Comptes utilisateurs locaux activés par MDM

Sur les ordinateurs, les comptes utilisateurs peuvent être activés par MDM (anciennement compatibles MDM) pour permettre à une solution MDM de gérer certains réglages de gestion spécifiques à l’utilisateur. Vous avez besoin d’utilisateurs activés par MDM pour :

  • Déployer des profils de configuration au niveau utilisateur.

  • Recevoir le profil EDU via le canal des utilisateurs pour les classes gérées. Pour plus d’informations, consultez Classes.

Dans la plupart des scénarios d’enrôlement Jamf Pro, le compte d’utilisateur principal est activé pour le MDM lorsqu’un profil MDM est installé et que l’ordinateur est enrôlé. Sur un ordinateur, les comptes d’utilisateurs sont considérés comme activés par MDM dans Jamf Pro s’ils sont répertoriés dans le critère Utilisateurs compatibles MDM du rapport d’inventaire de l’ordinateur.

Lorsque l’utilisateur principal de l’ordinateur n’est pas activé par MDM, les administrateurs peuvent modifier les utilisateurs activés par MDM après l’enrôlement de l’ordinateur à l’aide de l’agent Jamf. L’agent Jamf peut interagir avec le binaire profiles pour réenrôler le profil MDM afin d’activer l’utilisateur principal. Cette méthode de modification n’est pas possible dans les scénarios suivants :

  • Le profil MDM ne peut pas être supprimé, car la case Autoriser Profil MDM Removal dans les réglages d’enrôlement PreStage des ordinateurs est décochée.

  • L’ordinateur est équipé de macOS 11 ou version ultérieure. Les ordinateurs avec macOS 11 ou version ultérieure ne peuvent pas installer ou réinstaller en arrière-plan des profils MDM en utilisant le binaire profiles.

Pour activer un autre compte d’utilisateur pour le MDM sur les ordinateurs enrôlés via l’un de ces modes, vous devez désenrôler puis réenrôler complètement les ordinateurs dans Jamf Pro.

Modes d’enrôlement permettant d’activer le MDM pour les utilisateurs

Le tableau suivant présente plusieurs méthodes permettant d’activer un utilisateur pour le MDM dans Jamf Pro :

Méthode

Système d’exploitation requis

Description

Enrôlement PreStage d’ordinateurs

S. O.

Lors de l’enrôlement d’un ordinateur via un enrôlement PreStage à l'aide de l’enrôlement automatisé des appareils (anciennement DEP), les utilisateurs créés au cours de l’Assistant réglages seront activés par MDM.

Le compte utilisateur local ne sera pas activé par MDM si au moins l’une des conditions suivantes est remplie :

  • La case Ignorer la création de compte est cochée dans l’enrôlement PreStage et le compte utilisateur local a été créé via une règle ou via Jamf Connect Login.
  • (Jamf Pro 10.24.0 ou version ultérieure, macOS 11 ou version ultérieure) La case Activer le compte d’administrateur local par MDM est sélectionnée dans l’entité Réglages de compte de l’enrôlement PreStage.

Enrôlement par l’utilisateur

S. O.

Par défaut, l’utilisateur connecté sur l’ordinateur sera activé par MDM après l’enrôlement.

Enrôlement basé sur l’agent avec un paquet QuickAdd.pkg ou l’infrastructure de gestion Jamf

macOS 10.15.7 ou version antérieure

L’utilisateur connecté sera activé par MDM.

Installation du profil de configuration au niveau utilisateur via Self Service pour macOS

macOS 10.15.7 ou version antérieure

Self Service tentera d’activer l’utilisateur connecté pour MDM s’il n’est pas déjà activé par MDM et que l’ordinateur dispose d’un profil MDM supprimable.

Remarque :
  • Par défaut, les comptes utilisateurs réseaux et mobiles sont activés par MDM dans Jamf Pro, quel que soit le mode d’enrôlement utilisé.

  • Pour les ordinateurs avec macOS 10.12 ou version ultérieure, un seul compte utilisateur local peut être activé par MDM sur un ordinateur à la fois. Si un second compte utilisateur local est activé par MDM sur l’ordinateur, le premier compte utilisateur local ne le sera plus.

Modification d’un utilisateur activé par MDM

Si vous voulez activer un autre compte utilisateur local pour le MDM, vous pouvez exécuter la commande suivante afin d'activer le MDM pour l’utilisateur actuellement connecté sur les ordinateurs avec macOS 10.15.7 ou version antérieure et un profil MDM supprimable :

sudo jamf mdm -userLevelMdm
Remarque :

Pour les ordinateurs avec macOS 10.13.2 à 10.15.7, cette commande définit le statut MDM approuvé par l’utilisateur sur « Non » dans le rapport d’inventaire Jamf Pro. Pour réactiver le statut MDM approuvé par l’utilisateur, consultez l’article Managing User Approved MDM with Jamf Pro (Gestion du MDM approuvé par l’utilisateur avec Jamf Pro). Si vous utilisez cette commande dans le cadre de workflows existants, vous devez évaluer l’impact de ces modifications.

Pour changer l’utilisateur activé par MDM sur un ordinateur avec macOS 11 ou version ultérieure, vous devez désenrôler puis réenrôler complètement l’ordinateur dans Jamf Pro en procédant comme suit :

  • Ordinateurs avec un profil MDM supprimé

    Exécutez la commande sudo jamf removeframework. Une fois l’ordinateur désenrôlé, vous pouvez le réenrôler via un enrôlement PreStage ou via un enrôlement par l’utilisateur.

  • Ordinateurs avec un profil MDM non supprimé

    Exécutez la commande sudo jamf removeframework, puis envoyez la commande à distance Supprimer du profil MDM à l'aide de Jamf Pro. Une fois l’ordinateur désenrôlé, vous pouvez le réenrôler via un enrôlement PreStage ou via un enrôlement par l’utilisateur.