对于许多Mac管理员来说,安全性与工作效率之间的理想平衡取决于如何管理设备上的本地管理员权限。过多的权限会带来风险,而过少的权限则会造成日常困扰。苹果已出色地实现了让用户以标准用户身份日常操作,但有时仍需要本地管理员权限。SAP的Privileges应用通过允许用户在需要时提升至管理员状态,并在完成后恢复为标准用户,成为了一种受欢迎的解决方案。它为IT团队提供了更多控制权,同时让终端用户能够自行解决问题,而无需等待帮助台工单的批准。
随着Privileges 2.4的发布,SAP新增了更多工具,使其在企业环境中更加灵活可靠。
Privileges 2.4的新功能
2.4版本带来了一系列功能,为IT团队提供了更多灵活性,同时加强了安全性。新的初始过期间隔选项允许管理员在用户选择自己的时间限制之前,为提升权限设置默认时间限制。如果您希望默认管理员访问持续10分钟,但允许最多60分钟,现在可以实现。
Privileges现在可以在Mac离线时排队未发送的日志事件。它不会丢失系统日志或Webhook数据,而是将事件本地存储,并在设备重新上线时按顺序发送。这对于依赖完整审计跟踪的环境来说是一个重大改进。过去几年中,我一直强调从macOS提取日志是IT团队需要掌握的关键事项之一。
还有一个选项可以要求生物识别认证,而不需要密码备用。您现在可以强制使用Touch ID作为确认管理员提升的唯一方式。
Webhook中对双向TLS的支持意味着当您的端点需要时,Privileges可以呈现客户端证书。对于具有严格Webhook安全要求的公司,这提供了企业级保护。
管理员还可以配置在权限过期前运行自定义脚本或应用程序。这可用于通知用户、触发备份或在移除管理员权限前运行合规性检查。
最后,一个新的后台守护程序会监视管理员组的意外更改。如果在Privileges之外授予或撤销权限,它会更新界面并记录发生的情况。
为什么这是一个重大更新?
Privileges的初衷始终是在不敞开大门的前提下,为用户提供所需的访问权限。2.4版本通过防止日志记录漏洞、强制执行更强的认证以及帮助管理员应对意外更改等功能,进一步推进了这一理念。对于管理大量Mac设备的IT团队来说,这些更新意味着减少追查安全问题的时间,并增加对提升权限被适当使用的信心。对于终端用户来说,它保持了流程的简单和可预测性,同时在不需要时不会干扰工作。
总结
在Mac管理员和苹果IT领域工作,我最喜欢的一点是它很大程度上建立在社区努力的基础上。Privileges是开源的,这意味着所有公司都可以从中受益,任何人都可以帮助改进它。它是这个行业如何合作解决问题和分享解决方案的一个绝佳例子。我们这些长期从事苹果IT工作的人还记得,苹果在企业领域除了图形设计外几乎无足轻重的时代。如今,围绕管理和改善苹果IT体验形成了如此强大的社区,这显示了这一领域的巨大进步。Privileges 2.4是苹果IT生态系统中每个人都可以分享和受益的又一次胜利。
