Microsoft Azure AD との統合

Microsoft Azure AD の変更が必要

Microsoft Azure AD がアイデンティティプロバイダ (IdP) の場合、Microsoft Authentication Library (MSAL) へのその後の変更により、Jamf Connect 構成の変更が必要になります。既存のアプリケーションは機能し続けますが、2022 年 12 月に Microsoft は Azure Active Directory Authentication Library (ADAL) のセキュリティアップデートを打ち切り、共通エンドポイントの使用を廃止します。

Jamf Connect をこれらの変更に合わせるには、構成の登録認証アプリケーションのために組織特有のテナント情報を含める必要があります。その際、OIDC テナントログインウィンドウ環境設定またはテナントメニューバー App 環境設定を使用します。入力した情報は、すべての Jamf Connect 製品に適用され、Jamf Connect Configuration で ROPG テストを利用するために必須です。これらのフィールドが両方とも空白のままの場合、必須フィールドの入力が行われていないことを通知するアラートが送信されます。これにより構成を正しく設定できます。

詳しくは、ログインウィンドウの設定OIDC テナント環境設定、およびメニューバー App の設定テナント ID を参照してください。また、Microsoft Azure 製品ドキュメントMicrosoft Authentication Library (MSAL) へのアプリケーションの移行も参照してください。

Azure AD と統合するには、Jamf Connect の App 登録を作成する必要があります。
  1. Microsoft Azure Portal にログインします。
  2. 左側のサイドバーで Azure Active Directory をクリックします。
  3. App registrations (App の登録) をクリックし、続いて new registration (新規登録) をクリックします。
  4. 名前フィールドに Jamf Setup または類似の内容を入力します。
  5. 「Supported account types (サポートされているアカウントの種類)」の下で Accounts in this organizational directly only (この組織内のアカウントのみ直接) を選択します。
  6. リダイレクト URI ポップアップメニューから パブリッククライアント (モバイル&デスクトップ) を選択し、続いてリダイレクト URI フィールドにhttps://127.0.0.1/jamfconnectを入力します。
    注:

    また、オーガニゼーション内で Jamf Unlock App を使用する予定の場合、認証に使用する追加のリダイレクト URI として jamfunlock://callback/auth を入力する必要があります。

  7. Register (登録) をクリックします。
Jamf Connect App 登録が Azure AD に追加されます。

これにより、app 登録を編集して API 呼び出しに管理者の同意を与え、認証設定を変更できるようになります。

注:

Automated Device Enrollment (自動デバイス登録) (旧称 DEP) で Jamf Connect を使用している場合は、このアプリケーションをすべての条件付きアクセス制御から削除してください。条件付きアクセスが有効化される前に、ユーザはコンピュータにサインインしていることになります。

Azure AD での API 呼び出しに管理者の同意を与える

  1. App の登録へ移動します。
  2. サイドバーの「Manage (管理)」で、API permissions (API の許可) をクリックします。
  3. 「Grant Consent (同意を与える)」で、所属する会社に対して Grant admin consent (管理者の同意を与える) をクリックし、プロンプトが表示されたら、Yes (はい)をクリックします。

Azure AD での App 認証設定の変更

  1. App の登録へ移動します。
  2. サイドバー内の「Manage (管理)」セクションから、Authentication (認証) をクリックします。
  3. Advanced settings (高度な設定) で、Allow public client flows (パブリッククライアントフローを許可する) 設定を Yes (はい) に設定します。
    重要:

    この設定が Yes (はい) に設定されている場合、Azure AD Enterprise アプリケーションで App を選択すると、User & groups (ユーザとグループ) タブが非表示になります。Jamf Connect App に特定のユーザとグループを割り当てる必要がある場合は、この機能を無効にし、ユーザとグループが割り当てられた後に再度有効にします。

ユーザを割り当てる

アクセスを制限するならば、ユーザをアプリケーションに割り当てることができます。デフォルトでは、どのドメインでのどのユーザも、アプリケーションへの認証を行うことができます。以下を行うこともできます。

  • Jamf Connect をユーザに対して非表示にします。これにより、アプリケーションとのユーザ操作をコンピュータのログインウィンドウに限定します。

  • 管理者の同意を所属のオーガニゼーションに与えます。これは、アプリケーション設定の「Permissions (アクセス許可)」セクションで行うことができます。

Azure AD での App 役割の構成

Azure AD で定義された App 役割を使用して、コンピュータのローカル管理者としてユーザを作成できます。

  1. 左側のサイドバーで Azure Active Directory をクリックします。
  2. App の登録 (App registrations) をクリックし、続いて Jamf Connect App 登録を選択します。
  3. サイドバーの App 役割 (App Roles) をクリックします。
  4. + 役割を作成 (+ Create role) をクリックします。
  5. App 役割を作成 (Create app role) ペインで、以下を行ってください。
    1. 管理者」など役割名を、表示名 (Display Name) フィールドに入力してください。

      この値は Azure AD UI にのみ使用されます。

    2. 許可されているメンバーのタイプ (Allowed member types) に対して Users/Groups (ユーザ/グループ) を選択します。
    3. 値 (Value) フィールドに、管理者などの値を入力します。

      この値は、Jamf Connect 認証の際、ユーザの ID トークンに含まれます。

    4. App 役割の説明を追加します。
    5. この App 役割を有効にしますか? (Do you want to enable this app role?) チェックボックスが選択されていることを確認します。
    6. 適用 (Apply) をクリックします。
  6. App 役割を追加で作成する場合は、このプロセスを繰り返します。

この時点で、Jamf Connect の App 登録に、役割ベースのローカルアカウント作成に対して、2 つ以上の App 役割があるはずです。