ログインウィンドウ環境設定

このリファレンスには、Jamf Connect ログインウィンドウで利用可能なすべての環境設定が含まれています。

ログインウィンドウの認証設定

  • ドメインcom.jamf.connect.login
  • 説明

    ログインウィンドウで Jamf Connect が IdP とローカルアカウント間の認証を完了できるようにするために使用されます。必要となる設定は IdP によって異なります。

キー

説明

OIDCProvider

アイデンティティプロバイダ

クラウドアイデンティティプロバイダを指定します。以下の値がサポートされています。

  • Azure
  • IBMCI
  • GoogleID
  • OneLogin
  • Okta
  • PingFederate
  • Custom (カスタム)
<key>OIDCProvider</key>
<string>Azure</string>

AuthServer

認証サーバ

(Okta のみ) 組織の Okta ドメインの URL。

<key>AuthServer</key>
<string>yourcompany.okta.com</string>

OIDCClientID

クライアント ID

IdP の Jamf Connect app のクライアント ID はユーザを認証するために使用されました。

<key>OIDCClientID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

OIDCRedirectURI

リダイレクト URI

IdP で Jamf Connect App により使用されるリダイレクト URI。

「https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、IdP の構成値が Jamf Connect Login 構成プロファイルの値と一致する限り、URI の値を使用することができます。

<key>OIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

OIDCClientSecret

クライアントシークレット

Jamf Connect Login と IdP によって使用されるクライアントシークレット。

<key>OIDCClientSecret</key>
<string>ここにクライアントシークレットを入力します</string>

OIDCTenant

テナント ID

認証に使用される所属のオーガニゼーションのテナント ID を指定します。

<key>OIDCTenant</key>
<string>c27d1b33-59b3-4ab2-a5c9-23jf0093</string>

OIDCDiscoveryURL

ディスカバリー URL

OpenID 構成情報を保存する IdP の OpenID メタデータドキュメント。この値は、次の形式で表示されます: 「https://domain.url.com/.well-known/openid-configuration」

注:

このキーは、Identity Provider (アイデンティティプロバイダ) (OIDCProvider) がカスタムまたは PingFederate に設定されている場合に必要です。

<key>OIDCDiscoveryURL</key>
<string>https://identity-provider-example-address.com/.well-known/openid-configuration</string>
OIDCUsePassthroughAuth

パススルー認証を使用する

(Azure AD と Google のみ) ローカル認証の際に、サインイン Web ビューに入力したユーザのネットワークパスワードを Jamf Connect に安全に送信します。これにより、Jamf Connect はユーザにパスワードの再入力を求めることなく、ネットワーク認証とローカル認証を完了することができます。これにより、ローカルアカウントの作成時に、ネットワークパスワードがローカルパスワードとして自動的に使用されます。この設定は、デフォルトで false に設定されています。

Azure AD を使用する場合、OIDCNewPassword キーを false に設定する必要があります。

<key>OIDCUsePassthroughAuth</key>
<false/>
詳しくは、Jamf Connect を使用したパススルー認証 を参照してください。

LicenseFile

ライセンスファイル

Base64 データ形式でエンコードされた .Jamf Connect license ファイルの内容。ライセンスファイルは Jamf Account から入手できます。

<key>LicenseFile</key>
<string>エンコードライセンスコンテンツ</string>

初期パスワードの設定

  • ドメインcom.jamf.connect.login
  • 説明

    Jamf Connect がアカウント作成時にどのようにローカルパスワードを作成するのか、またユーザのローカルパスワードとネットワークパスワードが同期していることを確かめるために、ログインごとに確認する必要があるのかどうかを、決定するのに使用します。

キー

説明

OIDCNewPassword

 

別のローカルパスワードを作成してください

true に設定されると、このキーはユーザに新しいローカルアカウントのために新しいパスワードを作成することを求める画面を表示します。

false に設定されると、このキーはユーザにネットワークパスワードを再度入力するように求める画面を表示します。これは、ローカルアカウントパスワードにもなります。これにより、ユーザのネットワークとローカルのパスワードがユーザ作成時に必ず同期されます。

