Jamf Blog
January 27, 2021 Von Jonathan Locast

Zero-Touch Deployment mit Jamf Pro und Jamf Connect

In diesem Dokument werden die Schritte beschrieben, um eine Methode des Onboarding von Geräten mit der automatischen Geräteregistrierung von Apple (ehemals DEP), Jamf Pro und Jamf Connect zu erstellen, die eine maßgeschneiderte Erfahrung für Endbenutzer ermöglicht.

Voraussetzungen: Administrator sollten den Anweisungen in https://docs.jamf.com/jamf-connect/administrator-guide/Before_You_Begin.html folgen, um eine Anwendung beim Organisations-Identitätsanbieter zu erstellen und Konfigurationsprofile für Jamf Connect anzulegen. Administratoren sollten sich mit intelligenten Computergruppen, der Festlegung von Richtlinien und Konfigurationsprofilen und der Erstellung von Installationspaketen mit Jamf Composer oder einem ähnlichen Tool auskennen.

Bevor Sie beginnen

Jamf Pro und Jamf Connect können eine extrem anpassbare Benutzererfahrung bieten. Aufgrund dieser Anpassungsfähigkeit wird es Administratoren empfohlen, ihre Ziele zu dokumentieren, bevor sie mit der Entwicklung der Teile beginnen. Beispielsweise sollten Administratoren Folgendes berücksichtigen:

  • Registrierungsanpassung – Bei der Registrierung können Endbenutzer interaktive Elemente wie Videos, Links zu Hilfeseiten und Anmeldung bei der Jamf Pro Registrierung mit einem einzigen Single-Sign-On-Provider nutzen. Der Kurzname und der Klarname der Benutzer kann an Jamf Connect weitergeleitet werden, um die Anzahl der beim Onboarding eines Geräts erforderlichen Anmeldungen zu reduzieren. Siehe https://docs.jamf.com/jamf-pro/administrator-guide/Enrollment_Customization_Settings.html, um weitere Details zur Registrierungsanpassung zu erhalten.
  • EULA oder Nutzungsrichtlinien – Jamf Connect kann Benutzern einen Endbenutzer-Lizenzvertrag (EULA) präsentieren, und die Annahme des EULA kann in einer Audit-Datei auf dem Client-Computer gespeichert werden.
  • Branding und Identität der Organisation – Jamf Connect kann hinter dem Anmeldefenster einen Bildschirmhintergrund und über dem Anmeldebildschirm das Logo einer Organisation anzeigen.
  • Meldungen an Endbenutzer während der ersten Einrichtung – Die Nachrichtenfunktion von Jamf Connect kann Bilder, Text und eine Statusleiste anzeigen, die den Fortschritt angibt.

Dabei ist das Onboarding-Erlebnis je nach Organisation unterschiedlich. Verwenden Sie die Funktionen von Jamf Pro und Jamf Connect, die für Ihre Organisation angebracht sind und dokumentieren Sie die gewünschten Ziele, bevor Sie mit den nächsten Schritten beginnen.

Verfahren:

  • Sammeln Sie Branding Assets für die Organisation
  • Bereiten Sie das Onboarding-Skript für die Nachrichtenfunktion von Jamf Connect vor.
  • Erstellen Sie ein Installationspaket für die Modifizierungs-Assets
  • Erstellen Sie ein Konfigurationsprofil für einmal auszuführenden Mechanismen
  • Erstellen Sie eine Prestage-Registrierung für Computer in Jamf Pro
  • Erstellen Sie Richtlinien, die bei der Computer-Registrierung ausgeführt werden
  • Erstellen Sie eine intelligente Computer-Gruppe, um festzustellen, ob die Registrierung erfolgreich abgeschlossen wurde
  • Verwenden Sie Bereichs- und Ausnahmegruppen, um die einmaligen Mechanismen im Anmeldungsbildschirm von Jamf Connect zu deaktivieren

