為了支援 macOS 使用者能完成工作,從部署各式各樣的第三方軟體,像是文書軟體、瀏覽器、程式編輯器、回報目前使用者所使用的軟體版本,一直到更新已裝在 Mac 上的第三方軟體,都能在 Jamf Pro 的幫忙下完成。
然而,有別於 macOS 對於升級作業系統有延後最大 90 天的機制,第三方軟體在 macOS 作業系統上的更新方式顯得更為多元,但對於 IT 同仁來說也增加了理解的成本與選擇困難。這篇文章簡要的整理出,在 Jamf Pro 的幫忙下,能以哪些型式派發更新至 macOS 設備上,主要分成以下 3+1 點:
- Jamf App Catalog
- Patch Management
- Self Updater
- 使用 Mac App Store 部署的
Jamf App Catalog
Jamf App Catalog 是一個非常方便的 Jamf Pro 功能,只要你是使用 Jamf Cloud 就能在 Jamf Pro > 電腦 > Mac App > 新增 > Jamf App 目錄下找到它。
有別於以往部署軟體和更新軟體是兩件事情,Jamf App Catalog 將它整合在一起。IT 人員再也不需要去重新打包第三方軟體的安裝程式,也不用去追蹤某個軟體是否出了新版、不需要擔心這個軟體的安裝檔是否為合法正版。Jamf App Catalog 直接搞定所有的事情。
Jamf App Catalog 是一個由 Jamf 維運的雲端服務,它會主動的去了解清單上的軟體有沒有最新版,如果有便會自動進行打包,確保軟體的來源合法。這個功能有幾個好處:
- IT 人員不用自己追蹤版本號、不用自己打包
- 該第三方軟體在使用者電腦上永保如新
當然,也帶來幾個不方便的地方:
- 截至寫作當下,Jamf App Catalog 會自動更新電腦上的該應用程式,不能夠放在自助服務區給用戶自行選擇更新時間。
- 因為會確保第三方軟體為最新,IT 人員無法控制更新時序。例如想要先測試過後才部署給用戶,這個就無法。
Jamf App Catalog 的清單如列:https://docs.jamf.com/jamf-app-catalog/App_Installers_Software_Titles.html
Jamf App Catalog 的使用文件:
https://docs.jamf.com/zh/jamf-pro/documentation/App_Installers.html?hl=app%2Cinstaller
Patch Management
你可以在 Jamf Pro > 電腦 > 修補程式管理中使用此功能。Patch Management 給予 IT 人員更多彈性的設定,你可以只把 Patch Management 當做儀表板使用,了解公司 Mac 機隊裡某個軟體的版本使用情況。Jamf Pro 也會自動的幫你追蹤某軟體的最新版本號,你只需要把相對應版本的安裝程式上傳至 Jamf Pro 裡,再制定 Patch Policy 就能開始部署。
Patch Management 能協助的修補方式很多元,例如:
- 強制某個未知的版本修補至特定版本
- 將該修補程式放在 Jamf Self Service 裡,方便使用者有空時自行修補
- 設定「最終期限」。若使用者沒在指定的時間前於 Jamf Self Service 完成修補,系統將強制進行
- 在修補前後彈出訊息給使用者,以便修補順利。該訊息可自訂。
方便的地方像是:
- IT 人員可以先進行軟體測試後,才設定政策進行部署。
- 可以搭配智慧型群組,循序漸進的擴展到全公司。
當然也有些要注意的:
- 當新版本出來時,IT 人員測試過後,需要將該版本的軟體安裝包上傳至 Jamf Pro。,例如:
Self Updater
其實 Self Updater 這個字是我自己另外取的,它真正想要帶出來的意思是,有些第三方軟體廠商像是 Microsoft、Google 或 Adobe,都有開發自己的更新程式。只要今天推出了新版本,這個更新程式就會跳出來請使用者去更新。而這些廠商「通常」也會考量到大量修補的管理需求,因此各家也有各家的策略去進行修補。
以 Microsoft Office 為例好了,從 Office 2019 以後,Microsoft 就推出了好幾個新的頻道,只要利用 Jamf Pro 設定 Microsoft AutoUpdater 的頻道,就能做到:
- 延遲 3~45 天的更新
- 鎖定 Office 在某個版本
- 測試 Office 的 Beta 或 Preview 版
搭配上 Jamf Pro 的智慧型群組,就能做到某一個部門/組別永遠都能當先鋒用戶,測試過後沒問題,再逐漸擴大給更多使用者。所以 Jamf Pro 上的設定就很簡單,只要做好先鋒組別的智慧型群組,並把這個群組裡的 Microsoft AutoUpdater 指定為 Current,而其它的使用者則指定為 Defer.21(延遲 21 天)。
這樣的好處是:
- 近乎自動化,IT 人員設定一次後,未來就交給 Microsoft AutoUpdater 與 Jamf Pro 智慧型群組來搞定
- 如果要指定某群電腦只能停留在某個版本也行,只是不推薦(因為太久沒修補會有資安風險)
更多的內容,可以參考 What's new with Microsoft Office and Jamf Pro? | JNUC 2021。
圖片來源:What's new with Microsoft Office and Jamf Pro? | JNUC 2021
在 Jamf Pro 上設定 Mircosoft AutoUpdater 很容易,例如:
除了 Microsoft 以外,Google 也有自己的更新程式。Google 也發了一篇文章在講大量修補的方式:管理 Chrome 更新設定 (Mac)。Jamf Pro 也很貼心了做上選擇介面,讓 IT 管理員不用自己消化 XML,直接在 Jamf Pro 上就能選擇需要的修補政策。
更多 Jamf 跟 Google 的關係,可參考影片 Jamf + Google Chrome = Better than ever | JNUC 2020
使用 Mac App Store 部署
如果今天軟體是從 Apple Business Manager 購買授權,並且透過 Jamf Pro 部署的話,每一次該軟體都會從 App Store 下載,所以每次裝機都一定會是最新版的,這點可以大量節省 IT 人員總是得抓新版然後安裝的時間。不過在修補上面的選擇也略顯單調,因為 App Store 上面的永為最新版,可以搭配上 Jamf Pro 的自動檢查版本機制,並且自動推送修補指令。
在選擇「排程 Jamf Pro,使其自動檢查 App Store 是否有應用程式更新」後,Jamf Pro 會自動跟 App Store 檢查是否有新版本。若有新版本且有勾選「自動強制執行應用程式更新」時,使用者電腦上的該軟體就會被強制更新至最新版。或是能用手動的方式點選「Force Update」,讓裝有從 App Store 下來的該應用程式都對齊 App Store 的版本上去。
