Microsoft Azure AD との統合

Azure AD と統合するには、Jamf Connect の app 統合を作成する必要があります。
  1. Microsoft Azure Portal にログインします。
  2. 左側のサイドバーで Azure Active Directory をクリックします。
  3. App registrations (App の登録) をクリックし、続いて new registration (新規登録) をクリックします。
  4. Name (名前) フィールドに Jamf Connect または類似の内容を入力します。
  5. 「Supported account types (サポートされているアカウントの種類)」の下で Accounts in this organizational directly only (この組織内のアカウントのみ直接) を選択します。
  6. Redirect URI (リダイレクト URI) ポップアップメニューから Public client (mobile & desktop) (パブリッククライアント (モバイルとデスクトップ)) を選択し、続いて Redirect URI (リダイレクト URI) フィールドに https://127.0.0.1/jamfconnect などの有効な URI を入力します。
    注:

    また、オーガニゼーション内で Jamf Unlock App を使用する予定の場合、認証に使用する追加のリダイレクト URI として jamfunlock://callback/auth を入力する必要があります。

  7. 登録 をクリックします。
Jamf Connect app 統合が Azure AD に追加されます。

これにより、app 登録を編集して API 呼び出しに管理者の同意を与え、認証設定を変更できるようになります。

Azure AD での API 呼び出しに管理者の同意を与える

  1. App の登録へ移動します。
  2. サイドバーの「Manage (管理)」で、API permissions (API の許可) をクリックします。
  3. 「Grant Consent (同意を与える)」で、所属する会社に対して Grant admin consent (管理者の同意を与える) をクリックし、プロンプトが表示されたら、Yes (はい)をクリックします。

Azure AD での App 認証設定の変更

  1. App の登録へ移動します。
  2. サイドバーの「Manage (管理)」セクションで、Authentication (認証) をクリックします。
  3. Advanced settings (高度な設定) で、Allow public client flows (パブリッククライアントフローを許可する) 設定を Yes (はい) に設定します。
    重要:

    この設定が Yes (はい) に設定されている場合、Azure AD > Enterprise applications (エンタープライズアプリケーション) に移動して App を選択すると、User & groups (ユーザとグループ) タブは非表示になります。Jamf Connect App に特定のユーザとグループを割り当てる必要がある場合は、この機能を無効にし、ユーザとグループが割り当てられた後に再度有効にします。

ユーザを割り当てる

アクセスを制限するならば、ユーザをアプリケーションに割り当てることができます。デフォルトでは、どのドメインでのどのユーザも、アプリケーションへの認証を行うことができます。以下を行うこともできます。

  • Jamf Connect をユーザに対して非表示にします。これにより、アプリケーションとのユーザ操作をコンピュータのログインウィンドウに限定します。

  • 管理者の同意を所属のオーガニゼーションに与えます。これは、アプリケーション設定の「Permissions (アクセス許可)」セクションで行うことができます。

重要:

User & Groups (ユーザとグループ) タブが予期せず非表示にならないようにするためには、認証設定の Allow public client flows (パブリッククライアントフローを許可する) 設定が一時的に No (いいえ) に切り替えられていることを確認してください。ユーザを Jamf Connect App に割り当てた後、この設定を再度有効化できます。

App 役割の指定

Azure で定義された App 役割を使用して、コンピュータのローカル管理者としてユーザを作成できます。役割を作成するには、アプリケーションマニフェストを編集する必要があります。

注:

Microsoft Azure のプレビュー版の登録済み App 役割 の UI を使用して、App 役割を編集することもできます。代わりにプレビュー UI を使用するには、App 登録に移動し、サイドバーの「Manage (管理)」セクションで、App roles | Preview (App 役割 | プレビュー) をクリックします。

