Test Center – Jamf Fundamentals

Apple-Geräte im Griff

Apple-Geräte im Griff

Artikel erschienen in IT Magazine 2022/10

Geräte registrieren

Für die Registrierung der zu verwaltenden Macs, iPads und iPhones auf der Jamf-Plattform gibt es zwei Varianten: Beim Automated Device Enrollment, geeignet für neue oder neu aufzusetzende Devices, lädt Jamf Fundamentals die vorher geplanten Konfigurationseinstellungen während der Aktivierung automatisch auf das Gerät herunter. Nachdem das Gerät zum ersten Mal eingeschaltet wird, ist es somit bereits auf der Jamf-Plattform registriert und kann mit Jamf verwaltet werden. Neue Apple-­Hardware lässt sich so ohne Eingriff durch das IT-Team bereitstellen.

Das automatische Enrollment setzt ­einen Account bei Apple Business Manager oder Apple School Manager voraus, den Apple nach der Anmeldung innert einiger Tage aktiviert. Im Apple Business beziehungsweise School Manager wird dann Jamf als MDM-Server definiert.

Die zweite Variante, Geräte für Jamf zu registrieren, ist das Open Enrollment. Damit können Nutzer ihr Gerät, auch wenn es bereits eingerichtet ist, selbst für Jamf registrieren. Dies geschieht, indem im Browser auf dem Gerät die Open Enrollment URL aufgerufen und der vorher in den Jamf-Einstellungen eingetragene Access Code eingegeben wird.

Die registrierten Geräte zeigt Jamf Fundamentals unter der Rubrik Devices in einer Übersicht mit Gerätename, zugeordnetem User und Blueprint sowie Angaben zum Status an. Klickt man in der Übersicht auf ein Gerät, erscheint die Detailansicht, die eine Vielzahl von Informationen präsentiert. Dazu gehören zum Beispiel die OS-Version, die Seriennummer, die belegte und freie Speicherkapazität sowie Informationen zu diversen Jamf-spezifischen Einstellungen. Weitere Seiten der Detailansicht zeigen allfällige zum Gerät erfasste Notizen sowie die durch Jamf Fundamentals installierten Apps und deren Status an. In der Detailansicht stehen zudem über ein Popup-Menü verschiedene gerätebezogene Funktionen bereit, zum Beispiel Gerät herunterfahren, neustarten, löschen oder das Device einem anderen Blueprint zuordnen.


Blueprints definieren

Das (Mobile) Device Management ergibt dann am meisten Sinn, wenn die von der Organisation gewünschten Apps, Einstellungen und Einschränkungen automatisch auf die Geräte gelangen. Was dabei genau gepusht wird, lässt sich in Form sogenannter Blueprints bündeln, wobei verschiedene Blueprints für unterschiedliche Anwendungsszenarien möglich sind – zum Beispiel für Geräte in unterschiedlichen Abteilungen oder für unterschiedliche Nutzerrollen. Von Haus aus stellt Jamf drei Blueprints bereit, einen für das Management, einen für betriebliche Funktionen und einen dritten, der je nach angegebener Branche variiert. Weitere Blueprints lassen sich nach Belieben erstellen.

Ein Blueprint umfasst folgende Einstellungen:

- Apps, die automatisch auf die Geräte geladen werden
- Web Clips mit Links zu Webseiten, die auf dem Gerät wie ein App-Icon erscheinen
- Sicherheitseinstellungen wie Passcode erforderlich, Aktivierung von Filevault sowie Aktivierung des Malware-Schutzes und der Passwort-Synchronisation mit Identity-Providern für Single-­Sign-on
- E-Mail-Adresse, die automatisch eingerichtet wird
- WLAN-Einstellungen
- Einschränkungen, die für das Gerät gelten
- Single App Mode
- Hintergrundbild für Lock Screen und Home Screen
- Nachricht, die auf dem Lock Screen erscheint (z.B. «Falls gefunden, E-Mail an xxxx@yyyy.ch» sowie eine von der Organisation definierte Asset-Nummer des Geräts)
- Spezifische Geräteprofile mit weiteren Einstellungen, die im Apple Configurator oder iMazing Profile Editor erstellt wurden

Für einige dieser vordefinierten Einstellungen, darunter die Einschränkungen und der Single App Mode, muss das betreffende Gerät sogenannt «supervised» sein. iPhones, iPads und Apple TVs lassen sich via Apple Configurator manuell in den Supervision-Modus versetzen. Ein Mac gilt nach dem Enrollment bei Jamf automatisch als supervised. Die Supervision kann zudem beim automatischen Enrollment aktiviert werden – wobei wie erwähnt der Apple Business oder School Manager zum Einsatz kommt. Auf Geräten im Supervision-­Modus stehen neben den erweiterten Jamf-Einstellungen auch weitere Möglichkeiten wie automatische OS-­Updates zur Verfügung.

In der Rubrik Einschränkungen lassen sich unzählige Restriktionen festlegen, die für das Gerät gelten sollen, und zwar in den Kategorien Apps, App Usage, Security & Privacy, Network & Cellular, iCloud, Siri, Wallpaper und Updates.

So lässt sich zum Beispiel bestimmen, dass der Nutzer selbst keine Apps oder Web Clips installieren oder keine Apps löschen darf. Oder dass Funktionen wie Airdrop und Airprint oder die Kamera oder Safari deaktiviert sind, dass die iCloud Photo Library nicht zugänglich ist oder Siri nicht zur Verfügung steht.


Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER