Mac OS Benutzer - Rechte extrem einschränken?

[vs1]

Moin,

ich muss ein Macbook mit dem aktuellen Sonoma für einen Mitarbeiter einrichten.
Der Mitarbeiter bekommt einen Benutzer auf dem Mac.

Allerdings sollen die Rechte und Möglichkeiten extrem beschnitten werden.
Sowohl in der Software, als auch in der Hardware.
- keine USB-Sticks,
- kein Verändern der Einstellungen und Nutzerdaten,
- keine Installationen,
- nur zu 1 eMail-Adresse senden, auch nur von dieser empfangen,
- nur Pages & Numbers dürfen verwendet werden,
- usw.

Also, extreme Einschränkungen.
Laptops für Schuler haben ähnliche Einschränkungen, damit kein Mist damit gemacht wird.

Wo kann ich nachlesen, wie man das macht? ( Möglichst auf Deutsch )
Gibt es eine App, die die User-Rechte so weit beschneiden kann?

Danke Euch!

 

[nattl]

Hmmm…. mit den Bordmitteln von Mac OS kannst du nur Einstellen, ob es ein Admin-User oder ein "normaler" User ist.

Wenn du einen normalen User anlegst, kann dieser nichts installieren.
Email hängt ja nur davon ab, was du konfiguriert hast.
Pages & Numbers verwenden, wenn nichts anderes installiert ist, geht nur das. Aber prinzipiell kann man alle Apps im Applications-Folder starten (also alles, was installiert wird).

Mit den Mac OS Server ging z.B. Einschränkung von USB Mass Storage Devices, aber den gibts ja nicht mehr.
Für deine besondern Einschränkungen könntest du einen Domain Controller mit Active Directory (also Windows) verwenden, da kann man auch Macs einbinden . Inwiefern die Einschränkungen vom AD ziehen, kann ich aber leider nicht sagen.

 

[vs1]

Moin,

Danke für die schnelle Antwort, aber das bringt mir noch nicht viel.
Domain Controller gibt es nicht.
Ich muss das Gerät wirklich gegen alles mögliche sichern.
Die „Blacklist“ ist lang. Länger, als die „Whitelist“.

Wie machen das denn Schulen mit iPads?
Das muss es doch ein Admin-Toll geben?!

 

[MW82LE]

Hallo,

evtl, hiermit?

https://support.apple.com/de-de/apple-configurator

Edit: Scheint nur für iPad bzw. iOs - Geräte und nicht für macOS selbst. Habs aber nicht gelesen und nie benutzt.

 

[vs1]

Oh, ok, Danke den schau ich mir mal an.
Da steht auch was von "für Mac".
Dennoch nehme ich gerne weitere Hinweise.

 

[Hotze]

MDM ist das Stichwort. Da kannst du alles Einschränken. Apple bietet das im Business Manager an.

 

[tocotronaut]

Verwalteter Benutzer (Kindersicherung) bietet auch schon einiges.

 

[Schiffversenker]

Email hängt ja nur davon ab, was du konfiguriert hast.

Emails kann man auch über die Browser senden und empfangen. Solange dort nichts gesperrt ist, kann der Verdächtige auf eigene Mailaccounts zugreifen oder sich neue einrichten, soweit er die Zugangsdaten der Server und ggf. das Passwort kennt.

 

[Cassiuzz]

Was für zwielichtige Angestellte hast du eigentlich, dass du zu solchen drastischen Mitteln greifen mußt?

 

[vs1]

Was für zwielichtige Angestellte hast du eigentlich, dass du zu solchen drastischen Mitteln greifen mußt?

Das sind nicht meine Angestellten. Ich bin auch nur Angestellter, und habe den Auftrag dafür so vom Chef bekommen.
Allerdings bin ich von denen auch nicht so begeistert. Die habe nichts Gutes im Sinn, aber der Chef will das nicht sehen.
Ganz schwieriges Thema.

Emails kann man auch über die Browser senden und empfangen.

Ja, da muss ich mal beim Provider gucken, ob ich da ne Whitelist aktivieren kann….

MDM ist das Stichwort.

Das Stichwort scheint gut. Ist aber komplettes Neuland für mich.
Ich hab mir mal den Configurator geladen. Auf dem Mac kann ich den so starten, auf dem ipad
muss ich dafür offenbar einen Business-Account haben, da läuft der nicht ohne Anmeldung.
Schon verwirrend. Ist MDM vom Configurator abhängig, oder nur eine zusätzliche Option dazu?
Kenn hier Jemand den Configurator etwas genauer?
Auf der Internetseite steht „auch für Mac“. Ich Steig da noch nicht durch.
Heißt das, dass er auf dem Mac läuft, oder dass er auch Mac-Profile erstellen kann?

Verwalteter Benutzer (Kindersicherung) bietet auch schon einiges.

Ja, aber ich glaube, das reicht so nicht.

Danke für Eure Hilfe!

 

[Boogaboo]

Das heißt, dass Du damit auf dem Mac die iPads und iPhones konfigurieren kannst... nicht die Macs.

 

[vs1]

Aha, ok.
Also brauche ich zwingend einen Apple Business Account?!

Die Möglichkeit, als Admin auf dem betreffenden Macbook, den User händisch oder per App einzuschränken, gibt es also nicht?

 

[Cassiuzz]

Das sind nicht meine Angestellten. Ich bin auch nur Angestellter, und habe den Auftrag dafür so vom Chef bekommen.
Allerdings bin ich von denen auch nicht so begeistert. Die habe nichts Gutes im Sinn, aber der Chef will das nicht sehen.
Ganz schwieriges Thema.

Au weia

Also das Angestellte gewisse Dinge nicht dürfen am Arbeitsplatz Computer ist ja selbstverständlich!
Aber bei dir klingt das ja eher nach Spionage Abwehr!

In meiner alten Firma haben wir an Macs gearbeitet und dort wurde auch alles per MDM geregelt!
Da konnte man nur ganz bestimmte Dinge ausführen bzw öffnen etc. Im Grunde genau das was du suchst!
Allerdings kein Plan wie kompliziert bzw teuer das wird!

 

[Hotze]

Auf der Internetseite steht „auch für Mac“. Ich Steig da noch nicht durch.
Heißt das, dass er auf dem Mac läuft, oder dass er auch Mac-Profile erstellen kann?

Bitte erst mal richtig mit dem Thema beschäftigen und sich einlesen. Nicht irgendwelche Apps installieren und dann Fragen stellen.

Man kann nicht nur iOS sondern auch MacOS damit betreuen, soll das bedeuten. Darum gibt es das Handbuch: https://support.apple.com/de-de/guide/apple-business-manager/welcome/web

Gibt auch andere Anbieter, wie jamf.
MDM ist ein sehr komplexes Thema.

 

[picollo]

Für solche Aufgaben benötigt man professionelle Ausbildung. Das macht man nicht so nebenbei. Das müsste auch der Chef wissen. Alles andere ist, sorry, Stümperei. Lösung: Experten beauftragen.

 

[Macschrauber]

Es wäre wahrscheinlich am Einfachsten ein weiteres MacOs für diese Nutzer zu Installieren und entsprechend alles wegzulöschen, was nicht gehen soll.

Ansonsten von Hand eine Benutzergruppe anlegen und jede Menge Handarbeit mit den Rechten der Apps.

Davon abgesehen, bin ich beim Vorredner. Wie siehts denn überhaupt mit der Verantwortlichkeit aus, wenn die zu Beschränkenden dann doch Schaden anrichten.

Ist dann der Chef oder der nicht-Experte der es einrichten soll der Verantwortliche?

 

[Hotze]

Für solche Aufgaben benötigt man professionelle Ausbildung. Das macht man nicht so nebenbei. Das müsste auch der Chef wissen. Alles andere ist, sorry, Stümperei. Lösung: Experten beauftragen.

Absolut richtig. Ein MDM betreuen bedarf einer gewissen IT Kompetenz und ist nichts was mit der Installation einer App erledigt ist.

 

[lisanet]

Absolut richtig. Ein MDM betreuen bedarf einer gewissen IT Kompetenz und ist nichts was mit der Installation einer App erledigt ist.

... oder man durch ein paar postings in einem User-Forum erlernen kann.

 

[vs1]

Der Chef hat absolut Null Ahnung von IT, nutzt keine Computer, ist Fan von Schreibmaschinen,
nutzt kein Smartphone, sondern ein altes Nokia Tastenhandy, das aber auch nur zum telefonieren,
weil er mit SMS nichts anfangen kann. Er ist also technisch ein Dinosaurier!

Da ich mich ein klein wenig mit Macs auskenne, hat er mir den Auftrag gegeben,
das MacBook so weit einzuschränken, dass die damit nichts weiter machen können,
außer Pages, Numbers, Drucken, und Mails an eine einzige Adresse schicken zu können.

Stellt bitte nicht die Frage nach dem „Warum“ - ich kann das nicht beantworten.
Ich soll das nur ausführen, und bitte dazu hier um Hilfe.

 

[vs1]

... oder man durch ein paar postings in einem User-Forum erlernen kann.

Nützt ja Nix. Ich muss mich damit auseinander setzen, so der Auftrag.
Und wenn MDM die einzige Möglichkeit ist, das soweit zu reduzieren,
dann muss ich diesen Weg gehen. Das muss auch nächste Woche fertig sein und laufen.
Natürlich.