如何在有回收管理員權限的 BYOD 設備上移除監管且不清除資料將設備歸還給終端使用者

Owned by Ray Hsu
2024/12/13
2 min read

在企業監管設備環境中移除特定電腦的監管環境可能會造成不必要的企業資料外洩風險,我們不建議在 BYOD 設備上直接移除監管環境,應先請終端使用者備份個人資料後,重設電腦後才歸還裝置

本指引中以 Entra ID 登入且有回收管理員權限為例,若您有 Google ID 或 Okta 登入環境,部分細節將有不同,請與我們聯絡來獲得支援訊息

基礎條件

若終端設備要能夠安全的清除監管環境歸還設備給使用者,必須滿足以下全部條件,否則我們無法保證在移除監管之後設備還能夠正常的運行

  1. 使用者必須擁有 SecureToken 權限(即具有 FileVault 解鎖能力)

  2. 滿足可授權管理權限的以下任一方式

    1. 具有編輯 Jamf Connect 企業應用程式之 Entra ID 管理員

    2. 其他具有 SecureToken 權限之管理者帳號

確認 SecureToken 是否存在

透過「終端機」執行以下指令

sysadminctl -secureTokenStatus $USER

若顯示為 Secure token is ENABLED for user 即滿足要求

歸還權限操作

透過 Entra ID 指派權限

指派終端使用者權限後,該使用者皆能夠在任一 mac 電腦登入取得或提升成為管理員權限,操作完本篇指引之後應將該臨時指派刪除

image-20241213-090518.png

  1. 前往 Azure Portal 進入 Entra ID 企業應用程式

  2. 進入 Jamf Connect 應用程式

  3. 進入使用者與群組

  4. 新增使用者或群組

  5. 授權使用者管理員權限

  6. 終端設備登出

  7. 重新使用 Entra ID 登入 Jamf Connect

  8. 確認使用者權限已提升即可

image-20241213-090612.png

透過其他具有 SecureToken 權限之管理員授權權限

  1. 開啟系統設定

  2. 點選使用者與群組

  3. 點選使用者帳號旁邊的 圖示

  4. 點選允許這個使用者管理電腦

依序移除監管環境操作

移除 MDM Profile

自助移除 MDM Profile

若使用者為自助 Enroll 的方式導入,將可以透過以下操作自行移除 MDM Profile

  1. 開啟系統設定

  2. 點選一般中的裝置管理(此項目的位置與名稱可能會因為系統版本而有所不同)

  3. 點選 MDM Profile 項目後點選下方的減號按鈕移除 MDM Profile

管理員推送 MDM Profile 移除指令

  1. 在 Jamf Pro 後台中找到該設備資產資料

  2. 點選管理分頁

  3. 點選移除 MDM Profile 按鈕

移除 Jamf Connect

請參考官方說明文件操作

https://learn.jamf.com/bundle/jamf-connect-documentation-current/page/Uninstalling_Jamf_Connect.html

移除 Jamf Protect

請參考官方說明文件操作

https://learn.jamf.com/bundle/jamf-protect-documentation/page/Uninstalling_Jamf_Protect.html

移除 Jamf Binary

執行以下指令即可

sudo jamf removeFramework

手動移除企業派送應用程式

若來源為 Mac App Store 之應用程式,我們可以不予以理會,這些應用程式在移除 MDM Profile 的同時理應已經自我卸載

其他來源為政策派送或 Jamf App Catelog 指派之應用程式,請依照貴單位資訊安全政策確認是否需要移除軟體,若不需要移除則不需要其他操做,若有需要移除則需要依照個別軟體的移除參考文件操作

後續確認

若終端設備能夠滿足以下全部條件即已完成安全移除監管環境,設備可以歸還給使用者攜回

  1. 能夠正常重新開機登入帳號與進入桌面

  2. 開啟「終端機」能夠執行以下指令並返回結果為 root

    sudo whoami

  3. 設備中已無其他經由 Mac App Store 指派之企業軟體

© Copyright 2024 | KlickKlack Co., Ltd