Bereitstellen lokaler Accounts während der Automatische Geräteregistrierung

Jamf Pro Dokumentation 11.14.0

Solution

Application

Content Type

Technische Dokumentation

Utilities & Services

version

11.14.0

ft:locale

de-DE

vrm_version

11.14.0

Sie können einen verwalteten lokalen Administratoraccount erstellen, der auch als „verwalteter Administrator“ bezeichnet wird, und die lokalen Accountinformationen für den primären Benutzer während der Automatische Geräteregistrierung konfigurieren.

Bei Computern mit macOS 10.15 oder neuer oder neuer können Sie auch Folgendes konfigurieren:

Automatisches Einfügen des vollständigen Namens des lokalen Accounts und des Accountnamen des primären Benutzers. Wenn Ihre Umgebung einen LDAP- oder cloudbasierten Identitätsdienst-Server umfasst, können Sie Benutzervariablen eingeben. Außerdem können Sie festlegen, dass sich registrierende Benutzer diese Informationen während der Registrierung nicht bearbeiten können.
Verwaltete Administratoren können während der Anmeldung ein Sicherheitstoken erhalten, wenn ein Bootstrap Token bei Jamf Pro hinterlegt ist.
- Weitere Informationen finden Sie unter Verwenden von SecureToken, Bootstrap Token und Volume-Eigentum in Implementierungen in Implementierung von Apple Plattformen.
- Weitere Informationen über das manuelle Erstellen des Bootstrap Tokens auf dem Computer und das Hinterlegen in Jamf Pro finden Sie im Artikel Manuelle Verwendung des Features für Bootstrap Tokens von Apple.

Requirements

Damit für die Benutzervariablen automatisch die Werte des zugehörigen LDAP-Attributs oder Attributs des cloudbasierten Identitätsdienstes (IdP) eingefügt werden, muss ein LDAP-Server oder Server eines cloudbasierten Identitätsdienstes in Jamf Pro konfiguriert werden. Weitere Informationen finden Sie unter Integration des LDAP-Verzeichnisdienstes und Cloudbasierte Identitätsdienste.

