- français
- English
Jamf Remote Privacy
Jamf Remote Privacy
Note concernant la vérification de la demande de partage d’écran (Screen Sharing Request) par Jamf…
Banc de test: Mac mini cible, un macOS 10.14.5:
https://mdm-apple-lab.epfl.ch:8443/computers.html?id=48&o=r&v=management
1️⃣ Ne pas oublier d’envoyer préalablement la commande [ Enable Remote Desktop ], qui activera le “Remote Management” (dans System Preferences, Sharing, Remote Management)
Attention: cette commande n’existe que pour les macOS enrôlés via PreStage-DEP !
Pour les autres macOS il faut accorder cette autorisation directement depuis le client…
2️⃣ Ouvrir l’application Jamf Remote, avec l’identité (dédiée pour ce test) “jamfremote”, mot de passe “open” (c’est pour un test !) dont les privilèges sont restreints au strict minimum pour ce test:
https://mdm-apple-lab.epfl.ch:8443/accounts.html?id=4
⚠️ L’option "Screen Share with Remote Computers Without Asking” est désactivée pour cet utilisateur, l'obligeant à demander l'autorisation de voir l'écran.
Privilèges accordés à l'utilisateur Jamf Remote
…ainsi qu'à tous les "Custom"
| Add Dock Items Remotely | |
| Bind to Active Directory Remotely | |
| Change Management Account Remotely | |
| Enable Disk Encryption Configurations Remotely | |
| Install/Uninstall Software Remotely | |
| Manage Local User Accounts Remotely | |
| Map Printers Remotely | |
| Perform Maintenance Tasks Remotely | |
| Reboot Computers Remotely | |
| Run Scripts Remotely | |
| Screen Share with Remote Computers | ✅ |
| Screen Share with Remote Computers Without Asking | ❌ |
| Search for Files/Processes Remotely | |
| Set Open Firmware/EFI Passwords Remotely | |
| Use Jamf Remote | ✅ |
3️⃣ Sélectionnez depuis l’application Jamf Remote le Mac “Francois’s Mac mini” (le site “VPSI-Test” est imposé à l’utilisateur ci-dessus), et cliquez “Screen Share”…
Après quelques instants, cette boite de dialogue (attendue) apparaitra sur le Mac observé:
Et si ce dernier l’accepte, cette boite de dialogue apparaitra sur le Mac observateur:
Mais attention, si vous vous identifiez sur l’application Jamf Remote avec un utilisateur aux privilèges “Administrateur”, alors la boite de dialogue “Screen Sharing Request” n’apparaitra pas !
Mais heureusement, les administrateurs de Sites sont confinés à leur propre Site, et ne pourront pas observer les administrés d’autres sites !
Font exception à ces restrictions, les membres du groupe AD "MDM-Apple-Admins_AppGrpU”, qui ne comporte actuellement que 3 membres, et qui sont à la fois “Full Access” (= tous les Sites) et “Administrateurs” (= pleins droits).
Tableau des privilèges de groupes et leur périmètre
| Site Access | Full Access | |
|---|---|---|
| Admin Privileges |
15 groupes confinés dans leur Site
MDM-Apple-BBP |
1 groupe Comprenant les membres
Esposito Marc |
| Custom Privileges |
0 groupe "Enrollment only"
|
1 groupe avec "Ask for permission" |
Explications:
1) Les groupes Admin ne demandent pas l'autoritation d'observer & contrôler l'écran, mais ne peuvent accéder qu'aux Mac de leur propre Site.
2) Les groupes Custom demandent l'autorisation d'observer & contrôler l'écran
Remarque:
“Admin” est un modèle figé auquel on ne peut restreindre les droits. Seul les réglages “Custom” peuvent être configurés.
14 avril 2020