Questo articolo spiega come configurare i criteri di gestione delle patch di Apple macOS in NinjaOne.
Ambiente
Gestione degli endpoint NinjaOne
Apple macOS
Descrizione
NinjaOne Patch Management consente di creare politiche di patching che eseguono automaticamente la scansione e l'applicazione di nuove patch del sistema operativo per gli endpoint macOS.
Questa funzione è in accesso anticipato. Durante questa fase di sviluppo, non esitate a contattare il supporto NinjaOne o il vostro account manager per condividere il feedback e richiedere miglioramenti per le versioni future.
NinjaOne supporta il patching del sistema operativo su macOS Catalina e versioni successive.
Considerazioni importanti
le patch di macOS non vengono applicate finché non si riavvia il computer.
Le patch non rimangono in sospeso fino al riavvio del computer.
Se è necessario un riavvio, non sarà possibile installare ulteriori patch finché non si riavvia il computer.
requisiti delle credenziali per le patch di macOS
A causa della maggiore sicurezza di Apple, per applicare le patch del sistema operativo è necessario un account locale con autorizzazioni di proprietario del volume (token sicuro). È possibile aggiungere le autorizzazioni per i token sicuri a un utente standard o a un account amministratore. Per saperne di più, consultate l'articolo di Apple Use secure token, bootstrap token, and volume ownership in deployments(link esterno) .
Configurazione della credenziale predefinita
Seguite questi passaggi per configurare l'account locale con le autorizzazioni di proprietario del volume come credenziale predefinita:
In NinjaOne, navigare in Amministrazione → Organizzazioni.
Immagine 1: Amministrazione → Organizzazioni (clicca per ingrandire)
Posizionare il cursore sull'organizzazione nell'elenco Organizzazioni, quindi fare clic sull'icona a forma di ellisse (tre punti) quando appare e selezionare Modifica dal menu a discesa.
Immagine 2: Organizzazioni → Modifica (clicca per ingrandire)
Selezionare Credenziali dall'elenco delle opzioni di gestione dell'organizzazione, quindi selezionare la scheda Predefiniti e fare clic su Aggiungi credenziale.
Figura 3: Credenziali → Predefinite → Aggiungi credenziale (fare clic per ingrandire)
4. Si aprirà la finestra Nuova credenziale. Immettere le credenziali dell'account locale con le autorizzazioni di proprietario del volume, quindi fare clic su Aggiungi.
Figura 4: La finestra Nuova credenziale (fare clic per ingrandire)
5. Nella scheda Credenziali → Predefinite, fare clic sul menu a discesa Mac Script e selezionare la nuova credenziale. Dopo averlo fatto, clicca su Salva
Figura 5: Selezionare la nuova credenziale predefinita (fare clic per ingrandire)
Attivazione della gestione delle patch di macOS
Per abilitare le patch del sistema operativo per un criterio di endpoint macOS, eseguire le seguenti operazioni:
in NinjaOne, andare in Amministrazione→Politiche→Politiche agentedalle opzioni espanse e selezionare la politica macOS dall'elenco.
Figura 6: Amministrazione → Criteri→ Criteri degli agenti (fare clic per ingrandire)
Si aprirà la pagina di gestione del criterio. Fare clic sull'opzione di patch del sistema operativo, quindi attivare la levetta Stato.
Figura 7: Patching del sistema operativo → Abilita il patching del sistema operativo (fare clic per ingrandire)
Configurazione della gestione delle patch nei criteri
È possibile configurare la gestione delle patch del sistema operativo dalla pagina delle patch del sistema operativo.
Immagine 8: Opzioni di configurazione della gestione delle patch del sistema operativo (fare clic per ingrandire)
Spiegazione delle opzioni di configurazione delle patch del sistema operativo
È possibile configurare i seguenti parametri di gestione delle patch software. Dopo averlo fatto, clicca su Salva
Impostazione
Descrizione
Pianificazione scansione
Determinare quando il dispositivo eseguirà la scansione delle nuove patch disponibili.
