建立PreStage註冊以將自動裝置註冊經驗部署到電腦

商務版Jamf Trusted Access解決方案指南
Solution
Application
Content Type
技術說明文件
解決方案指南
Utilities & Services
ft:locale
zh-TW

Jamf Pro建立PreStage註冊,作為使用自動裝置註冊來部署自訂和安全配置的範本,確保流暢部署和Trusted Access經驗。此程序可自動將macOS設定輔助程式的預先配置自訂和調整直接套用到電腦,減少準備新電腦使用所需的時間和互動。透過使用PreStage註冊,您可以確保從電腦啟用當下就統一套用這些關鍵設定。此方法簡化了使用者設定程序、增強了安全合規,並從一開始就維護組織IT基礎架構的完整性。

需求條件

在使用「PreStage 註冊」之前,您必須先執行下列操作:

  1. Jamf Pro中,於側邊欄中按一下電腦
  2. 按一下側邊欄中的PreStage註冊
  3. PreStage Enrollments(PreStage註冊)頁面上,按一下新增以建立新的PreStage註冊。
  4. 按一下儲存
  5. 自動裝置註冊期間執行下列操作以配置遠端管理和安全性設定:
    1. 選取 需要認證 核取方塊來要求使用者輸入使用者名稱或密碼,以註冊和設定電腦。

      在註冊期間進行 LDAP 驗證,還會在裝置的庫存資訊中自動填入使用者和位置資訊。

      注意:如果您新增註冊自訂配置,並且指派給PreStage註冊的電腦能夠執行macOS 10.15之前的版本,則Jamf建議將需要認證設定選為故障保險模式,以確保這些電腦不會不經意就在未經認證的情況下註冊。對於搭載macOS 10.15或更新版本的電腦,註冊自訂設定將清楚覆寫此設定。
    2. 選取 將 MDM 描述檔設為強制 核取方塊。
    3. (僅限 macOS 10.15 或更新版本) 選取 阻止使用者啟用「啟用鎖定」 核取方塊。

      這可確保使用者無法啟用「啟用鎖定」,即使使用者已使用其iCloud帳戶啟用「尋找」也是如此。如需更多資訊,請參閱Jamf Pro中使用Apple的啟用鎖定功能文章。

    4. (僅限搭載 macOS 11.5 或更新版本的 Apple Silicon) 選取 設定復原鎖定密碼 核取方塊,然後從 設定密碼方法 快顯功能表中選擇選項。
      這可確保使用者在沒有密碼的情況下無法存取電腦上的 recoveryOS。recoveryOS 密碼方法包括以下內容:
      • "手動輸入密碼 (適用於所有電腦)"輸入適用於 PreStage 註冊範圍內所有電腦的 recoveryOS 密碼。
      • (建議)"為每一部電腦自動產生隨機密碼"為 PreStage 註冊範圍內的每台電腦產生唯一密碼。此密碼儲存在每台電腦之 Jamf Pro 的庫存資訊中。如果您還選取 輪換復原鎖定密碼,則每次在 Jamf Pro 中檢視它時都會變更密碼。
  6. General(一般)面板中,於自動裝置註冊期間執行以下操作以跳過設定輔助程式:
    1. 移至「設定輔助程式選項」設定,然後選取要在註冊期間跳過的畫面。
    2. 選取 自動進行安裝程式助手 (macOS 11 或更新版本) 核取方塊以跳過所有設定輔助程式畫面。此選項允許您為使用者選擇電腦的初始語言和位置。
  7. 若要在自動裝置註冊期間發佈設定描述檔,請在Configuration Profiles(設定描述檔)面板中選取一或多個設定描述檔(例如,Jamf Connect設定描述檔)。
    重要事項:

    透過PreStage註冊發佈時,內含承載資料變數的設定描述檔不會被其各自的值取代。Jamf建議在使用Jamf Pro註冊電腦後發佈帶有變數的描述檔。

  8. 若要在自動裝置註冊期間發佈並安裝支援註冊程序的套件,請按一下Enrollment Packages(註冊套件)面板中另一個PKG旁的Add(新增)(例如,Jamf Connect套件)。
  9. 若要在自動裝置註冊期間新增現有的註冊自訂配置,請從General(一般)面板的註冊自訂配置快顯功能表中選擇配置。
  10. (任選) Account Settings(帳戶設定)面板中,於自動裝置註冊期間執行下列操作以建立管理式本機管理員帳戶:
    1. 選取 在設定輔助程式執行之前建立管理式本機管理員帳戶 核取方塊。
    2. 填寫 使用者名稱密碼 欄位,然後驗證密碼。
    3. 選取 從使用者和群組中隱藏管理式管理員
      這可以防止使用者在系統設定(macOS 13或更新版本)系統偏好設定(macOS 12或更早版本)中查看管理式管理者帳戶或與其互動。
    4. 確認未勾選啟用本機管理者帳戶的 MDM 功能核取方塊。
      這能讓受管理管理員帳戶啟用 MDM。
      警告:

      讓受管理管理員啟用 MDM,可防止後續的本機使用者帳戶啟用 MDM。如果主要本機帳戶未啟用MDM,則無法為使用者安裝使用者級設定描述檔。如需更多相關資訊,請參閱啟用MDM的本機使用者帳戶

  11. 針對本機帳戶類型選取跳過帳戶建立
    選取這一項,使用者將不會建立本機使用者帳戶,因為在自動裝置註冊期間Jamf Connect是配置為建立主要使用者本機帳戶。
  12. 配置Purchasing(購買)Attachments(附件)Certificates(憑證)PreStage註冊承載資料,將配置的資訊新增至自動裝置註冊期間範圍內每個裝置的資產資訊。
  13. 按一下 範圍 索引標籤。
  14. 執行下列其中一項操作:

    • 使用 PreStage 註冊中的設定,選取要透過 自動裝置註冊 註冊的每台裝置。

    • 按一下 全部選取,將與 自動裝置註冊 物件實體關聯的所有裝置新增到 PreStage 註冊,而不管使用 篩選結果 篩選的結果為何。

  15. 按一下儲存

當您儲存PreStage註冊時,設定會與Apple同步。Jamf Pro每兩分鐘會與Apple自動同步,並在PreStage註冊中顯示裝置資訊更新。如果您連續編輯和儲存 PreStage 註冊,可能會發生同步延遲。