KI-Governance für Mac: KI unter Kontrolle bringen
Die KI-Governance-Funktion von Jamf ist ab sofort verfügbar. Wir zeigen Ihnen, wie Sie KI in Ihrer Mac-Flotte unter Kontrolle bringen können.
Irgendwo in Ihrem Unternehmen nutzt ein Ingenieur gerade Claude Code. Ein paar Schreibtische weiter arbeitet jemand aus der Finanzabteilung gerade an einem Entwurf in Claude Desktop. Die Entscheidung für den Einsatz von KI ist in der Praxis bereits gefallen – durch die Unternehmen und durch die Menschen, die damit still und leise immer öfter arbeiten.
Selbst wenn Ihr Unternehmen auf eine einzelne Plattform wie Microsoft Copilot umgestellt hat, nutzen Ihre Entwickler wahrscheinlich trotzdem noch andere Tools, ohne dass Sie davon wissen.
Die meisten Sicherheitsverantwortlichen, mit denen wir sprechen, möchten der Einführung von KI zustimmen. Und „Nein“ zu sagen bringt nicht immer das erwartete Ergebnis: Es sorgt selten dafür, dass ein Tool verschwindet. Das Programm läuft auf dem Laptop einer Person, ohne dass dafür eine Richtlinie vorliegt. Die Frage lautete also nie „Ja“ oder „Nein“. Es geht eher um „reguliert“ oder „unreguliert“.
Genau diese Lücke schließt die KI-Governance-Funktion von Jamf. KI ist keine Bedrohung, die man am Prompt erkennt. Es ist eine Software zur Verwaltung. Und auf dem Mac ist diese Software weitaus anpassbarer und weitaus weniger kontrolliert, als den meisten Teams bewusst ist.
KI ist verwaltete Software und die Kontrollmechanismen sind erst seit kurzer Zeit verfügbar.
Bis vor Kurzem waren diese Tools nur für Einzelpersonen gedacht. Die Kontrollen in Unternehmen sind neu. Erst seit Kurzem bieten Anbieter Enterprise-Funktionen für KI-Umgebungen wie Claude Code, Claude Desktop oder OpenAI Codex: Modellwahl, Dateizugriff, MCP-Server und die Nutzung von Tools. Der Sinn dieser Einstellungen besteht darin, dass eine Organisation festlegen kann, was ein KI-Agent tun darf und was nicht, noch bevor jemand einen Prompt eingibt. Und sie entwickeln sich so schnell weiter wie KI selbst.
Die meisten Teams sind noch dabei, herauszufinden, wie man sie einsetzt. Die Einstellungen sind über verschiedene Konfigurationsdateien in unterschiedlichen Formaten verteilt, und pro Tool kann es Dutzende oder Hunderte davon geben, deren Anzahl sich mit jeder neuen Version ändert. Also gehen Administratoren den umständlichen Weg: Sie lesen die Dokumentation, probieren Dinge aus und hoffen, dass das Ergebnis ihren Vorstellungen entspricht.
Unterdessen können die Sicherheitsteams nicht zuverlässig überprüfen, was bei der Bereitstellung tatsächlich eingesetzt wird, und der CISO wird gebeten, Tools zu genehmigen, für die es kaum Dokumentation gibt. Wenn der Vorstand oder ein Wirtschaftsprüfer danach fragt, lautet die ehrliche Antwort heutzutage oft: „Wir glauben, dass wir abgesichert sind.“
Das ist kein KI-Problem. Das ist ein Verwaltungsproblem – genau die Art von Problem, die Jamf seit zwei Jahrzehnten für jede andere Software auf dem Mac gelöst hat. Die Tools sind regulierbar. Die Aufgabe ist jetzt, sie leicht kontrollierbar zu machen.
Schneller „Ja“ sagen
Der zeitaufwändigste Teil bei der Einführung von KI ist oft der Genehmigungsprozess. Sicherheitsteams verlangen Nachweise, bevor eine Lösung bereitgestellt wird, und das manuelle Zusammenstellen dieser Nachweise – über Dutzende oder Hunderte von Einstellungen pro Tool und für jedes Team, das diese Tools einsetzt – verzögert die Einführung um Monate.
