Jamf Remote Privacy

Jamf Remote Privacy

Note concernant la vérification de la demande de partage d’écran (Screen Sharing Request) par Jamf…

Banc de test: Mac mini cible, un macOS 10.14.5:

https://mdm-apple-lab.epfl.ch:8443/computers.html?id=48&o=r&v=management

 

1️⃣ Ne pas oublier d’envoyer préalablement la commande [ Enable Remote Desktop ], qui activera le “Remote Management” (dans System Preferences, Sharing, Remote Management)

Attention: cette commande n’existe que pour les macOS enrôlés via PreStage-DEP !

Pour les autres macOS il faut accorder cette autorisation directement depuis le client…

 

2️⃣ Ouvrir l’application Jamf Remote, avec l’identité (dédiée pour ce test) “jamfremote”, mot de passe “open” (c’est pour un test !) dont les privilèges sont restreints au strict minimum pour ce test:

https://mdm-apple-lab.epfl.ch:8443/accounts.html?id=4

⚠️ L’option "Screen Share with Remote Computers Without Asking” est désactivée pour cet utilisateur, l'obligeant à demander l'autorisation de voir l'écran.

 

Privilèges accordés à l'utilisateur Jamf Remote

…ainsi qu'à tous les "Custom"

Add Dock Items Remotely  
Bind to Active Directory Remotely  
Change Management Account Remotely  
Enable Disk Encryption Configurations Remotely  
Install/Uninstall Software Remotely  
Manage Local User Accounts Remotely  
Map Printers Remotely  
Perform Maintenance Tasks Remotely  
Reboot Computers Remotely  
Run Scripts Remotely  
Screen Share with Remote Computers
Screen Share with Remote Computers Without Asking
Search for Files/Processes Remotely  
Set Open Firmware/EFI Passwords Remotely  
Use Jamf Remote

 

 

3️⃣ Sélectionnez depuis l’application Jamf Remote le Mac “Francois’s Mac mini” (le site “VPSI-Test” est imposé à l’utilisateur ci-dessus), et cliquez “Screen Share”…

 

 

Après quelques instants, cette boite de dialogue (attendue) apparaitra sur le Mac observé:

 

Et si ce dernier l’accepte, cette boite de dialogue apparaitra sur le Mac observateur:

 

 

Mais attention, si vous vous identifiez sur l’application Jamf Remote avec un utilisateur aux privilèges “Administrateur”, alors la boite de dialogue “Screen Sharing Request” n’apparaitra pas !

Mais heureusement, les administrateurs de Sites sont confinés à leur propre Site, et ne pourront pas observer les administrés d’autres sites !

Font exception à ces restrictions, les membres du groupe AD "MDM-Apple-Admins_AppGrpU”, qui ne comporte actuellement que 3 membres, et qui sont à la fois “Full Access” (= tous les Sites) et “Administrateurs” (= pleins droits).

 

Tableau des privilèges de groupes et leur périmètre
 

  Site Access Full Access
Admin
Privileges

 15 groupes confinés dans leur Site

  MDM-Apple-BBP
  MDM-Apple-CDM
  MDM-Apple-ECAL
  MDM-Apple-ENAC
  MDM-Apple-EXDESK
  MDM-Apple-IC
  MDM-Apple-SB
  MDM-Apple-SB-IPHYS
  MDM-Apple-SB-ISIC
  MDM-Apple-SB-MATH
  MDM-Apple-SB-SPC
  MDM-Apple-SSC
  MDM-Apple-STI
  MDM-Apple-SV
  MDM-Apple-VPSI

 1 groupe

 MDM-Apple-Admins

 Comprenant les membres

  Esposito Marc
  Fabbri Pascal
  Roulet François

Custom
Privileges

 0 groupe "Enrollment only"

  SI-PersonnelU*

 1 groupe avec "Ask for permission"

  MDM-Apple-Core

Explications:

1) Les groupes Admin ne demandent pas l'autoritation d'observer & contrôler l'écran, mais ne peuvent accéder qu'aux Mac de leur propre Site.

2) Les groupes Custom demandent l'autorisation d'observer & contrôler l'écran

Remarque:
Admin” est un modèle figé auquel on ne peut restreindre les droits. Seul les réglages “Custom” peuvent être configurés.

 

14 avril 2020