Jamf Pro 三大憑證更新原則概觀
- Ray Hsu
本文旨在建議更新三大憑證的時機與保留足夠的時間以便後續處理問題與障礙的部分
推播憑證
請不要短時間內重複更新推播憑證,這會導致還沒接收到前次更新的電腦或裝置脫管
此憑證一旦過期將會導致已監管中的裝置全部無法管控,全數裝置必須重新設定進入監管
裝置在推播憑證的僅剩有效期內沒有接收到更新的新憑證的話,導致的結果也會如同憑證過期
裝置若是手動註冊監管方式操作,或透過 PreStage 註冊的裝置使用者是具有管理權限時,僅只需要在推播憑證更新後操作退出監管與重新進入監管即可,若要參考退出監管方式可參考此篇文章
原則上我們會在以下條件發出即將更新憑證的請求,強烈建議在推播憑證的到期前一個月之前完成更新
到期前的 120 天至 90 天內(剩下三至四個月有效期時)發起內部流程開始確認下一季是否需要連同定期維護(僅到場服務客戶)一起操作更新
到期前 90 天內至 60 天內(剩下兩至三個月有效期時)與客戶發起會議需求確認本季更新三大憑證會議
到期前 60 天內至 30 天內(僅剩不到兩個月有效期時)線上引導或到場服務協助更新三大憑證
到期前 30 天內(不到一個月有效期時)原則上我們會強烈建議不要讓推播憑證的有效期小於一個月,若管理中的裝置有經常未上線的裝置,則需要在更新憑證後讓裝置上線接收更新
在更新的過程中我們需要注意以下事項
請使用同一個 Apple ID 展延憑證更新
請確認 MDM Push Certificate 中的 Push Topic 顯示為一致的 ID
在更新流程中,必須在 Jamf Pro 的登入階段過期前完成更新,否則必須重新操作更新
以往在 APNs 過期之後的 30 天內必須透過 Apple 客服操作更新修復的操作,目前 Apple 提供過期後的 30 天內依然可以自助更新推播憑證,此寬限期內的監管裝置依然會處於脫管狀態,我們並不樂見這種狀況發生
自動裝置註冊權杖
此權杖會在蘋果更新 Apple Business Manager 政策文件時具有假性過期的可能,請定期確認登入 ABM 之後沒有跳出需要閱讀的文件與授權項目,以避免假性過期的發生,當接受新文件合約之後,此狀態會得以解除
原則上我們僅只需要注意以下事件的狀態即可
採購新裝置之後若此權杖無法使用,那麼裝置即無法被 Jamf Pro 同步資訊,即無法註冊裝置
若此權杖無法使用,則重新指定新的 PreStage Profile 將無法被正確執行
大量採購方案權杖
此權杖會在蘋果更新 Apple Business Manager 政策文件時具有假性過期的可能,請定期確認登入 ABM 之後沒有跳出需要閱讀的文件與授權項目,以避免假性過期的發生,當接受新文件合約之後,此狀態會得以解除
原則上我們僅只需要注意以下事件的狀態即可
採購新 App 之後若此權杖無法使用,那麼 App 資訊即無法被 Jamf Pro 同步,即無法授權 App
派發 Mac App Store 的 App 至電腦或裝置時,若此權杖無法使用,則不會派發成功,會出現無法取得授權的推播錯誤訊息在 Jamf Pro 的資產資訊的管理分頁內顯示為錯誤的指令
Related content
© KlickKlack Co., Ltd. All rights reserved.