周三下午,一家企业的IT管理员打开Jamf控制台,创建了一个名为「Claude Code标准化」的策略。他没写一行脚本,只是在下拉菜单里选择了Amazon Bedrock作为推理后端,又指定了想要使用的AWS区域。十几分钟后,几百台Mac上的Claude Code应用就自动接入了企业自己的Bedrock推理端点,打开就能用,没人需要去翻找配置文件。
这个场景对应的产品逻辑,就是Jamf最新推出的AI Governance功能。Jamf原本为超过7.8万组织提供苹果设备的大规模管理与安全保障,现在把这个模型延伸到了AI应用治理上。它要解决一个随着AI工具涌入办公环境而出现的矛盾:员工想用Claude Code、Claude Desktop、OpenAI Codex这类工具,而IT部门需要控制推理在哪里跑、应用怎么配,还不能让员工手动改配置文件。
![]()
这些AI工具的运行方式很“野生”——每个都靠本地配置文件来获得推理服务的认证信息、模型上下文协议(MCP)服务器的连接方式,还有可观测性的配置。如果不加治理,每台Mac都是一个独立节点,认证凭据散落在本地,推理可能不知不觉走到企业不批准的第三方区域。Jamf的AI Governance配合Amazon Bedrock,给出了一条集中化路径:Bedrock通过企业自己的AWS账户提供模型推理,推理流量留在选定的AWS区域;Jamf则用声明式设备管理(DDM)把连接Bedrock所需的配置直接下发到每一台受管Mac上。配置文件被系统级策略保护,用户几乎无法篡改。
从架构看,Jamf AI Governance承担的是配置定义与分发中控的角色。管理员在Jamf里定义好应用的各项配置,再通过Jamf Blueprints打包成策略,DDM确保策略精准落盘。用户在Mac上打开对应应用时,应用会自动读取策略指定的Bedrock端点信息,无需接触配置文件。管理层则能在Jamf AI Governance界面里看到策略覆盖范围和部署状态。由于推理完全在AWS安全边界内完成,组织避免了推理流量流经不可控外部端点的风险。
实践层面,Jamf为Claude Code搭配Bedrock的部署给出了三步走范例。第一步,在Jamf AI Governance里创建托管策略,指定Claude Code使用的Bedrock模型、认证方式和区域。第二步,把策略绑定到所需的设备组,通过Blueprints下发。第三步,在目标Mac上验证——打开Claude Code,检查它是否确实连向企业Bedrock端点,推理是否运行在预期区域内。同样的套路也适用于Claude Desktop和OpenAI Codex。
这个组合对IT管理员的实际影响在于,过去管AI应用需要手动维护脚本或依赖员工自觉,而现在可以像管VPN配置一样用策略推送。对使用应用的员工来说,体验上多了一个“无感合规”——打开就能工作,背后的治理不可见。对企业,这套机制用基础设施交付的方式把AI工具的治理收缩进了已有的设备管理流水线里,让安全团队更敢放行这些新兴工具。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.