Intégration à Microsoft Azure AD

Pour l’intégration à Azure AD, vous devez créer un enregistrement de l’app Jamf Connect.
  1. Connectez-vous au Portail Microsoft Azure.
  2. Cliquez sur Azure Active Directory dans la barre de navigation à gauche.
  3. Cliquez sur App registrations (Enregistrements d’applications), puis sur new registration (nouvel enregistrement).
  4. Entrez Jamf Connectou quelque chose de similaire dans le champ Name (Nom).
  5. Sélectionnez Comptes dans cet annuaire organisationnel uniquement dans Types de comptes pris en charge.
  6. Choisissez Client public (mobile et bureau) dans le menu contextuel URI de redirection, puis saisissez un URI valide, par exemple https://127.0.0.1/jamfconnect dans le champ URI de redirection.
    Remarque :

    Si vous prévoyez également d’utiliser l’app Jamf Unlock dans votre organisation, saisissez jamfunlock://callback/auth comme URI de redirection supplémentaire à utiliser pour l’authentification.

  7. Cliquez sur Inscrire.
L’enregistrement de votre app Jamf Connect est ajouté à Azure AD.

Vous pouvez désormais modifier l’enregistrement de l’app pour accorder une autorisation d’administrateur pour les appels des API et modifier les réglages d’authentification.

Accorder une autorisation d’administrateur pour les appels d’API dans Azure AD

  1. Accédez à l’enregistrement de votre app.
  2. Dans la section Gérer de la barre latérale, cliquez sur Autorisations API.
  3. Dans la section Accorder consentement, cliquez sur Accorder le consentement de l’admin pour votre entreprise, puis cliquez sur le bouton Oui lorsque vous y êtes invité.

Modification des réglages d’authentification de l’app dans Azure AD

  1. Accédez à l’enregistrement de votre app.
  2. Dans la section Gérer de la barre latérale, cliquez sur Authentification.
  3. Dans Paramètres avancés, définissez l’option Autoriser les flux de clients publics sur Oui.
    Important :

    si cette option est définie sur Yes (Oui), l’onglet Utilisateurs et groupes est masqué lorsque vous accédez à Azure AD > Enterprise applications (Applications d’entreprise) et sélectionnez votre app. Si vous avez besoin d’affecter des utilisateurs et des groupes spécifiques dans votre app Jamf Connect, désactivez cette option, puis réactivez-la après avoir terminé l’affectation des utilisateurs et des groupes.

Affecter des utilisateurs

Vous pouvez affecter des utilisateurs à l’application si vous souhaitez en limiter l’accès. Par défaut, n’importe quel utilisateur dans n’importe quel domaine peut s’authentifier auprès de l’application. Vous pouvez également procéder ainsi :

  • Masquer Jamf Connect pour les utilisateurs. Cela limite l’interaction d’un utilisateur à l’application de loginwindow d’un ordinateur.

  • Accordez des droits d’administrateur à votre organisation. Cette opération peut être effectuée dans la section « Permissions » (Autorisations) des réglages de l’application.

Important :

Pour éviter de masquer l’onglet Utilisateurs et groupes de manière inattendue, assurez-vous que l’option Autoriser les flux de clients publics dans les réglages d’authentification est temporairement définie sur Non. Une fois les utilisateurs affectés à l’app Jamf Connect, vous pouvez réactiver cette option.

Désigner des rôles de l’app

Vous pouvez créer des utilisateurs en tant qu’administrateurs locaux sur les ordinateurs en utilisant les rôles de l’app définis dans Azure. Pour créer des rôles, vous devrez modifier le manifeste de l’application.

Remarque :

Vous pouvez également modifier les rôles de l’app en utilisant l’interface utilisateur des rôles d’une application inscrite de Microsoft Azure, dans Aperçu. Pour utiliser l’interface utilisateur Aperçu à la place, accédez à l’enregistrement de votre app et, dans la section Gérer de la barre latérale, cliquez sur Rôles de l’app | Aperçu.

Exigences
Un enregistrement d’app pour Jamf Connect dans Azure AD.
  1. Cliquez sur Azure Active Directory dans la barre de navigation à gauche.
  2. Cliquez sur Enregistrements d’applications, puis sélectionnez votre enregistrement Jamf Connect App.
  3. Cliquez sur Manifest (Manifeste).
  4. Dans le manifeste, recherchez "appRoles": [], puis ajoutez les entrées du rôle au manifeste. Les exemples ci-dessus créent les rôles « admin » et « standard ».
    Remarque :

    Vous devez générer un identificateur universel unique (UUID) pour chaque rôle. Exécutez la commande suivante en utilisant l’application Terminal pour générer un UUID : uuidgen | tr "[:upper:]" "[:lower:]"

    "appRoles": [
    {
    « typesMembresAutorisés": [
    "Utilisateur"
    ],
    "nomAffichage": "Admin",
    "identifiant": "fdff90b7-df09-4c19-8ab0-158cc9dc62e4",
    "estActivé": true,
    "description": "Membres du groupe Admin.",
    "valeur": "Admin"
    },
    {
    "typesMembresAutorisés": [
    "Utilisateur"
    ],
    "nomAffichage": "Standard",
    "identifiant": "36610848-21ee-4cc0-afee-eaad59d442ea",
    "estActivé": true,
    "description": "Membres du groupe Standard.",
    "value": "Standard"
    }
    ], 
  5. Cliquez sur Enregistrer.

Vous pouvez maintenant ajouter explicitement des utilisateurs à l’application et définir des rôles. Par défaut, les utilisateurs ayant le rôle d’administrateur auront le rôle d’administrateur local sur un ordinateur, sauf si la clé de préférence CreateAdminUser est activée, affectant le rôle « admin » à tous les utilisateurs. La liste des rôles permettant à un utilisateur d’être administrateur peut également être activée avec la clé de préférence OIDCAdmin. Pour ajouter des rôles au jeton Azure d’un utilisateur, vous devez exiger l’affectation d’utilisateurs dans les propriétés de l’application.

Remarque :

Si vous utilisez Jamf Connect avec l’enrôlement automatisé des appareils (anciennement DEP), supprimez cette application de tout contrôle d’accès conditionnel. L’utilisateur se connectera à l’ordinateur avant l’instanciation de l’accès conditionnel.