注:

この設定はデフォルトで有効です。

<key>OIDCNewPassword</key>
<true/>

OIDCROPGID

クライアント ID (パスワード検証)

IdP で登録された app のクライアント ID は、リソース所有者パスワード付与 (ROPG) ワークフローを通じて、ユーザのパスワードを認証するために使用されます。この値は通常 OIDCClientID 環境設定キーと一致します。

<key>OIDCROPGID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

CreateJamfConnectPassword

Jamf Connect キーチェーンの作成

アカウント作成プロセス時に Jamf Connect 用のキーチェーン項目を自動作成します。これにより、Jamf Connect メニューバーアプリを最初に開いたとき、サインイン画面にユーザ認証情報を入力することができます。

注:

この設定を使用するには、Create a Separate Local Password (別のローカルパスワードを作成してください) (OIDCNewPassword) 設定を false に設定する必要があります。

<key>CreateJamfConnectPassword</key>
<true/>

ROPGSuccessCodes

パスワード検証の成功コード

ROPG パスワード検証中に IdP からのエラーコードを含む文字列の配列。Jamf Connect で成功したと解釈される必要があります。

ご使用の環境で構成する必要がある可能性のあるエラーコードについては、Microsoft のAzure AD 認証と承認のエラーコードを参照してください。

多要素認証がご利用の環境で使用されている場合に、OneLogin を使用する際には、このキーを「MFA」に設定します。

<key>ROPGSuccessCodes</key>
<array>
<string>AADSTS50012</string>
<string>AADSTS50131</string>
</array>

ローカルおよびネットワーク認証管理の設定

  • ドメインcom.jamf.connect.login
  • 説明

    ローカルおよびネットワーク認証における制限事項を指定します。

キー

説明

DenyLocal

ネットワーク認証が必要です

ユーザがネットワーク認証をバイパスしてローカルアカウントの資格情報を使用することができるかどうかを決定します。

true に設定すると、Local Login (ローカルログイン) ボタンは使用不可となり、ユーザはネットワーク認証を使用してログインする必要があります。

false に設定すると、Local Login (ローカルログイン) ボタンは使用可能となり、ユーザはローカルで認証することを選択できます。

この設定を使用して、FileVault が有効化されたコンピュータ上でのネットワーク認証が起動時にスキップされないようにすることもできます。詳しくは、自動 FileVault ログインを無効にする を参照してください。

<key>DenyLocal</key>
<false/>

DenyLocalExcluded

ローカル認証特権を持つユーザ

DenyLocal が true に設定されている場合、今後もどのユーザがローカルで認証できるかを指定します

<key>DenyLocalExcluded</key>
<array>
<string>ユーザ-1</string>
<string>ユーザ-2</string>
<string>ユーザ-3</string>
<string>ユーザ-4</string>
</array>

LocalFallback

ローカルフォールバックを許可

このキーは IdP への認証を最初に強制するために DenyLocal と共に使用されますが、ネットワーク接続が利用できない場合はローカル認証にその後フォールバックされます。

<key>LocalFallback</key>
<false/>
OIDCDefaultLocal

デフォルトでローカル認証を使用

true に設定すると、Jamf Connect はネットワーク認証ではなくデフォルトでローカル認証を使用します。これにより、ユーザはネットワーク接続なしで常にログインできます。

<key>OIDCDefaultLocal</key>
<false/>

アカウントの移行設定

  • ドメインcom.jamf.connect.login
  • 説明

    既存のローカルアカウントとネットワークアカウント間のアカウント接続を設定するために使用します。

キー

説明

Migrate

既存のローカルアカウントをネットワークアカウントに接続してください

既存のローカルアカウントをネットワークアカウントに接続することを許可します。

この設定は通常、ユーザの既存のローカルアカウントにユーザのネットワークアカウントと同じユーザ名とパスワードを設定する場合に使用されます。

有効にされると、ユーザは IdP でログインする必要があり、これが行われると Jamf Connect は一致するローカルアカウントを探します。

注:
  • この設定を使用するには、Require Network Authentication (ネットワーク認証が必要です) (DenyLocal) を有効にする必要があります。詳しくは、ネットワークおよびローカル認証制限 を参照してください。
  • ネットワーク認証が成功するたびに、そのユーザのレコードは「NetworkSignIn」属性で更新されます。ユーザがローカル認証のみを使用する場合、この属性は更新されません。
<key>Migrate</key>
<false/>

