接到通知:所有用于工作的苹果电脑,不管是公司还是自己带的电脑,只要用于工作,下周统一重装并安装 MDM 管理,加入 MDM 之后自己无法退出,现在通知自己备份好数据,等待重装。
MDM 之后电脑没有管理员密码,只有普通用户的权限。所有需要管理员权限的功能全部不能操作,包括系统更新和安装第三方 App ,自己只能安装 App Store 里的软件,安装其他软件需要提交 OA 审批再由 IT 远程安装,感觉非常麻烦。
想问一下这种情况有人遇到过吗?电脑使用上会有什么太大影响吗?
101
dracula95 27 天前
MDM 是很容易屏蔽的,不过公司不让就没办法了
|
102
feelangel 27 天前 via iPhone
从公司角度,如果为了达到管理角度无可厚非!但是如果是 byod 的,装 mdm 可以,我们之前公司是可以报销电脑费用
|
103
overkiss2020 26 天前 via Android
|
104
Subfire 25 天前
@ShikiSuen 是公司安装的工具稳定性有问题. 你别留下什么啊, 比如: 屏幕关闭后用远程连过去操控然后记得删除痕迹. 工具出 bug 了导致后台掉线脱管, 它怎么证明你违规了?
|
105
hsiaochi 25 天前
如果补贴能 cover 掉手上 128g 的 就用着呗,等于变相让公司配高配的了,还不用走一堆行政步骤
|
107
chen0304 21 天前
作为一个比较了解 jamf 的人,我建议你让公司配置电脑。
按你说的统一抹除电脑, 那就是设备刷到 abm 里面去,然后在分配给 Jamf ,开机初始化注册,这样你设备端的 MDM Profile 它是无法删除的,它可以对你下发一些配置文件,远程执行脚本,删除你的应用 当然这只是工具,如果在配合公司政策来规范你们,比如多少天没跟服务器签到,电脑上安装了某个应用做一些邮件通知提醒 |
108
chen0304 21 天前 1
@haha1903 MDM 是这个一个管理框架 实现限制的这个准确的叫 configuration profiles -,这个玩意是一个名词概念。
不管是 Intune 跟 jamf 在 mac 上的实现方式 都是下发 配置文件 加产品自己的一些功能,另外 intune 跟 jamf 比还真不行,体验稀烂。 就连 apple 自己都是用 jamf 做管理,看来楼主也是大公司, 毕竟 jamf 这个东西贼贵, |
109
chen0304 21 天前
@BeyondBouds 很简单,打开系统设置-如果是 13 或更高的系统,在隐私与安全性-下拉到最下面,
点描述文件,能进去显示有,或者显示已被屏蔽 那就是已经纳管。 如果点进去没内容那就是没有, 看你说的现象跟 mdm 没关系 |
111
ihwbunny 21 天前
|
112
ihwbunny 21 天前
如果是大公司人数多,而 IT 部门人手有限的话,除非是“专项”打击,虽然 Jamf 搜集的数据在那里,但是需要人来收集、行动和决定,才会影响到员工。
|
113
chen0304 20 天前
@ihwbunny 其实访问的页面,或者我们浏览 v2 ,一般公司的网络管理员都知道,
只要用公司的网络的,访问那些都知道, 国内太多上网行为管控了,深信服啊 IPG 。 确实就像你说的,通过上面的信息数据,需要人来决定、行动。 |
114
chen0304 20 天前 1
@haha1903 这里其实有点主观,我个人是实际用过这俩个东西。
具体是这俩个产品的工作方式,以及在 mac 端的呈现方式, intune 会需要在设备端安装一个公司门户的应用,而公司门户这个东西经常会抽风,莫名的自己退出登录 需要自己频繁登录,或者明明满足公司的条件 但在应用端显示一个不合规的提醒,就莫名的导致不能访问公司 office 相关的 后面我查了下 他们做了一个叫合规性检查的东西,会频繁同步 检查 mac 上的信息是否满足条件。 因为开了 FV2,也把密钥同步到 intune 上了, 有一次莫名的账户被锁定了 想通过密钥来解锁磁盘,更改密码,发我那个密钥,在恢复模式试了半小时都没用,后面跟我说这个密钥好像是历史信息,记录不准..... |
115
ihwbunny 18 天前
现在的 MDM 系统应该都会支持开启 FV2 的同时将 personal recovery key 同步到 MDM 系统上,除非特殊也不会改变。
Intune 我们只用在 iOS 设备上目前。 |
116
ihwbunny 18 天前
@chen0304
你们那里,如果是系统升级或者是需要重新安装系统,有什么特殊控制或规定嘛,比如只能 IT 来做,比如 macOS 版本控制。机器 hostname 有没有统一的命名规则?是否加入 AD 域?有没有特殊情况,比如多用户共用,或者特殊用途,比如 Kiosk 模式等? 我们抹盘重新安装系统,目前还是 USB 盘比较顺畅快捷。 说回题主的事,看意思是 jamf 刚刚开始用,每个公司的情况不同,等到 IT 部门掌握自如用得顺畅,估计得用一段时间。 |
117
wowbaby 17 天前
@GuluMashimaro 我曾经的公司,那个小老板在开发部装了几个无死角摄像头,我后面就 2 个,搞了一年,他自己绝对没意思,看不到什么,就拆掉了。
|
118
cskeleton 17 天前
@MrSheng #41 这个例子太不合适了。
你找装修,是整体打包一起包出去的业务或者服务,是整个装修工程的一部分打包的外包,你还可以选择是否把原材料一起包给施工方。但这并不能说明工作自带工具是必须的。 随便找点夸张的例子就会觉得你这逻辑离谱了:飞行员要自带战斗机?高能物理的研究员要自带对撞机?入职 OpenAI 要自带 B200 ? |
119
chen0304 16 天前
@ihwbunny 没加 AD 域,不加域一点事没有,加了域一天俩头全是问题。
更新是配置文件控制 更新的,hostname 之前是改过成序列号的。 其实看他们公司主要是用于干嘛吧,有些公司上这个主要就是为了防止激活锁。 |
120
chen0304 16 天前
@ihwbunny FV2 这个东西,本质说这些 MDM 系统只是起到一个强制你开启,把这个开启的指令下发到 macOS 上,系统自行处理,和一个保存密钥。
但是万一 FV2 它抽风,那数据这个东西就是神仙难救 |
122
ihwbunny 14 天前
@chen0304
Jamf 收购了 NoMAD 有一段时间了,最后这个开源的 app 被 Jamf 关了,彻底变成了自己的赚钱项目 Jamf Connect 不太了解现在实行 MDM 的公司,是不是会自己开放一些相应的 app 和脚本,来实现管理目标和实现一些功能。我们这里是比较多的依赖于脚本的。就一个 hostname 的视线就需要脚本。 我的机器多,所以按照用途,年份,指定序号和机器类型取唯一的一个 hostname ,并且有一个按照 UUID 或 S/N 的对应 hostname 的表格来一一对应,这个方法提供了直观的对某个机器的基本了解,也便于查找定位,花费了一些精力。本来只是保持最基本的直观明了就行了,现在赋予了它更多的含义,造成一个人为的复杂化,为了符合这个新标准,人工工作量增加不少。所以说,在引入管理概念的时候,真的要慎重。 |