從一場分享開始的警醒 前陣子在 Jamf Nation Live Taipei 分享了 2024-2025 年 Apple 裝置威脅報告,深入探討了全球 Apple 生態系正面臨的資訊安全威脅。 許多人對 Apple 產品有一種根深蒂固的信心—拿著 Mac 或 iPhone,就像拿到了數位世界的「免死金牌」。說實話,Apple 在軟硬體整合上的安全設計確實領先業界,這不是誇大其詞。但也正因為這份信心,我開始想更深入地了解真實情況。 從 Jamf Security 360 報告開始,我觀察了全球情報機構(如 Citizen Lab、Google TAG、Kaspersky)揭露的真實案例。那時我才意識到一個有點殘酷的事實,也正好對應了同事最常對我說的那句話:Apple 設備並非堅不可摧,使用者自身往往才是最大的弱點。 為什麼 Apple 用戶成了高價值目標
Jamf Pro 在設定裡面的 Enrollment Customization,本來可以設定在使用者完成設備註冊的當下,同步把 SAML 裡的資訊帶給後面的 Jamf Connect Login,這樣就可以減少一步使用者還需要登入的步驟。但在撰文的當下,Jamf Pro 11.1 仍在這個功能上有問題,在跟 Jamf Support Team 了解後,大概能用一種 Workaround 來解決,只是要特別留意以下事情: 1. 在 Jamf Pro 裡的 Enrollment Customization 不要再打勾 Enable Jamf Pro to pass user information to Jamf Connect 了(因為勾了也沒有用) 2. 確保
在 Jamf Pro 有整合 Single Sign On 的情況下,可以前往 Settings > Enrollment Customization 設定僅允許一個群組中的成員啟用設備。如果這個成員沒有在這個群組裡面的話,就不能夠開箱設備。如果以 Entra ID 為例,需要把 Object ID 填在下方的欄位即可。 對照到我在 Entra ID 上的群組設置: 至於如果不是 Entra ID,而是其它的 SSO Provider 的話,最好可以用 SAML Tracer 這一套 Google Chrome 外掛去看一下自己的 SAML 文件是如何表達群組的,例如下圖能看到這個使用者屬於以下五個群組。 接著有另外一個很重要的事情要提醒,如果你要阻擋註冊的成員,可以登入到 Jamf Pro
Mac 世界的零接觸話題,每年都可以有新的話題出現。圍繞著使用者體驗,讓用戶在拿到電腦的那一刻,就能自動化配置所有公司要求的設定,不需 IT 人員幫忙。這不僅是節省 IT 人員的時間而已,更是讓整個出機流程變得更為流暢。 除了軟體與設定可以全自動化部署以外,使用者帳號當然也可以自助化的設定在電腦裡,而且完全按照公司的規範。所以如果公司正在使用 Entra ID 這樣的目錄服務時,當然也可以把 Entra ID 上面的帳密同步化成電腦本機電腦上的帳密,減少人員帳密疲疺的風險。然而,要求更高等級的公司,可能會要求人員在登入 Entra ID 時必須通過兩階段驗證,而這可能就為同步密碼帶來挑戰。 以 Jamf Connect 來說,這一套軟體可以在 Mac 設備開箱時自動就安裝在電腦上,並且出現一個可客製化的登入視窗給用戶登入 Entra ID。剖析這套軟體,事實上是由兩個 OIDC 授權類別完成的,一個是 Authorization Code Grant,
Apple 自 2019 年後直接在作業系統裡面內建了 macOS Kerberos SSO Extension 的整合,讓依賴 Microsoft Active Directory 地端環境的公司,現在也能利用 Kerberos SSOe 完成 SSO,這個功能必須要搭配 MDM 才能啟用,沒辦法透過 UI 或 Script 的方式開啟。 Jamf Pro 設定方式 前往 Computers > Configuration Profiles > Single Sign-On Extension,並將頁面切換成 Kerberos 後,完成相關的設定。例如: * Realm 就填入 AD 網域的名稱,應該是全大寫的 * Hosts
在大部分的情況下,若使用者忘記本地密碼,通常會立刻向 IT 團隊求救協助重新設定密碼。而在 FileVault 有啟用的前提下,IT 團隊通常有以下選項來協助使用者: 1. 提供 FileVault Recovery Key 給使用者 2. 在使用者的電腦上登入另一個管理員帳號,並重設使用者密碼 3. 使用 Jamf Policy 重設使用者密碼 以上三種選項,最方便的就是提供 FileVault Recovery Key,但對於某些環境比較嚴格的公司來說,提供 Recovery Key 給到使用者可能不是最佳解,原因是: 1. 比較嚴格的公司可能同時會設定 recoveryOS Password,因此必須連同這道密碼一併給出。這會增加資安上的考量。 2. 另一方面,比較嚴格的公司可能只會給一般使用者的權限,當使用者能利用 FileVault Recovery Key 重設自己的密碼,也有可能拿這個
若要開始整合 Jamf Pro 與微軟 Conditional Access,應該要先到配置Microsoft Intune整合看一下環境需求為何。
從 iOS 6 起,Apple 就停止 iOS/iPadOS 開發者取得 UDID 的能力。主因還是跟使用者隱私,避免受廣告商用做閱聽習慣追蹤。不過對於企業 App 開發者來說,失去取得 UDID 的能力,在許多層面上也失去了識別方便性。
讓員工可以用最快的速度開始工作,減少工作環境的準備時間,應該共同是老闆與 IT 部門的期待。不得要說,Apple 的 MDM 框架讓這整件事情變得很簡單,現在更往前一步,即使設備不是由公司發的,都能透過 MDM…
最近在工作上需要使用 AWS S3 下載檔案,對方給了我關於該 AWS S3 的 Bucket name、Access Key 與 Secret Key,需要按照 AWS S3 的文件前去下載該檔案。 從 AWS 的文件中可以看出來,為了要計算簽署值,需要先準備簽署的本體,本體裡面有一段 CanonicalizedResource,他的格式如下 [ "/" + Bucket ] + <HTTP-Request-URI, from the protocol name up to the query string> + [ subresource, if present. For example "?acl"