Die KI-Governance von Jamf wurde entwickelt, um diesen Prozess zu verkürzen. Ein herstellerunabhängiger Richtlinien-Editor wandelt die Einstellungsmöglichkeiten der einzelnen Tools in leicht verständliche Optionen um, die Ihr KI-, Sicherheits-, Entwicklungs- oder Endpunkt-Team festlegen kann, ohne sich mit Schemata auseinandersetzen zu müssen. Dank vorausschauender Standardeinstellungen kann ein Team mit einer geprüften Voreinstellung anstatt ganz vorne zu beginnen, sodass eine vertretbare Sicherheitslage gegeben ist, ohne dass zuvor Hunderte von Einzelentscheidungen getroffen werden müssen. Dann brauchen die Teams die Lösung nur noch an ihre Umgebung anpassen, den Umfang pro Gruppe festlegen und zum Schluss die Lösung freigeben.
Diese Einstellungen ändern sich ständig, daher behält Jamf sie für Sie im Auge. Wenn ein Anbieter eine Einstellung hinzufügt, ändert oder entfernt, zeigt Jamf diese im Editor an und erklärt, welche Funktion sie hat. So kann Ihr Team selbst entscheiden, wie es damit umgehen möchte, anstatt erst davon zu erfahren, wenn etwas nicht mehr funktioniert, und ohne in einem halben Dutzend Tools nach Release-Notes suchen zu müssen. Das Ergebnis ist ein schnellerer und übersichtlicherer Prozess von „Wir prüfen das gerade“ bis hin zu „Das ist genehmigt und eingerichtet“.
Sie müssen wissen, was Ihre Flotte tatsächlich umfasst
All dies setzt voraus, dass man überhaupt weiß, dass das Tool läuft, was jedoch oft nicht der Fall ist. KI-Tools tauchen nicht immer in App-Verzeichnissen oder DNS-Protokollen auf, so wie es bei SaaS der Fall ist. Claude Code läuft als CLI-Prozess; MCP-Server laufen als Hintergrund-Daemons. Ein Netzwerktool wie ein CASB kann die KI-Verbindungen erkennen, nicht jedoch, was der Agent auf dem lokalen Gerät tut. Ein EDR erkennt zwar, dass der Prozess läuft, kann jedoch nicht feststellen, um welches Modell es sich handelt, welchen Dateisystembereich er abdeckt oder welche MCP-Server er erreichen kann. Was man nicht sieht, kann man nicht kontrollieren – daher steht die Transparenz bei Endgeräten an erster Stelle.
Zusammen mit dem Richtlinien-Editor werden zwei Bestandsansichten bereitgestellt. Das KI-App-Inventar listet alle KI-Apps, CLI-Schnittstellen und Tool-Aufrufe in der gesamten Infrastruktur auf, einschließlich solcher mit erhöhtem Risiko wie SSH, osascript und der Zugriff über Anmeldedaten. Das MCP-Serververzeichnis zeigt an, welche MCP-Server laufen, welche Dienste sie bereitstellen und welche KI-Clients mit ihnen verbunden sind. Beide basieren auf der nativen Endpunkttelemetrie von Jamf, werden direkt in die Plattform eingespeist und fließen in die Berichterstellung ein.
Wird über das bereits genutzte Programm bereitgestellt
Die im Editor veröffentlichten Richtlinien werden Ihren Administratoren als Jamf Blueprints über die vertraute Geräteverwaltungsebene bereitgestellt.
Durch den Bereitstellungsmechanismus wird dieses Tool zu mehr als nur einem Konfigurationsgenerator. Die Richtliniendatei landet auf OS-Ebene, wo Endbenutzer, Entwickler und lokale Prozesse sie weder bearbeiten, entfernen noch ersetzen können. Was die in einer Richtlinie festgelegten Schlüssel betrifft, so behandeln die unterstützten Tools verwaltete Einstellungen als die Ebene mit der höchsten Priorität. Nicht jede Einstellung verhält sich gleich: Einige werden strikt durchgesetzt, während andere zentral verwaltete Standardeinstellungen sind. Der Editor liefert den Kontext, sodass Sie immer wissen, was Sie bereitstellen und was Sie davon erwarten können.
Belege, die der Vorstand akzeptiert
Wenn die Unternehmensleitung fragt, ob die KI unter Kontrolle ist, reicht ein „Ich glaube schon“ als Antwort meist nicht aus. Der Governance-Bericht ist ein auf Abruf verfügbares PDF-Dokument, in dem alle aktiven Richtlinien für die gesamte Flotte aufgeführt sind, einschließlich der regulierten Tools und der bestehenden Kontrollmechanismen.
Diese Struktur ist bewusst gewählt. Vorstände und Wirtschaftsprüfer verlangen klare Aufzeichnungen und eindeutige Belege. Der Bericht ist genau darauf ausgelegt, was die Debatte über KI-Governance von einer Vertrauensfrage zu einer Frage der Dokumentation macht.