要件
Azure AD での Jamf Connect の App 登録。
  1. 左側のサイドバーで Azure Active Directory をクリックします。
  2. App registrations (App の登録) をクリックし、続いて Jamf Connect App 登録を選択します。
  3. Manifest (マニフェスト) をクリックします。
  4. 「マニフェスト」で、"appRoles": [] を検索し、続いて希望する役割エントリを「マニフェスト」に追加します。以下の例では、「管理者」と「標準」の役割を作成しています。
    注:

    役割ごとに汎用一意識別子 (UUID) を生成する必要があります。Terminal で次のコマンドを実行して UUID を生成します。uuidgen | tr "[:upper:]" "[:lower:]"

    "appRoles": [
{
"allowedMemberTypes": [
"User"
],
"displayName": "Admin",
"id": "fdff90b7-df09-4c19-8ab0-158cc9dc62e4",
"isEnabled": true,
"description": "Members of the Admin group.",
"value": "Admin"
},
{
"allowedMemberTypes": [
"User"
],
"displayName": "Standard",
"id": "36610848-21ee-4cc0-afee-eaad59d442ea",
"isEnabled": true,
"description": "Members of the Standard group.",
"value": "Standard"
}
], 
  5. Save (保存) をクリックします。

以上で、アプリケーションにユーザを明示的に追加し、役割をを定義できるようになりました。デフォルトでは、CreateAdminUser 環境設定キーが有効でない限り、管理者の役割を持つユーザはコンピュータ上でローカル管理者として作成され、すべてのユーザは管理者になります。ユーザが管理者になることを許可する役割のリストは、OIDCAdmin 環境設定キーを使用して有効にすることもできます。ユーザの Azure トークンに役割を追加するには、アプリケーションプロパティでユーザの割り当てを要求する必要があります。

注:

Automated Device Enrollment (自動デバイス登録) (旧称 DEP) で Jamf Connect を使用している場合は、このアプリケーションをすべての条件付きアクセス制御から削除してください。条件付きアクセスがインスタンス化される前に、ユーザはコンピュータにサインインしていることになります。

条件付きアクセスポリシーの強制

所属するオーガニゼーションが Microsoft の条件付きアクセスポリシーを使用して、それらのポリシーを Jamf Connect に適用する場合、Jamf Connect app 登録にウェブプラットフォームのリダイレクト URI を追加する必要があります。これにより、Azure AD は Jamf Connect を条件付きアクセスポリシーに含められるクラウドアプリケーションとして認識します。

要件

Azure AD での Jamf Connect の App 登録

  1. App の登録へ移動します。
  2. サイドバーの「Manage (管理)」セクションで、Authentication (認証) をクリックします。
  3. プラットフォームの統合で、+ Add a platform (プラットフォームを追加) をクリックします。
  4. Configure (構成) プラットフォームペインで、Web (ウェブ) をクリックします。
  5. https://0.0.0.0/jamfconnect など、使用しない無効な URI を入力します。

    これにより、Jamf Connect がクラウドアプリケーションとして認識されるようになります。

  6. Configure (構成) をクリックします。
Jamf Connect に登録したアプリケーションを、条件付きアクセスポリシーに含めたり、除外したりできるようになりました。
Jamf Connect を条件付きアクセスポリシーに追加する、または Jamf Connect 用の新ポリシーを作成するには、Azure Active Directory > Security (セキュリティ) > Conditional Access (条件付きアクセス) に移動します。
重要: ユーザがコンピュータからロックアウトされないようにするには、Jamf Connect を使用しているコンピュータにポリシーを割り当てる前に、ポリシーを慎重に確認してください。以下のポリシーを使用すると、ユーザが Jamf Connect で認証を行えなくなる可能性があります。

  • デバイスを準拠としてマークすることを要求

  • デバイスに Azure AD のハイブリッド環境への参加を要求

  • 承認済みクライアント App が必要

  • App 保護ポリシーを要求

条件付きアクセスポリシーの詳細情報は、Microsoft の 条件付きアクセスポリシーの構築をご参照ください。