Programma: Utilizzare il menu a discesa per scegliere la frequenza di scansione.
Giorni: Se l'intervallo di scansione è più lungo di quello giornaliero, selezionare i giorni della settimana in cui il sistema deve eseguire la scansione. I dispositivi vengono patchati solo nei giorni prescelti. Se non si seleziona alcun giorno, il sistema visualizza un messaggio di errore.
Ora e fuso orario:Selezionare l'ora del giorno e il fuso orario appropriato per eseguire la scansione. Per impostazione predefinita, le scansioni iniziano alle 8.00 ora locale del dispositivo e gli aggiornamenti alle 17.00 ora locale del dispositivo. Queste impostazioni predefinite si applicano solo ai nuovi criteri.
Durata: Impostare il tempo massimo per l'esecuzione di un'azione da parte dell'agente prima dell'arresto. Questa impostazione si applica sia alle azioni pianificate che a quelle avviate manualmente.
Eseguire immediatamente la scansione, se non viene rilevata: Selezionare questa casella di controllo per eseguire una scansione immediatamente dopo aver salvato le impostazioni.
Candidatevi immediatamente: Selezionare questa casella di controllo per fare in modo che il sistema applichi immediatamente le patch quando le trova in una scansione.
Aggiorna pianificazione
Specificare quando NinjaOne deve applicare gli aggiornamenti trovati durante la scansione.
Programma: Utilizzare il menu a discesa per scegliere la frequenza di aggiornamento.
Giorni: Se la pianificazione degli aggiornamenti è più lunga di quella giornaliera, selezionare i giorni della settimana in cui NinjaOne deve eseguire l'aggiornamento. I dispositivi vengono patchati solo nei giorni prescelti. Se non si seleziona alcun giorno, il sistema visualizza un messaggio di errore.
Ora e fuso orario: Selezionare l'ora del giorno e il fuso orario appropriato per eseguire l'aggiornamento. Per impostazione predefinita, le scansioni iniziano alle 8.00 ora locale del dispositivo e gli aggiornamenti alle 17.00 ora locale del dispositivo. Queste impostazioni predefinite si applicano solo ai nuovi criteri.
Durata: Impostare il tempo massimo per l'esecuzione di un'azione da parte dell'agente prima dell'arresto. Questa impostazione si applica sia alle azioni pianificate che a quelle avviate manualmente.
Eseguire immediatamente l'aggiornamento, se non lo si è fatto: Selezionare questa casella di controllo per eseguire immediatamente un aggiornamento.
Modalità di manutenzione: Sopprimere le notifiche e-mail/SMS/Push: Selezionare questa casella di controllo per evitare che NinjaOne invii avvisi causati da azioni che si verificano durante l'aggiornamento (come il riavvio del dispositivo). È possibile affinare questa impostazione selezionando le caselle di controllo Sopprimi avvisi di condizione e Sopprimi canali di notifica. Fare riferimento a Piattaforma NinjaOne: Modalità di manutenzione per ulteriori informazioni.
Opzioni di riavvio
Queste impostazioni consentono di specificare il comportamento di riavvio dopo la patch di NinjaOne per un dispositivo. È possibile configurare le impostazioni sia per gli utenti connessi che per quelli non connessi. Se un utente finale interagisce con una richiesta di riavvio, NinjaOne visualizza un'attività nel feed Attività del dispositivo. Per ulteriori informazioni, consultare la sezione Feed di notifica dell'attività del dispositivo e del sistema.
Opzioni di riavvio: Utente registrato:
È possibile configurare le seguenti impostazioni:
Viene richiesto il riavvio fino a quando non viene accettato il riavvio: NinjaOne visualizzerà un messaggio sullo schermo che indica all'utente di riavviare e consentire il completamento dell'aggiornamento.
Utilizzare le opzioni di pianificazione per determinare la frequenza di richiesta.