Sammeln Sie Branding Assets für die Organisation

Der Login-Bildschirm von Jamf Connect kann ein benutzerdefiniertes Hintergrundbild und ein Logo der Organisation anzeigen. In diesem Beispiel ist das ein Firmenlogo von Jamf mit transparentem Hintergrund im PNG-Format, wodurch das Hintergrundbild des Grand Canyon sichtbar wird. Das Hintergrundbild wird auf die Größe des Bildschirms zugeschnitten, daher werden die empfohlene Bildgröße und das Seitenverhältnis durch den größten in Ihrer Organisation verwendeten Bildschirm bestimmt. Die empfohlene Bildgröße für das Logo ist 250x250 Pixel und dies wird bei Bedarf an den Bildschirm angepasst.

Zu weiteren möglichen Assets gehört eine lokale Hilfedatei, die Endbenutzern angezeigt wird, wenn keine Netzwerkverbindung vorhanden ist. Unterstützte Formate sind PDF und HTML. Auch das Hilfesymbol kann angepasst werden. Die empfohlene Bildgröße für das Symbol ist 16x16 im PNG-Format mit einem transparenten Hintergrund.

Die Nachrichtenfunktion kann Bilder sowohl oben am Benachrichtigungsbildschirm als auch als Ersatz für den Text in der Mitte des Bildschirms anzeigen. Diese Bilder müssen vor Ort auf das Gerät geladen werden.

Bereiten Sie das Onboarding-Skript für die Nachrichtenfunktion von Jamf Connect vor.

Je nach Wunsch des Administrators kann das Skript, das nach einem erfolgreichen Login verwendet wird, so einfach oder so komplex wie nötig sein. Um eine maximale Flexibilität zu gewährleisten, sollten Sie das Skript so einfach wie möglich halten und das Onboarding nach dem Login von Jamf Pro und den Richtlinien übernehmen lassen. Ein Beispiels für das Skript wäre:

Dieses Beispiel-Skript:

  1. Ändert die Standard-Formulierung in der Nachrichtenfunktion (falls verwendet), um dem Benutzer mitzuteilen, was mit dem neuen Computer geschieht.
  2. Validiert, dass das Jamf Client Binary an der richtigen Stelle installiert wird und darauf wartet, im Fall einer langsamen Netzwerkverbindung auf dem Gerät installiert zu werden.
  3. Führt einen benutzerdefinierten Trigger für eine Richtlinie in Jamf Pro aus. Das kann eine Kette von Richtlinien auslösen, die speziell für den Benutzer vorgesehene Software oder wichtige Sicherheitssoftware wie Jamf Protect oder andere Endgerätesicherheitsprogramme installieren.

Skript-Hinweise: Jede unterstützte Skript-Sprache wird unterstützt, aber es wird empfohlen, eine Skript-Sprache zu verwenden, die standardmäßig unterstützt wird, ohne die Installation zusätzlicher Pakete zu erfordern. Beispielsweise erfordert Python auf macOS Big Sur Maschinen mit dem Apple Silicon M1 Chip die Verwendung von Rosetta. Nativer Support umfasst zsh Shell und bash Shell Skripte.

Optionale Skripte: Der Menüleisten-Mechanismus von Jamf Connect kann Skripte bei erfolgreicher und nicht erfolgreicher Anmeldung ausführen, sowie bei Passwortänderungen und Änderungen im Netzwerkzustand Wenn das in Ihrer Organisation nötig ist, erstellen Sie diese Skripte jetzt, um sie im nächsten Schritt an die nötigen Geräte zu verteilen.

Erstellen Sie ein Installationspaket für die Modifizierungs-Assets

Erstellen Sie unter Verwendung von Jamf Composer oder einem ähnlichen Programm ein Installationspaket für das Bild, die Hilfe-Datei, Skripte und Branding-Assets.

Verwenden Sie einen Speicherort, auf den alle Benutzer zugreifen können, und stellen Sie die Berechtigungen für die Dateien und Skripte entsprechend ein. Standardmäßig wäre ein Verzeichnis in /usr/local/ , /Users/Shared/ , oder /Library/Application Support. Bei macOS Big Sur sollten Sie berücksichtigen, dass das Laufwerk eine Kombination aus einem schreibgeschütztem Systemlaufwerk und einem Benutzerlaufwerk mit Lese-/Schreibzugriff darstellt. Ihr Speicherort sollte auf das Benutzerlaufwerk mit Lese-/Schreibzugriff verweisen, falls ein Update der macOS Software es nicht mehr erlaubt, auf dieses Laufwerk zu schreiben.

Das Onboarding-Skript (oben als „NotifyMech.sh“ gezeigt) sollte root:wheel gehören und die Berechtigungen sollten mindestens Lesen und Ausführen durch root:wheel umfassen (550 Berechtigungen).

Grafik, Logos und die lokalen Hilfe-Dateien sollten root-wheel gehören und mindestens Lesezugriff für alle Benutzer umfassen (444 Berechtigungen).

Optionale Skripte – Der Menüleisten-Mechanismus von Jamf Connect kann Skripte bei erfolgreicher und nicht erfolgreicher Anmeldung ausführen, sowie bei Passwortänderungen und Änderungen im Netzwerkzustand. Diese Skripte werden mit den aktuell angemeldeten Benutzerrechten ausgeführt, weshalb der Besitz auf root:wheel und die Berechtigungen auf Lesen und Ausführen (555 Berechtigungen) eingestellt werden sollten.

Optionale Bereitstellung von Jamf Connect Installationspaket: In den meisten Fällen wird durch die Verwendung der Paketpriorität ein Installationsprogramm mit Modifizierungs-Assets auf der Zielmaschine installiert, bevor das Installationsprogramm JamfConnect.pkg heruntergeladen und installiert wird. Im Fall extrem langsamer Netzwerkverbindungen installiert jedoch macOS anscheinend das erste .pkg, das heruntergeladen wird, unabhängig von der Paketpriorität. In diesem Fall folgen Sie den Anweisungen unter https://www.jamf.com/de/jamf-nation/discussions/38586/jamf-connect-meta-package-for-zero-touch-deployment zur Erstellung eines „Metapakets“ – ein Paket, das ein Paket und ein Post-Installationsskripts enthält, um sicherzustellen, dass die Modifizierungs-Assets vorhanden sind, bevor Jamf Connect gestartet wird.

Wenn das Jamf Connect Metapaket nicht installiert wird, bevor der Benutzer den macOS Login-Bildschirm sieht, kann der Benutzer entweder einige Momente auf die Installation des Pakets warten und dann die Maschine neu starten, oder das Metapaket kann ein Postinstaller-Skript enthalten, das feststellt, ob die macOS-Anmeldungsseite bereits geladen wurde.

Wenn es in einem Postinstaller bereitgestellt wird, tut das Skript Folgendes:

  1. Stellt sicher, dass macOS die Datei AppleSetupDone berührt hat, um zu merken, dass der Prozess Setup-Assistent abgeschlossen ist
  2. Stellen Sie fest, ob der momentan angemeldete Benutzer entweder _mbsetupuser (beim ersten Start des Computers durch Setup-Assistent verwendet) ist oder root (der aktive Konsolenbenutzer, wenn der macOS Anmeldebildschirm aktiviert ist).
  3. Führen Sie killall -9 loginwindow aus, um den Prozess des Anmeldefensters zu beenden und den macOS Anmeldebildschirm neu zu starten.

Signieren Sie das Paket für die Modifizierungs-Assets: Bei einer Prestage-Anmeldung installierte Pakete müssen entweder mit einem Entwicklerzertifikat oder einem vertrauenswürdigen Zertifikat signiert werden. Siehe https://www.jamf.com/de/jamf-nation/articles/301/obtaining-an-installer-certificate-from-apple, um ein Entwicklerzertifikat zu erhalten, oder siehe https://www.jamf.com/de/jamf-nation/articles/creating-a-signing-certificate-using-jamf-pro-s-built-in-certificate-authority, um ein Signierungszertifikat mit einer Jamf Pro Zertifizierungsstelle zu erstellen.

Danach laden Sie die Modifizierungs-Assets auf Ihren Jamf Pro Verteilungspunkt hoch.

Erstellen Sie ein Konfigurationsprofil für einmal auszuführenden Mechanismen

Authchanger

Der Benachrichtigungsmechanismus von Jamf Connect ist standardmäßig nicht aktiviert. Er kann auf verschiedene Weise mit Befehlszeilenanweisungen aktiviert werden, aber die einfachste Methode, die keine spezielle Codierung erfordert, ist die Übertragung eines Konfigurationsprofils.

Die Domain für das Authchanger-Konfigurationsprofil ist com.jamf.connect.authchanger.

Die Strings im Arguments-Array folgen den Befehlen in https://docs.jamf.com/jamf-connect/administrator-guide/authchanger.html. Das obige Beispiel ist das Äquivalent zu /usr/local/bin/authchanger -reset -JamfConnect -Notify um die Benachrichtigunsgfunktion zu aktivieren. Der Befehl Authchanger läuft als Teil des JamfConnect.pkg Installationsprogramms. Wenn die Software installiert ist, verwendet das Installationspaket die Befehle im com.jamf.connect.authchanger Konfigurationsprofil.

RunScript und EULA-Präferenzeinstellungen

Standardmäßig zeigt der Anmeldemechanismus von Jamf Connect ein EULA und führt ein Skript aus, wenn die Einstellungen im Konfigurationsprofil für com.jamf.connect.logim vorhanden sind.

Da Administratoren nur diese Aktionen und die EULA bei der ersten Einrichtung des Computers anzeigen lassen wollen, sollten diese Schlüssel in einem separaten Konfigurationsprofil in Jamf Pro gespeichert werden. Die Domain für diese Schlüssel ist com.jamf.connect.login

Hinweis: Administratoren sollten nur die Schlüssel verwenden, die für ihre Registrierungsmethode nötig sind. Senden Sie keine blanken oder leeren Wertschlüssel an Jamf Connect, um unerwartete Ergebnisse zu vermeiden.

Hinweis: Ein Computer-Konfigurationsprofil in Jamf Pro kann mehrere Anwendungen und benutzerdefinierte Einstellungen enthalten, wie unten gezeigt.

In diesem Beispiel werden die Payload für Authchanger und die Payload für die ScriptPath-Schlüssel in ein Konfigurationsprofil kombiniert, um einmal ausführbare Payloads auf Zielcomputern leicht zu bestimmen.

Erstellen Sie eine Prestage-Registrierung für Computer in Jamf Pro

Auf dem Jamf Pro Server erstellen Sie eine Prestage-Registrierung mit folgenden Payloads:

  • Account-Einstellungen: Wählen Sie „Einen lokalen Administrator-Account vor dem Setup-Assistenten einrichten“ und fügen Sie Benutzernamen und Passwort hinzu. Sie können auch „Verwaltetes Administrator-Account in Benutzer und Gruppen verbergen“ wählen. Wählen Sie den lokalen Accounttyp und „Accounterstellung überspringen“

  • Konfigurationsprofile: Wählen Sie die Konfigurationsprofile für den Anmeldemechanismus von Jamf Connect, die einmal auszuführenden Konfigurationsprofile, den Menüleisten-Agenten von Jamf Connect und die Jamf Connect Lizenz.
  • Registrierungspakete: Wählen Sie das Installationspaket JamfConnect.pkg und das Installationspaket für die Modifizierungs-Assets, das früher nach diesen Anweisungen erstellt wurde.

Sie finden auf https://docs.jamf.com/jamf-pro/administrator-guide/Computer_PreStage_Enrollments.html weitere Informationen zu Prestage-Registrierungen.

Erstellen Sie Richtlinien, die bei der Computer-Registrierung ausgeführt werden

Sobald ein Computer im Jamf Pro Server registriert ist, werden das Paket mit den Modifizierungs-Assets und das Installationspaket von Jamf Connect auf die Maschine übertragen und unauffällig installiert. Benutzer authentifizieren sich dann mit ihren Anmeldedaten des Cloud-Identitätsanbieters, und Jamf Connect erstellt einen lokalen Benutzer-Account auf der Grundlage dieser Anmeldedaten. Da der RunScript-Mechanismus aktiviert ist und ein Präferenz-Schlüssel für den Pfad zu einem Skripts sich im Konfigurationsprofil com.jamf.connect.login befindet, führt Jamf Connect das Skript mit Administrator-Berechtigungen aus.

In unserem Beispiel-Skript oben ruft die letzte Zeile einen benutzerdefinierten Trigger für Richtlinien auf. Jamf Pro führt Richtlinien, die von diesem benutzerdefinierten Trigger aufgerufen werden, in alphanumerischer Reihenfolge aus. In der oben stehenden Grafik werden Richtlinien von der niedrigsten zur höchsten Nummer ausgeführt, um die Reihenfolge beim Onboarding festzulegen. In diesem Beispiel:

  • 10 – Installieren Sie wichtige Software – Wenn es eine missionskritische Software gibt, die vor anderer Software installiert werden sollte, wie Endgeräteschutz-Software oder Clients für den bedingten Zugriff, installieren Sie diese zuerst.
  • 11 – 95 Alle anderen Richtlinien, die Administratoren beim Onboarding ausführen möchten – Jamf Pro führt Richtlinien in alphanumerischer Reihenfolge aus. Administratoren können ähnliche Richtlinien erstellen, wobei aber als Zielcomputer spezifische LDAP-Gruppen oder Abteilungen dienen. Die einzigen Einschränkungen sind hierbei die Verwaltungsbedürfnisse der Administratoren und ihre Fantasie.
  • 95 - Jamf Connect Anmeldemechanismus deaktivieren – Nach Abschluss des Setup können Administrators eine „Run Unix command“ Anweisung erteilen, um den Benachrichtigungsmechanismus von Jamf Connect zu deaktivieren. /usr/local/bin/authchanger -reset -JamfConnect stellt den standardmäßigen Anmeldemechanismus wieder her und deaktiviert den Benachrichtigungsmechanismus.
  • 96 – Markieren Sie die ursprüngliche Ausführung als vollständig. Es gibt mehrere Möglichkeiten, einen Computer zu markieren, damit er im nächsten Schritt verwendet wird – „Erstellen einer intelligenten Computer-Gruppe, um zu bestimmen, dass die Registrierung erfolgreich abgeschlossen wurde.“ In diesem Beispiel schreiben wir eine Datei in den von Jamf installierten Ordner „Software Receipts“, aber es gibt auch andere Optionen:
  • Verwenden Sie den Befehl touch, um eine Datei zu erstellen und dann ein Erweiterungsattribut, um festzustellen, ob diese Datei existiert, wenn Jamf das Inventar eines Computers erstellt.
  • Verwenden Sie ein Erweiterungsattribut, um zu bestimmen, ob in einem Verzeichnis eine EULA-Auditdatei existiert.
  • Stellen Sie fest, ob ein Stück der grundlegenden Software mit einem Paket installiert wurde oder einer Datei vorhanden ist.
  • 97 – Bestand aktualisieren: Jamf wird die Bestandsdaten mit dem Status des Computers aktualisieren (und anschließend die Informationen aus der oben stehenden Richtlinie für unsere intelligente Computergruppe hinzufügen)
  • 99 – Beenden Sie die Jamf Connect Benachrichtigung: Um den Benachrichtigungsmechanismus zu deaktivieren und zu den letzten Schritten des macOS Setup-Assistenten zu gehen, verwenden Sie eine „Run Unix command“ Richtlinien-Payload und führen folgenden Befehl aus: echo "Command: Quit" >> /var/tmp/depnotify.log

Nachdem der Benachrichtigungsmechanismus von Jamf Connect einen Abbruchbefehl erhält, kann Jamf Connect auch FileVault für den Benutzer aktivieren, und der Benutzer wird dann aufgefordert, weitere Setup-Schritt in macOS zu starten. Schließlich sieht der Benutzer den Finder mit einem vollständig konfigurierten Computer, der einsatzbereit ist.

Aktualisierung des Benachrichtigungsmechanismus für Benutzer

Es gibt mehrere Möglichkeiten, den Benachrichtigungsbildschirm zu aktualisieren, wenn eine Richtlinie ausgeführt wird, damit der Endbenutzer darüber informiert wird, was mit dem Computer geschieht.

  • Automatisch aus den Jamf Pro Richtlinien-Logs lesen – Verwenden Sie den Jamf Connect Anmelde-Präferenzschlüssel mit NotifyLogStyle auf jamf in com.jamf.connect.login. Dadurch wird die Status-Nachricht unterhalb der Pseudo-Statusleiste aktualisiert.
  • Führen Sie eine Unix Command Payload in einer Richtlinie aus – Aktualisieren Sie den Status einzeln mit einem Befehl wie echo "Status: Installing a program on your computer" >> /var/tmp/depnotify.log
  • Verwenden Sie eine Skript-Payload mit einer Richtlinie – Eine Richtlinie kann Skripte ausführen, bevor alle anderen Aktionen in einer Richtlinie ausgeführt werden. Fügen Sie das folgende Skript zu Ihrem Jamf Pro Server hinzu und verwenden Sie die Parameter-Werte, um mehrere Teile des Benachrichtigungsbildschirms gleichzeitig zu aktualisieren.

Erstellen Sie eine intelligente Computer-Gruppe, um festzustellen, ob die Registrierung erfolgreich abgeschlossen wurde

Verwenden Sie das Attribut, das Sie in obigem Schritt ausgewählt haben, um einen Computer als vollständig eingerichtet zu markieren. Erstellen Sie dann eine intelligente Computergruppe, die alle Computer enthält, die erfolgreich die Einrichtung abgeschlossen haben.

In dem obigen Beispiel enthält die intelligente Computergruppe alle Computer, bei denen als Teil des ersten Onboarding-Prozesses ein bestimmtes Paket installiert wurde. Andere Optionen können den Status eines Erweiterungsattributs betreffen (https://docs.jamf.com/jamf-pro/administrator-guide/Computer_Extension_Attributes.html) oder sonstige Bestandsinformationen, die bestimmen, dass ein Computer fertig ist.

Verwenden Sie Bereichs- und Ausschlussgruppen, um die einmaligen Mechanismen im Anmeldungsbildschirm von Jamf Connect zu deaktivieren

Fügen Sie im Konfigurationsprofil für EULA, ScriptPath, und die Authchanger-Einstellungen eine Ausschlussgruppe hinzu, um alle Computer auszuschließen, die sich in der im vorigen Schritt erstellten intelligenten Computergruppe befinden.

In der Beispielgrafik oben enthält die Konfigurationsprofil-Payload namens „Jamf Connect – Run only once at launch“ die Schlüssel für com.jamf.connect.login für ScriptPath. Durch den Ausschluss dieser Konfigurationsprofile von einem Zielcomputer führt der Anmeldemechanismus von Jamf Connect bei erfolgreicher Anmeldung kein Skript aus.

Es gibt mehrere zusätzliche Tools, die ein Administrator an diesem Punkt verwenden konnte. Ein Administrator könnte ein separates Konfigurationsprofil mit einem anderen ScriptPath übertragen, um bei jeder Anmeldung einen anderen benutzerdefinierten Trigger auszuführen, vielleicht um wichtige Patches zu installieren oder einfach aufzuzeichnen, wenn ein Benutzer sich bei einem Computer anmeldet. Es gibt da endlose Möglichkeiten. Aber das Ergebnis ist eine vollständig maßgeschneiderte Benutzererfahrung auf einem vollständig konfigurierten Computer.

Photo of Jonathan Locast
Jamf
A Jamf and Apple expert writing in SMB and Enterprise spaces for every aspect of the Jamf portfolio.
Blog durchsuchen
nach Kategorie:
Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.