Configuration Profile 其實只是一份 XML 文件並經過簽署,因此用一般的文字編輯器打開時,大多數文字都像是亂碼一樣無法閱讀,尤其像從 Jamf Pro 下載的描述檔就會長成這個樣子,因為會經過 Jamf Built-in CA 簽署。 要把 Configuration Profile 移除簽署並重新排列為 XML 的縮排格式,透過以下兩行指令就可以了: security cms -D -i /某某.mobileconfig > 輸出.plist plutil -convert xml1 輸出.plist
最近有一個專案必須要去跟為數眾多的 Jamf Pro 伺服器進行 API 溝通。因為 Jamf Cloud 有 Load Balancer 的機制在前面,所以每次 API Request 過去時,Load Balancer 可能會指引到不同的 Web Apps。
XML
假設有以下這份 XML 文件: <configuration_profiles> <size>21</size> <configuration_profile> <id>12</id> <name>Connect to dedicated WiFi</name> </configuration_profile> <configuration_profile> <id>7</id>
Jamf
最近在研究如何把跟電腦使用者相關的設定透過零接觸部署直接下去,原本簡單的事情卻搞了快一整天,後來了解到一個很根本的關鍵:「誰是這台電腦上的 MDM Enabled User?」。 MDM Enabled User 早期叫做 MDM Capable User,從 macOS 10.12 開始,一台電腦上面只可以有一位。從 Jamf Pro MDM-Enabled Local User Acoounts 裡面讀到一句非常重要的話: The local user account will not be MDM-enabled if at least one of the following is true: The Skip Account Creation checkbox
Jamf
蘋果在今年推出了 Account Driven 的使用者註冊(User Enrollment)功能。這個功能可以讓使用者的 Apple 裝置,如 iPhone、iPad 登入兩個 Apple ID,一個是個人的、一個是公司的。 個人的 Apple ID 很容易理解,直接到 https://appleid.apple.com 申請就可以了。但是公司的 Apple ID 並不是從上面的網址來產生,而是必須到公司的 Apple Business Manager 幫員工註冊與申請。 再更精準的說,不只是公司可以幫員工申請 Apple ID,學校也可以幫師生申請 Apple ID,只要來到學校的 Apple School Manager 就能完成。無論是公司或是學校所申請出來的
Server
本篇文章會使用 Ubuntu 18.04 架設 RSyslog 伺服器,並且加入 Let's Encrypt 啟用 Syslog over TLS。 準備環境 1. 使用 Linode 架設 Ubuntu 18.04 2. 準備一個網域名稱 在 Ubuntu 上安裝 RSyslog 必要服務 首先透過 SSH 連線到 Linode 上面的 Ubuntu 服務,你可以在 Linode 的面板上面,看到 SSH Access 的相關資訊。連線後執行以下指令: 1. add-apt-repository ppa:adiscon/
Apple
自 2012 年起,macOS 開始內建 GateKeeper 安全技術。GateKeeper 可以保護確保使用者正在執行的應用程式未經過第三方修改,也沒有惡意程式碼在其中。接著從 macOS 10.15 起,macOS 更進一步要求所有在 2019 年 6 月 1…
XML
上次的文章有介紹過 Configuration Profile 的好用之處,透過 iMazing Profile Creator 你也能很輕易的建立 XML 文件。 其實 Configuration Profile 能應用的地方很廣,像是 Google 也使用了這個技術協助 IT 人員管理 Google Chrome 的瀏覽器設定。這邊舉一個例子,如果在部署 macOS 設備時,希望把公司常用的 Google Chrome 擴充功能一併裝下去的話,用 iMazing Profile Creator 就能做到了。 找出 Google Chrome Extension 擴充功能 ID 打開 Google Chrome 後,進入到擴充功能裡把開發者模式啟動。(影片教學請參考 YouTube) 找到希望部署的擴充功能名稱,
XML
macOS 電腦上有許多應用程式在開發時留了一個「後門」讓 IT 管理員可以遠端客製化這些 App 的設定值,而不需要使用者自行去設定,換而言之,讓 IT 管理員強制設定。要從遠端塞入設定值會需要製作一個描述檔、還會需要有 MDM 伺服器。
Jamf
在上一篇文章裡已經說明了實作理論,透過 Jamf Pro 的 API 讓人員在打卡或進入到特定地理位置時,自動關閉 iPhone 或 iPad 上的相機。當然,也適用於 macOS 上的相機就是了。
Jamf
關閉iPhone照相功能, 透過 Jamf Pro 的 API 讓人員在打卡或進入到特定地理位置時,自動關閉 iPhone 或 iPad 上的相機。當然,也適用於 macOS 上的相機就是了。
Jamf
最近像是大家說好似的,越來越多的企業或組織都在聊如何關閉照相功能。當用戶進入廠房或營區時,該如何讓他們在外面可以正常使用照相功能,但是一經過了刷卡上班的程序,或是進入到特定地域時,手機就會自動關閉照相功能。這篇文章就來聊聊如何在軍隊或是科技業裡利用 Jamf Pro API…
Jamf
iPad 課堂管理,其實可以在老師自己的 iPad 上進行。也就是說老師自己已經有 iPad 了,可能螢幕或是容量比較大,不想用學校的 iPad 可以嗎?會被學校把自己的資料看光光嗎?為了要能夠管控學生的設備,就一定要先給學校管理嗎?