Selezionare la casella di controllo Forza il riavvio dopo per impostare il numero di richieste prima che NinjaOne riavvii automaticamente il dispositivo.
Selezionare la casella di controllo Custom reboot dialog per sostituire il prompt predefinito con un testo personalizzato.
Avvisare l'utente, quindi riavviare: Scegliere questa opzione per inviare all'utente una notifica, quindi riavviare automaticamente il computer e completare l'aggiornamento. Fare riferimento a Piattaforma NinjaOne: Canali di notifica per ulteriori informazioni. Utilizzare le opzioni di pianificazione per determinare il tempo di attesa di NinjaOne prima di inviare la notifica e attivare il riavvio.
Riavvio automatico: Questa opzione indica a NinjaOne di riavviare il dispositivo al termine dell'installazione dell'aggiornamento. Utilizzare le opzioni di pianificazione per determinare il tempo di attesa di NinjaOne prima di riavviare la periferica.
Periodo di tempo e Unità: Se si è selezionato , si chiede all'utente di riavviare fino a quando non viene accettato il riavvio, utilizzare questi campi per specificare la frequenza di richiesta. Selezionare la casella di controllo per forzare il riavvio dopo un numero specifico di richieste.
Finestra di dialogo per il riavvio personalizzato: Selezionare questa casella di controllo per aggiungere un testo personalizzato alla richiesta di riavvio.
Opzioni di riavvio: Utente non loggato:
È possibile configurare le seguenti impostazioni:
Tentare di riavviare fino a quando non si riesce: NinjaOne continuerà a tentare di riavviare il dispositivo, anche se i riavvii falliscono, finché non completerà l'azione. Utilizzare le opzioni di pianificazione per determinare la frequenza dei tentativi di riavvio.
Riavviare immediatamente: NinjaOne riavvierà il dispositivo non appena l'aggiornamento sarà pronto.
Programma: Utilizzare il menu a discesa per scegliere la frequenza di richiesta.
Tempo e Fuso orario: Selezionare l'ora del giorno e il fuso orario appropriato per eseguire il riavvio.
Approvazioni generali
Configurare le impostazioni di approvazione automatica delle patch. È possibile scegliere di approvare, rifiutare, o richiedere l'approvazione manuale delle patch in due categorie:
Critico: Patch associate a un CVE noto
Non assegnato: Tutte le altre patch
Approvazione override
Impostate NinjaOne per sovrascrivere i vostri criteri di patch per patch specifiche. Fare clic sul link per aprire l'elenco dellesovrascritte, quindi cercare il nome della patch. Utilizzare il secondo menu a discesa per selezionare se approvare o rifiutare la patch.
Esempi di scenari in cui le patch appaiono nella sezione Sovrascritture :
Se l'approvazione della categoria è impostata su Manual, e l'utente approva o rifiuta la patch per il criterio.
Se l'approvazione della categoria è impostata su Approva e poi si rifiuta manualmente la patch per il criterio.
Se l'approvazione della categoria è impostata su Rifiuta, e si approva manualmente la patch per il criterio.
Esecuzione di un ciclo di patch macOS su richiesta
È possibile eseguire in qualsiasi momento una scansione e un ciclo di installazione delle patch su un dispositivo macOS con la gestione delle patch abilitata a livello di criterio. seguendo i seguenti passaggi
In NinjaOne, fare clic su Dispositivi, quindi individuare e fare clic sul nome del dispositivo nella griglia di ricerca Dispositivi.
Immagine 9: La griglia di ricerca dei dispositivi (fare clic per ingrandire)
Posizionare il cursore sull'icona dell'azione (play), quindi utilizzare i menu a discesa per spostarsi su Aggiornamento OS → Scansione o Aggiornamento OS → Applica.
Figura 10: Azione → Patching → Scansione del sistema operativo (in modalità scura) (fare clic per ingrandire)
Risorse aggiuntive
Per ulteriori informazioni sulle patch di macOS in NinjaOne, consultare i seguenti articoli:
