Die Reise von Jamf Now zu Jamf Pro

Jamf Now ist unsere Lösung für die Verwaltung mobiler Geräte (MDM), die auf die Bedürfnisse kleiner und mittlerer Unternehmen zugeschnitten ist und benutzerfreundliche Verwaltungsfunktionen bietet, die nicht die Dienste eines speziellen IT-Teams erfordern. Einige Unternehmen werden vielleicht feststellen, dass sie bei der Vergrößerung ihres Personalbestands und ihrer Geräteflotte besser mit den detaillierteren und flexibleren Funktionen von Jamf Pro bedient sind. Um den Migrationsprozess zu vereinfachen, unterstützt unser Professional Services Team Unternehmen, die ein Upgrade durchführen möchten, mit Workflows und Best Practices.

Andrew Needham ist ein Ingenieur in diesem Team, und in dieser JNUC 2022-Präsentation führt er die Zuschauer*innen durch die Einzelheiten der Migration von Computern und mobilen Geräten von Jamf Now zu Jamf Pro. Es gibt viele Unterschiede zwischen den MDM-Lösungen zur Verwaltung von Apple Geräten, aber der Prozess muss keine große Herausforderung sein, wenn Sie wissen, was Sie tun. Needham betont, dass man sich mit Jamf Pro vertraut machen sollte, bevor man es in der Produktion einsetzt, und dass man nicht davon ausgehen sollte, dass dies bedeutet, dass man zu Jamf Pro migrieren sollte ; jede Organisation wird eine Lösung haben, die ihr am besten dient, manchmal für unbestimmte Zeit.

Was sind die Unterschiede zwischen Jamf Now und Jamf Pro?

Der wichtigste Unterschied bei der Migration von Jamf Now zu Jamf Pro ist der zwischen Blueprints und scoping. Das Gerätemanagement in Jamf Now ist nach Blueprints organisiert; ein Blueprint besteht aus einer Sammlung von Apps, Einstellungen und Einschränkungen. Sobald Sie den Blueprint nach den gewünschten Spezifikationen konfiguriert haben, können Sie ihm entweder bei der Registrierung oder über die Jamf Now-Weboberfläche Geräte zuweisen. Alle Geräte, die einem Blueprint zugewiesen sind, erben das Bündel von Einstellungen, das es enthält, und ein Blueprint kann sowohl macOS als auch iOS/iPadOS Geräte enthalten.

Jamf Pro hingegen behandelt Computer und mobile Geräte fast vollständig getrennt. Außerdem wird kein monolithisches Konstrukt wie ein Blueprint verwendet, um den Geräten Anwendungen, Einstellungen und Einschränkungen zuzuweisen. Stattdessen wenden Administrator*innen Einstellungen über die Kategorien der Ziele, Einschränkungen und exclusions an. Geräte können manuell in Gruppen zusammengefasst werden, oder Administrator*innen können dynamische intelligente Gruppen erstellen, die durch verschiedene Scoping-Kriterien definiert sind. Geräte werden zu intelligenten Gruppen hinzugefügt oder aus ihnen entfernt, wenn sie die Kriterien erfüllen oder nicht mehr erfüllen. Dieser Ansatz ist anfangs komplizierter anzuwenden, bietet aber ein höheres Maß an Kontrolle über die Konfiguration der Geräte.

Jamf Now nutzt das native MDM-Framework von Apple, das Jamf Pro zusätzlich zum proprietären Jamf Binary verwendet. Jamf Now unterstützt nicht von Haus aus die Ausführung von Shell-Skripten, obwohl es einige Umgehungsmöglichkeiten gibt, z. B. das Hinzufügen eines Skripts zu einem Paket; Jamf Pro bietet eine umfangreiche Umgebung für die Automatisierung von Arbeitsabläufen. Jamf Now verfügt ebenfalls nicht über eine API, während Jamf Pro über den Jamf Marketplace ein ganzes Ökosystem mit zahlreichen Integrationen in beliebte Softwareangebote für Unternehmen und Bildungseinrichtungen bietet.

