Microsoft Azure AD との統合
これにより、app 登録を編集して API 呼び出しに管理者の同意を与え、認証設定を変更できるようになります。
Azure AD での API 呼び出しに管理者の同意を与える
- App の登録へ移動します。
- サイドバーの「Manage (管理)」で、API permissions (API の許可) をクリックします。
- 「Grant Consent (同意を与える)」で、所属する会社に対して Grant admin consent (管理者の同意を与える) をクリックし、プロンプトが表示されたら、Yes (はい)をクリックします。
Azure AD での App 認証設定の変更
ユーザを割り当てる
アクセスを制限するならば、ユーザをアプリケーションに割り当てることができます。デフォルトでは、どのドメインでのどのユーザも、アプリケーションへの認証を行うことができます。以下を行うこともできます。
Jamf Connect をユーザに対して非表示にします。これにより、アプリケーションとのユーザ操作をコンピュータのログインウィンドウに限定します。
管理者の同意を所属のオーガニゼーションに与えます。これは、アプリケーション設定の「Permissions (アクセス許可)」セクションで行うことができます。
User & Groups (ユーザとグループ) タブが予期せず非表示にならないようにするためには、認証設定の Allow public client flows (パブリッククライアントフローを許可する) 設定が一時的に No (いいえ) に切り替えられていることを確認してください。ユーザを Jamf Connect App に割り当てた後、この設定を再度有効化できます。
App 役割の指定
Azure で定義された App 役割を使用して、コンピュータのローカル管理者としてユーザを作成できます。役割を作成するには、アプリケーションマニフェストを編集する必要があります。
Microsoft Azure のプレビュー版の登録済み App 役割 の UI を使用して、App 役割を編集することもできます。代わりにプレビュー UI を使用するには、App 登録に移動し、サイドバーの「Manage (管理)」セクションで、App roles | Preview (App 役割 | プレビュー) をクリックします。
以上で、アプリケーションにユーザを明示的に追加し、役割をを定義できるようになりました。デフォルトでは、CreateAdminUser
環境設定キーが有効でない限り、管理者の役割を持つユーザはコンピュータ上でローカル管理者として作成され、すべてのユーザは管理者になります。ユーザが管理者になることを許可する役割のリストは、OIDCAdmin
環境設定キーを使用して有効にすることもできます。ユーザの Azure トークンに役割を追加するには、アプリケーションプロパティでユーザの割り当てを要求する必要があります。
Automated Device Enrollment (自動デバイス登録) (旧称 DEP) で Jamf Connect を使用している場合は、このアプリケーションをすべての条件付きアクセス制御から削除してください。条件付きアクセスがインスタンス化される前に、ユーザはコンピュータにサインインしていることになります。
条件付きアクセスポリシーの強制
所属するオーガニゼーションが Microsoft の条件付きアクセスポリシーを使用して、それらのポリシーを Jamf Connect に適用する場合、Jamf Connect app 登録にウェブプラットフォームのリダイレクト URI を追加する必要があります。これにより、Azure AD は Jamf Connect を条件付きアクセスポリシーに含められるクラウドアプリケーションとして認識します。
Azure AD での Jamf Connect の App 登録
デバイスを準拠としてマークすることを要求
デバイスに Azure AD のハイブリッド環境への参加を要求
承認済みクライアント App が必要
App 保護ポリシーを要求