在 Apple 零接觸部署下僅允許某個群組啟動設備

在 Jamf Pro 有整合 Single Sign On 的情況下，可以前往 Settings > Enrollment Customization 設定僅允許一個群組中的成員啟用設備。如果這個成員沒有在這個群組裡面的話，就不能夠開箱設備。如果以 Entra ID 為例，需要把 Object ID 填在下方的欄位即可。

對照到我在 Entra ID 上的群組設置：

至於如果不是 Entra ID，而是其它的 SSO Provider 的話，最好可以用 SAML Tracer 這一套 Google Chrome 外掛去看一下自己的 SAML 文件是如何表達群組的，例如下圖能看到這個使用者屬於以下五個群組。

接著有另外一個很重要的事情要提醒，如果你要阻擋註冊的成員，可以登入到 Jamf Pro 管理後台的話，那麼這個設定對他是無效的。所以一定要確保，應該只有 IT 團隊的人可以進到 Jamf Pro 裡面。

如果成功阻檔的話，會顯示下面的錯誤訊息給使用者：