啟用 MDM 的本機使用者帳戶
電腦上的使用者帳戶可啟用 MDM (舊稱為具備 MDM 功能),以便讓 MDM 解決方案管理某些使用者專屬的管理設定。您須有啟用 MDM的 使用者才能執行下列操作:
部署使用者層級組態設定檔。
透過使用者通道接收受管理課程的 EDU 設定檔。 如需更多資訊,請見課程。
在大多數 Jamf Pro 註冊案例中,主要使用者帳戶會在安裝 MDM 設定檔並註冊電腦時啟用 MDM。如果電腦上的使用者帳戶列在電腦庫存記錄的「具備 MDM 能力的使用者」準則中,則這些帳戶在 Jamf Pro 中會視為已啟用 MDM。
若電腦上的主要使用者未啟用 MDM,管理員可以在電腦註冊後使用 jamf agent 修改啟用 MDM 的使用者。jamf agent 可與 profiles 二進位檔案互動,以重新註冊 MDM 設定檔來啟用主要使用者。此修改方法不適用下列案例:
因在電腦「PreStage 註冊」設定中取消選取「允許 MDM 設定檔 移除」核取方塊,而將 MDM 設定檔設定為非卸除式。
電腦搭載 macOS 11 或更新版本。搭載 macOS 11 或更新版本的電腦無法使用
profiles二進位檔案以無訊息方式安裝或重新安裝 MDM 設定檔。
若要在使用這些方法註冊的電腦上啟用 MDM 的不同使用者帳戶,則須在 Jamf Pro 完整取消註冊後,再重新註冊。
為使用者啟用 MDM 的註冊方法
下表說明 Jamf Pro 中為使用者啟用 MDM 的數種方法:
方法 | OS 需求 | 說明 |
|---|---|---|
電腦 PreStage 註冊 | 不適用 | 透過「PreStage 註冊」使用「自動化裝置註冊」 (舊稱為 DEP) 註冊電腦時,在安裝輔助程式期間建立的使用者將會是 MDM 已啟用的狀態。 如果下列條件至少有一項符合,則不會啟用本機使用者帳戶的 MDM:
|
使用者啟動註冊 | 不適用 | 根據預設,已在電腦上登入的使用者會在註冊後變成 MDM狀態。 |
使用 QuickAdd.pkg 或 Jamf 管理架構的基於代理程式的註冊 | macOS 10.15.7 或更早版本 | 登入的使用者將會是 MDM 已啟用的狀態。 |
透過適用 macOS 的「Self Service」的使用者層級組態設定檔安裝 | macOS 10.15.7 或更早版本 | 如果使用者的 MDM 尚未啟用,且電腦具有卸除式 MDM 設定檔,則「Self Service」將嘗試啟用已登入使用者的 MDM。 |
在 Jamf Pro 中,網路和行動使用者帳戶的 MDM 為預設啟用,無論使用的註冊方法為何。
若是搭載 macOS 10.12 或更新版本的電腦,則電腦上一次只能有一個 MDM 已啟用的本機使用者帳戶。如果電腦上有第二個本機使用者帳戶的 MDM 變成啟用狀態,則第一個本機使用者帳戶的 MDM 將不再為啟用狀態。
啟用 MDM 的使用者修改
如果您想要啟用另一個不同的MDM本機使用者帳戶,可以執行下列命令,以便針對搭載macOS 10.15.7 或更早版本且具有卸除式 MDM 設定檔的電腦上目前登入的使用者啟用 MDM:
sudo jamf mdm -userLevelMdm若是搭載 macOS 10.13.2–10.15.7 的電腦,此命令會在 Jamf Pro 庫存記錄中將「使用者核准的 MDM」狀態設定為「否」。若要重新啟用「使用者核准的 MDM」狀態,請參閱 使用 Jamf Pro 管理使用者核准的 MDM 文章。如果您使用該命令做為現有工作流程的組成部分,則應評估這些變更的影響。
若要在搭載 macOS 11 或更新版本的電腦上變更啟用 MDM 的使用者,您必須在 Jamf Pro 中執行下列操作之一,將電腦徹底取消註冊,再重新註冊:
- 具有卸除式 MDM 設定檔的電腦—
執行
sudo jamf removeframework命令。電腦取消註冊後,您可以使用「PreStage 註冊」或「使用者啟動註冊」將它重新註冊。 - 具有非卸除式 MDM 設定檔的電腦—
執行
sudo jamf removeframework命令,然後使用 Jamf Pro 傳送「移除 MDM 設定檔」遠端命令。電腦取消註冊後,您可以使用「PreStage 註冊」或「使用者啟動註冊 」將它重新註冊。