MigrateUsersHide

ネットワークアカウント接続が禁止されているローカルアカウント

移行プロセスから除外されるローカルアカウントのユーザ名のリスト。ログインプロセスの「接続」の手順時、これらのアカウントはユーザが利用できなくなります。

<key>MigrateUsersHide</key>
<array>
<string>admin</string>
<string>ladmin</string>
</array>

DemobilizeUsers

アカウントのモバイル化の解除

既存の Active Direcory モバイルアカウントの「モバイル化の解除」が行われたかどうかを特定します。モバイル化の解除とはモバイルアカウントをローカルアカウントに変換するプロセスのことです。モバイル化の解除は、アカウントからネットワーク認証局も削除します。

モバイル化を解除したら、Active Directory からコンピューターのバインドを解除できます。

重要:

モバイル化の解除の前に Active Directory からバインドを解除した場合、ユーザの Active Directory パスワードと IdP パスワードが一致せず、アカウント作成中に Jamf Connect がパスワードを同期するように構成されていると、モバイル化の解除が失敗する場合があります。Active Directory からのバインドを解除する前にアカウントのモバイル化を解除し、Jamf Connect でのアカウント作成中に Active Directory ドメインに到達できることを確認してください。手順については、技術記事「Demobilizing and Unbinding Mobile Accounts with Jamf Connect and Jamf Pro (Jamf Connect と Jamf Pro のモバイルアカウントのモバイル化の解除とバインドの解除)」をご参照ください。

<key>DemobilizeUsers</key>
<false/>

ログインウィンドウカスタムブランディングの設定

  • ドメインcom.jamf.connect.login
  • 説明

    Jamf Connect ログインウインドウのカスタマイズに使用します。

キー

説明

BackgroundImage

背景画像

ログインウィンドウの背景として使用するローカルに保存された画像へのパス。この画像ファイルはログインウィンドウから読み取れる場所に保管する必要があります。

<key>BackgroundImage</key>
<string>/usr/local/shared/background.jpg</string>

LoginLogo

ログインロゴ

パスワードの検証中またはローカルパスワードの作成中にロゴとして使用するローカルに保存された画像へのパス。

注:
  • 250 x 250 のピクセル画像をお勧めします。
  • バックラッシュ「\」をファイルパスに含めないようにしてください。
  • 画像ファイルとそのファイルパスには、ログインウィンドウから読み取れる 444 のような権限セットが割り当てられている必要があります。
<key>LoginLogo</key>
<string>/usr/local/images/logo.png</string>

LoginWindowMessage

ログインウィンドウのメッセージ

ログインウィンドウ下部の中央部分に表示されるカスタムメッセージ。

注:

このテキストは 1 行で表示されます。改行はサポートされておらず、メッセージが長すぎると、期待通りに表示されない場合があります。

<key>LoginWindowMessage</key>
<string>会社で使用するユーザ名とパスワードでログインしてください。</string>

ログインウィンドウのユーザヘルプの設定

  • ドメインcom.jamf.connect.login
  • 説明

    ユーザがヘルプボタンを使用してリソースにアクセスし、ログインウィンドウで Wi-Fi ネットワークに参加して、電源制御ボタンを使用できるようにします。

キー

説明

AllowNetworkSelection

ネットワーク選択を許可する

True に設定すると、ユーザはこの環境設定キーを使用して、ログインウィンドウからユーザはネットワーク接続の環境設定を構成および確認できます。この機能にアクセスするには、ログインウィンドウの右上の Wi-Fi アイコンをクリックします。

注:

コンピュータのセキュリティを確保するために、ユーザは Jamf Connect ログインウィンドウでキャプティブポータルを介してネットワークに接続することはできません。

