Integration in Microsoft Azure AD

Jamf Connect bietet Unterstützung für Microsoft Azure AD. Für die Integration von Jamf Connect in Microsoft Azure AD müssen Sie die folgenden Schritte ausführen:

  1. Jamf Connect Login bei Microsoft Azure registrieren

  2. Benutzer erstellen und Rollen zuweisen

  3. Jamf Connect Login konfigurieren und bereitstellen

Schritt 1: Registrieren von Jamf Connect Login bei Azure

Sie müssen Jamf Connect in Azure integrieren, indem Sie Jamf Connect als Web-App registrieren. Gehen Sie folgendermaßen vor, um eine neue App zu registrieren:

Registrieren einer neuen App

  1. Melden Sie sich dazu beim Microsoft Azure Portal an.

  2. Klicken Sie in der linken Seitenleiste auf Azure Active Directory

  3. Klicken Sie auf App-Registrierungen und anschließend auf Neue Registrierung.

  4. Geben Sie im Feld Name „Jamf Connect“ ein.

  5. Wählen Sie unter „Unterstützte Kontotypen“ die Option Nur Konten in diesem Organisationsverzeichnis aus.

  6. Wählen Sie im Einblendmenü Umleitungs-URI die Option „Öffentlicher Client (Mobilgerät und Desktop)“ aus und geben Sie in dem Feld für die Umleitungs-URI eine gültige URI ein, z. B. „https://127.0.0.1/jamfconnect“.

  7. Klicken Sie auf Registrieren.

Erteilen der Administratoreinwilligung für API-Aufrufe

  1. Navigieren Sie zu der von Ihnen registrierten Jamf Connect App.

  2. Klicken Sie in der Seitenleiste unter „Verwalten“ auf API-Berechtigungen.

  3. Klicken Sie unter „Einwilligung erteilen“ für Ihr Unternehmen auf Administratoreinwilligung erteilen und dann auf Ja, wenn Sie dazu aufgefordert werden.

Anpassen der Authentifizierungseinstellungen

  1. Navigieren Sie zur registrierten Jamf Connect App.

  2. Klicken Sie in der Seitenleiste unter „Verwalten“ auf Authentifizierung.

  3. Wählen Sie unter „Implizite Gewährung“ die Option ID-Token.

  4. Wählen Sie unter „Default client type (Standardclienttyp)“ für Anwendung als öffentlichen Client einstufen die Option Ja.

    Wichtig: Wenn diese Einstellung auf Ja gesetzt wird, wird der Tab User & groups (Benutzer und Gruppen) ausgeblendet, der normalerweise angezeigt wird, wenn Sie zu Azure AD (Azure AD) > Enterprise applications (Unternehmensanwendungen) navigieren und Ihre App auswählen. Wenn Sie Ihrer Jamf Connect App bestimmte Benutzer und Gruppen zuweisen müssen, deaktivieren Sie diese Funktion und aktivieren Sie sie erst dann wieder, wenn die Benutzer und Gruppen zugewiesen wurden.

Schritt 2: Erstellen von Benutzern und Zuweisen von Rollen

Nachdem Jamf Connect Login als native App in Azure registriert wurde, können Sie die Einstellungen konfigurieren, um Benutzer- und App-Rollen zuzuweisen.

Zuweisen von Benutzern

Wenn Sie den Zugriff beschränken möchten, können Sie der Anwendung Benutzer zuweisen. Standardmäßig kann sich jeder Benutzer jeder Domäne bei der Anwendung authentifizieren. Zudem können Sie Folgendes tun:

  • Jamf Connect Login für Benutzer ausblenden – Somit können die Benutzer auf einem Computer nur mit der loginwindow Anwendung interagieren.

  • Ihrer Organisation die Administratoreinwilligung erteilen – Die zugehörige Option finden Sie in den Einstellungen der Anwendung unter „Berechtigungen“.

Zuweisen von App-Rollen

Sie können mit den in Azure festgelegten App-Rollen auch Benutzer als lokale Administratoren auf Computern erstellen. Zum Erstellen von Rollen müssen Sie zunächst das Anwendungsmanifest bearbeiten.

  1. Klicken Sie in der linken Seitenleiste auf Azure Active Directory

  2. Klicken Sie auf App-Registrierungen und wählen Sie Jamf Connect Login aus.

  3. Klicken Sie auf Manifest.

  4. Suchen Sie im Manifest nach folgender Zeichenkette "appRoles": []. Fügen Sie dem Manifest anschließend die gewünschten Einträge hinzu. Anhand der unten aufgeführten Beispiele werden die Rollen „Admin“ und „Standard“ erstellt.

    Hinweis: Sie müssen für jede Rolle einen Universally Unique Identifier (UUID) erzeugen. Führen Sie in Terminal den folgenden Befehl aus, um eine UUID zu erzeugen:
    uuidgen | tr "[:upper:]" "[:lower:]"

    "appRoles": [

    {

    "allowedMemberTypes": [

    "User"

    ],

    "displayName": "Admin",

    "id": "fdff90b7-df09-4c19-8ab0-158cc9dc62e4",

    "isEnabled": true,

    "description": "Members of the Admin group.",

    "value": "Admin"

    },

    {

    "allowedMemberTypes": [

    "User"

    ],

    "displayName": "Standard",

    "id": "36610848-21ee-4cc0-afee-eaad59d442ea",

    "isEnabled": true,

    "description": "Members of the Standard group.",

    "value": "Standard"

    }

    ],

5. Klicken Sie auf Speichern.

Nach dem Speichern können Sie der Anwendung explizit Benutzer hinzufügen und Rollen festlegen. Standardmäßig erhalten Benutzer, die mit der Rolle „Admin“ als lokale Administratoren auf einem Computer erstellt werden, Administratorberechtigungen. Wenn allerdings der Einstellungsschlüssel CreateAdminUser aktiviert ist, erhalten alle Benutzer Administratorberechtigungen. Die Liste der Rollen, mit denen Benutzer Administratorberechtigungen erhalten, kann ebenfalls mit dem Einstellungsschlüssel OIDCAdmin aktiviert werden. Um dem Azure Token eines Benutzers Rollen hinzuzufügen, müssen Sie in den Anwendungseinstellungen die Option „User Assignment (Benutzerzuweisung)“ als erforderlich konfigurieren.

Hinweis: Wenn Sie Jamf Connect Login zusammen mit der automatischen Geräteregistrierung (ehemals DEP) verwenden, müssen Sie diese Anwendung aus allen Kontrolllisten für bedingten Zugriff entfernen. Der Benutzer meldet sich beim Computer an, bevor ein bedingter Zugriff instanziiert werden kann.

Eine Anleitung zum Konfigurieren der App-Rollen finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/de-de/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps

Schritt 3: Konfigurieren und Bereitstellen von Jamf Connect

Jamf Connect wird ähnlich wie andere unter macOS zu installierende Anwendungen mithilfe eines Installationspakets bereitgestellt.

Weiterführende Informationen über die Konfiguration und Bereitstellung von Jamf Connect finden Sie in den folgenden Abschnitten dieses Leitfadens:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.