使用MDM部署和升级macOS客户端

本文讨论如何配置移动设备管理(MDM)以在您的账户中为SDP用户部署和更新macOS客户端。

此功能支持macOS客户端v5.0及更高版本。

概述

从macOS客户端v5.0开始,您可以配置Cato管理应用程序使用MDM来管理组织中的macOS客户端的部署和更新。 所有客户端更新均通过MDM控制,最终用户不会收到新客户端版本的通知。

macOS客户端的托管部署和升级的高级工作流程

这是在您的账户中实施macOS客户端MDM解决方案的工作流程概览。

  1. 在导航菜单中,单击 访问 > 客户端部署

  2. 单击 升级策略标签。

  3. 对于macOS客户端,选择 由管理员管理

  4. 导入macOS软件包。

  5. 配置MDM以创建允许最终用户使用DMG扩展和VPN配置文件的策略。

    否则,最终用户需要手动在macOS中批准并允许上述项目。

  6. 在MDM中,将新macOS客户端版本分发给您账户中的最终用户。

导入macOS软件包

要在您的账户中使用macOS客户端的管理升级,首先需要将软件包导入到MDM中。

导入macOS软件包的JAMF示例程序

  1. 从导航菜单中,选择 设置 > 计算机管理

  2. 选择 软件包并单击 新建

  3. 输入 显示名称

  4. 单击 选择文件并选择macOS客户端软件包。

  5. 单击 保存

    macOS客户端软件包已导入到JAMF中。

使用MDM自动允许客户端的macOS权限

从macOS客户端v5.0开始,安装客户端在macOS主机上需要以下权限:

  • 允许Cato客户端创建VPN配置文件

  • 允许Cato客户端的系统扩展

您可以配置MDM自动允许这些权限作为新客户端版本安装过程的一部分。 否则,最终用户必须手动配置macOS设置作为安装过程的一部分。

允许VPN配置文件的权限

在MDM中,创建VPN负载,其中包含自动设置macOS允许Cato客户端VPN配置文件权限的设置。 安装客户端时,VPN配置文件权限已正确设置,macOS不会要求最终用户手动配置。

设置

连接名称

Cato Networks VPN

连接类型

自定义SSL(从下拉菜单)

标识符

com.catonetworks.mac.CatoClient

服务器

vpn.catonetworks.net

账户

CatoClientVPN

提供商包标识符

com.catonetworks.mac.CatoClient.CatoClientSysExtension

用户身份验证

  1. 选择 密码选项。

  2. 清除 通过VPN发送所有流量选项。

提供商类型

数据包隧道

提供商指定要求

anchor apple generic and identifier "com.catonetworks.mac.CatoClient" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = CKGSB8CH43)

设置VPN设置权限的JAMF示例程序

创建新的配置文件,然后为该配置文件配置VPN设置。

  1. 为macOS客户端创建配置文件:

    1. 从导航窗格中,选择 计算机 > 配置文件

    2. 单击 新建并为Cato客户端创建一个新的配置文件。

      General.png

  2. 编辑 VPN设置以允许配置文件的VPN权限(基于上表中的数据):

    1. 配置文件中,编辑您在上一步中创建的配置文件并选择VPN

    2. 输入 VPN类型连接类型标识符、服务器账户提供商包标识符的相关设置。

      VPN_provider_Bundle_Identifier.png

    3. 配置 用户身份验证提供商类型提供商指定要求的相关设置。

      VPN_Provider_Designated_Requirement.png

允许系统扩展

在MDM中,配置策略以允许macOS客户端使用的系统扩展。 安装客户端时,系统扩展权限已正确设置,macOS不会要求最终用户手动配置。

设置

显示名称

CatoClient系统扩展

系统扩展类型

允许的系统扩展

团队标识符

CKGSB8CH43

允许的系统扩展

  • com.catonetworks.mac.CatoClient

  • com.catonetworks.mac.CatoClient.CatoClientSysExtension

设置系统扩展权限的JAMF示例程序

编辑系统扩展设置以允许配置文件的系统权限(基于上表的数据)。

  1. 选择允许用户批准系统扩展

  2. 输入显示名称

  3. 选择系统扩展类型

  4. 输入团队标识符

  5. 确保批准的系统扩展的值是正确的。

  6. 保存macOS客户端配置文件的更改。

分发macOS客户端

在MDM中,选择接收Cato VPN配置文件的用户和组。 然后使用macOS软件包创建新策略,并将策略推送给用户。

部署期间抑制EULA屏幕

从macOS v5.10.6开始,您可以部署静默安装来抑制EULA屏幕。

在部署期间抑制EULA屏幕:

  1. 在文本编辑器中打开配置文件。

  2. 在文件的PayloadContent部分下的mcx_preference_settings中,包括以下内容:

    <dict>
      <key>suppressEULAScreen</key>
      <integer>1</integer>
</dict>

  3. 保存文件。

一个用于JAMF的配置文件示例已附加到此文档。

分发macOS客户端的JAMF示例程序

  1. 计算机 > 配置文件中,选择接收Cato VPN配置文件的组或特定用户。

  2. 创建新的策略并添加macOS软件包。

    1. 计算机 > 策略中,创建新的策略。

    2. 常规部分开始,配置这些设置:

      1. 输入 显示名称。

      2. 根据您组织的要求配置其他策略设置。

    3. 软件包部分中,添加macOS客户端软件包。

  3. 单击 保存。 配置文件已准备好将客户端分发到macOS设备。

已知限制

  • 如果您使用MDM升级客户端,有时会显示弹出窗口,请求允许安装系统扩展和VPN配置。

    为了防止此问题,您可以先分发DMG扩展的权限和VPN负载,然后将客户端分发到macOS主机。

这篇文章有帮助吗?

4 人中有 2 人觉得有帮助

0 条评论