Der US-Anbieter
Jamf ist seit langen Jahren bekannt für seine auf Apple-Geräte spezialisierte Device-Management-Lösung Jamf Now. Diese wurde im Lauf der Zeit mit zusätzlichen Funktionen wie Jamf Protect und Jamf Threat Defense zur Malware-Abwehr oder Jamf Connect für die Integration mit Cloud-basierten Identity-Providern zu einer kompletten Plattform ergänzt und ist in verschiedenen Varianten erhältlich – mit einer Mindestzahl von 25 Devices beziehungsweise Nutzern.
Jamf-Plattform für alle
Im Sommer 2022 nun hat
Jamf eine neue Variante seiner Plattform lanciert, die auf die Bedürfnisse kleinerer Unternehmen abgestimmt ist. Sie nennt sich Jamf Fundamentals und bietet einen gegenüber Jamf Now erweiterten Funktionsumfang, der einige Features von Jamf Protect und Jamf Connect einschliesst. Bei dieser Lösung gibt es kein Device-Minimum: Die ersten drei Geräte lassen sich sogar kostenlos managen, für jedes weitere sind vier US-Dollar pro Monat fällig. Wir haben zu Testzwecken das Gratis-Angebot genutzt und Jamf Fundamentals mit einem Mac, einem iPad und einem iPhone getestet.
Als Erstes muss man sich von einem Mac oder PC aus bei Jamf Now registrieren – das Upgrade zu Jamf Fundamentals erfolgt später in den Einstellungen. Eine Registrierung via Mobilgerät ist nicht möglich, aber danach lässt sich die Lösung auch via Smartphone oder Tablet verwalten. Nach der Registrierung muss Jamf Now mit dem Apple Push Notification Service (APN) verknüpft werden. Dies ist ein einmaliger, aber mehrstufiger Vorgang: Zuerst lädt man über die Jamf-Now-Oberfläche einen sogenannten Certificate Signing Request herunter, den man dann in Apples Push-Certificate-Portal einträgt und dort ein Zertifikat generieren lässt und herunterlädt. Das Zertifikat wird sodann zu Jamf hochgeladen, und die APN-Konfiguration ist erledigt.
Geräte registrieren
Für die Registrierung der zu verwaltenden Macs, iPads und iPhones auf der Jamf-Plattform gibt es zwei Varianten: Beim Automated Device Enrollment, geeignet für neue oder neu aufzusetzende Devices, lädt
Jamf Fundamentals die vorher geplanten Konfigurationseinstellungen während der Aktivierung automatisch auf das Gerät herunter. Nachdem das Gerät zum ersten Mal eingeschaltet wird, ist es somit bereits auf der Jamf-Plattform registriert und kann mit Jamf verwaltet werden. Neue Apple-Hardware lässt sich so ohne Eingriff durch das IT-Team bereitstellen.
Das automatische Enrollment setzt einen Account bei Apple Business Manager oder Apple School Manager voraus, den Apple nach der Anmeldung innert einiger Tage aktiviert. Im Apple Business beziehungsweise School Manager wird dann Jamf als MDM-Server definiert.
Die zweite Variante, Geräte für Jamf zu registrieren, ist das Open Enrollment. Damit können Nutzer ihr Gerät, auch wenn es bereits eingerichtet ist, selbst für Jamf registrieren. Dies geschieht, indem im Browser auf dem Gerät die Open Enrollment URL aufgerufen und der vorher in den Jamf-Einstellungen eingetragene Access Code eingegeben wird.
Die registrierten Geräte zeigt Jamf Fundamentals unter der Rubrik Devices in einer Übersicht mit Gerätename, zugeordnetem User und Blueprint sowie Angaben zum Status an. Klickt man in der Übersicht auf ein Gerät, erscheint die Detailansicht, die eine Vielzahl von Informationen präsentiert. Dazu gehören zum Beispiel die OS-Version, die Seriennummer, die belegte und freie Speicherkapazität sowie Informationen zu diversen Jamf-spezifischen Einstellungen. Weitere Seiten der Detailansicht zeigen allfällige zum Gerät erfasste Notizen sowie die durch Jamf Fundamentals installierten Apps und deren Status an. In der Detailansicht stehen zudem über ein Popup-Menü verschiedene gerätebezogene Funktionen bereit, zum Beispiel Gerät herunterfahren, neustarten, löschen oder das Device einem anderen Blueprint zuordnen.
Beim Open Enrollment können Nutzer Ihre Geräte über einen Link selbst für Jamf Fundamentals registrieren. Beim Automated Enrollment geschieht dies automatisch im Rahmen der Geräteaktivierung. (Quelle: Jamf)
Dieser Mac ist bei Jamf Fundamentals registriert. Dazu legt der Dienst auf dem Computer ein Konfigurationsprofil mit weitreichenden Berechtigungen ab. (Quelle: Jamf)
Blueprints definieren
Das (Mobile) Device Management ergibt dann am meisten Sinn, wenn die von der Organisation gewünschten Apps, Einstellungen und Einschränkungen automatisch auf die Geräte gelangen. Was dabei genau gepusht wird, lässt sich in Form sogenannter Blueprints bündeln, wobei verschiedene Blueprints für unterschiedliche Anwendungsszenarien möglich sind – zum Beispiel für Geräte in unterschiedlichen Abteilungen oder für unterschiedliche Nutzerrollen. Von Haus aus stellt
Jamf drei Blueprints bereit, einen für das Management, einen für betriebliche Funktionen und einen dritten, der je nach angegebener Branche variiert. Weitere Blueprints lassen sich nach Belieben erstellen.
Ein Blueprint umfasst folgende Einstellungen:
- Apps, die automatisch auf die Geräte geladen werden
- Web Clips mit Links zu Webseiten, die auf dem Gerät wie ein App-Icon erscheinen
- Sicherheitseinstellungen wie Passcode erforderlich, Aktivierung von Filevault sowie Aktivierung des Malware-Schutzes und der Passwort-Synchronisation mit Identity-Providern für Single-Sign-on
- E-Mail-Adresse, die automatisch eingerichtet wird
- WLAN-Einstellungen
- Einschränkungen, die für das Gerät gelten
- Single App Mode
- Hintergrundbild für Lock Screen und Home Screen
- Nachricht, die auf dem Lock Screen erscheint (z.B. «Falls gefunden, E-Mail an xxxx@yyyy.ch» sowie eine von der Organisation definierte Asset-Nummer des Geräts)
- Spezifische Geräteprofile mit weiteren Einstellungen, die im Apple Configurator oder iMazing Profile Editor erstellt wurden
Für einige dieser vordefinierten Einstellungen, darunter die Einschränkungen und der Single App Mode, muss das betreffende Gerät sogenannt «supervised» sein. iPhones, iPads und Apple TVs lassen sich via Apple Configurator manuell in den Supervision-Modus versetzen. Ein Mac gilt nach dem Enrollment bei Jamf automatisch als supervised. Die Supervision kann zudem beim automatischen Enrollment aktiviert werden – wobei wie erwähnt der Apple Business oder School Manager zum Einsatz kommt. Auf Geräten im Supervision-Modus stehen neben den erweiterten Jamf-Einstellungen auch weitere Möglichkeiten wie automatische OS-Updates zur Verfügung.
In der Rubrik Einschränkungen lassen sich unzählige Restriktionen festlegen, die für das Gerät gelten sollen, und zwar in den Kategorien Apps, App Usage, Security & Privacy, Network & Cellular, iCloud, Siri, Wallpaper und Updates.
So lässt sich zum Beispiel bestimmen, dass der Nutzer selbst keine Apps oder Web Clips installieren oder keine Apps löschen darf. Oder dass Funktionen wie Airdrop und Airprint oder die Kamera oder Safari deaktiviert sind, dass die iCloud Photo Library nicht zugänglich ist oder Siri nicht zur Verfügung steht.
In einem Blueprint lassen sich Voreinsstellungen in acht Rubriken festlegen. Hier die Settings für Sicherheit und Privatsphäre samt Integration von Malware-Schutz und Passwortsychronisation. (Quelle: Jamf)
Für Geräte im Supervised-Modus können in einem Jamf-Fundamentals-Blueprint zahlreiche Einschräkungen definiert werden, zum Beispiel für den Umgang mit Apps. (Quelle: Jamf)
Apps automatisch installieren
Die automatische Installation von Apps ist an bestimmte Bedingungen geknüpft. Generell muss dazu für jede App ein Volume-Purchasing-Vertrag mit Apple bestehen. Die Apps lassen sich dann pro Gerät oder pro Apple ID der Nutzer verteilen. Auf iPhones und iPads können Gratis-Apps sowie eigenentwickelte Apps in Form von .ipa-Dateien naturgemäss ohne Volume Purchasing installiert werden – diese müssen dann aber vom User mit Updates versorgt werden.
Jamf kann nur Apps mit gerätebasiertem Assignment, das unabhängig vom User stattfindet, automatisch updaten, und dies geht ausschliesslich mit Volume-Purchasing-Apps. Auf Macs stehen für die automatische Installation die Apps aus dem Mac App Store zur Verfügung.
Die unter Apps erfassten Anwendungen können auf den Geräten je nach den Einstellungen im Blueprint automatisch installiert werden. Ohne Volume-Purchasing-Abkommen ist dies nur für Gratis-Apps möglich. (Quelle: Jamf)
Die Detailansicht zu einem Device fasst eine Vielzahl von Informationen im Kachel- oder Listenformat zusammen. Dazu gehören die Seriennummer, die Speicherkapazität und die installierte OS-Version. (Quelle: Jamf)
Malware-Schutz mit Jamf Protect
Jamf Fundamentals enthält eine Integration mit dem Malware-Schutz-Service
Jamf Protect für MacOS-Geräte ab MacOS 10.15, die auf Wunsch in den Blueprint-Einstellungen zur Security aktiviert werden kann. Jamf unterhält dazu eine eigene Threat-Datenbank mit Signaturen bekannter Malware und Reputationsinformationen zu Entwicklern.
Jamf Protect überwacht alle Prozesse beim Start auf Verdächtiges und blockiert sie, wenn Malware identifiziert wurde. Die fragliche App wird in Quarantäne versetzt. Der Dienst installiert auf den Macs ein Geräteprofil und einen Agenten. Beides verschwindet automatisch wieder vom Gerät, wenn die Option im Blueprint deaktiviert wird.
Passwort-Syncing via Jamf-Connect-Integration
Ebenfalls nur für Mac-Computer relevant ist die Passwortsynchronisation mit
Jamf Connect. Ist die entsprechende Option in den Blueprint-Einstellungen aktiviert, lassen sich Passwörter für verschiedene Zugänge mit der Identität des Nutzers synchronisieren. Jamf Connect verbindet sich dazu mit einem Cloud-basierten Identity Provider (idP). Die zweite Funktion von Jamf Connect ist die Überprüfung aller Passwörter auf Einhaltung von Standards wie minimale Länge oder Passwortwechsel in vorgegebenen zeitlichen Abständen.
Während Jamf Connect für die Enterprise-Abos viele IdPs unterstützt, funktioniert Jamf Fundamentals nur mit Azure AD und Okta. Auch sonst sind nicht alle Features von Jamf Connect verfügbar. So unterstützt der Dienst in Jamf Fundamentals nur die App im Menübalken, das Login-Fenster lässt sich nicht nutzen.
Das Aufsetzen der Passwortsynchronisation mit Azure AD oder Okta ist ein eher komplexer Vorgang, der in der Online-Dokumentation zu Jamf Connect gut beschrieben ist, aber Vorkenntnisse der Funktionsweise der IdPs voraussetzt. Während sich die übrigen Möglichkeiten von Jamf Fundamentals relativ einfach und intuitiv nutzen lassen, erfordert der Umgang mit Jamf Connect durchaus IT-Erfahrung.
Fazit
Jamf Fundamentals bietet zu einem relativ geringen Preis alle Features der Device-Management-Lösung
Jamf Now für Macs, iPads, iPhones und Apple TVs, kombiniert mit Malware-Schutz für Macs und Passwortsynchronisation mit Azure AD oder Okta. Die umfassende Funktionsvielfalt bringt eine nicht ganz triviale Bedienung mit sich und erfordert einiges an Lernaufwand, dennoch lässt sich die Lösung in den meisten Teilen ohne Schwierigkeiten nutzen. Jamf stellt eine sehr ausführliche Online-Dokumentation mit vielen Schritt-für-Schritt-Anleitungen und Videos bereit – man darf sich nur nicht von den Produktbezeichnungen verwirren lassen: In der Doku ist generell von Jamf Now die Rede, das ein Teil von Jamf Fundamentals ist.
Positiv+ umfassendes Device Management für Apple-Geräte
+ zusätzlich Malware-Schutz und IdP-Integration
+ günstiger Gesamtpreis
Negativ- Bedienung nicht immer selbsterklärend
- für gewisse Funktionen Rückgriff auf Apple Configurator, Business oder School Manager erforderlich
Hersteller / AnbieterJamfPreisBis 3 Devices gratis, jedes weitere Device 4 US-Dollar pro Monat
WertungFunktionalität 5 von 6 Sternen
Bedienung 4 von 6 Sternen
Preis / Leistung 5 von 6 Sternen
Gesamt 4.5 von 6 Sternen
(ubi)