещами пришлось разбираться самостоятельно. Немало информации удалось получить из тематических блогов и таких сообществ, как Mac Admins в Slack и MacSysAdmin Group в Telegram.
Итак…
Релиз macOS Sequoia 15.0 уже состоялся, все ограничения с публикаций сняты. И я хочу рассказать, что нового есть для системных администраторов, которые управляют парком устройств Apple.
В этом материале я затрону только те технические моменты, которые так или иначе влияют на системное администрирование устройств Apple. Если вы хотите ознакомиться с обзором, который затрагивает еще и пользовательские фичи, на Ars Technica уже вышла статья по этому поводу.
Я не буду касаться нововведений, связанных с Apple Business Manager, так как сервис недоступен для регистрации в России.
Система
Минимальные системные требования
Apple продолжает поддерживать устройства с чипом Intel, хотя с каждой новой версией macOS их становится все меньше. А такая функция, как Apple Intelligence, будет работать только с процессорами Apple Silicon.
MacBook Pro 2018
MacBook Air 2020 (Intel и Apple Silicon)
Mac mini 2018
iMac 2019
iMac Pro 2017
Mac Pro 2019
Mac Studio
Сколько свободного места потребуется?
По сравнению с macOS Sonoma, изменения несущественные:
размер установщика ~ 15 ГБ,
свободное место на диске ~ 23 ГБ.
Можно ли запретить обновления версии macOS?
В прошлом году Apple ввела ряд ограничений по этому поводу:
полностью запретить установку новой операционки нельзя;
можно отложить обновление на 90 дней с даты релиза macOS 15, после чего обновление может быть установлено пользователем, не имеющим прав локального администратора;
если у пользователя есть права локального администратора, то он может установить обновление в любой момент.
Версия системы
Если ваши скрипты ориентируются на версию macOS, не забудьте их поправить.
ProductName: macOS
ProductVersion: 15.0
BuildVersion: 24A335
Системные утилиты
Подвезли новые инструменты для работы:
jq - Command-line JSON processor - теперь его не надо скачивать отдельно, работать с API станет проще;
trash - Moves files and directories to the user trash folder - наконец-то мы можем перемещать файлы в Корзину, не опасаясь, что они пропадут навсегда;
xprotect - отдельная утилита для взаимодействия с XProtect, с помощью которой можно проверять и загружать новые версии сигнатур, для поиска вредоносного ПО. Небольшая статья по этому поводу;
Passwords - новая утилита для работы с паролями, которая работает с Keychain.
Поддержка старых технологий
Это, пожалуй, самые популярные вопросы перед обновлением.
Ввод в домен все еще работает.
CUPS работает.
Gatekeeper
Apple продолжает завинчивать гайки.
нельзя открыть ненотаризованное приложение, нажав правой кнопкой мыши по приложению и выбрав Open/Открыть. Требуется идти в System Settings > Privacy & Security
spctl больше не управляет настройками Gatekeeper. Если вы попробуете отключить Gatekeeper с помощью команды:
sudo /usr/sbin/spctl --global-disable,
то получите сообщение:
Globally disabling the assessment system needs to be confirmed in System Settings.
Если попробуете включить, то получите сообщение:
This operation is no longer supported. Please see the man page for more information.
Управлять Gatekeeper можно с помощью MDM.
появилась возможность управлять System Extensions через GUI (находится в меню General)
Security & Privacy
Теперь недостаточно один раз дать приложению доступ к записи экрана, такое уведомление будет появляться периодически.
Приложения запрашивают доступ к локальной сети, также, как и на iOS/iPadOS, причем tccutil эти разрешения не сбрасывает.
Вероятно, в целях безопасности, чтобы другие приложения не могли получить доступ, базу данных центра уведомлений переместили в Group Containers:
~/Library/Group Containers/group.com.apple.usernoted/db2/db
Но для админов уже придумали обходной вариант.
В Keychain нельзя импортировать файл PKCS12 с пустым паролем.
Приложение Keychain Access переехало в другую папку, и теперь для доступа требуется ввести пароль пользователя:
/System/Library/CoreServices/Applications/Keychain Access.app.Также Keychain Access теперь не находится в LaunchPad.
Wi-Fi
Добавили функцию MAC Address Randomization (как в iOS), которая позволяет избежать слежки за устройствами через сети Wi-Fi.
Функция включается автоматически при подключении как к публичным сетям Wi-Fi, так и к сетям с низким уровнем защиты.
MAC-адрес устройства будет ротироваться не чаще одного раза в неделю.
Можно принудительно выключать эту функцию для управляемых сетей (которые настраиваются через MDM), но полностью деактивировать нельзя.
