MDM-aktivierte lokale Benutzeraccounts

Benutzeraccounts auf Computern können MDM-aktiviert (früher MDM-kompatibel) sein, damit sich bestimmte benutzerspezifische Verwaltungseinstellungen mit einer MDM-Lösung verwalten lassen. Sie benötigen MDM-aktivierte Benutzer, um Folgendes durchzuführen:

  • Konfigurationsprofile auf Benutzerebene bereitstellen

  • Das EDU-Profil über den Benutzerkanal für verwaltete Klassen empfangen
    Weitere Informationen finden Sie unter Klassen.

In den meisten Jamf Pro Registrierungsszenarien wird der primäre Benutzeraccount für MDM aktiviert, wenn ein MDM-Profil installiert und der Computer registriert wird. Benutzeraccounts auf einem Computer gelten in Jamf Pro als MDM-aktiviert, wenn sie in den Kriterien für MDM-kompatible Benutzer im Computer-Bestandsdatensatz aufgeführt sind.

Wenn der primäre Benutzer auf dem Computer nicht MDM-aktiviert ist, können Administratoren nach der Computerregistrierung mithilfe des Jamf Agent ändern, welcher Benutzer MDM-aktiviert ist. Der Jamf Agent kann mit der Binärdatei profiles interagieren, um das MDM-Profil erneut zu registrieren und den primären Benutzer zu aktivieren. Diese Änderungsmethode ist in den folgenden Szenarien nicht möglich:

  • Das MDM-Profil wurde als nicht entfernbar festgelegt, indem das Markierungsfeld Allow MDM Profile Removal (MDM-Profilentfernung erlauben) in den Einstellungen für die PreStage-Registrierung von Computern deaktiviert wurde.

  • Auf dem Computer ist macOS ab Version 11 installiert. Computer mit macOS ab Version 11 können MDM-Profile nicht im Hintergrund über die Binärdatei profiles installieren oder neu installieren.

Um einen anderen Benutzeraccount für MDM auf Computern zu aktivieren, die mit diesen Methoden registriert wurden, ist eine vollständige Aufhebung der Registrierung und eine erneute Registrierung bei Jamf Pro erforderlich.

Registrierungsmethoden, um MDM für Benutzer zu aktivieren

In der folgenden Tabelle werden verschiedene Methoden erläutert, mit denen ein Benutzer in Jamf Pro für MDM aktiviert wird:

Methode

Anforderungen an das Betriebssystem

Beschreibung

PreStage-Registrierung für Computer

Wenn Sie einen Computer über eine PreStage-Registrierung mithilfe der automatischen Geräteregistrierung (ehemals DEP) registrieren, werden die während des Systemassistenten erstellten Benutzer MDM-aktiviert.

Der lokale Benutzeraccount wird nicht MDM-aktiviert, wenn mindestens einer der folgenden Punkte zutrifft:

  • Das Markierungsfeld Accounterstellung überspringen ist in der PreStage-Registrierung ausgewählt und der lokale Benutzeraccount wurde über eine Richtlinie oder Jamf Connect Login erstellt.

  • (Jamf Pro ab Version 10.24.0, macOS ab Version 11) Das Markierungsfeld Make the local administrator account MDM-enabled (Lokalen Administratoraccount für MDM aktivieren) ist in der Payload „Accounteinstellungen“ der PreStage-Registrierung ausgewählt.

Benutzerinitiierte Registrierung

Standardmäßig ist der angemeldete Benutzer auf dem Computer nach der Registrierung MDM-aktiviert.

Agent-basierte Registrierung mit einem QuickAdd.pkg oder dem Jamf Management Framework

macOS bis Version 10.15.7

Der angemeldete Benutzer ist MDM-aktiviert.

Installation von Konfigurationsprofilen auf Benutzerebene über Self Service für macOS

macOS bis Version 10.15.7

Self Service versucht, den angemeldeten Benutzer für MDM zu aktivieren, wenn der Benutzer nicht bereits MDM-aktiviert ist und der Computer über ein entfernbares MDM-Profil verfügt.

Hinweis:

  • Netzwerk- und Mobilgeräte-Benutzeraccounts sind in Jamf Pro standardmäßig MDM-aktiviert, unabhängig davon, welche Registrierungsmethode verwendet wurde.

  • Bei Computern mit macOS ab Version 10.12 kann jeweils nur ein lokaler Benutzeraccount MDM-aktiviert sein. Wenn ein zweiter lokaler Benutzeraccount auf dem Computer MDM-aktiviert wird, ist der erste lokale Benutzeraccount nicht mehr MDM-aktiviert.

Änderung des MDM-aktivierten Benutzers

Wenn Sie einen anderen lokalen Benutzeraccount für MDM aktivieren möchten, können Sie den folgenden Befehl ausführen, um MDM für den aktuell angemeldeten Benutzer auf Computern mit macOS bis Version 10.15.7 und einem entfernbaren MDM-Profil zu aktivieren:

sudo jamf mdm -userLevelMdm

Hinweis: Bei Computern mit macOS 10.13.2–10.15.7 wird mit diesem Befehl der Status „Vom Benutzer genehmigtes MDM“ im Jamf Pro Bestandsdatensatz auf „Nein“ festgelegt. Um den Status „Vom Benutzer genehmigtes MDM“ erneut zu aktivieren, lesen Sie den Artikel Managing User Approved MDM with Jamf Pro (Verwaltung des vom Benutzer genehmigten MDM mit Jamf Pro). Wenn Sie diesen Befehl als Teil bestehender Workflows verwenden, sollten Sie die Auswirkungen dieser Änderungen bewerten.

Um den MDM-aktivierten Benutzer auf einem Computer mit macOS ab Version 11 zu ändern, müssen Sie die Registrierung des Computers in Jamf Pro vollständig aufheben und ihn dann erneut registrieren, indem Sie einen der folgenden Schritte ausführen:

  • Computer mit einem entfernbaren MDM-Profil – Führen Sie den Befehl sudo jamf removeframework aus. Nachdem die Registrierung des Computers aufgehoben wurde, können Sie ihn mit einer PreStage-Registrierung oder einer benutzerinitiierten Registrierung erneut registrieren.

  • Computer mit einem nicht entfernbaren MDM-Profil – Führen Sie den Befehl sudo jamf removeframework aus und senden Sie dann mit Jamf Pro den Fernbefehl „MDM-Profil entfernen“. Nachdem die Registrierung des Computers aufgehoben wurde, können Sie ihn mit einer PreStage-Registrierung oder einer benutzerinitiierten Registrierung erneut registrieren.

Weiterführende Informationen

Weiterführende Informationen finden Sie im folgenden Abschnitt dieses Leitfadens:

Konfigurationsprofile für Computer
Hier erfahren Sie, wie Sie Computerkonfigurationsprofile an MDM-aktivierte Benutzer verteilen.

PreStage-Registrierungen für Computer
Hier erfahren Sie, wie Sie Computer mit einer PreStage-Registrierung erneut registrieren, um den Benutzer für MDM in Jamf Pro zu aktivieren.

Benutzerinitiierte Registrierung von Computern
Hier erfahren Sie, wie Sie Computer mit einer benutzerinitiierten Registrierung erneut registrieren, um den Benutzer für MDM in Jamf Pro zu aktivieren.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2021 Jamf. Alle Rechte vorbehalten.