本篇是系列文,如果你還沒看過前兩篇的話,可以先從前兩篇開始。這樣我們才會理解 Jamf 是什麼樣的服務

>> Apple 裝置佈署管理 專題:(一) MDM 的前世今生、為什麼需要管理裝置

>> Apple 裝置佈署管理 專題:(二) MDM 的通訊、管理原理介紹

在介紹完 mdm 的概念之後,我們終於要進入到最末端的操作,也就是身為管理者,要怎麼來管理你佈署下去的這些裝置。也就是說,你會有一個伺服器(很多學校都用一台 Mac mini),然後在伺服器上可以設定你想要部屬下去的命令,比如說禁止用照相機,或是只能上公司網站之類的,然後所有的裝置透過網路收到命令之後,就會遵守規則。

 

首先我們要知道,要管理這些 mdm 裝置,我們不是只有一個選擇。對於許多有經驗 mdm 的人,可能以前碰過的都是原廠的 Profile Manager(描述檔管理程式)。

(圖片取自蘋果官網)

Profile Manager 由於是免費,所以絕大多數的校園採購,都是使用 Profile Manager 來管理,不過,雖然他是原廠的服務,但他唯一的優點,也只有免費了。

功能不多、操作常常沒反應、加上無法遠端管理,要設定功能幾乎一定要回到校園內的電腦前。這些缺點雖然赤裸,但也不能太苛求,這個 Profile Manager 當初本來就是一個實驗用途,並不適合做為正式商業使用,他作為實驗性質的任務早已經功成身退。所以除非是沒經費的校園可以拿來應急,不然已經是不建議繼續使用。

那麼,如果原廠的不行,還有其他選擇嗎?

有個最與原廠對齊的廠商 Jamf,就是業界最佳的選擇。這是一家信仰非常純正,單純歸類為第三方公司都有點侮辱他的信仰的一間公司。

Jamf

 

先說說 Jamf 與 Apple 到底有多密切好了。

  • Jamf 員工的來源,最大比例就是從 Apple 轉職來 Jamf 的。
  • Jamf 有一個部門,辦公室就在 Apple Park 裡面(領 Jamf 薪水掛 Apple 名牌進出)
  • Jamf 每年都會像 WWDC 一樣,辦一個 JNUC 管理者使用者大會。
  • JUNC 會有 Apple 的人來演講,WWDC 也有 Jamf 的人去演講。
  • Apple 辦公室、直營店等等,都是用 Jamf 來管理(以前是不能說的祕密,2019 年的 JNUC 第一次公開說)
  • 每年 Apple 作業系統一更新,Jamf 絕對是第零天就開始正式支援

看了以上幾點,直接把 Jamf 歸類在一般的第三方,好像說不太過去對吧,根本就是 Apple 的小弟了 XDD 而 Apple 會這麼挺 Jamf 也不是沒有原因,因為只有 Jamf 這麼忠心耿耿,就真的只做 Apple 裝置的服務,完全不想去賺 Apple 服務以外的錢,這是其他第三方廠商找不到的特色。

不過,Jamf 能作為全球 mdm 最強的廠商,靠的不只是蘋果撐腰,全美 10 大科技業,有 9 大是使用 Jamf 來管理 Apple Device,全球前 25 最有價值的品牌,有 20 間是使用 Jamf 來管理。而也不只是大型企業,中小企業、教育校園也都有合適的產品(畢竟校園的經費不可能跟大公司比擬),所以可以說,無論是你是各行各業,Jamf 都絕對有合適的成功案例給你信心參考。

而 Jamf 作為業界的霸主,除了連線穩、反應快,自然也有一些獨一無二的強項與優勢,雖然這些特色不可能在這篇文章中全部介紹完畢,但我們就挑幾個大家常常遇到的痛點來聊聊。

 

首先,Jamf 有 Cloud 版本。現在很多學校都是使用一台 Mac mini 當做伺服器,所以每次要改什麼設定,都要去那台 mini 的位置,可能是在一個平常沒人去的機房,辛苦的找到鑰匙,然後開始設定,常常為了伺服器不穩,只是為了要去重開機,也是要歷經層層關卡。

但 Jamf 是 Cloud 版本,然後是建在 Amazon 的 AWS 伺服器上,所以我們不但可以省下維護伺服器的費用跟精神,而且隨時隨地,只要能上網,都可以直接設定你的部屬條件,最重要的是:Cloud 服務是免費的,不用另外收錢。

 

再來,他們的管理架構是寫在系統層,而不是軟體層,這樣帶來的好處就是又快又穩,而且可以跟原生的架構結合在一起。比方說,我們就可以利用 T2 的加密特色整機加密,不用另外架一個容器空間單獨做一個加密磁碟區,又慢又不方便。

Jamf

 

許多學校老師會想要把 App Store 關閉,避免小朋友自己下載遊戲來玩。不過那樣一來,老師們如果真的需要某個教學 App,反倒就很麻煩。所以 Jamf 提供了一個 Self Service,就像是自家的 App Store 一樣。

關閉了 App Store 之後,管理員可以把真正需要用到的 App,放到 Self Service,讓老師們自己下載,而且過程中都不需要輸入 Apple ID。而除了放入原本 App Store 的 App 之外,在 Self Service 之中也可以放入電子書、各種工具等等,也可以分門別類,甚至不同部門、不同身分的人,看到的 Self Service 會是不一樣的內容。

這樣除了可以控管每個裝置不能亂下載檔案之外,也不用擔心從 Self Service 看到不屬於自己的內容。

 

把 MDM 做在系統層還有一個好處,就是在系統的深處,會埋一個叫做 Jamf Binary 的小衛兵。所以管理員可以利用這個 Jamf Binary,做到很多管理員權限的指令。

Jamf

 

智慧型的群組也是非常棒的一個功能,我們可以針對條件去下規則,比如說「在xx辦公室並且有裝xxx軟體的人,自動執行oo命令」,不但如此,正因為他是動態型的群組,可能原本不是該辦公室的人,調職位到這個辦公室之後,馬上就符合了這個規則,自動套用OO命令。

Jamf

 

看到這裡,你會發現,是的,不只能管 iOS,也可以管 macOS,甚至 Apple TV 也可以管理。

除此之外,作為業界最強的 MDM 解決方案,自然還有許多強而有力的功能。這邊我們就無法一一講解。之後的篇幅會帶到與 ABM 的結合,再請繼續閱讀。

如果對於 Jamf 有興趣的朋友,可以參考他們的 官網(點我) Facebook(點我)Twitter(點我),或是寫 email(點我) 給他們諮詢。

 

 

 392,472 total views,  150 views today