<key>AllowNetworkSelection</key>
<false/>

HelpURL

ヘルプ URL

ログインウィンドウに表示する URL を指定し、オンボーディングまたは登録ヘルプのリソースにユーザを誘導します。

<key>HelpURL</key>
<string>yourcompany.help.com</string>

LocalHelpFile

ヘルプファイルをバックアップする

Jamf Connect ログインウィンドウに表示されているヘルプアイコンをクリックしてアクセスできる、ネットワークのトラブルシューティングやオンボーディングガイドなどのローカルファイルへのパス。

このファイルは、コンピュータがインターネットに接続できない場合、または HelpURL キーで指定された URL にアクセスできない場合にのみ表示されます。

注:

サポートされているファイルの種類には PDF と HTML があります。

<key>LocalHelpFile</key>
<string>/usr/local/shared/JamfConnectHelp.pdf</string>

OIDCHideShutdown

システム終了ボタンを非表示

ログインウィンドウでユーザに対してシステム終了ボタンを非表示にします。

<key>OIDCHideShutdown</key>
<false/>

OIDCHideRestart

再起動ボタンを非表示

ログインウィンドウでユーザに対して再起動ボタンを非表示にします。

<key>OIDCHideRestart</key>
<false/>

Azure AD ハイブリッド ID の設定

  • ドメインcom.jamf.connect.login
  • 説明

    Azure AD ハイブリッド ID 環境の認証とパスワード同期の構成に使用します。

キー

説明

ROPGProvider

アイデンティティプロバイダ (ハイブリッド ID)

Jamf Connect がパスワードの同期を試行する場所を特定します。以下の値がサポートされています。

  • カスタム
  • Azure_v2
 
<key>ROPGProvider</key>

<string>Azure_v2</string>

ROPGTenant

テナント ID (ハイブリッド ID)

パスワード検証に使用する組織内のテナント ID。

<key>ROPGTenant</key>

<string>15e7196d-8bd5-4034-ae01-7bda4ad0c91e</string>

ROPGDiscoveryURL

ディスカバリー URL (ハイブリッド ID)

OpenID Connect ディスカバリエンドポイントを指定します。ADFS を使用している場合、この値は ADFS ドメインと以下を組み合わせたものです: 「/adfs/.well-known/openid-configuration」

注:

ROPGProvider キーを「カスタム」に設定する場合、このキーが必要になります。

<key>ROPGDiscoveryURL</key>
<string>https://adfs.jamfconnect.com/adfs/.well-known/openid-configuration</string>

 

ROPGRedirectURI

リダイレクト URI (ハイブリッド ID)

ADFS または Azure AD で作成されたアプリケーションにより使用されるリダイレクト URI。

https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、Azure AD または ADFS で設定された値が Jamf Connect Login 構成プロファイルの値と一致する限り、任意の有効な URI 値を使用できます。

<key>ROPGRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

ROPGClientSecret

クライアントシークレット (ハイブリッド ID)

Jamf Connect アプリケーションのクライアントシークレット。クライアントシークレットを構成するときは、次のシナリオを考慮してください:

  • ROPGと Azure AD の承認の許可の両方に同じクライアントシークレットを使用している場合は、このキーを設定しないでください。Jamf Connect Login は、認証とパスワード検証の両方に OIDCClientSecret キーで設定されたシークレットを使用します。
  • ROPG 認証にクライアントシークレットを使用していない場合は、この値を「NONE (なし)」に設定します。
  • 認証プロセスごとに異なるクライアントシークレットを使用する場合は、OIDCClientSecretROPGClientSecret の両方をそれぞれの値に設定します。
<key>ROPGClientSecret</key>

<string>your-client-secret</string>

ユニバーサルユーザロール設定

  • ドメインcom.jamf.connect.login
  • 説明

    任意のクラウド IdP で利用できるユーザロール設定

キー

説明

CreateAdminUser

管理者ユーザを作成する

すべてのユーザをローカル管理者として作成します。

注:

