Integración con Azure AD
Integrar Jamf Pro con Azure AD como proveedor de identidades de nube permite usar los siguientes procesos LDAP sin necesidad de configurar servicios de dominio de Azure AD:
Consultar todos los usuarios y grupos a efectos de inventario
Consultar las pertenencias de los usuarios y usarlas para asociar privilegios a las cuentas pertinentes en Jamf Pro
Configurar la autenticación de usuario y definir ámbitos
Al integrar Jamf Pro con Azure AD, ten en cuenta lo siguiente:
Tu instancia de Jamf Pro debe estar alojada en Jamf Cloud.
Necesitas privilegios de Azure AD de administrador global para gestionar el consentimiento solicitado por la app Jamf Pro Azure AD Connector.
Los grupos de usuarios añadidos en Jamf Pro tienen el mismo nombre que los grupos definidos en Azure. Las cuentas y grupos añadidos en Jamf Pro deben ser de tipo estándar.
Al trabajar con procesos relacionados con directorios (p. ej., añadir limitaciones y exclusiones de ámbito), los ítems de identidad de nube de Azure AD se enumeran bajo las cabeceras LDAP.
Azure AD como integración de IdP de nube usa la API Microsoft Graph y conexiones con el dominio https://graph.microsoft.com. Junto con el consentimiento concedido por el administrador a través del Cloud Connector, esto garantiza que los datos del directorio se pasen y se usen automáticamente en los procesos de directorio de Jamf Pro. En Azure no se ejecutan más acciones que la lectura de los datos.
Al configurar la conexión de la API Graph entre Jamf Pro y Azure AD, se requieren privilegios de usuario de administrador global para la autenticación. Tras una autenticación correcta, se añade automáticamente una aplicación para Jamf Pro en Azure AD para usar la API Graph. Esto significa que no hace falta crear manualmente la aplicación en Azure AD. Una vez añadida la aplicación, se cierra la sesión. Cuando Jamf Pro hace consultas en Azure AD, está en modo de solo lectura. Jamf Pro no puede escribir datos en Azure AD.
El siguiente diagrama muestra la integración típica de Jamf Pro y el IdP de Azure AD:

Después de recibir el consentimiento, la aplicación web Cloud Connector hace una autorización de un identificador de cliente dado y del identificador de instancia recibido con respecto a la terminal de autorización de Azure. Como resultado, Azure responde con un código de autorización. Este código se devuelve con el identificador de instancia a Jamf Pro. Una vez que Jamf Pro recibe el conjunto de datos de la aplicación web Cloud Connector, verifica el código de autorización recibido. Si no hay problemas con el conjunto de datos, la configuración se guarda. Este enfoque se asegura de que Jamf Pro limita el uso de los datos del inquilino de Azure solo al cliente/aplicación permitido.
La versión de TLS usada para proteger los datos en tránsito es 1.2 o superior con Perfect Forward Security (PFS). Jamf Pro siempre intentará negociar antes el protocolo superior.
Para crear la conexión, se requiere el siguiente conjunto de permisos para la aplicación Jamf Pro:
Iniciar sesión y leer el perfil de usuario
Leer datos del directorio
Cuando la conexión con Azure está activada, Jamf Pro puede enviar consultas de información del directorio desde Azure. El siguiente diagrama muestra el flujo típico de las consultas de datos del directorio.

Cuando el administrador inicializa la consulta del directorio, Jamf Pro solicita un token de acceso de Azure mediante el proceso Client Credentials (Credenciales de cliente). Una vez concedido el token, Jamf Pro envía consultas de datos del directorio a través de la API Microsoft Graph. Una vez que el cliente está verificado correctamente, se devuelve un conjunto de datos. Jamf Pro asocia estos datos a un objeto, que luego puede usarse en procesos de directorio en Jamf Pro. Si quieres más información sobre la API de REST de Microsoft Graph, consulta Referencia de la API de REST de Microsoft Graph versión 1.0.
