Jamf Concepts
Przewodniki

Przewodniki

Form to Wipe

Form to Wipe

Form to Wipe (FTW) to bezpieczny, zatwierdzoną bramką przepływ pracy wipe urządzeń, który łączy Slack lub GitHub z Jamf Platform API. Żądający przesyła żądanie wipe, osobny zatwierdzający je przegląda i zatwierdza, przepływ pracy wysyła polecenie MDM erase do docelowego urządzenia. Każdy krok jest rejestrowany.

FTW dostępny jest w dwóch ścieżkach wdrażania. Architektura i model bezpieczeństwa są identyczne w obu — różnią się tylko interfejs i wymagania infrastruktury.

Jak to działa

Żądający przesyła → Zatwierdzający przegląda → Żądający potwierdza → Wysłano polecenie erase → Wyniki zarejestrowane
  1. Żądający przesyła żądanie wipe za pośrednictwem polecenia slash Slack lub GitHub Issue, określając dzierżawcę docelowego, typ urządzenia, identyfikator(y) urządzenia i powód.
  2. Przepływ pracy kieruje żądanie do zatwierdzającego. Zatwierdzający nie może być tą samą osobą co żądający — jest to wymuszane na poziomie platformy w obu ścieżkach.
  3. Zatwierdzający przegląda żądanie i zatwierdza lub odrzuca je.
  4. Jeśli zatwierdzone, żądający otrzymuje ostateczny monit potwierdzenia przed wysłaniem polecenia erase.
  5. Przepływ pracy wywołuje Jamf Platform API, aby wysłać polecenie MDM erase do każdego docelowego urządzenia.
  6. Wyniki są wysyłane z powrotem do żądającego i zapisywane w dzienniku audytu.

Obsługiwane opcje kierowania

FTW obsługuje trzy sposoby określenia, które urządzenia wipe:

  • Jedno urządzenie — jeden identyfikator rekordu Jamf Pro
  • Wiele urządzeń — lista rozdzielona przecinkami identyfikatorów rekordów Jamf Pro
  • Grupa urządzeń — nazwa grupy inteligentnej lub statycznej, rozpoznawana przez identyfikatory członkowskich urządzeń za pośrednictwem Platform API w czasie wykonywania

Obsługiwane typy urządzeń

Typ Platforma Opcje Erase
Computer macOS Opcjonalny Find My PIN
Mobile Device iOS / iPadOS Zachowaj plan danych, wyczyść Activation Lock, przywróć do usługi, wyłącz bliski setup

Obsługa wielu dzierżawców

Obie ścieżki wdrażania obsługują wiele dzierżawców Jamf. Dzierżawcy są skonfiguruje jako pary list nazw wyświetlanych i identyfikatorów UUID. Żądający wybiera dzierżawcę z listy rozwijanej w momencie przesyłania — wybrany dzierżawca jest automatycznie przenoszony przez każdy etap poniżej.

JAMF_TENANT_NAMES = Production, Staging, Lab
JAMF_TENANT_IDS   = aaaaaaaa-..., bbbbbbbb-..., cccccccc-...

Model bezpieczeństwa

FTW zbudowany jest wokół trzech zasad bezpieczeństwa:

Separacja obowiązków. Żądający nie może zatwierdzić swojego własnego żądania. Jest to wymuszane na poziomie platformy — zarówno reguły ochrony gałęzi GitHub, jak i logika routingu modalnego Slack obie uniemożliwiają samo-zatwierdzenie zanim żądanie dotrze do zatwierdzającego.

Ścieżka audytu. Każda akcja — przesłanie, zatwierdzenie, odrzucenie, potwierdzenie, wynik erase, timeout — jest rejestrowana wraz z tożsamością aktora, sygnaturą czasową i dzierżawcą. Ścieżka przepływu pracy GitHub używa scalone Pull Requests jako niezmienne rekordy audytu; ścieżka n8n pisze do kanału audytu Slack.

Izolacja poświadczeń. Poświadczenia Jamf Platform API są przechowywane jako tajemnice środowiska, nigdy w kodzie przepływu pracy ani w treściach żądań. Ścieżka n8n używa tokenu tajnego wspólnego do weryfikacji, że przychodzące żądania Slack są autentyczne przed przetworzeniem.

Wymagania wstępne Jamf Platform API

Obie ścieżki wymagają klienta OAuth2 Jamf Platform API z następującymi uprawnieniami:

Uprawnienie Dlaczego jest potrzebne
Read Computers Wyszukaj nazwę komputera i identyfikator zarządzania według identyfikatora rekordu
Read Mobile Devices Wyszukaj nazwę urządzenia mobilnego i identyfikator zarządzania według identyfikatora rekordu
Read Computer Groups Rozwiąż członkostwo w grupie inteligentnej i statycznej dla kierowania zakresu grupy
Read Mobile Device Groups Rozwiąż członkostwo w grupie urządzeń mobilnych dla kierowania zakresu grupy
Send Computer Remote Erase Command Wydaj polecenie erase dla urządzeń macOS
Send Mobile Device Remote Erase Command Wydaj polecenie erase dla urządzeń iOS/iPadOS

Utwórz klienta API w Jamf Pro pod Settings → API roles and clients → API Clients → New.

Wybór ścieżki wdrażania

n8n GitHub Workflow
Interfejs Slack modal GitHub Issue + PR
UX zatwierdzenia Slack DM PR review
Źródło zatwierdzającego Entra, Okta, lub Slack usergroup Branch protection + CODEOWNERS
Dziennik audytu Kanał Slack Git history (permanent)
Infrastruktura Wymagana instancja n8n Brak (GitHub-hosted runners)
Real-time timeout ✅ Konfigurowalny ❌ Ręczne zamknięcie
Koszt Licencja n8n Bezpłatnie (public) / Actions minutes

Wybierz n8n jeśli Twój zespół już uruchamia n8n, chcesz natywnego doświadczenia modalu Slack lub potrzebujesz routingu zatwierdzenia opartego na Okta lub Slack usergroup.

Wybierz GitHub Workflow jeśli chcesz zerową infrastrukturę, ścieżka audytu jest priorytetem (każdy wipe to scalona PR — stała historia git) i Twój zespół IT jest komfortowy pracując w GitHub.


Gotowy do wdrożenia? Przejdź do przewodnika dla wybranej ścieżki: