Jamf Connect 2.33.0 版本中新增了账户提权功能,这个功能允许标准用户发起临时提权操作,提升为管理员后顶部菜单将显示本次提权倒计时,当计时结束后,用户账户权限将自动降为标准用户。
以往,Jamf Pro 客户只能通过脚本策略用来实现临时提权和降权,但是对于不熟悉脚本的 Jamf Pro 管理员来说可能有点难度。如果需要做出调整或进行故障诊断,这可能又会增加一道心里门槛。总之,脚本方式需要管理员对 Shell 语言、逻辑判断、macOS 提权降权原理、LaunchAgent、LaunchDaemon、日志记录等都有一定的了解。
如果您也有购买 Jamf Connect 产品,那么恭喜您,您不需要额外付费即可立即使用这一功能。此功能要点如下:
- 允许标准用户临时提升为管理员。
- 可要求用户选择提权原因。
- 可限定哪些用户可以执行临时提权操作。
- 可设定提权后的限时,不同用户可以有不同的限时。
- 限时期间可显示倒计时。
- 限时结束后将自动降为普通用户。
- 用户提权记录将自动保存在日志中
当用户执行提权操作时,需选择或输入本次提权原因,这将方便管理员后期审查。
但是您可能需要限定哪些用户可以执行提权操作,因此,您可以要求用户进行一次身份验证,以便核实其是否有提权的权限。以 Azure AD 为例,如下图所示,身份核验通过过将立即获得管理员权限,同时顶部菜单将显示降权倒计时。
如果您希望能够便捷地查看用户提权记录,可通过创建 Jamf Pro 扩展属性,然后您就可以在 Jamf Pro 控制台查看客户端电脑的提权用户、提权原因以及提权时间等日志。
如您想详细了解这一功能,或在使用 Jamf Connect 产品过程中有任何问题,欢迎与我们联系。