На macOS 14 это не работает, профиль нужно устанавливать уже после обновления до macOS 15.
Могут быть конфликты, если у вас установлено два профиля для одной сети. Если обновляете существующий профиль, то устройство может отключиться от Wi-Fi, как и раньше.
Если Wi-Fi настроен профилем, установленным вручную, а не через MDM, то пользователь может изменить настройки Randomization.
Полезная информация для Service Desk
Теперь, при открытии System Settings, по умолчанию всегда открывается меню General.
Добавили возможность вызова контекстного меню через
Ctrl + Enter(да, в Windows это есть уже миллион лет).
VM - встроенный Framework
Начиная с macOS 11, Apple поставляет собственный Virtualization Framework вместе с системой и с каждым годом добавляет новый функционал.
Виртуальные машины поддерживают вход в iCloud и возможность выполнить Erase all content and Settings (VM имеют доступ к Secure Enclave).
Добавлена поддержка внешних дисков.
Mobile Device Management
Каждый год Apple добавляет и убирает функции MDM. Например, нам вернули управление внешними USB-накопителями и добавили ограничения для Apple Intelligence.
Enrollment
Меню Device management переехало в раздел General в System Settings, его по-прежнему можно блокировать профилем MDM.
Изменения payload для профилей MDM
Что нового:
ограничения управлением System Extensions для конечного пользователя;
ограничения для подключения внешних дисков и сетевых папок;
ограничения для монтирования дисков только в режиме чтения;
ограничения для MAC Address Randomization;
дистрибуция бинарников, скриптов и конфигов launchd;
ограничения для использования mirroring для iPhone;
управление расширениями Safari с помощью MDM;
ограничения для разнообразных функций Apple Intelligence (интеграций ChatGPT, Math Notes, Smart Script, Image Playground иWriting Tools);
новые опции для Setup Assistant;
новые опции для Extensible SSO;
profiles renew -type enrollment теперь не требует ввода пароля администратора, если компьютер заэнроллен;
убрали некоторые опции для включения/выключения логирования Firewall. Кстати, у некоторых возникали проблемы в работе Firewall после обновления;
управление обновлениями через Declarative Device Management.
Стоит ли обновлять прод?
Опыт предыдущих лет не изменяет нам: если есть возможность потянуть до выхода 15.1, то лучше дождаться именно ее. Судя по отзывам, уже возникли проблемы со встроенным Firewall и сетью, что препятствует нормальной работе приложений.
Также рекомендуется протестировать работу таких ограничений, как доступ приложений к локальной сети, и помочь пользователям разобраться с этой новой функцией. Так как зачастую они просто запрещают доступ для того или иного приложения, а с помощью сброса базы данных tcc откатить эти ограничения не получится.
Если же требования безопасности требуют обновления системы – еще раз пробегитесь по этому списку или вернитесь к этой статье. Я буду стараться выкладывать небольшие обновления по мере их появления, пока не выйдет версия 15.1.
Если вам интересна тема администрирования устройств Apple, то подписывайтесь на наш блог. Мы будем писать свои материалы и делать переводы с иностранных источников.
Полезные материалы
Официальная информация от Apple - What's new for enterprise in macOS Sequoia - Apple Support.
Kerberos https://ringomdm.ru/tpost/o1r8d3r691-chto-takoe-kerberos-sso-dlya-macos
И еще немного ссылок на KB Apple:
How to upgrade to macOS Sequoia https://support.apple.com/en-us/120280
macOS Sequoia is compatible with these computers https://support.apple.com/en-us/120282
What's new for enterprise in macOS Sequoia https://support.apple.com/en-us/121011
What’s new for enterprise in iOS 18 https://support.apple.com/en-us/121158
What’s new for enterprise in iPadOS 18 https://support.apple.com/en-us/121159
What's new in the updates for macOS Sequoia https://support.apple.com/en-us/120283
About iOS 18 Updates https://support.apple.com/en-us/121161
Комментарии (6)
FlyingDutchman
17.10.2024 09:25Да, встроенный файрвол, рандомно обрывающий ssh и RDP соединения - это очень большая боль. Особенно для корпоративных клиентов с централизованным администрированием и неотключаемым файрволом.
Markscheider
После обновления катастрофическим образом располнел пункт "Хранилище"/"Системные данные". Но у пары пользователей, не у всех. Вот думаю, как это исследовать/воспроизвести (дело может быть не в обновлении, а просто так совпало)
elbrus56 Автор
Попробуйте проверить в дисковой утилите или с помощью
tmutil, остались ли снапшоты APFS и сколько они занимают.slonopotamus
Взять
duи померять чтт сколько занимает?