Jamf
Jamf Pro 在設定裡面的 Enrollment Customization,本來可以設定在使用者完成設備註冊的當下,同步把 SAML 裡的資訊帶給後面的 Jamf Connect Login,這樣就可以減少一步使用者還需要登入的步驟。但在撰文的當下,Jamf Pro 11.1 仍在這個功能上有問題,在跟 Jamf Support Team 了解後,大概能用一種 Workaround 來解決,只是要特別留意以下事情: 1. 在 Jamf Pro 裡的 Enrollment Customization 不要再打勾 Enable Jamf Pro to pass user information to Jamf Connect 了(因為勾了也沒有用) 2. 確保
Jamf
在 Jamf Pro 有整合 Single Sign On 的情況下,可以前往 Settings > Enrollment Customization 設定僅允許一個群組中的成員啟用設備。如果這個成員沒有在這個群組裡面的話,就不能夠開箱設備。如果以 Entra ID 為例,需要把 Object ID 填在下方的欄位即可。 對照到我在 Entra ID 上的群組設置: 至於如果不是 Entra ID,而是其它的 SSO Provider 的話,最好可以用 SAML Tracer 這一套 Google Chrome 外掛去看一下自己的 SAML 文件是如何表達群組的,例如下圖能看到這個使用者屬於以下五個群組。 接著有另外一個很重要的事情要提醒,如果你要阻擋註冊的成員,可以登入到 Jamf Pro
Jamf
Mac 世界的零接觸話題,每年都可以有新的話題出現。圍繞著使用者體驗,讓用戶在拿到電腦的那一刻,就能自動化配置所有公司要求的設定,不需 IT 人員幫忙。這不僅是節省 IT 人員的時間而已,更是讓整個出機流程變得更為流暢。 除了軟體與設定可以全自動化部署以外,使用者帳號當然也可以自助化的設定在電腦裡,而且完全按照公司的規範。所以如果公司正在使用 Entra ID 這樣的目錄服務時,當然也可以把 Entra ID 上面的帳密同步化成電腦本機電腦上的帳密,減少人員帳密疲疺的風險。然而,要求更高等級的公司,可能會要求人員在登入 Entra ID 時必須通過兩階段驗證,而這可能就為同步密碼帶來挑戰。 以 Jamf Connect 來說,這一套軟體可以在 Mac 設備開箱時自動就安裝在電腦上,並且出現一個可客製化的登入視窗給用戶登入 Entra ID。剖析這套軟體,事實上是由兩個 OIDC 授權類別完成的,一個是 Authorization Code Grant,
Jamf
Apple 自 2019 年後直接在作業系統裡面內建了 macOS Kerberos SSO Extension 的整合,讓依賴 Microsoft Active Directory 地端環境的公司,現在也能利用 Kerberos SSOe 完成 SSO,這個功能必須要搭配 MDM 才能啟用,沒辦法透過 UI 或 Script 的方式開啟。 Jamf Pro 設定方式 前往 Computers > Configuration Profiles > Single Sign-On Extension,並將頁面切換成 Kerberos 後,完成相關的設定。例如: * Realm 就填入 AD 網域的名稱,應該是全大寫的 * Hosts
Apple
在大部分的情況下,若使用者忘記本地密碼,通常會立刻向 IT 團隊求救協助重新設定密碼。而在 FileVault 有啟用的前提下,IT 團隊通常有以下選項來協助使用者: 1. 提供 FileVault Recovery Key 給使用者 2. 在使用者的電腦上登入另一個管理員帳號,並重設使用者密碼 3. 使用 Jamf Policy 重設使用者密碼 以上三種選項,最方便的就是提供 FileVault Recovery Key,但對於某些環境比較嚴格的公司來說,提供 Recovery Key 給到使用者可能不是最佳解,原因是: 1. 比較嚴格的公司可能同時會設定 recoveryOS Password,因此必須連同這道密碼一併給出。這會增加資安上的考量。 2. 另一方面,比較嚴格的公司可能只會給一般使用者的權限,當使用者能利用 FileVault Recovery Key 重設自己的密碼,也有可能拿這個
Jamf
若要開始整合 Jamf Pro 與微軟 Conditional Access,應該要先到配置Microsoft Intune整合看一下環境需求為何。
Jamf
從 iOS 6 起,Apple 就停止 iOS/iPadOS 開發者取得 UDID 的能力。主因還是跟使用者隱私,避免受廣告商用做閱聽習慣追蹤。不過對於企業 App 開發者來說,失去取得 UDID 的能力,在許多層面上也失去了識別方便性。
Jamf
讓員工可以用最快的速度開始工作,減少工作環境的準備時間,應該共同是老闆與 IT 部門的期待。不得要說,Apple 的 MDM 框架讓這整件事情變得很簡單,現在更往前一步,即使設備不是由公司發的,都能透過 MDM…
Jamf
最近在研究如何把跟電腦使用者相關的設定透過零接觸部署直接下去,原本簡單的事情卻搞了快一整天,後來了解到一個很根本的關鍵:「誰是這台電腦上的 MDM Enabled User?」。 MDM Enabled User 早期叫做 MDM Capable User,從 macOS 10.12 開始,一台電腦上面只可以有一位。從 Jamf Pro MDM-Enabled Local User Acoounts 裡面讀到一句非常重要的話: The local user account will not be MDM-enabled if at least one of the following is true: The Skip Account Creation checkbox
Jamf
蘋果在今年推出了 Account Driven 的使用者註冊(User Enrollment)功能。這個功能可以讓使用者的 Apple 裝置,如 iPhone、iPad 登入兩個 Apple ID,一個是個人的、一個是公司的。 個人的 Apple ID 很容易理解,直接到 https://appleid.apple.com 申請就可以了。但是公司的 Apple ID 並不是從上面的網址來產生,而是必須到公司的 Apple Business Manager 幫員工註冊與申請。 再更精準的說,不只是公司可以幫員工申請 Apple ID,學校也可以幫師生申請 Apple ID,只要來到學校的 Apple School Manager 就能完成。無論是公司或是學校所申請出來的
Jamf
在上一篇文章裡已經說明了實作理論,透過 Jamf Pro 的 API 讓人員在打卡或進入到特定地理位置時,自動關閉 iPhone 或 iPad 上的相機。當然,也適用於 macOS 上的相機就是了。
Jamf
關閉iPhone照相功能, 透過 Jamf Pro 的 API 讓人員在打卡或進入到特定地理位置時,自動關閉 iPhone 或 iPad 上的相機。當然,也適用於 macOS 上的相機就是了。