Autenticación multifactor
Cuando se añade Azure AD con autenticación multifactor (MFA) activada como proveedor de identidades de nube, los procesos de autenticación en Jamf Pro (p. ej., inicio de sesión de Self Service e inicio de sesión de inscripción) no funcionan para grupos y cuentas de usuarios de Azure AD. Para permitir que los usuarios utilicen los procesos, debes configurar el inicio de sesión único (SSO) con Azure. Si quieres información sobre cómo configurar SSO en Jamf Pro, consulta Inicio de sesión único.
Self Service para dispositivos móviles no admite procesos de inicio de sesión único.
La siguiente tabla resume cómo el estado de autenticación multifactor (MFA) en Azure afecta a los procesos de autenticación de Jamf Pro para el IdP de nube de Azure AD:
Tipo de proceso |
Con MFA desactivado en Azure |
Con MFA activado en Azure |
Con MFA activado en Azure y SSO con Azure configurado en Jamf Pro |
---|---|---|---|
Inicio de sesión de Jamf Pro |
Compatible (ventana de inicio de sesión estándar) |
Incompatible |
Compatible (pantalla de inicio de sesión de Microsoft) |
Inicio de sesión de inscripción (inscripción iniciada por usuario y «Personalización de inscripción») |
Compatible (página de inicio de sesión de inscripción y panel «Autenticación con LDAP» en «Personalización de inscripción») |
Incompatible |
Compatible (página de inicio de sesión de Microsoft/panel «Autenticación con LDAP» en «Personalización de inscripción») |
Aplicaciones de Jamf Pro ( p. ej. Jamf Admin) |
Compatible (ventana de inicio de sesión estándar) |
Incompatible |
Incompatible |
Inicio de sesión de Self Service para macOS |
Compatible (ventana de inicio de sesión estándar) |
Incompatible |
Compatible (pantalla de inicio de sesión de Microsoft) |
Inicio de sesión de Self Service para dispositivos móviles |
Compatible (ventana de inicio de sesión estándar) |
Incompatible |
Incompatible |
Configuración de una conexión con el proveedor de identidades de nube Azure AD
Si Jamf Pro ya está integrado con una configuración LDAP de Active Directory de Microsoft o Azure Active Directory Domain Services a la que tienes previsto migrar una instancia de Azure AD, no añadas esta instancia de Azure AD como proveedor de identidades de nube en Jamf Pro hasta que vayas a migrar tu configuración. Para asegurarte de que tus procesos LDAP (p. ej., ámbitos o cuentas y grupos de usuarios) siguen funcionando correctamente, necesitarás migrar tu configuración. Si quieres más información, consulta Migración de un servidor LDAP a una instancia de proveedor de identidades de nube de Azure AD. Si añades la integración de AD antes de la migración, tu entorno puede dejar de funcionar correctamente.
Cuando se añade una conexión con el servidor, se activa por omisión. Puedes configurar varias conexiones y elegir qué configuración usar. Desactivar la conexión impide que Jamf Pro consulte datos a este servidor. Esto significa que puedes añadir una configuración diferente sin eliminar la conexión actual. Para desactivar la conexión, usa el interruptor.
Al guardar una conexión con el servidor se activa un proceso de verificación automático. Una vez guardada la configuración, puedes probar las asociaciones. Si quieres más información, consulta Prueba de asociaciones de atributos de proveedor de identidades de nube.
Asociaciones de atributos por omisión para Azure AD como proveedor de identidades de nube
La siguiente tabla enumera las asociaciones de Jamf Pro por omisión y los correspondientes atributos de proveedor de identidades de nube:
Nombre de asociación de atributos de Jamf Pro | Valor de asociación de atributos de proveedor de identidades de nube |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Si quieres más información sobre los conjuntos de asociaciones, consulta la siguiente documentación de Microsoft: