Überwachen auf nicht-konforme Computer

Wenn ein Computer den Bereich der dynamischen Computergruppe verlässt, die zum Überwachen der Konformität benutzt wird, ist er in Entra ID nicht mehr als konform gekennzeichnet. Computer, die als nicht-konform markiert sind, können erst dann wieder auf die Ressourcen des Unternehmens zugreifen, wenn ihre Konformität wiederhergestellt ist.

Sie können eine Kombination aus dynamischen Computergruppen, Computer-Apps und Konfigurationsprofilen in Jamf Pro nutzen, um nicht-konforme Computer zu überwachen. Welches das beste Verfahren zur Überwachung nicht konformer Geräte ist, hängt von Ihrer Umgebung ab. Wenden Sie sich an Jamf Support, um Unterstützung zu erhalten.

Führen Sie diese Schritte aus, um die Überwachung für nicht konforme Geräte einzurichten und E-Mail-Mitteilungen an Benutzer mit nicht konformen Geräten zu senden:

Erstellen Sie in Jamf Pro eine neue dynamische Computergruppe für die Konformitätskriterien, die sie überwachen wollen.
Example:
Sie könnten eine dynamische Gruppe für Computer erstellen, auf denen FileVault nicht installiert ist, oder für Computer ohne die aktuelle macOS Version. Sie können auch eine dynamische Computergruppe nutzen, die über Konformitäts-Benchmarks erstellt wurde. Weitere Informationen finden Sie im Konfigurationsleitfaden für Konformitäts-Benchmarks.

Fügen Sie die entsprechende dynamische Gruppe, die Sie in Schritt 1 erstellt haben, dem Bereich der macOS App, dem Konfigurationsprofil oder der Richtlinie hinzu.

Eine App Jamf Pro hinzufügen. Weitere Informationen finden Sie unter Methoden für die Verteilung von Inhalten in Jamf Pro in der Jamf Pro Dokumentation.
Ein Konfigurationsprofil für Computer erstellen. Weitere Informationen finden Sie unter Konfigurationsprofile für Computer in der Jamf Pro Dokumentation.

Ein Skript ausführen.

Example:

Dieses Skript benachrichtigt die Benutzer, dass ihre Geräte nicht konform sind, und leitet sie zu Self Service weiter:

#!/bin/bash

# Define Variables
brandIcon="/Library/Application Support/JAMF/Jamf.app/Contents/Resources/AppIcon.icns"
policyID="X"
#get logged in user
loggedInUser=$( scutil <<< "show State:/Users/ConsoleUser" | awk '/Name :/ && ! /loginwindow/ { print $3 }' )

answer=$( osascript << EOF
button returned of (display dialog "Your computer has fallen out of compliance with our security policies. Please click OK to open Self Service to remediate." buttons {"OK"} default button 1 with icon POSIX file "$brandIcon")
EOF
)

echo "$answer"

if [[ $answer -eq "OK" ]]; then
  su "$loggedInUser" -c "killall Self\ Service"
  su "$loggedInUser" -c "open \"jamfselfservice://content?entity=policy&id=$policyID&action=view\""
fi

Erstellen Sie eine zusätzliche dynamische Computergruppe, die zur Berechnung der Computerkonformität verwendet wird:
1. Wählen Sie auf dem Tab Computergruppe das Markierungsfeld E-Mail-Mitteilung bei Änderung der Mitgliedschaft senden aus, damit Sie benachrichtigt werden, wenn ein Gerät nicht mehr konform ist.
2. Klicken Sie auf Hinzufügen .
3. Klicken Sie auf Erweiterte Kriterien anzeigen.
4. Wählen Sie Integration der Gerätekonformität – Konformitätsstatus aus der Liste der Kriterien und fügen sie alle dynamischen Gruppen hinzu, die Sie in Schritt 1 erstellt haben.
5. Wählen Sie im Pop-up-Menü Operator die Option "ist" aus.
6. Wählen Sie Nicht-konform aus der Liste Wert.
7. Klicken Sie auf Hinzufügen .
8. Wählen Sie Integration der Gerätekonformität – Status des Registrierungsvorgangs aus der Liste der Kriterien und fügen sie alle dynamischen Gruppen hinzu, die Sie in Schritt 1 erstellt haben.
9. Wählen Sie im Pop-up-Menü Operator die Option "ist" aus.
10. Wählen Sie Nicht-konform aus der Liste Wert.
11. Klicken Sie auf Speichern .

Sie werden über alle Veränderungen bezüglich der Konformität per E-Mail informiert und Ihre Benutzer können sofort Maßnahmen ergreifen, um Probleme mit ihren nicht-konformen Computern zu beheben.

Aktualisieren Sie die dynamischen Computergruppen jederzeit, um Konformitätskriterien hinzuzufügen oder zu entfernen.