在自動裝置註冊期間佈建本機帳戶

Jamf Pro 說明文件 11.21.0
Solution
Application
Content Type
技術說明文件
Utilities & Services
version
11.21.0
ft:locale
zh-TW
vrm_version
11.21.0

您可以建立管理式本機管理員帳戶,也稱為「受管理管理員」,並在 自動裝置註冊 期間為主要使用者配置本機帳戶資訊。

在搭載 macOS 10.15 或更新版本的電腦上,您還可以配置以下內容:

  • 預先填入主要使用者的本機帳戶全名和帳戶名稱。如果您的環境包括 LDAP 或雲端 IdP 伺服器,您可以輸入使用者變數。您還可以防止註冊使用者在註冊期間編輯此資訊。

  • 如果Bootstrap Token由Jamf Pro託管,則受管理管理員可接收安全代號。
Requirements

若要讓使用者變數在填入 LDAP 或雲端身分識別提供者 (IdP) 屬性值,您需在 Jamf Pro 中配置 LDAP 或雲端 IdP 伺服器。如需更多資訊,請參閱 LDAP 目錄服務整合雲端身分識別提供者

  1. PreStage註冊 頁面中,執行下列一項:

    • 按一下 新增 以建立新的 PreStage 註冊。

    • 選取現有的PreStage註冊並按一下 編輯

  2. (Optional) 帳戶設定面板中,執行以下操作以建立本機管理員帳戶(管理式管理員):
    Note:

    如果帳戶需要使用FileVault或在採用Apple晶片的電腦上授權軟體更新,則Jamf不建議使用MDM LAPS進行密碼輪換。從已使用安全代號以加密方式啟用的PreStage註冊輪換管理式本機管理員帳戶密碼時,將導致登入密碼發生變更。但是,新密碼無法用於加密使用者認證用途。

    1. 選取 在設定輔助程式執行之前建立管理式本機管理員帳戶 核取方塊。
    2. 填寫 使用者名稱密碼 欄位,然後驗證密碼。
      Warning:

      請勿在「使用者啟動註冊」設定中建立的管理式本機管理員帳戶和「PreStage註冊」中建立的管理式本機管理員帳戶中使用相同的使用者名稱。如果兩者使用相同的使用者名稱,則在自動裝置註冊期間可能無法正確建立這些帳戶,並且可能會出現意外錯誤。此外,本機管理者密碼解決方案(LAPS)的密碼將無法在Jamf Pro API中擷取。

    3. 選取 從使用者和群組中隱藏管理式管理員
      這可以防止使用者在系統設定(macOS 13或更新版本)系統偏好設定(macOS 12或更早版本)中查看管理式管理者帳戶或與其互動。
    4. 選取 啟用本機管理者帳戶的 MDM 功能 核取方塊。
      這能讓受管理管理員帳戶啟用 MDM。
      Warning:

      讓受管理管理員啟用 MDM,可防止後續的本機使用者帳戶啟用 MDM。如果主要本機帳戶未啟用MDM,則無法為使用者安裝使用者級設定描述檔。如需更多資訊,請參閱啟用 MDM 的本機使用者帳戶

  3. 選擇下列一項來配置主要使用者的本機帳戶類型:
    • 管理者帳戶

      將主要使用者建立為本機管理員

    • 標準帳戶

      建立標準使用者帳戶

    • 跳過帳戶建立
      在註冊期間跳過帳戶建立。在以下情況下選取此選項:

      • 配置另一種解決方案 (例如 Jamf Connect),以在 自動裝置註冊 期間建立主要使用者本機帳戶。

      • 您只想在註冊期間建立受管理管理員。

  4. 選取預先填寫主要帳戶資訊核取方塊,然後選擇下列其中一個選項:
    • 自訂詳細資訊
      此選項可讓您輸入電腦的帳戶全名和帳戶名稱。此資訊會套用至透過 PreStage 註冊的所有電腦。如果 LDAP 或雲端 IdP 整合了您的 Jamf Pro 環境,您可以使用變數從 LDAP 或 IdP 動態填入使用者資訊。支援以下變數:

      • $USERNAME

      • $FULLNAME

      • $REALNAME

      • $EMAIL

      • $PHONE

      • $POSITION

      • $ROOM

      • $EXTENSIONATTRIBUTE_#

      Note:

      • 若為變數傳回空白值,則忽略 鎖定主要帳戶資訊 設定以允許使用者輸入缺少的使用者帳戶資訊。

      • 只能將使用者延伸功能屬性作為變數。不支援電腦和行動裝置延伸功能屬性。

    • 裝置擁有者詳細資訊

      此選項會在註冊時,根據電腦的庫存資訊中的「使用者名稱」和「全名」值設定帳戶全名和帳戶名稱。如果註冊期間要求驗證,系統會使用從 Jamf Pro 到 LDAP 或您的雲端身分識別提供者 (IdP) 查詢,建立使用者資訊與裝置的關聯。

      Note:

      如果PreStage註冊包含具有單一登入認證PreStage 面板的註冊自訂配置,且LDAP目錄或雲端IdP查詢無法使用,則 Jamf Pro 只會接收帳戶名稱,且在帳戶建立期間無法取得全名。您的身分識別提供者提供的使用者名稱資訊是由身分識別提供者的SAML應用程式內定義的NameID屬性填入。請洽詢您的 IdP,瞭解自訂此值的選擇。

  5. 選取 鎖定主要帳戶資訊 核取方塊可防止使用者在設定輔助程式期間變更預先填入的帳戶名稱和帳戶全名。
  6. 按一下儲存