Jamf Connect でのパスワードの同期

Jamf Connect は、ユーザのローカルパスワードとネットワークパスワードを同期することができます。Jamf Connect がクラウドアイデンティティプロバイダ (IdP) の最小認証設定で構成されている場合は、Jamf Connect はデフォルトで次のことを行います。

  • 継続的なパスワード検証

    ユーザのネットワークパスワードとローカルパスワードの同期確認を 15 分間隔で行います。

  • パスワードの同期

    ローカルパスワードとネットワークパスワードが一致していない場合、ユーザにローカルパスワードの変更を求めます。

  • ネットワークパスワード変更の管理

    パスワードの有効期限が切れたときに、ネットワークパスワードの変更を行います。Jamf Connect は、クラウド IdP のパスワード変更 URL の Web ビューを開くことにより、この変更を完了します。Kerberos を使用する場合は、パスワードの変更は直接 Jamf Connect UI で完了します。

  • パスワード有効期限の警告Jamf Connect は、パスワードの有効期限までの日数をメニューバーに表示することができます。また、通知が許可されていれば、パスワードが同期されていないときにエンドユーザに通知することもできます。

Jamf Connect を使用してパスワードの同期をする際には、以下の点に注意してください:

  • ユーザが System Preferences (システム環境設定) > Notifications (通知) で通知を許可しない限り、Jamf Connect の通知を表示することはできません。Mac 管理者は、通知プロファイルを使用して Jamf Connect の通知を有効にすることもできます。Jamf Pro を使用している場合、Jamf Pro > Settings (設定) > Computer Management (コンピュータ管理) > Security (セキュリティ) に移動し、Automatically install a Jamf Notifications profile (Jamf 通知プロファイルを自動的にインストールする) 設定を構成して、通知をリモートで有効にすることができます。 

  • Jamf Connect を使用せずにネットワークアカウントのパスワードを変更すると (所属するオーガニゼーションの IdP のウェブページからパスワードを変更した場合など)、Jamf Connect がチェックイン (デフォルトでは 15 分ごと) してユーザにパスワードを更新するように促すプロンプトが表示されるまで、以前に使用していたネットワークパスワードがローカルパスワードとして残留します。

  • パスワードを同期させるために、ユーザは古いパスワードを知っている必要があります。ユーザが Jamf Connect を使用せずにパスワードを更新し、古いパスワード (以前に使用していたネットワークのパスワード) を思い出せない場合は、管理者としてログインし、Apple's サポートウェブサイトの macOS ユーザアカウントのパスワードを変更またはリセットするを確認します。

  • Jamf Connect は、クラウド IdP やActive Directory から検出されたパスワードポリシーを自動的に使用します。Jamf Connect での Password Policy (パスワードポリシー) (PolicyRequirements) の設定、または MDM ソリューションでのパスコードの制限を構成している場合、構成したポリシーがオーガニゼーションの IdP パスワードポリシーに適合すること、およびパスワード変更エラーを回避するための制限が少ないことを確認してください。
    警告:

    競合に関するパスワードポリシーによりコンピュータからユーザがロックアウトされないようにするために、Change at Next Authentication (macOS 10.13 or later) (次回の認証時に変更 (macOS 10.13 以降))) (changeAtNextAuth) 設定を MDM ソリューションのパスコード Payload で利用可能にしないでください。代わりに、ユーザパスワードを失効するために IdP のパスワードポリシーを利用して、パスワードの変更を管理するために Jamf Connect を使用するようにしてください。

ログインウィンドウやアカウント作成時にパスワード同期を行うには、追加の Jamf Connect 設定を構成する必要があります。ログインウィンドウでのパスワードの同期については、初期ローカルパスワード作成 を参照してください。

Google とのパスワード同期

ユーザの Mac アカウントと Google アカウントの間でパスワードを同期するために、Jamf Connect は Google のセキュア LDAP サービスを使用します。

Jamf Connect メニューバー App でユーザが認証を行うと、Jamf Connect は入力されたネットワークユーザ名とパスワードを使用して LDAP サーバへの認証を試みます。認証が失敗した場合、ユーザはパスワードを同期するように求められます。

コンピュータとオーガニゼーションの LDAP サーバドメイン間でセキュアな接続を確立するには、コンピュータのシステムキーチェーンに LDAP 証明書をインストールする必要があります。この証明書は、Google Admin Console の LDAP クライアントからダウンロードした後、.p12 フォーマットに変換する必要があります。

注: Jamf Connect メニューバー App を介した Google 認証では、OpenID Connect App との統合は必要ありません。

Google Cloud ID 用メニューバー App の構成

Jamf Connect メニューバー App の構成は、Jamf Pro または Jamf Connect Configuration App の Applications & Custom Settings (アプリケーション&カスタム設定) ペイロードを使用して行うことができます。

IdPSettings ディクショナリで、以下のように Identity Provider (アイデンティティプロバイダ) (Provider) 設定を GoogleID に設定します。

<key>IdPSettings</key>
<dict>
    <key>Provider</key>
    <string>GoogleID</string>
</dict>