Integration mit Microsoft Azure AD

Die Integration von Jamf Connect mit Microsoft Azure AD läuft in folgenden Schritten ab:

  1. Registrierte App für Jamf Connect in Azure AD erstellen

  2. (Optional) Benutzer erstellen und Benutzerrollen zuweisen

Integration mit Microsoft Azure AD

Registrieren einer neuen App

  1. Melden Sie sich dazu beim Microsoft Azure Portal an.

  2. Klicken Sie in der linken Seitenleiste auf Azure Active Directory

  3. Klicken Sie auf App-Registrierungen und anschließend auf Neue Registrierung.

  4. Geben Sie im Feld Name „Jamf Connect“ oder eine benutzerdefinierte Bezeichnung ein.

  5. Wählen Sie unter „Unterstützte Kontotypen“ die Option Nur Konten in diesem Organisationsverzeichnis aus.

  6. Wählen Sie im Einblendmenü Umleitungs-URI die Option „Öffentlicher Client (Mobilgerät und Desktop)“ aus und geben Sie in dem Feld für die Umleitungs-URI eine gültige URI ein, z. B. „https://127.0.0.1/jamfconnect“.

  7. Klicken Sie auf Registrieren.

Erteilen der Administratoreinwilligung für API-Aufrufe

  1. Navigieren Sie zu der von Ihnen registrierten Jamf Connect App.

  2. Klicken Sie in der Seitenleiste unter „Verwalten“ auf API-Berechtigungen.

  3. Klicken Sie unter „Einwilligung erteilen“ für Ihr Unternehmen auf Administratoreinwilligung erteilen und dann auf Ja, wenn Sie dazu aufgefordert werden.

Anpassen der Authentifizierungseinstellungen

  1. Navigieren Sie zu der von Ihnen registrierten Jamf Connect App.

  2. Klicken Sie in der Seitenleiste unter „Verwalten“ auf Authentifizierung.

  3. Wählen Sie unter „Standardclienttyp“ für Anwendung als öffentlichen Client einstufen die Option Ja.

    Wichtig: Wenn diese Einstellung auf Ja gesetzt wird, wird der Tab User & groups (Benutzer und Gruppen) ausgeblendet, der normalerweise angezeigt wird, wenn Sie zu Azure AD (Azure AD) > Enterprise applications (Unternehmensanwendungen) navigieren und Ihre App auswählen. Wenn Sie Ihrer Jamf Connect App bestimmte Benutzer und Gruppen zuweisen müssen, deaktivieren Sie diese Funktion und aktivieren Sie sie erst dann wieder, wenn die Benutzer und Gruppen zugewiesen wurden.

Erstellen von Benutzern und Zuweisen von Rollen

Nachdem Jamf Connect als native App in Azure AD registriert wurde, können Sie die Einstellungen konfigurieren, um Benutzer- und App-Rollen zuzuweisen.

Zuweisen von Benutzern

Wenn Sie den Zugriff beschränken möchten, können Sie der Anwendung Benutzer zuweisen. Standardmäßig kann sich jeder Benutzer jeder Domäne bei der Anwendung authentifizieren. Zudem können Sie Folgendes tun:

  • Jamf Connect für Benutzer ausblenden, Somit können die Benutzer auf einem Computer nur mit der loginwindow Anwendung interagieren.

  • Ihrer Organisation die Administratoreinwilligung erteilen – Die zugehörige Option finden Sie in den Einstellungen der Anwendung unter „Berechtigungen“.

Wichtig: Um sicherzustellen, dass der Tab User & Groups (Benutzer & Gruppen) nicht unerwartet ausgeblendet wird, stellen Sie sicher, dass die Einstellung Treat application as a public client (Anwendung als öffentlichen Client behandeln) in den Authentifizierungseinstellungen vorübergehend auf No (Nein) steht. Nachdem Sie Benutzer der Jamf Pro App zugewiesen haben, können Sie diese Einstellung wieder aktivieren.

Zuweisen von App-Rollen

Sie können mit den in Azure festgelegten App-Rollen auch Benutzer als lokale Administratoren auf Computern erstellen. Zum Erstellen von Rollen müssen Sie zunächst das Anwendungsmanifest bearbeiten.

  1. Klicken Sie in der linken Seitenleiste auf Azure Active Directory

  2. Klicken Sie auf App-Registrierungen und wählen Sie dann die von Ihnen registrierte Jamf Connect App aus.

  3. Klicken Sie auf Manifest.

  4. Suchen Sie im Manifest nach folgender Zeichenkette "appRoles": []. Fügen Sie dem Manifest anschließend die gewünschten Einträge hinzu. Anhand der unten aufgeführten Beispiele werden die Rollen „Admin“ und „Standard“ erstellt.

    Hinweis: Sie müssen für jede Rolle einen Universally Unique Identifier (UUID) erzeugen. Führen Sie in Terminal den folgenden Befehl aus, um eine UUID zu erzeugen:
    uuidgen | tr "[:upper:]" "[:lower:]"

    "appRoles": [

    {

    "allowedMemberTypes": [

    "User"

    ],

    "displayName": "Admin",

    "id": "fdff90b7-df09-4c19-8ab0-158cc9dc62e4",

    "isEnabled": true,

    "description": "Members of the Admin group.",

    "value": "Admin"

    },

    {

    "allowedMemberTypes": [

    "User"

    ],

    "displayName": "Standard",

    "id": "36610848-21ee-4cc0-afee-eaad59d442ea",

    "isEnabled": true,

    "description": "Members of the Standard group.",

    "value": "Standard"

    }

    ],

5. Klicken Sie auf Speichern.

Sie können jetzt explizit Benutzer zu der Applikation hinzufügen und Rollen definieren. Standardmäßig erhalten Benutzer, die mit der Rolle „Admin“ als lokale Administratoren auf einem Computer erstellt werden, Administratorberechtigungen. Wenn allerdings der Einstellungsschlüssel CreateAdminUser aktiviert ist, erhalten alle Benutzer Administratorberechtigungen. Die Liste der Rollen, mit denen Benutzer Administratorberechtigungen erhalten, kann ebenfalls mit dem Einstellungsschlüssel OIDCAdmin aktiviert werden. Um dem Azure Token eines Benutzers Rollen hinzuzufügen, müssen Sie in den Anwendungseinstellungen die Option „User Assignment (Benutzerzuweisung)“ als erforderlich konfigurieren.

Hinweis: Wenn Sie Jamf Connect zusammen mit der automatischen Geräteregistrierung (ehemals DEP) verwenden, müssen Sie diese Anwendung aus allen Kontrolllisten für bedingten Zugriff entfernen. Der Benutzer meldet sich beim Computer an, bevor ein bedingter Zugriff instanziiert werden kann.

Eine Anleitung zum Konfigurieren der App-Rollen finden Sie in der folgenden Dokumentation von Microsoft: https://docs.microsoft.com/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps

Weiterführende Informationen

Weiterführende Informationen finden Sie hier:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2020 Jamf. Alle Rechte vorbehalten.