Jamf

Jamf Pro 在設定裡面的 Enrollment Customization，本來可以設定在使用者完成設備註冊的當下，同步把 SAML 裡的資訊帶給後面的 Jamf Connect Login，這樣就可以減少一步使用者還需要登入的步驟。但在撰文的當下，Jamf Pro 11.1 仍在這個功能上有問題，在跟 Jamf Support Team 了解後，大概能用一種 Workaround 來解決，只是要特別留意以下事情： 確認上面兩項條件都沒有問題後，需要在 Computer 裡面的 Configuration Profile > Application & Custom Settings。 上面的兩個變數值，可以在 Jamf Pro Configuration Profile 裡面找到。例如底下我自己的例子： 對照上圖的話，我的 XML 應該會長成這樣樣子： 然後記得把上面這個新做好的 Configuration Profile 設定好正確的 Scope，並且也放在 PreStage。除此之外，這個 Workaround 有一個比較不好的地方：如果這個電腦已經用 Jamf Connect 建立過帳號了，就需要把這個 Workaround Read more…

在 Jamf Pro 有整合 Single Sign On 的情況下，可以前往 Settings > Enrollment Customization 設定僅允許一個群組中的成員啟用設備。如果這個成員沒有在這個群組裡面的話，就不能夠開箱設備。如果以 Entra ID 為例，需要把 Object ID 填在下方的欄位即可。 對照到我在 Entra ID 上的群組設置： 至於如果不是 Entra ID，而是其它的 SSO Provider 的話，最好可以用 SAML Tracer 這一套 Google Chrome 外掛去看一下自己的 SAML 文件是如何表達群組的，例如下圖能看到這個使用者屬於以下五個群組。 接著有另外一個很重要的事情要提醒，如果你要阻擋註冊的成員，可以登入到 Jamf Pro 管理後台的話，那麼這個設定對他是無效的。所以一定要確保，應該只有 IT 團隊的人可以進到 Jamf Pro 裡面。 如果成功阻檔的話，會顯示下面的錯誤訊息給使用者：

Mac 世界的零接觸話題，每年都可以有新的話題出現。圍繞著使用者體驗，讓用戶在拿到電腦的那一刻，就能自動化配置所有公司要求的設定，不需 IT 人員幫忙。這不僅是節省 IT 人員的時間而已，更是讓整個出機流程變得更為流暢。 除了軟體與設定可以全自動化部署以外，使用者帳號當然也可以自助化的設定在電腦裡，而且完全按照公司的規範。所以如果公司正在使用 Entra ID 這樣的目錄服務時，當然也可以把 Entra ID 上面的帳密同步化成電腦本機電腦上的帳密，減少人員帳密疲疺的風險。然而，要求更高等級的公司，可能會要求人員在登入 Entra ID 時必須通過兩階段驗證，而這可能就為同步密碼帶來挑戰。 以 Jamf Connect 來說，這一套軟體可以在 Mac 設備開箱時自動就安裝在電腦上，並且出現一個可客製化的登入視窗給用戶登入 Entra ID。剖析這套軟體，事實上是由兩個 OIDC 授權類別完成的，一個是 Authorization Code Grant，另外一個是 ROPG。 以上這些情況都沒有什麼問題。然而，當公司配置 Microsoft Conditional Access 在 Jamf Connect 上時就會出現問題了。假設配置的條件是必須完成 MFA 驗證才提供 Token，那麼 ROPG 這種授權類別就會難以進行。一是 ROPG 這個授權類別不會彈出一個畫面要使用者輸入兩階段驗證碼之類的東西，二是這種同步密碼的頻率可能是 15 分鐘一次，不可能每 15 分鐘就去挑戰使用者。 然而，當這個 Read more…

Apple 自 2019 年後直接在作業系統裡面內建了 macOS Kerberos SSO Extension 的整合，讓依賴 Microsoft Active Directory 地端環境的公司，現在也能利用 Kerberos SSOe 完成 SSO，這個功能必須要搭配 MDM 才能啟用，沒辦法透過 UI 或 Script 的方式開啟。 Jamf Pro 設定方式 前往 Computers > Configuration Profiles > Single Sign-On Extension，並將頁面切換成 Kerberos 後，完成相關的設定。例如： macOS 使用者體驗 接著使用者的 macOS 電腦就會在上方工具列的地方出現一把鑰匙，點擊後按下登入，就會出現下方的登入視窗。使用者就在下面輸入 AD 使用者名稱及密碼，就能登入到 AD 網域裡。如果在 Jamf Pro 裡面有配置密碼同步的話，使用者的 macOS Read more…

最近在研究如何把跟電腦使用者相關的設定透過零接觸部署直接下去，原本簡單的事情卻搞了快一整天，後來了解到一個很根本的關鍵：「誰是這台電腦上的 MDM Enabled User？」。 MDM Enabled User 早期叫做 MDM Capable User，從 macOS 10.12 開始，一台電腦上面只可以有一位。從 Jamf Pro MDM-Enabled Local User Acoounts 裡面讀到一句非常重要的話： The local user account will not be MDM-enabled if at least one of the following is true: The Skip Account Creation checkbox is selected in the PreStage enrollment and the local Read more…

Jamf School 提供兩種方式讓家長使用 Jamf Parent 配對學生 iPad。一種是 QRCode、另外一種是輸入帳號密碼。 使用 QRCode 使用 QRCode 的好處是方便、簡單，家長只要掃描條碼就能開始管理學生裝置。但如果學生自己也拿一台手機去掃的話就比較麻煩。 學校需先至 Jamf School 後台 > Organization > Jamf School Student > Allow Parent devices to use a QR code to pair with student devices。 再接著於 Organization > Jamf Parent > Enable Jamf Parent。 家長可以至 App Store 下載 Read more…

建立 Okta App 進入到 Okta Admin 點選 Create App Integration > OIDC – OpenID Connect > Native Application 在 App Integration Name 取名，例如 Jamf Connect Login Admin 或 Jamf Connect Login Standard 都好，方便自己辨識即可 直接按 Save 即可 編輯 Okta App 點選剛才建立好的 Okta App 在 General Settings 上按一下 Edit 把 Implicit(Hybrid) > Read more…