Jamf Apple 資安與裝置管理

Jamf 推出 Mac 原生 AI Governance 功能:企業 AI 的問題不是擋不擋,而是怎麼「治理」

Jamf 發表了 Mac 原生的 AI 治理(AI Governance)解決方案,讓企業能夠管理整個 Mac 機隊上的 AI 工具。第一波支援的工具名單包含:Claude Code、Claude Desktop 與 OpenAI Codex,Cursor 與 GitHub Copilot 也在規劃中。AI Agent 將是未來企業工作流程的一部分,已經不再是開發者圈的小眾話題,自然要納入企業裝置管理的範圍。

Jamf 用一句話為這件事定調:「AI 從來不是准不准用的問題,而是有治理,還是沒治理。」(原文:The choice was never yes or no. It's governed or ungoverned.)封鎖 AI 工具並不會讓它消失,員工只是改成在沒人看得到的地方繼續用,企業反而同時失去了可視性,也失去了訂規範的機會。


一、問題所在:網路層看不到的 AI

過去處理影子 IT(shadow IT)的做法,靠的是網路層可視性:看流量、認出 SaaS 應用、封鎖網域。但這套做法碰到 Mac 上的 AI 工具,有三個地方行不通:

  • 它們以 CLI 程序與背景服務執行:Claude Code 是在終端機裡執行的,它正在組織裡默默地操作電腦、存取企業資源,不是瀏覽器分頁,沒有網站可以封鎖。
  • 設定零散且文件不全:模型選擇、檔案系統存取、MCP 伺服器連線,散落在各家自己的設定檔中,IT 平常根本碰不到。
  • 越來越多是裝置端執行:Apple Silicon 可以直接在本機跑模型與代理程式,地端 AI 模型運算根本不會經過網路邊界。

結果就是:多數企業答不出幾個基本問題。「我們機隊上到底在跑哪些 AI 工具?」「開發者的機器連了哪些 MCP 伺服器?」「這些程序裡,有哪些碰過 SSH 金鑰或憑證?」

二、AI 治理到底是什麼:三支柱

Jamf 對 AI 治理的定義是:確保 AI 被適當、安全、合乎倫理地使用的法規、政策、標準、流程與防護機制,並整理成三大支柱:

  1. 可視性(Visibility):盤點整個機隊上所有 AI 工具、代理程式與 MCP 伺服器
  2. 控管(Control):透過裝置管理,大規模部署符合各家工具的設定
  3. 治理(Governance):自動把政策決策與執行紀錄留存為合規證據

同樣重要的是 AI 治理不是什麼:不是一次性部署、不是瀏覽器政策的翻版、不是單一團隊的責任,也不是採購核准就算數。治理必須跟到 AI 實際執行的地方,包括端點本身。

三、Jamf 這次推出了什麼

Policy Builder 一個「認得各家工具」的介面,把每個 AI 工具的設定架構翻譯成白話選項:允許哪些模型、開放什麼網路存取、代理程式可以讀檔案系統的哪些部分、可以連哪些 MCP 伺服器。內建三種預設安全等級(最高安全、平衡、開發者友善),讓團隊有個合理的起點;工具更新時,Jamf 也會自動呈現廠商設定的變化。

雙清單AI 應用程式清單」偵測全機隊的 AI 應用、CLI 工具與工具呼叫,並標記 SSH 使用、憑證存取這類高風險行為;「MCP 伺服器清單」追蹤 Model Context Protocol 伺服器、它們提供哪些功能,以及連線中的 AI 客戶端。對多數企業來說這是全新的視角:幾乎沒有人知道自己開發者的機器上在跑哪些 MCP 伺服器。

治理報告 一鍵產出的 PDF,記錄全機隊生效中的 AI 政策,設計給董事會與稽核使用。用 Jamf 的話說,它讓 AI 採用「從信任問題,變成有紀錄可查的問題」。

OS 層派送 政策透過 Apple 的宣告式裝置管理(DDM)框架,以 managed-settings 檔案直接派送到作業系統層,使用者或程序層級都無法悄悄繞過。政策可以離線預先部署與執行,並在 Apple Silicon 上原生執行。

端點遙測 透過 Jamf Protect 的端點行為分析,CLI 工具與背景服務也能被「看見」。企業可以只為 AI 可視性部署,也可以納入完整的端點防護。

四、法規期限正在倒數

歐盟 AI 法案(EU AI Act)將於 2026 年 8 月 2 日生效,NIST 的 AI 風險管理框架(AI RMF)與 ISO/IEC 42001 也正在定義「企業如何證明自己有負責任地使用 AI」的標準。三者的共同要求是:你必須說得出用了哪些 AI、受什麼控管、拿得出紀錄佐證。而這正是「可視性、控管、治理」這個循環在做的事。

五、端點治理與網路可視性:互補,不是取代

Jamf 這套做法點出了一件事:AI 治理發生在 OS 與應用程式設定層,在使用者輸入任何提示詞之前就已經生效。 網路層方案仍然重要,SaaS AI 流量、資料外洩防護、所有經過線路的東西都歸它管。但它看不到本機代理程式讀取檔案系統,也看不到同一台機器上 MCP 伺服器對 AI 客戶端暴露了哪些功能。

要看到全貌,兩者缺一不可:裝置上執行的部分交給端點原生治理,離開裝置的部分交給管理良好的網路。這也正是託管式裝置管理與託管式網路服務互相搭配的地方。


行動清單

  1. 先盤點,再訂政策:看不到的東西就管不到。第一步是取得全機隊 AI 應用與 MCP 伺服器的可視性。
  2. 依團隊選擇安全等級:開發者與一般同仁需要的預設值不同,分級套用,不要一套規則管所有人。
  3. 在 OS 層強制執行:放在使用者可自行修改的設定檔裡的政策只是建議。用宣告式裝置管理讓政策真正生效。
  4. 納入到職流程:新進員工應該從開機第一天就拿到已核准的 AI 工具,未核准的工具也已預先受限。零接觸部署同樣適用於治理。
  5. 定期產出紀錄:定期產出治理報告,讓稽核與董事會的對話從證據出發,而不是從口頭保證出發。EU AI Act 2026 年 8 月就要生效。

可立可如何協助您

可立可是全球唯一同時具備 Jamf Elite Partner、MSP 與 MSSP 三項認證的合作夥伴,在半導體、電子製造、金融、政府與教育領域累積多年 Apple 裝置管理導入經驗。

  • AI 治理導入評估:盤點您現有的 Mac 機隊、建置 Jamf Protect 遙測,建立第一份 AI 應用與 MCP 伺服器清單
  • 政策設計與導入:把貴公司的資安要求落實成透過 Blueprints 派送的 AI 政策,從開發者友善到最高安全等級
  • 託管式(NaaS)維運:結合端點 AI 治理與託管式網路服務,裝置上在跑什麼、網路上在傳什麼,都納入例行治理

延伸閱讀:Apple MDM 完整指南 · WWDC26 裝置管理重點整理 · macOS 企業資安

聯繫可立可 預約免費諮詢,一起把貴公司機隊的 AI 使用納入治理。


參考來源

想要相同的成果?

讓我們為您規劃最適合的解決方案

立即諮詢