Was eine Mac-native Verwaltung ermöglicht
Die Einführung von KI in Unternehmen auf dem Mac schreitet zügig voran. Führende Ingenieure nutzen Claude Code, Codex, Cursor und Copilot in ihren Entwicklerteams. Im gesamten Unternehmen setzen Wissensarbeiter zunehmend auf Claude Desktop und Microsoft 365 Copilot. Diese Tools laufen nativ auf Apple Silicon als CLI-Prozesse, Hintergrund-Daemons und Desktop-Apps, und ihre Konfiguration hat weitaus größeren Einfluss auf ihre Funktionsfähigkeit als die Tatsache, ob sie installiert sind oder nicht.
Genau hier kommt die Bedeutung von Mac-nativen Tools zum Tragen. Ein tiefes Verständnis der Endpoint Security API, Sichtbarkeit in Apps und Prozesse sowie Verwaltung auf OS-Ebene sind entscheidend für erfolgreiche KI-Governance. Jamf betrachtet KI als das, was sie ist: verwaltete Software mit einer konkreten Konfigurationsoberfläche, die über denselben First-Party-Workflow gesteuert wird, den die IT-Abteilung bereits nutzt.
Und falls Sie ein nicht genehmigtes Tool blockieren möchten, während Sie die Entscheidung treffen, übernimmt Jamf dies bereits an anderer Stelle. KI-Governance kümmert sich um den Teil, der nach dem „Ja“ kommt: die Ausführung genehmigter Tools innerhalb der von Ihnen festgelegten Grenzen.
KI-Governance ist jetzt verfügbar
Die KI-Governance von Jamf ist ab sofort als Bestandteil von Jamf for Mac, Jamf for Mac Hi-Ed, im Business Plan und im Enterprise Plan verfügbar und umfasst zunächst Unterstützung für die Tools, die von Teams am häufigsten eingesetzt werden: Claude Code und Claude Cowork sowie OpenAI Codex auf AWS Bedrock. Im Zuge der Optimierung der Unternehmenskontrollen werden weitere Tools folgen, darunter Cursor und GitHub Copilot für Teams, die auf Microsoft-Lösungen standardisiert sind. Und da Jamf Änderungen bei den Anbietern bereits für Sie nachverfolgt, müssen Sie nicht auf das nächste große Release warten, um diese hinzuzufügen.
Für jedes Unternehmen, dessen Teams diese Tools bereits auf Macs einsetzen, ist dies der schnellste Weg zu einer Governance-Struktur, hinter der Sie voll und ganz stehen können – basierend auf demselben Workflow, den Sie auch für die Verwaltung aller anderen Geräte in Ihrem Bestand nutzen.
KI-Governance von Anfang an
Dies ist ein Szenario, das sich bei wachsenden Mac-Flotten täglich abspielt. Ein neuer Mitarbeiter verstärkt das Team. Sein Mac wird direkt an ihn geliefert – Zero-Touch. Sobald er den Deckel öffnet, ist Jamf im Einsatz. Der Setup-Manager führt ihn durch das Onboarding, und die Setup-Checkliste hilft ihm dabei, bei jedem Schritt den Überblick zu behalten. Das Gerät wird automatisch registriert, konfiguriert und dem entsprechenden Entwurf für seine Rolle zugeordnet. Die für seine Rolle zugelassenen KI-Tools stehen ihm vom ersten Tag an zur Verfügung. Diejenigen, die nicht zugelassen sind, werden blockiert. Das Netzwerk-Relay stellt sicher, dass der KI-Datenverkehr von Anfang an korrekt und sicher weitergeleitet wird, wodurch das Risiko von Schatten-KI verringert wird, noch bevor der Mitarbeiter sein erstes Ticket aufgemacht hat.
Der neue Mitarbeiter kann seinen Arbeitsplatz schneller nutzen. Die IT muss nicht unbedingt im selben Raum sein. Genau so sieht es aus, wenn Governance Teil der Plattform ist – und nicht erst nachträglich angefügt wird.
Vorbereitung Ihrer Umgebung
Am besten nutzen Sie die Zeit, bis der Zugang freigeschaltet ist, dazu, die drei wichtigsten Voraussetzungen zu schaffen. Hier erfahren Sie, worum es bei den einzelnen Punkten geht und warum sie wichtig sind.
1. SSO für den Jamf Account aktivieren
Die OIDC-Authentifizierung muss in Jamf Pro aktiviert sein, um Ihre Umgebung über Single Sign-On mit Ihrem Jamf Account zu verbinden. Das verknüpft Ihre Identitätsebene mit den KI-Governance-Vorgaben, sodass die richtigen Personen die KI-Aktivitäten in Ihrer gesamten Flotte einsehen und steuern können, wobei der Zugriff zentral über Ihren bestehenden Identitätsdienst verwaltet wird.
Falls Sie dies noch nicht eingerichtet haben, macht es definitiv Sinn, dies jetzt zu tun. Dies sorgt für eine übersichtlichere Administration, nicht nur im Bereich der KI-Governance.
Siehe SSO with OIDC through JamfAccount in der Jamf Account-Dokumentation für den Einstieg.
2. Blueprints auf Basis der deklarativen Geräteverwaltung konfigurieren
KI-Governance nutzt Blueprints, das auf Apples „Declarative Device Management“ (DDM) basierende Konfigurations-Framework von Jamf, um Richtlinien in Ihrer gesamten Mac-Flotte durchzusetzen. Für die Aktivierung benötigen Sie die Berechtigungen für Blueprints (Erstellen, Lesen, Aktualisieren, Löschen unter „Jamf Pro-Serverobjekte“) in Jamf Pro.
Falls Sie noch nicht mit den Blueprints gearbeitet haben, ist jetzt der ideale Zeitpunkt, sich damit vertraut zu machen. DDM ist nun der Standard für die Verwaltung von Apple-Geräten, wie auf der WWDC 2026 bestätigt wurde, wo der Apple-Ingenieur Cyrus Daboo es klar auf den Punkt brachte: „Der Standard für die Geräteverwaltung ist die deklarative Verwaltung.“ Die Geräte melden sich proaktiv beim Server, anstatt darauf zu warten, abgefragt zu werden. Dies ermöglicht eine schnellere und zuverlässigere Durchsetzung von Richtlinien in großem Maßstab. Richtlinien für die KI-Governance werden auf dieselbe Weise umgesetzt – einheitlich, effizient und ohne manuellen Eingriff.
3. Agent von Jamf Protect bereitstellen
Der Agent von Jamf Protect sorgt für die Transparenz der Mac-Endgeräte, die KI-Governance zur Erkennung und Meldung von KI-Aktivitäten benötigt. Wenn ihre Bereitstellung nicht flottenweit erfolgt, hat die KI-Governance keine Daten, auf deren Grundlage sie arbeiten kann.
Sie können so viele Funktionen von Jamf Protect nutzen, wie Sie benötigen:
Reine Transparenz über KI: Sie können Jamf Protect ausschließlich dafür nutzen, um KI-Daten in die KI-Governance einzuspeisen. Wenn Sie bereits ein Tool für die Endpunktsicherheit eines Drittanbieters einsetzen und dieses als Ihre primäre Sicherheitslösung beibehalten möchten, können Sie auf diese Weise eine Mac-native KI-Erkennung hinzufügen, ohne Ihre bestehenden Systeme zu beeinträchtigen. Jamf Protect wurde speziell für Mac entwickelt und ist so konzipiert, dass es parallel zu anderen Sicherheitslösungen für Endpunkte eingesetzt werden kann.
Teilweise oder vollständige Nutzung: Wenn Sie noch einen Schritt weiter gehen möchten, bietet Jamf Protect neben der KI-basierten Aktivitätserkennung auch Telemetriedaten, Verhaltensanalysen und Gerätesteuerungsfunktionen. Verwenden Sie einfach, was Sie brauchen – egal, ob es sich um eine oder zwei zusätzliche Funktionen oder um das komplette Paket handelt. Die meisten plattformübergreifenden Sicherheitstools bieten für Apple-Geräte keine derart umfassende Abdeckung, sodass Sie genau diese Lücken in Ihrer Infrastruktur schließen können.
Jamf Protect als Systemerweiterung
Jamf Protect wird standardmäßig als Systemerweiterung für macOS ausgeführt und verbessert so die Leistung, Stabilität und Sicherheit. Es wird durch Apples System Integrity Protection (SIP) geschützt, wodurch es auf verwalteten Computern nicht manipuliert werden kann.
Es war nie das Ziel, KI aus dem Unternehmen fernzuhalten. Denn sie ist schon da. Es geht darum, diese bewusst zu steuern und über Belege zu verfügen, die dies belegen.
Möchten Sie die KI-Governance nutzen?
Sind Sie bereits Kunde von Jamf?
Noch nicht bei Jamf?