Führen Sie auf der Seite PreStage-Registrierungen einen der folgenden Schritte aus:
- Klicken Sie auf Neu, um eine neue PreStage-Registrierung zu erstellen.
- Wählen Sie eine vorhandene PreStage-Registrierung aus und klicken Sie auf Bearbeiten .
(Optional) Gehen Sie im Bereich Accounteinstellungen wie folgt vor, um einen lokalen Administratoraccount (verwalteter Administrator) zu erstellen:
Note:
Jamf empfiehlt, MDM LAPS nicht für die Passwortrotation zu verwenden, wenn dieser Account FileVault verwenden oder Software-Updates auf Computern mit Apple Silicon autorisieren muss. Beim Rotieren des Passworts für einen verwalteten lokalen Administratoraccount aus der PreStage-Registrierung, der mit einem Sicherheitstoken kryptografisch aktiviert wurde, ändert sich das Anmeldepasswort. Das neue Passwort funktioniert jedoch nicht für die kryptografische Benutzerauthentifizierung.
1. Wählen Sie das Markierungsfeld Verwalteten lokalen Administratoraccount vor dem Systemassistenten erstellen aus.
2. Füllen Sie die Felder Benutzername und Passwort aus und bestätigen Sie dann das Passwort.
  Warning:
  Verwenden Sie nicht denselben Benutzernamen für den in den Einstellungen für die benutzerinitiierte Registrierung erstellten verwalteten lokalen Administratoraccount und einen verwalteten lokalen Administratoraccount, der in einer PreStage-Registrierung erstellt wurde. Wenn für beide Accounts derselbe Benutzername verwendet wird, können diese Accounts während der automatischen Geräteregistrierung nicht korrekt erstellt werden, und es können unerwartete Fehler auftreten. Außerdem kann das Passwort für die lokale Administrator-Passwortlösung (LAPS) nicht über die Jamf Pro API abgerufen werden.
3. Wählen Sie die Verwalteten Administratoraccount unter „Benutzer Gruppen“ ausblenden.
  Dadurch wird verhindert, dass Benutzer den verwalteten Administratoraccount in den Systemeinstellungen (macOS 13 oder neuer) oder Systemeinstellungen (macOS 12 oder älter) sehen und damit interagieren.
4. Wählen Sie das Markierungsfeld Lokalen Administratoraccount für MDM aktivieren aus.
  Dadurch wird der verwaltete Administratoraccount für MDM aktiviert.
  Warning:
  Wenn der verwaltete Administratoraccount für MDM aktiviert wird, kann der nachfolgende lokale Benutzeraccount nicht mehr für MDM aktiviert werden. Wenn der primäre Benutzeraccount nicht MDM-aktiviert ist, können für den Benutzer keine Konfigurationsprofile auf Benutzerebene installiert werden. Weitere Informationen finden Sie unter MDM-aktivierte lokale Benutzeraccounts.
Wählen Sie eine der folgenden Optionen aus, um den lokalen Accounttyp des primären Benutzers zu konfigurieren:
- Administratoraccount —
  Der primäre Benutzer wird als lokaler Administrator erstellt
- Standardaccount —
  Es wird ein standardmäßiger Benutzeraccount erstellt
- Accounterstellung überspringen —
  Die Accounterstellung wird während der Registrierung übersprungen. Wählen Sie diese Option aus, wenn:
  Eine weitere Lösung wie Jamf Connect konfiguriert wird, um primäre lokale Benutzeraccounts während der Automatische Geräteregistrierung zu erstellen.
  Sie während der Registrierung nur den verwalteten Administrator erstellen möchten.
Aktivieren Sie das Markierungsfeld Informationen für primären Account vorab einfügen und wählen Sie dann eine der folgenden Optionen aus:
- Benutzerdefinierte Details —
  Mit dieser Option können Sie den Accountnamen und den vollständigen Benutzernamen für den Computer eingeben. Diese Informationen werden für alle Computer übernommen, die mithilfe der PreStage-Registrierung registriert werden. Wenn LDAP oder ein cloudbasierter Identitätsdienst in Ihre Jamf Pro Umgebung integriert sind, können Sie Variablen verwenden, um dynamisch Benutzerinformationen aus LDAP oder von einem Identitätsdienst einzufügen. Die folgenden Variablen werden unterstützt:
  $USERNAME
  $FULLNAME
  $REALNAME
  $EMAIL
  $PHONE
  $POSITION
  $ROOM
  $EXTENSIONATTRIBUTE_#
  Note:
  Wenn für eine Variable ein leerer Wert zurückgegeben wird, wird die Einstellung Informationen zum primären Account sperren ignoriert und Benutzer können die fehlenden Informationen für den Benutzeraccount eingeben.
  Als Variablen sind nur Benutzer-Erweiterungsattribute verfügbar. Computer- und Mobilgeräte-Erweiterungsattribute werden nicht unterstützt.
- Details zum Gerätebesitzer —
  Mit dieser Option setzen Sie die Werte für den vollständigen Namen des Accounts und den Accountnamen auf die Werte für „Benutzernamen“ und „vollständigen Name“ in den Bestandsinformationen des Computers zum Zeitpunkt der Registrierung. Ist während der Registrierung eine Authentifizierung nötig, werden die Benutzerinformationen mithilfe einer Anfrage von Jamf Pro an einen LDAP-Verzeichnisdienst oder Ihren cloudbasierten Identitätsdienst mit dem Gerät verbunden.
  Note:
  Wenn die PreStage-Registrierung eine Konfiguration zur Anpassung des Registrierungsvorgangs mit dem PreStage-Bereich „Single Sign-On Authentifizierung“ umfasst und keine Abfrage für das LDAP-Verzeichnis oder den cloudbasierten Identitätsdienst verfügbar ist, empfängt Jamf Pro lediglich den Accountnamen und kann den vollständigen Namen während der Accounterstellung nicht abrufen. Die Informationen zum Benutzernamen Ihres Identitätsdienstes werden durch das NameID Attribut ausgefüllt, das in der SAML-Anwendung Ihres Identitätsdiensts festgelegt ist. Fragen Sie Ihren IdP nach Optionen zur Konfiguration dieses Werts.
Wählen Sie das Markierungsfeld Informationen zum primären Account sperren aus, um zu verhindern, dass Benutzer den vorab eingefügten Accountnamen und den vollständigen Namen des Accounts ändern, während der Systemassistent ausgeführt wird.
Klicken Sie auf Speichern .