Im Allgemeinen ist Jamf Pro in hohem Maße erweiterbar und einfach besser skalierbar. Die Blueprints von Jamf Now eignen sich hervorragend für einfache Verwaltungsanforderungen, aber sie können schwer zu verwalten sein, wenn Sie verschiedene Konfigurationsprofile anwenden oder dynamisches Scoping verwenden möchten.

Vorbereitung auf die Migration zu Jamf Pro

Needham sagt, wenn Kund*innen Schwierigkeiten bei der Migration zwischen MDM-Lösungen haben, liegt das fast immer daran, dass sie versuchen, zu viel auf einmal zu tun, oder dass sie keine spezielle Hardware für Tests haben. Es ist wichtig, zu testen, und Sie sollten eine Pilotgruppe von technisch versierten Nutzer*innen auswählen, bevor Sie eine Änderung an die gesamte Nutzerschaft weitergeben. Häufige Kommunikation mit den Endnutzer*innen ist der Schlüssel zum Erfolg. Dokumente wie z. B. Planungszeitpläne können nützlich sein, um die Zustimmung von Führungskräften oder Kolleg*innen zu erhalten, und sie helfen den Administrator*innen, den Fortschritt zu visualisieren und sicherzustellen, dass sie keine erforderlichen Schritte verpassen.

Warum bietet Jamf also nicht die Möglichkeit, die Migration für Unternehmen gegen eine zusätzliche Gebühr zu übernehmen? Needham erklärt, dass es zwar nicht ausgeschlossen ist, dass dieser Dienst in Zukunft angeboten wird, aber es gibt einige Schwierigkeiten, die ihn zum jetzigen Zeitpunkt unpraktisch machen. Die Datenbanken von Jamf Now und Jamf Pro sind sehr unterschiedlich formatiert, und es wäre eine Herausforderung, sie programmatisch einander zuzuordnen. Seit der Veröffentlichung von macOS Big Sur können wir auch keine MDM-Profile mehr programmatisch auf Macs installieren, was bedeutet, dass die Endbenutzer*innen einbezogen werden müssen, um Jamf Pro-Anmeldungsprofile zu installieren.

Wenn Sie fast bereit sind, mit der Migration zu beginnen, können Sie damit beginnen, Ihre Jamf Pro-Umgebung zu konfigurieren. Dazu müssen Sie die Benutzer*innen aus Ihrer Jamf Now-Instanz übernehmen und bei Bedarf verschiedene Berechtigungsstufen festlegen. Sie können in Jamf Pro Einstellungen für die einmalige Anmeldung (SSO) konfigurieren, sodass Sie eine Lösung wie Azure oder Okta für die Authentifizierung integrieren können. Zu diesem Zeitpunkt können Sie auch:

• Konfigurieren Sie die Einstellungen für die benutzerinitiierte Registrierung und die Self Service App
• Konfigurieren Sie ein Zertifikat für den Apple Push-Benachrichtigungsdienst (APNs)
• Einrichten eines ADE-Tokens (Automatic Device Enrollment) und eines VPP-Tokens (Volume Purchase Program)
• Konfigurieren Sie Ihr ADE-Token, um Apple Business Manager oder Apple School Manager zu verknüpfen
• Konfigurieren Sie eine PreStage-Registrierung in Jamf Pro für Computer oder mobile Geräte, um sicherzustellen, dass Sie Informationen empfangen können
• Erstellen Sie einen separaten MDM-Server und einen neuen VPP-Standort im Apple Business Manager oder Apple School Manager

Um den Überblick darüber zu behalten, welche Benutzer*innen welchen Geräten zugewiesen sind, können Sie eine Funktion in Jamf Pro verwenden, die Inventory Preload heißt. So können Sie eine Tabelle aus Jamf Now exportieren und eine Vorlage verwenden, um die Felder den entsprechenden Feldern in Jamf Pro zuzuordnen. Vor dem Hochladen können Sie ein Erweiterungsattribut namens Blueprint erstellen, das festhält, welche Geräte welchen Blueprints zugeordnet sind. Wenn Sie noch nicht bereit sind, das Konzept der Blueprints aufzugeben, können Sie in Jamf Pro eine intelligente Gruppe erstellen, die den Inhalt des Erweiterungsattributs Blueprint verwendet.

Apps und Konfigurationsprofile

Needham fährt fort mit der Auswahl der Apps, die auf den registrierten Geräten installiert werden sollen, beginnend mit denen, die im App Store erhältlich sind:

• Dokumentieren Sie, welche Apps Sie benötigen
• Erstellen Sie einen zusätzlichen Standort im Apple Business Manager oder Apple School Manager
• Übertragung von Lizenzen oder Erwerb neuer Lizenzen
• Umfang in Jamf Pro

Für Apps, die nicht im App Store zu finden sind, können Sie entweder die App-Installer-Funktion von Jamf Pro nutzen oder eine Richtlinie verwenden, um ein Paket oder Skript bereitzustellen. Wenn Sie die Möglichkeit haben, App-Installer zu verwenden, ist dies in der Regel die einfachste und beste Option.

Wenn es um die Erstellung von Konfigurationsprofilen geht, erfordern viele Sicherheitstools den Einsatz von Systemerweiterungen oder PPPC-Payloads – dies könnte sogar einer der Gründe sein, warum Sie überhaupt zu Jamf Pro migrieren mussten. Wenn Sie diese in Jamf Now haben, werden sie in Form von benutzerdefinierten Profilen vorliegen. Sie sollten versuchen, jedes Konfigurationsprofil, das Sie erstellen, auf eine Nutzlast zu beschränken, es sei denn, Sie haben einen guten Grund, etwas anderes zu tun.

Nachdem Sie die Konfigurationsprofile eingerichtet haben, sollten Sie eine Jamf Pro-Umgebung haben, die bereit ist, Geräte zu empfangen, und jedes in Jamf Pro registrierte Gerät wird die Einstellungen und Anwendungen erhalten, die es erhalten soll. Je nachdem, welche Anmeldemethode Sie verwenden, sind die Profile entweder abnehmbar oder nicht abnehmbar. Needham erklärt den Zuschauern, wie die Entfernbarkeit von Profilen bestimmt wird, und stellt verschiedene Methoden vor, um sie bei Bedarf zu entfernen.

Migration von Geräten und was danach kommt

Denken Sie während der Migration daran, mit Ihren Endbenutzer*innen zu kommunizieren und sie regelmäßig auf dem Laufenden zu halten, damit sie wissen, wie die Dinge vorangehen. Needham erwähnt einen Kunden/eine Kundin der den Prozess sogar spielerisch gestaltete, um die Akzeptanz der Benutzer*innen zu erhöhen. Sie sollten davon ausgehen, dass hier die 80/20-Regel gilt: 20 % der Bemühungen Ihres Teams dienen dazu, 80 % der Benutzer*innen zu unterstützen, und der Rest wird Ihnen den Großteil der Kopfschmerzen bereiten. Notieren Sie sich, was richtig und was falsch läuft, damit Sie daraus lernen und sich anpassen können, um den Prozess zu rationalisieren und Ihre Nutzer*innen effektiver zu bedienen.

Nach Abschluss der Migration müssen Sie noch einige Aufgaben erledigen, von denen die meisten fortlaufend anfallen werden:

• Verwenden Sie ein Skript zur Neuausgabe von FileVault-Schlüsseln
• Überwachen Sie Ihren Bestand
• Einchecken bei den Endnutzer*innen
• Arbeiten Sie mit Jamf Customer Success

Das Customer Success-Team steht Ihnen zur Seite, um verbleibende Probleme zu beheben und Ihre MDM-Funktionen zu optimieren, während Sie die nächste Phase Ihrer IT-Reise in Angriff nehmen.