使用MDM部署与升级macOS客户端

本文讨论如何配置移动设备管理(MDM)以便为帐户中的SDP用户部署和更新macOS客户端。

此功能支持macOS客户端v5.0及更高版本。

概述

从macOS客户端v5.0开始,您可以配置Cato管理应用程序使用MDM来管理组织中的macOS客户端的部署和更新。 所有客户端更新均通过MDM控制,终端用户不会收到新客户端版本的通知。

macOS客户端的管理部署与升级的高层工作流程

这是实施MDM解决方案在您帐户中的macOS客户端的工作流程概述。

  1. 从导航菜单中,单击 Access > Client Rollout

  2. 单击 Upgrade Policy标签。

  3. 对于macOS客户端,选择 Managed by Admin

  4. 导入macOS包。

  5. 配置MDM以创建允许终端用户使用DMG扩展和VPN配置文件的访问权限策略。

    否则,终端用户需要在macOS中手动批准和允许上述项目。

  6. 在MDM中,将新的macOS客户端版本分发给账户中的终端用户。

导入macOS包

要在您的帐户中使用macOS客户端的管理升级,首先需要将包导入到MDM中。

示例JAMF导入macOS包的步骤

  1. 从导航菜单中,选择Settings > Computer Management

  2. 选择Packages并单击New

  3. 输入Display Name

  4. 点击Choose File并选择macOS客户端包。

  5. 点击Save

    macOS客户端包已导入到JAMF中。

使用MDM自动允许客户端的macOS权限

从macOS客户端v5.0起,安装客户端在macOS主机上需要以下权限:

  • 允许Cato客户端创建VPN配置文件

  • 允许Cato客户端的系统扩展

您可以配置MDM,以便在新客户端版本的安装过程中自动允许终端用户使用这些权限。 否则,终端用户必须在安装过程中手动配置macOS设置。

允许VPN配置文件的权限

在MDM中,创建一个包含设置的VPN有效负载,以便自动设置macOS允许Cato客户端VPN配置文件的权限。 当安装客户端时,VPN配置文件的权限已正确设置,并且macOS不会要求终端用户手动配置。

设置

连接名称

Cato Networks VPN

连接类型

自定义SSL(从下拉菜单中)

标识符

com.catonetworks.mac.CatoClient

服务器

vpn.catonetworks.net

账户

CatoClientVPN

提供商包标识符

com.catonetworks.mac.CatoClient.CatoClientSysExtension

用户身份验证

  1. 选择Password选项。

  2. 取消选择Send all traffic through VPN选项。

提供商类型

数据包隧道

提供商指定的需求

anchor apple generic and identifier "com.catonetworks.mac.CatoClient" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = CKGSB8CH43)

示例JAMF设定VPN设置权限的步骤

创建新配置文件,然后配置该配置文件的VPN设置。

  1. 为macOS客户端创建配置文件:

    1. 从导航窗格中,选择Computers > Configuration Profiles

    2. 点击New并为Cato客户端创建一个新的配置文件。

      General.png

  2. 编辑VPN设置,以允许配置文件的VPN权限(根据上表中的数据):

    1. Configuration Profiles中,编辑您在上一步中创建的配置文件,然后选择VPN

    2. 输入VPN类型连接类型标识符、服务器账户提供商包标识符的设置。

      VPN_provider_Bundle_Identifier.png

    3. 配置用户身份验证提供商类型提供商指定的需求的设置。

      VPN_Provider_Designated_Requirement.png

允许系统扩展

在 MDM 中,配置策略以允许 macOS客户端 使用的系统扩展。 当安装客户端时,系统扩展权限已正确设置,并且macOS不会要求终端用户手动配置。

设置

显示名称

CatoClient 系统扩展

系统扩展类型

允许的系统扩展

团队标识符

CKGSB8CH43

允许的系统扩展

  • com.catonetworks.mac.CatoClient

  • com.catonetworks.mac.CatoClient.CatoClientSysExtension

设置系统扩展权限的示例 JAMF 程序

编辑 系统扩展 设置,以允许配置文件的系统权限(基于上表格中的数据)。

  1. 选择允许用户批准系统扩展

  2. 输入显示名称

  3. 选择 系统扩展类型

  4. 输入团队标识符

  5. 确保已批准的系统扩展的值是正确的。

  6. 保存对 macOS客户端配置文件的更改。

分发macOS客户端

在 MDM 中,选择接收 Cato VPN 配置文件的用户和组。 然后创建一个新的策略包含 macOS 包,并将策略推送给用户。

在部署期间抑制EULA屏幕

从macOS v5.10.6开始,您可以部署抑制EULA屏幕的静默安装。

在部署期间抑制EULA屏幕:

  1. 在文本编辑器中打开配置文件。

  2. 在文件的PayloadContent部分中,在mcx_preference_settings下包括以下内容:

    <dict>
      <key>suppressEULAScreen</key>
      <integer>1</integer>
</dict>

  3. 保存文件。

JAMF的示例配置文件已附加到此文档。

分发 macOS 客户端的示例 JAMF 程序

  1. 计算机 > 配置文件 中,选择接收 Cato VPN 配置文件的组或特定用户。

  2. 创建一个新策略并添加 macOS 包。

    1. 计算机 > 策略 中,创建一个新策略。

    2. 常规 部分中,配置这些设置:

      1. 输入 显示名称

      2. 根据贵组织的要求配置其他策略设置。

    3. 部分,添加 macOS 客户端包。

  3. 点击 保存。 该配置文件已准备好将客户端分发到 macOS 设备。

已知限制

  • 如果您使用 MDM 升级客户端,有时会弹出请求权限以允许系统扩展和 VPN 配置安装的窗口。

    为防止该问题,可先分发 DMG 扩展权限和 VPN 负载,然后将客户端分发到 macOS 主机。

这篇文章有帮助吗?

4 人中有 2 人觉得有帮助

0 条评论