介绍:统一的 Apple 体验
Apple 设备采用原生工具、框架和集成进行管理时效果最佳。Jamf for Mac 提供了一个现代化、以结果为导向的平台,用于全面的 macOS 设备管理,相比多平台导向的 UEM(统一端点管理)系统,提供了增强的安全性、可管理性和连接性。如果配置得当,最终用户可以享受到既高效又安全的无缝体验。
本指南为 IT 管理员提供了一个清晰且可行的路线图,说明如何使用 Jamf Cloud 平台来管理和保护 Apple Mac,以实现现代最终用户计算架构中所需的结果。它涵盖了从初始设置到高级安全性、合规性和网络配置的所有内容,突出了 Jamf 的核心工具如何协同工作以创建统一的、Apple 优先的环境。
为什么选择 Jamf for Mac?
为 Apple 而生,将企业级安全性与用户友好的设计和隐私保护相结合
简化 IT 工作流程,同时保护设备。
将管理、身份和安全集成到一个平台。
提升管理员效率和最终用户体验。
完成本指南后,您将了解 Jamf 的各个组件如何协同工作,以及如何以适应您组织规模的方式推出这些组件。
作为此过程的一部分,您应该熟悉以下资源。使用本指南进行规划和战略制定,并使用以下 Jamf 网站获取详细的"操作指南"实施说明:
Jamf Learning Hub (learn.jamf.com):技术文档的中央资源。高级概览是公开的,而分步配置指南需要 Jamf 账户登录。
Jamf Training Catalog (trainingcatalog.jamf.com):自定进度的模块化学习,适合从初级到专家的所有技能水平。
Jamf Certification Training (jamf.com/training/online-training):在线自定进度和远程讲师指导的课程,获取 Jamf 和 Apple 管理与安全认证。
Jamf Trusted Access Hub (trusted.jamf.com):为 Trusted Access 和高级配置提供资源、最佳实践和集成指南。
Jamf Security Portal (security.jamf.com):提供适用于我们公司的多个框架、法规和认证的资源和高级详情。
核心设备管理
Jamf for Mac 在 Jamf 生态系统中提供核心 Apple 设备管理功能。它旨在支持各种规模的组织——从小型企业到具有严格安全需求的大型企业。
Jamf for Mac 的核心是 Jamf Pro,这是管理平面,直接连接到 Apple 的 MDM 框架,并使用 Jamf 的管理工具进行扩展。此基础处理完整的设备生命周期:注册、配置、应用管理、库存、合规性和自助服务。
关键功能:
注册: Zero-Touch Deployment 允许设备在首次启动时自行配置。IT 无需接触计算机,最终用户即可开始使用。
配置: 使用 Blueprints、Smart Groups 和 Configuration Profiles 跨设备应用策略和设置。
OS、应用和补丁管理: 安装和计划 OS 更新、部署应用、自动更新应用,并计划补丁程序以最小化中断。
库存: 维持对整个设备群的硬件、软件和安全态势的详细可见性。库存还用于使用 Jamf 专利的 Smart Groups 将可交付成果定位到设备。
合规性强制: 强制实施安全基准,并在设备偏离标准时接收警报。
Self Service Plus: Jamf 的集中式、可品牌化用户门户,包括:可选软件安装和工作流、更新和用户支持。
注意: 与仅 MDM 不同,Jamf Pro 不仅仅"设置"配置——它在规模上自动化任务,并确保持续强制实施策略。这减少了手动 IT 工作并提高了一致性。
身份和访问管理
当今的安全性不仅仅取决于设备注册。Jamf for Mac 将身份置于 Mac 体验的中心,与 Microsoft Entra ID、Okta 或 Google 等提供商协作。结合 Jamf Connect 或 Platform SSO,管理员可以将身份验证直接绑定到受支持的云身份提供商。
Jamf Connect 允许 IT:
将 macOS 登录与云凭证同步。
自动创建和管理本地账户。
使用组织品牌定制 macOS 登录屏幕。
应用零信任网络访问 (ZTNA) 策略,因此只有受信任用户在符合要求的 Mac 上才能访问应用和数据。
Platform Single Sign-On 允许 IT:
根据 Entra 或 Okta 凭证在设置助手中创建 macOS 登录身份
自动创建和管理本地账户。
将 macOS 登录与云凭证同步。用户在登录期间进行一次身份验证并自动获得访问权限:
- macOS 应用程序,如 Outlook、Slack 和 Microsoft Teams
- 云服务和资源
- 文件共享和网络资源
应用零信任网络访问 (ZTNA) 策略,因此只有受信任用户在符合要求的 Mac 上才能访问应用和数据。
为什么这很重要:
没有身份集成,Mac 通常使用本地账户和密码进行保护,这些账户和密码与企业策略不一致。Jamf 关闭了这个缺口,为管理员提供更紧密的控制,为用户提供更顺畅的登录体验。
关键功能回顾:
密码同步和权限管理。
FileVault 激活和安全钥匙串同步。
灵活的 IdP 支持(Microsoft、Okta、Google 等)。
自定义登录和入职工作流程。
基于用户和设备健康状况的条件访问。
下表总结了关键身份提供商集成,概述了它们的功能和与 Mac 用户体验的相关性:
| 身份提供商 | 关键集成功能 | 对 Mac 用户体验的结果 |
|---|---|---|
| Microsoft Entra ID | 云密码验证、Platform SSO、条件访问、应用注册、应用角色 | 为使用 Microsoft 365/Azure AD 的组织启用无缝登录和密码同步,支持条件访问策略以增强安全性。 |
| Okta | Okta Identity Engine、OpenID Connect、Platform SSO、Classic Engine 配置 | 为 Okta 中心环境提供强大的身份验证和账户管理,简化用户访问。 |
| 自定义身份提供商、隐藏同意提示 | 与 Google Workspace 集成以进行用户身份识别,为 Google 优先的组织简化登录。 | |
| IBM、OneLogin、PingFederate、RapidIdentity | 标准 IdP 集成协议、自定义身份提供商 | 为使用范围广泛的企业身份解决方案的组织提供灵活性,确保广泛的兼容性。 |
端点安全和合规性
Jamf 的安全组件提供了特定于 Apple 的保护,自然地融入 macOS,避免了为 Windows 设计的第三方安全工具的摩擦。
核心功能:
恶意软件防护: 阻止已知威胁并隔离恶意文件。
系统加固: 应用安全控制和合规性基准。
实时监控: 流式传输来自设备的遥测以获得可见性。
EDR(端点检测与响应): 仪表板、分析和自动修复。
网络保护: 阻止网络钓鱼网站、恶意域,并强制实施过滤策略。
Jamf Trust App: 统一客户端,提供这些保护并为用户提供透明度。
注意: 这些工具共同将安全性从被动立场("清理"事后)转变为预防模式——确保设备在访问敏感资源前满足合规性要求。
开始安全配置
初始设置
配置 Jamf Account:确保您的 Jamf Account 已正确设置以访问配置门户和其他安全工具
使用 Jamf Onboarder:使用合规性和安全配置启动您的门户
建立 Compliance Baselines:使用 Compliance Editor(macOS 应用)准备强制实施合规性要求的管理设置
集成和高级配置
查看 Jamf Pro 和 Jamf Security Cloud 集成:通过 Jamf Security Cloud 门户配置高级威胁控制和零信任网络访问 (ZTNA)
配置 Jamf Protect:设置高级设备上安全功能
高级 ZTNA 实现:为增强安全性,查看如何限制匿名设备的访问
可信访问框架
Jamf for Mac 的优势在于这些组件设备管理、身份和安全如何协同工作。这被正式确定为 Jamf Trusted Access,确保:
设备是受管且符合要求的。
用户通过安全登录进行验证。
对应用的访问以两个因素为条件。
实际工作方式:
注册:Mac 通过 Jamf Pro 自动注册和配置。
身份集成:Jamf Connect 将设备登录与用户的云身份相关联。
安全基线:Jamf Protect 和 Trust App 建立威胁防护和合规性监控。
访问控制:ZTNA 策略允许用户仅在 Mac 保持符合要求时访问企业应用和数据。
此工作流将 Jamf 从管理工具转变为组织的战略安全框架。
下表简明扼要地概述了 Jamf 的核心产品如何集成以提供全面的工作流程:
| 工作流场景 | 特定指南 | 关键步骤和优势 |
|---|---|---|
| 安全 Mac 入职 | 通过 Zero-Touch Deployment 注册机构拥有的计算机 | 步骤:Zero-Touch Deployment(核心 MDM)、IdP 集成和密码同步(身份/访问)、端点保护和网络过滤(通过 Jamf Trust App 实现安全)。优势:自动化、安全且用户友好的设备配置,具有即时身份和安全控制。 |
| 自动化 | 创建 Jamf 推荐的 Smart Groups | Jamf Onboarder 将使用您的工作流程示例以及如何使用 Smart Groups 的示例启动您的 Jamf Pro 门户 |
