Integración con Microsoft Azure AD

Para integrar con Azure AD, debes crear un registro de app para Jamf Connect.
  1. Inicia sesión en el Portal de Microsoft Azure.
  2. Haz clic en Azure Active Directory en la barra lateral izquierda.
  3. Haz clic en App registrations (Registros de apps). A continuación, haz clic en new registration (nuevo registro).
  4. Introduce Jamf Connect o algo similar en el campo Nombre.
  5. Selecciona Solo cuentas en este directorio de la organización en «Tipos de cuenta compatibles».
  6. Selecciona «Public client (mobile & desktop)» (Cliente público [móvil y sobremesa]) en el menú desplegable URI de redirección. A continuación, introduce un URI válido, como «https://127.0.0.1/jamfconnect» en el campo URI de redirección.
    Nota:

    Si tienes la intención de usar la app Jamf Unlock en tu organización, introduce jamfunlock://callback/auth como URI de redirección adicional para la autenticación.

  7. Haz clic en Registrar.
Tu registro de app de Jamf Connect se añade a Azure AD.

Ahora puedes editar el registro de app para conceder consentimiento de administrador para llamadas a API y modificar ajustes de autenticación.

Concesión de consentimiento de administrador para llamadas a API en Azure AD

  1. Accede al registro de tu app.
  2. En la sección Manage (Gestionar) de la barra lateral, haz clic en Permisos de API.
  3. En los ajustes de «Grant Consent» (Conceder consentimiento), haz clic en Conceder consentimiento de administrador para tu empresa. A continuación, haz clic en cuando se muestre el mensaje.

Modificación de los ajustes de autenticación de app en Azure AD

  1. Accede al registro de tu app.
  2. En la sección Manage (Gestionar) de la barra lateral, haz clic en Autenticación.
  3. En los ajustes Avanzado, define Permitir flujos de cliente público como .
    Importante:

    Cuando definas este ajuste como la pestaña «Usuarios y grupos» estará oculta si accedes a Azure AD > Enterprise applications (Aplicaciones empresariales) y seleccionas tu app. Si necesitas asignar usuarios y grupos específicos a tu app de Jamf Connect, desactiva esta prestación y vuelve a activarla después de asignar los usuarios y grupos.

Asignación de usuarios

Puedes asignar usuarios a la aplicación si quieres limitar el acceso. Por omisión, cualquier usuario de cualquier dominio puede autenticarse en la aplicación. También puedes hacer lo siguiente:

  • Ocultar Jamf Connect a los usuarios. Esto limita la interacción de un usuario con la aplicación en el loginwindow de un ordenador.

  • Conceder consentimiento de administrador para tu organización. Esto puede hacerse en la sección Permissions (Permisos) de los ajustes de la aplicación.

Importante:

Para asegurarte de que la pestaña «Usuarios y grupos» no se oculta de forma imprevista, configura temporalmente la opción Permitir flujos de cliente público de los ajustes de Autenticación como No. Después de asignar usuarios a la app Jamf Connect, puedes volver a activar este ajuste.

Designación de funciones de app

Puedes crear usuarios como administradores locales en ordenadores usando funciones de app definidas en Azure. Para crear funciones, necesitarás editar el manifiesto de aplicación.

Nota:

También puedes editar funciones de app usando la IU de funciones de app registrada de Microsoft Azure que está en vista previa. Para usar la IU de vista previa en su lugar, accede al registro de app. A continuación, en la sección Gestionar, haz clic en Funciones de app | Vista previa.

Requisitos
Un registro de app para Jamf Connect en Azure AD.
  1. Haz clic en Azure Active Directory en la barra lateral izquierda.
  2. Haz clic en Registros de app. A continuación, selecciona el registro de tu app de Jamf Connect.
  3. Haz clic en Manifiesto.
  4. En el manifiesto, busca "appRoles": [] y añade tus entradas de función al manifiesto. Los siguientes ejemplos crearán las funciones «admin» (administrador) y «standard» estándar.
    Nota:

    Debes generar un identificador único universal (UUID) para cada función. Ejecuta el siguiente comando en Terminal para generar un UUID: uuidgen | tr "[:upper:]" "[:lower:]"

    "appRoles": [
{
"allowedMemberTypes": [
"User"
],
"displayName": "Admin",
"id": "fdff90b7-df09-4c19-8ab0-158cc9dc62e4",
"isEnabled": true,
"description": "Members of the Admin group.",
"value": "Admin"
},
{
"allowedMemberTypes": [
"User"
],
"displayName": "Standard",
"id": "36610848-21ee-4cc0-afee-eaad59d442ea",
"isEnabled": true,
"description": "Members of the Standard group.",
"value": "Standard"
}
], 
  5. Haz clic en Guardar.

Ahora puedes añadir usuarios explícitamente a la aplicación y definir funciones. Por omisión, los usuarios con la función de administrador se crearán como administradores locales en un ordenador salvo que se active la clave de preferencias CreateAdminUser, en cuyo caso todos los usuarios serán administradores. La lista de funciones que permiten que un usuario sea administrador también se puede activar con la clave de preferencias OIDCAdmin. Para añadir funciones al token de Azure de un usuario, debes requerir que se use «User Assignment» (Asignación de usuario) en las propiedades de la aplicación.

Nota:

Si usas Jamf Connect con Inscripción Automatizada de Dispositivos (antes DEP), elimina esta aplicación de los controles de acceso condicional. El usuario iniciará sesión en el ordenador antes de que se pueda instanciar el acceso condicional.

Imposición de políticas de «Acceso condicional»

Si tu organización usa políticas (directivas) de «Acceso condicional» de Microsoft y quiere imponer esas políticas en Jamf Connect, debes añadir un URI de redirección de plataforma web a tu registro de app de Jamf Connect. Esto permite a Azure AD reconocer a Jamf Connect como una aplicación de nube que se puede incluir en una política de «Acceso condicional».

Requisitos

Un registro de app para Jamf Connect en Azure AD.

  1. Accede al registro de tu app.
  2. En la sección Manage (Gestionar) de la barra lateral, haz clic en Autenticación.
  3. Haz clic en + Añadir una plataforma en las integraciones de Platform (Plataforma).
  4. En el panel «Configure platforms» (Configurar plataformas), haz clic en Web.
  5. Introduce un URI no válido que no se vaya a usar, como https://0.0.0.0/jamfconnect.

    Esto permite que Jamf Connect se reconozca como una aplicación de nube.

  6. Haz clic en Configurar.
Tu aplicación registrada de Jamf Connect ahora se puede incluir o excluir de las políticas de «Acceso condicional».
Para añadir Jamf Connect a políticas de «Acceso condicional» o crear una política nueva para Jamf Connect, accede a Azure Active Directory > Seguridad > Acceso condicional.
Importante: Para asegurarte de que los usuarios no pierden el acceso a los ordenadores, revisa detenidamente las políticas antes de asignarlas a ordenadores con Jamf Connect. Las siguientes políticas pueden impedir que los usuarios se autentiquen con Jamf Connect:

  • Requerir que el dispositivo esté marcado como compatible

  • Requerir dispositivo unido a Azure AD híbrido

  • Requerir aplicaciones cliente aprobadas

  • Requerir la directiva de protección de aplicaciones

Si quieres más información sobre las políticas de «Acceso condicional», consulta la documentación Creación de una directiva de acceso condicional de Microsoft.