このキーは、新規ユーザをローカル管理者としてのみ作成し、アカウント作成後にローカルアカウントのステータスを強制しません。ユーザロールが IdP で設定され、Admin Roles (管理者の役割) (OIDCAdmin) 設定で指定される場合、ローカルユーザアカウントは、次回のログイン時に変更される場合があります。

<key>CreateAdminUser</key>
<false/>

OpenID Connect ユーザロール設定

  • ドメインcom.jamf.connect.login
  • 説明

    OpenID Connect 認証から受信した ID トークン属性からユーザロールを設定するために使用されます。

キー

説明

OIDCAdminAttribute

管理者の属性

ユーザに対して標準または管理者のローカルアカウントを作成するかどうかを決定するために、ID トークンに保存されているどの属性を使用するかを指定します。デフォルトでは、Jamf Connect は「グループ」属性を使用して、Admin Roles (管理者の役割) (OIDCAdmin) 設定で指定された値を検索します。

注:
  • Azure AD を使用している場合、この値を roles に設定してください。
  • Google Identity を使用している場合、ID トークンを使用してユーザロールを定義することはできません。
<key>OIDCAdminAttribute</key>
<string>グループ</string>

OIDCAdmin

管理者の役割

アカウント作成時に IdP で設定した、どのユーザロール (またはグループ) をローカル管理者にするかを指定します。1 つの役割または複数の役割を文字列の配列として指定することができます。Jamf Connect は、Admin Attribute (管理者の属性) (OIDCAdminAttribute) 設定が構成されていない限り、デフォルトでは、ID トークンの「グループ」属性でこれらの値を検索します。

注:

Google Identity を使用している場合、ID トークンを使用してユーザロールを定義することはできません。

<key>OIDCAdmin</key>
<array>
<string>役割-1</string>
<string>役割-2</string>
<string>役割-3</string>
<string>役割-4</string>
</array> 

OIDCIgnoreAdmin

役割を無視

True に設定すると、Jamf Connect Login は IdP に存在するロールをすべて無視します。このキーは、ローカルユーザアカウントが管理者アカウントまたは標準アカウントとして現在のステータスを維持することを保証します。

False または未指定に設定すると、Jamf Connect Login は構成されたロールの OIDCAdmin キーを読み込み、IdP のロールに基づいてローカルユーザアカウントのステータスを変更します。

<key>OIDCIgnoreAdmin</key>
<false/>

Okta ユーザロール設定

  • ドメイン

    com.jamf.connect.login

  • 説明

    (Okta専用) 新規のローカルアカウントのユーザロールを設定するために使用します。

キー

説明

OIDCAccessClientID

アクセスクライアント ID

アカウントの作成やコンピュータへのログインを許可されているユーザが使用する OIDC (OpenID Connect) アプリケーション。

注:

管理者を含むすべてのユーザを Okta 管理者コンソールのこの app に追加し、Jamf Connect Login へのアクセスを確保する必要があります。

<key>OIDCAccessClientID</key>
<string>0oad0gmia54gn3y8923h1</string>

 

OIDCAdminClientID

管理クライアント ID

アカウント作成時にローカル管理者として作成されたユーザが使用する OIDC (OpenID Connect) アプリケーション。

注:

管理者のみを Okta 管理者コンソールのこの app に追加する必要があります。

<key>OIDCAdminClientID</key>
<string>0oa0gwese54gn3y9O0h4</string>

 

OIDCSecondaryLoginClientID

セカンダリログインクライアント ID

最初のアカウントが作成された後、コンピュータ上で追加のユーザを作成することを許可されているユーザが使用する OIDC (OpenID Connect) アプリケーション。

<key>OIDCSecondaryLoginClientID</key>
<string>0oa0grdsrhdsre54gn3y9O0h4</string>

OIDCRedirectURI

リダイレクト URI

Okta で Jamf Connect App により使用されるリダイレクト URI。

「https://127.0.0.1/jamfconnect」がデフォルトで推奨されますが、Okta の構成値が Jamf Connect Login 構成プロファイルの値と一致する限り、URI の値を使用することができます。

<key>OIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

Okta 多要素認証の設定

  • ドメイン

    com.jamf.connect.login

  • 説明

    (Okta のみ) MFA オプションとテキストのカスタマイズに使用します。

キー

説明

MessageOTPEntry

ワンタイムパスワードメッセージ

(_Okta のみ) ユーザがワンタイムパスワード (OTP) をマルチファクタ認証 (MFA) 方式として入力する必要があるときに表示されるテキスト。

<key>MessageOTPEntry</key>
<string>検証コードを入力してください。</string>

MFARename

MFA オプションの名称

(Okta のみ) 組織の Okta 認証で使用される各 MFA オプションのカスタム名。Jamf Connect と Okta を使用して構成可能な MFA オプションのタイトルについての詳細は、多要素認証 を参照してください。
<key>MFARename</key>

   <dict>

	<key>push</key>
	
<string>Okta Verify app: PushNotification</string>
	
<key>question</key>

	<string>Okta セキュリティの質問</string>

	<key>web</key>
<string>Duo Mobile app</string>
<key>sms</key>

	<string>Okta SMS: 検証コード</string>

	<key>google:token:software:totp</key>

	<string>Google Authenticator app: 検証コード</string>

	<key>okta:token:software:totp</key>

	<string>Okta Verifiy app: 検証コード</string>

	<key>token:hardware</key>

	<string>USB セキュリティキー</string>

   </dict>

MFAExcluded

MFA オプションを非表示にする

(Okta のみ) ユーザに表示しない MFA オプション のリスト
<key>MFAExcluded</key>

   <array>

	<string>プッシュ</string>

	<string>質問</string>

	<string>okta:token:software:totp</string>
	<string>google:token:software:totp</string>	
	<string>token:hardware</string>

	<string>webauthn</string>
	<string>web</string>
   </array>

高度なログイン設定

  • ドメインcom.jamf.connect.login
  • 説明

    高度な認証設定を構成し、ID トークンでカスタムクレームを使用するために使用されます。

キー

説明

OIDCAuthServer

カスタム Okta 認証サーバ

(Okta のみ) Okta テナントのカスタム認証サーバを指定します。これは、ローカルアカウントの作成中にユーザの ID トークン (OIDCIDTokenPath キーを介して保存されます) でカスタムスコープとクレームを送信するために使用できます。

この値を設定するには、カスタム認証サーバ IDを使用します。カスタム認証サーバの発行者 URI の末尾の文字列が、同 ID に該当します。以下の発行者 URI の abc9o8wzkhckw9TLa0h7z が認証サーバ ID です。

例: https://your-custom-auth-server.okta.com/oauth2/abc8o8wzjhckw
この設定を使用するには、Okta app 統合を作成し、(OIDCAccessClientID) 設定用のユーザ役割を定義する必要があります。
注:

この設定は、Okta テナントに OpenID Connect App および ID トークン属性を管理する個別の認証サーバが存在する場合に限り、使用するものとします。この設定を、Auth Server (認証サーバ) (AuthServer) 設定で使用される主要なテナントと同一の値で構成すると、Okta による認証において予期せぬエラーが発生する場合があります。

<key>OIDCAuthServer</key>
<string>abc8o8wzjhckw9TLa0t8q</string>

カスタムの認証サーバの作成方法の詳細については、Okta の開発者向けウェブサイトのドキュメント Okta Authorization Server (Okta 認証サーバ) をご参照ください。

OIDCIgnoreCookies

クッキーを無視してください

Loginwindow アプリケーションに保存されているクッキーを無視します

<key>OIDCIgnoreCookies</key>
<false/>

OIDCScopes

OpenID 接続 (Connect) Scope

カスタム Scope を指定します。これは、認証中にユーザの ID トークンで追加のクレームを返します。標準の Scope には、openidprofileoffline_access が含まれます。複数の Scope を含める場合、「+」を追加してそれらを区切ります。

<key>OIDCScopes</key>
<string>openid+profile</string>

OIDCShortName

省略名

ローカル macOS アカウント名 (省略名とも呼ばれます) として使用するユーザの ID トークンからのクレームを指定します。ユーザのネットワーク固有名 (UPN プレフィックス) が、エイリアスとしてユーザのローカルアカウントに追加されます。

注:

使用するクレームがスタンダード ID トークンにはない場合、OIDCScopes 環境設定キーのある追加のクレームを指定することにより、追加のクレームを ID トークンで受け取ることができます。

<key>OIDCShortName</key>
<string>given_name</string>

OIDCROPGShortName

ROPG の短い名前

ID トークンのどのクレームを ROPG 認証中 (パスワードの検証中) にユーザ名として使用するかを指定します。

注:

使用するクレームがスタンダード ID トークンにはない場合、OIDCScopes 環境設定キーのある追加のクレームを指定することにより、追加のクレームを ID トークンで受け取ることができます。

この設定は、ROPG ワークフロー中に Jamf Connect がユーザ名 (unique_namepreferred_usernameemailsub など) を定義するために使用されるクレームを IdP が考慮しない複雑な IdP 環境でのみ使用されます。

<key>OIDCROPGShortName</key>
<string>given_name</string> 

OIDCIDTokenPath

フォーマット済みの ID トークンパス

ユーザのフォーマット済み ID トークンを保存するために使用できるファイルパスを指定します。

注:

このキーを使用するには、RunScript メカニズムが有効化されている必要があります。詳しくは、ログインスクリプトの追加 を参照してください。

<key>OIDCIDTokenPath</key>
<string>/tmp/token</string>

OIDCIDTokenPathRaw

未フォーマットの ID トークンパス

ユーザの未フォーマット ID トークンを保存するために使用できるファイルパスを指定します。

注:

このキーを使用するには、RunScript メカニズムが有効化されている必要があります。詳しくは、ログインスクリプトの追加 を参照してください。

<key>OIDCIDTokenPathRaw</key>
<string>/tmp/token-raw</string>

UseUserInfo

(PingFederate のみ) true に設定された場合、Jamf Connect は PingFederate ユーザトークンから追加のクレームを要求できます。この設定は、PingFederate から社内管理参照トークンを発行している場合だけ使用できます。

PingFederate 管理の詳細については、OAuth Configuration (認証設定) セクションの PingFederate Administrator's Manual (PingFederate 管理者マニュアル) を参照してください。

<key>UseUserInfo</key>
<false/>

FileVault 設定

  • ドメイン

    com.jamf.connect.login

  • 説明

    FileVault を Jamf Connect で有効にする方法を構成するのに使用します。

キー

説明

EnableFDE

FileVault を有効にします

true に設定すると、コンピュータにログインする最初のユーザに対して FileVault が有効になります。

<key>EnableFDE</key>
<false/>

EnableFDERecoveryKey

FileVault リカバリキーを保存する

true に設定すると、Jamf Connect は、特に指定がない限り、個人用リカバリキー (PRK) を /var/db/NoMADFDE に保存します。

<key>EnableFDERecoveryKey</key>
<false/>

EnableFDERecoveryKeyPath

リカバリキーのファイルパスを設定する

デフォルトで /var/db/NoMADFDE を使用するのではなく、PRK のカスタムファイルパスを指定します。

<key>EnableFDERecoveryKeyPath</key>
<string>/usr/local/filevault</string>

LAPSUser

LAPS ユーザ

Jamf Connect が個人用リカバリキーに対してパスワードを変更できる既存のローカル管理者アカウント。

この設定は、macOS 10.15.x の標準アカウントで FileVault を有効にするために、Jamf Connect によってのみ使用されます。この設定は、macOS 11.0.1 以降が搭載されたコンピュータには使用できません。

<key>LAPSUser</key>
<string>AdminUser</string>

利用規約の設定

  • ドメイン

    com.jamf.connect.login

  • 説明

    Jamf Connect のログイン画面で、ユーザに表示する利用規約を構成するために使用します。

キー

説明

EULAFilePath

利用規約ドキュメント

ユーザがログイン前に合意する必要がある利用規約ドキュメントが含まれているファイルへのパスを指定します。次のファイル形式に対応します:

  • PDF
  • TXT
  • RTF
  • RTFD
<key>EULAFilePath</key>
<string>/usr/local/shared/AcceptableUseExample.pdf</string>

EULAPath

監査ファイルのパス

利用規約に対するユーザの承諾記録が格納されているディレクトリのファイルパスを指定します。

このファイルパスには、_SecurityAgent の書き込みアクセスを許可する権限が必要です。/Users/Shared/ が推奨されます。

<key>EULAPath</key>
<string>/Users/Shared/</string>

EULAText

利用規約のテキスト

利用規約の本文
注:

本文の書式を設定するには、この文字列の値に *** を入力して改行します。

<key>EULAText</key>
<string>本文の例。***本文の例の改行。</string>

EULATitle

利用規約のタイトル

利用規約のタイトル

<key>EULATitle</key>
<string>使用条件</string>

EULASubTitle

利用規約のサブタイトル

利用規約のサブタイトル

<key>EULASubTitle</key
<string>Mac の使用を開始するためにこれらの使用条件に同意します。</string>

ログインスクリプトの設定

  • ドメインcom.jamf.connect.login
  • 説明

    ログインプロセス中にスクリプトを実行するために使用されます。

    注:

    スクリプトの環境設定を構成する前に RunScript メカニズムを有効にする必要があります。

キー

説明

ScriptArgs

スクリプト引数

RunScript メカニズムによって実行される、指定されたスクリプトで使用される引数

注:

ScriptPath キーの指定は必須です。

<key>ScriptArgs</key>
<array>
<string>-v</string>
<string>-user</string>
</array>

ScriptPath

スクリプトパス

RunScript メカニズムによって実行されるスクリプトまたはその他の実行可能ファイルへのパスを指定します。Jamf Connect Login ではいかなるときも 1 つのスクリプトしか使用できません。

<key>ScriptPath</key>
<string>/usr/local/bin/loginScript</string>

NotifyLogStyle

通知画面でのステータスのアップデート時に Jamf Pro のポリシーログを表示する

Jamf Connect の通知画面が構成されると、自動デバイス登録 (旧称 DEP) の実行中にユーザのステータスがアップデートされる際に Jamf Pro のポリシーログが表示されます。

この設定を有効化するには、この値を jamf に設定します。

<key>NotifyLogStyle</key>
<string>jamf</string>

UIDTool

カスタム UID ツールを使用する

アカウント作成の際に、ローカルユーザアカウントの UID をカスタム値に設定できる UID ツールへのパスを指定します。これは、ローカルユーザアカウントの UID をユーザの LDAP UID 属性と一致させるのに使用することができます。UID ツールは、実行可能なスクリプトである必要があります。

UID ツールは、アカウント省略名を受け入れ、ユーザアカウントに必要な UID で応答する必要があります。

<key>UIDTool</key>
<string>/Users/Shared/UIDTool</string>

Pluggable Authentication Module (PAM) 設定

  • ドメインcom.jamf.connect.login
  • 説明

    コンピュータで PAM 認証を有効にするのに使用します。

キー

説明

AuthUIOIDCProvider

アイデンティティプロバイダ (PAM)

Pluggable Authentication Module (PAM) で認証に使用するアイデンティティプロバイダを指定します

<key>AuthUIOIDCProvider</key>
<string>insert-identity-provider</string>

AuthUIOIDCClientID

クライアント ID (PAM)

PAM で認証に使用されるアイデンティティプロバイダの作成済み Jamf Connect App のクライアント ID

<key>AuthUIOIDCClientID</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

リダイレクト URI (PAM)

アイデンティティプロバイダの作成済み Jamf Connect App により使用されるリダイレクト URI

<key>AuthUIOIDCRedirectURI</key>
<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

テナント ID (PAM)

PAM で認証に使用されるアイデンティティプロバイダのテナント

注:

Okta が IdP の場合、このキーは必須です。

<key>AuthUIOIDCTenant</key>
<string>dev-123456</string>

AuthUIOIDCClientSecret

クライアントシークレット (PAM)

IdP の Jamf Connect App のクライアントシークレット。この値は Jamf Connect と IdP によってのみ既知です。

<key>AuthUIOIDCClientSecret</key>
<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>