| 持续合规性和威胁响应 | 监控和强制实施您的组织的 macOS 合规性基线要求、使用 Jamf Protect Analytics for macOS 监控恶意活动、使用 macOS 网络保护防止基于网络的威胁、使用端点威胁防护防止和报告 macOS 恶意软件、使用 Jamf Protect 设备控制限制可移动存储控制使用 | 步骤:合规性监控(核心 MDM)、实时威胁检测和防护(安全)、自动安全策略(安全)、事件响应(通过 Aftermath 实现安全)。优势:主动安全态势、自动合规性强制实施、快速识别和修复威胁 |
| 安全远程访问 | 通过零信任网络访问授予受信任设备对应用和资源的访问权限、限制匿名设备对应用和资源的访问、建立基于风险的访问控制以拒绝不安全设备上的资源访问 | 步骤:设备管理和合规性(核心 MDM)、ZTNA 和身份验证(身份/访问)、端点安全态势(安全)。优势:确保只有经过验证的用户在符合要求的设备上可以安全地访问企业资源,无论位置如何。 |
规划和部署
Jamf for Mac 的推出最好分阶段进行:
第 1 阶段 - 基础
使用 Jamf Account 为受支持的门户设置单点登录 (SSO)。有关更多信息,请参阅 Jamf Account 文档
设置 Jamf Pro 并将其连接到 Apple 的管理服务:Apple Push Certificates Portal、Apple Business Manager。有关说明,请参阅 Jamf Pro Getting Started Guide
激活 Jamf Security Cloud 并与 Jamf Pro 关联。有关说明,请参阅 为 Jamf Pro 配置 UEM Connect
激活 Jamf Protect (macOS) 并通过 Jamf Apps 与 Jamf Pro 关联。有关说明,请参阅 Jamf Protect 与 Jamf Pro 集成
与您的身份提供商 (IdP) 集成。有关说明,请参阅 链接身份提供商
第 2 阶段 - 工具和应用程序配置
下载并安装合规性工具和实用程序:
- Jamf Compliance Editor - 简化 macOS Security Compliance Project (mSCP) 的实现
- Aftermath - 基于 Swift 的开源事件响应框架。
Jamf Connect 配置:
- 在您的 IdP 中为 Jamf Connect 创建初始应用集成
- 从 Jamf Account 下载 Jamf Connect DMG
- 使用上传到 Jamf Pro 的许可证配置 Jamf Connect
第 3 阶段 - 注册策略
对新设备使用 Zero-Touch Deployment
根据需要定制注册,但优先考虑自动化以获得规模和一致性
可选择使用 Jamf Setup Manager
最佳实践:
在全面扩展设备群之前,使用一小组 Mac 进行试点
在可能的地方使用自动化以减少 IT 开销
在推出期间与最终用户清楚沟通(入职更改直接影响他们)
持续管理和支持
维持成功的 Jamf 环境不是"一劳永逸"的事情,而是一个不断演变的生态系统,应该随着管理员的技能、在 Jamf 中注册的设备数量以及任何新引入的 Apple 技术而增长。
管理员应该随着时间的推移重新审视工作流程和可交付成果,以确保它们与最佳实践、最新 Apple OS 版本的兼容性和新引入的 Jamf 功能保持同步。
策略审查:定期重新审视策略、Blueprint、合规性基准和应用安装程序配置,并调整到最佳实践
扩展:随着设备群的增长,在 Jamf Pro 和网络基础设施中规划容量。
培训:利用 Jamf Learning Hub 获取管理员课程 (Jamf 100/200/300)。请注意,详细的分步指南通常需要 Jamf ID 登录。
支持:使用 trusted.jamf.com 和 Jamf 的客户成功资源进行高级故障排除。
注意:管理员在创建工作流程时应从结果角度思考,而不是产品。例如,"安全入职"结合了注册、身份集成和安全基线。
这种思维方式使规划变得更容易,并确保您充分利用 Jamf 平台的价值。
结论和建议
关键要点:
从强大的 Jamf 设备管理基础开始
尽早集成身份以获得更顺畅的用户体验
在整个设备群中部署安全,而不是选择性地部署
创建工作流程时,考虑结果 - 入职、合规性、威胁响应 - 而不是孤立的工具
使用 Jamf 的官方资源获取分步实施说明
预期结果:
增强的安全性 - 持续监控、防护和合规性。
运营效率 - 通过自动化减少 IT 工作量。
改进的用户体验 - 无缝、Apple 原生的工作流程。
可扩展的管理 - 支持小型推出和企业设备群。
通过遵循这种方法,组织创建了一个受信任的 Apple 环境,平衡了安全性、合规性和可用性——帮助员工保持高效的同时,IT 保持控制。