Synchronisieren von Passwörtern mit Jamf Connect

Jamf Connect kann das lokale Passwort und das Netzwerkpasswort von Benutzern synchronisieren. Ist Jamf Connect mit den mindestens erforderlichen Authentifizierungseinstellungen für Ihren cloudbasierten Identitätsdienst konfiguriert, verhält sich Jamf Connect standardmäßig wie folgt:

  • Fortlaufende Verifizierung von Passwörtern

    Das Netzwerkpasswort und das lokale Passwort des Benutzers werden alle 60 Minuten geprüft, um zu verifizieren, dass sie synchronisiert sind.

  • Passwortsynchronisierung

    Der Benutzer wird zum Ändern seines lokalen Passworts aufgefordert, wenn es nicht mit dem Netzwerkpasswort übereinstimmt.

  • Verwaltung von Änderungen des Netzwerkpassworts

    Einfacheres Ändern des Netzwerkpassworts, wenn ein Passwort abläuft. Jamf Connect ermöglicht diese Änderung in einer Webansicht mit der URL für Passwortänderungen Ihres cloudbasierten Identitätsdiensts. Wird Kerberos verwendet, wird die Passwortänderung direkt in der Jamf Connect Benutzeroberfläche durchgeführt.

  • Warnungen bei PasswortablaufJamf Connect kann in der Menüleiste anzeigen, in wie viel Tagen das Passwort abläuft. Sind Mitteilungen erlaubt, können Endbenutzer auch benachrichtigt werden, wenn ein Passwort nicht synchronisiert ist.
Hinweis:

Weitere Informationen zur standardmäßigen und empfohlenen Passwortänderung finden Sie unter URL für Passwortänderung (ChangePasswordURL) und URL für Passwortrücksetzung (ResetPasswordURL) in den Authentifizierungseinstellungen für die Menüleiste.

Achten Sie auf folgende Punkte, wenn Sie Jamf Connect zum Synchronisieren von Passwörtern benutzen:
  • Jamf Connect kann Mitteilungen nur anzeigen, wenn der Benutzer dies unter Systemeinstellungen > Mitteilungen erlaubt. Mac Administratoren können Mitteilungen für Jamf Connect zudem mithilfe eines Benachrichtigungsprofils aktivieren. Wenn Sie Jamf Pro verwenden, können Sie Mitteilungen per Fernzugriff aktivieren, indem Sie zu Jamf Pro > Einstellungen > Computerverwaltung > Sicherheit navigieren und die Einstellung „Jamf Notifications“ Profil automatisch installieren konfigurieren. 

  • Wenn ein Netzwerk-Accountpasswort ohne Jamf Connect geändert wird (z. B. Webseite für Passwortänderungen des Identitätsdienstes Ihres Unternehmens), bleibt das zuvor verwendete Netzwerkpasswort so lange das lokale Passwort, bis Jamf Connect eine Überprüfung durchführt (standardmäßig alle 60 Minuten) und den Benutzer zur Aktualisierung des Passworts auffordert.

  • Um Passwörter zu synchronisieren, müssen Benutzer ihr altes Passwort kennen. Wenn ein Benutzer sein Passwort ohne Jamf Connect aktualisiert und sich nicht an sein altes Passwort (das zuvor verwendete Netzwerkpasswort) erinnern kann, melden Sie sich als Administrator an und richten Sie sich nach der Apple’s Support Webseite Ändern oder Zurücksetzen des Passworts eines macOS Benutzeraccounts.

  • Jamf Connect benutzt automatisch die Passwortrichtlinie Ihres cloudbasierten Identitätsdiensts oder Ihres Active Directory, wenn eine solche Passwortrichtlinie erkannt wird. Wenn Sie die Einstellung Passwortrichtlinie (PolicyRequirements) in Jamf Connect oder Code-Einschränkungen mit Ihrer MDM-Lösung konfigurieren, sollten Sie dafür sorgen, dass die konfigurierte der Identitätsdienst-Passwortrichtlinie Ihrer Organisation übereinstimmt oder weniger restriktiv ist, um Fehler bei der Passwortänderung zu vermeiden.
    Warnung:

    Um sicherzustellen, dass Benutzer nicht aufgrund konfliktierender Passwortrichtlinien von ihren Computern abgemeldet werden, sollten Sie davon absehen, die Einstellung Bei der nächsten Authentifizierung ändern (macOS ab Version 10.13) (changeAtNextAuth) in der Payload „Code“ über eine MDM-Lösung zu erzwingen. Legen Sie stattdessen in der Passwortrichtlinie Ihres Identitätsdiensts fest, dass Benutzerpasswörter ablaufen sollen, und verwenden Sie Jamf Connect, um Passwortänderungen zu verwalten.

Zur Passwortsynchronisation am Anmeldefenster und während der Accounterstellung müssen Sie weitere Jamf Connect Einstellungen konfigurieren. Weitere Informationen zur Passwortsynchronisierung im Anmeldefenster finden Sie unter Anfängliches Erstellen eines lokalen Passworts.

Passwortsynchronisierung mit Google

Um Passwörter zwischen dem Mac und dem Google Account eines Benutzers zu synchronisieren, verwendet Jamf Connect den Google Secure LDAP-Dienst.

Nachdem sich ein Benutzer in der Jamf Connect Menüleisten-App authentifiziert, verwendet Jamf Connect den eingegebenen Netzwerk-Benutzernamen sowie das Passwort, um zu versuchen, sich beim LDAP-Server zu authentifizieren. Wenn die Authentifizierung fehlschlägt, wird der Benutzer aufgefordert, seine Passwörter zu synchronisieren.

Damit eine sichere Verbindung zwischen dem Computer und der LDAP-Serverdomäne Ihres Unternehmens hergestellt werden kann, muss im Systemschlüsselbund des Computers ein LDAP-Zertifikat installiert werden. Dieses Zertifikat muss von einem LDAP-Client in Ihrer Admin-Konsole von Google heruntergeladen und in das .p12-Format umgewandelt werden.

Hinweis: Für die Google Authentifizierung über die Jamf Connect Menüleisten-App ist keine OpenID Connect App-Integration erforderlich.

Konfigurieren der Menüleisten-App für Google Cloud ID

Sie können die Jamf Connect Menüleisten-App mit der Payload „Anwendungsspezifische & benutzerdefinierte Einstellungen“ in Jamf Pro oder über die Jamf Connect Configuration App konfigurieren.

Legen Sie im Verzeichnis IdPSettings die Einstellung Identitätsdienst (Provider) auf GoogleID fest. Beispiel:

<key>IdPSettings</key>
<dict>
    <key>Provider</key>
    <string>GoogleID</string>
</dict>