使用Jamf Pro蓝图在macOS Sequoia上管理Safari扩展

Jamf Pro现在通过Blueprints提供的管理选项之一是使用DDM声明来管理Apple Safari网页浏览器可以使用的扩展。让我们以互联网档案馆的Wayback Machine Safari扩展为例，看看这是如何工作的，该扩展可通过以下链接在Mac App Store中获取： https://apps.apple.com/us/app/wayback-machine/id1472432422?mt=12

有关更多详细信息，请参阅下文。

Safari扩展管理基础

Safari扩展可以在用户级别使用DDM声明进行管理，这与用户级别的MDM配置文件类似，意味着它们只能应用于MDM管理的用户。在处理本地账户时，这意味着只有安装MDM注册配置文件的本地用户账户会成为MDM管理的用户。就我们这里的目的而言，这意味着Safari扩展管理声明只能应用于MDM管理的用户，而Mac上的任何其他本地账户的Safari扩展无法被管理。

可用的Safari扩展管理选项

以下选项可用于Safari扩展管理：

• 允许的域
• 拒绝的域
• 隐私浏览
• 状态

允许的域

控制允许扩展访问的DNS域和子域。

拒绝的域

控制阻止扩展访问的DNS域和子域。

隐私浏览

控制在使用隐私浏览时是否允许使用扩展。

选项：

• 允许：在使用隐私浏览时，可以打开或关闭扩展。
• 始终开启：如果扩展在隐私浏览之外也已启用，则在隐私浏览时始终启用扩展。
• 始终关闭：即使在隐私浏览之外启用了扩展，在隐私浏览时也从不启用扩展。

状态

控制是否通常允许使用扩展。

选项：

• 允许：可以打开或关闭扩展。
• 始终开启：扩展始终启用。
• 始终关闭：扩展从不启用。

域名配置说明

对于允许的域和拒绝的域，支持以下值：

• 特定域：使用特定的DNS域名。

  示例：company.com 或 subdomain.company.com

• 通配符域：使用以单个星号字符()作为域前缀的通配符域。此通配符将匹配顶级域以及任何子域，例如使用company.com这样的通配符域条目来匹配company.com以及subdomain.company.com。

  示例：*company.com

• 全局通配符：使用单个星号字符(*)。这将匹配任何DNS域。

  示例：*

您还可以允许扩展在特定或通配符域上专门使用，同时阻止其在所有其他域上使用。例如，如果您希望允许扩展在顶级company.com域和所有company.com子域上使用，但在所有其他域上阻止它，您可以这样定义允许的域和拒绝的域：

• 允许的域：*company.com
• 拒绝的域：*

配置示例

对于此示例，我们将设置Wayback Machine Safari扩展使用以下设置：

• 允许的域：*
• 隐私浏览：始终关闭
• 状态：允许

此设置将为Wayback Machine Safari扩展执行以下操作：

• 允许使用扩展
• 允许扩展与所有域一起使用
• 即使扩展在隐私浏览之外已启用，也阻止其在Safari的隐私浏览选项中使用

在Jamf Pro中设置Blueprint

我可以在Jamf Pro中设置一个Blueprint来部署此Safari扩展管理配置，使用以下步骤：

1. 登录Jamf Pro

2. 选择Blueprints

3. 单击"管理Safari扩展"框

4. 在提示时为其命名。对于此示例，我使用"管理Wayback Machine扩展"

5. 选择一个Jamf Pro智能或静态组。对于此示例，我选择一个名为"Safari扩展部署组"的静态组

6. 在以下屏幕上，我们需要提供扩展的标识符以及我们的设置

为此，我们需要获取Safari扩展文件的代码签名。要获取代码签名，一旦您有了扩展的文件位置，您需要使用codesign命令行工具运行类似于以下命令的命令：

1

codesign -dv "/Applications/Wayback Machine.app/Contents/PlugIns/Wayback Machine Extension.appex"

这应该提供类似于下面所示的输出：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

username@computername ~ % codesign -dv "/Applications/Wayback Machine.app/Contents/PlugIns/Wayback Machine Extension.appex"

Executable=/Applications/Wayback Machine.app/Contents/PlugIns/Wayback Machine Extension.appex/Contents/MacOS/Wayback Machine Extension

Identifier=archive.org.waybackmachine.mac.extension

Format=bundle with Mach-O universal (x86_64 arm64)

CodeDirectory v=20500 size=788 flags=0x10000(runtime) hashes=13+7 location=embedded

Signature size=4797

Info.plist entries=22

TeamIdentifier=ZSFX78H3ZT

Runtime Version=13.1.0

Sealed Resources version=2 rules=13 files=165

Internal requirements count=1 size=240

username@computername ~ %

从此输出中，我们寻找以下行的值：

• Identifier
• TeamIdentifier

对于Wayback Machine扩展，这些是显示的值：

• Identifier: archive.org.waybackmachine.mac.extension
• TeamIdentifier: ZSFX78H3ZT

对于Blueprint，此信息需要按以下格式格式化： Identifier (TeamIdentifier)

对于Wayback Machine扩展，这意味着Blueprint的标识符如下：

1

archive.org.waybackmachine.mac.extension (ZSFX78H3ZT)

现在我们有了正确的标识符，让我们配置以下Blueprint设置：

• 标识符：archive.org.waybackmachine.mac.extension (ZSFX78H3ZT)
• 扩展状态：允许
• 隐私浏览状态：始终关闭
• 允许的域：*

7. 输入所有信息并验证正确后，单击"保存"按钮

8. 一切配置完成后，单击"部署"按钮将更改部署到您要管理的Mac

验证部署

部署后，Jamf Pro中的Blueprints屏幕应显示新创建的"管理Wayback Machine扩展"蓝图已部署。

在您的受管设备上，您可以通过单击注册配置文件，然后滚动到底部来验证新的Safari扩展管理配置是否已部署。在此示例的情况下，您应该看到一个"用户声明"部分，其中包含Safari扩展的列表。

如果您单击Safari扩展列表，它应报告允许以下扩展： archive.org.waybackmachine.mac.extension

有关配置的其他信息，您需要打开Safari并访问Wayback Machine扩展的扩展信息。在那里，您应该看到以下内容：

• “在隐私浏览中允许"复选框未选中且呈灰色显示
• 通知扩展适用于所有网站

还应该有通知表明这些设置已由设备管理配置。

您还应该能够确认Wayback Machine扩展在常规Safari浏览器窗口中可用，但在隐私浏览窗口中不可用。