Die Integration von Jamf Pro mit Microsoft Entra ID als Cloud-Identitätsanbieter ermöglicht die folgenden verzeichnisbasierten Workflows:
Alle Benutzer und Gruppen zum Zweck der Bestandserfassung abrufen
Nach Benutzermitgliedschaften suchen und so relevanten Accounts in Jamf Pro Berechtigungen zuordnen
Benutzerauthentifizierung und Bereich konfigurieren
Beachten Sie bei der Integration von Jamf Pro mit Entra ID Folgendes:
- Ihre Jamf Pro Instanz muss über Jamf Cloud gehostet werden.Note:
Diese Integration verwendet den Cloud Connector, um die Integration mit Entra ID herzustellen. Der Cloud Connector ist für Jamf Premium Cloud Plus Kunden derzeit nicht verfügbar.
Diese Integration unterstützt derzeit nur gewerbliche Entra ID Mandanten.
Sie benötigen Entra ID Berechtigungen vom Typ „Global Administrator“, um von der Jamf Pro Entra ID Connector Enterprise-App erforderte Einwilligungen zu verwalten.
Benutzergruppen, die in Jamf Pro hinzugefügt werden, sollten die gleichen Namen haben wie die in Entra ID konfigurierten Gruppen. In Jamf Pro hinzugefügte Accounts und Gruppen müssen dem Standardtyp entsprechen.
Wenn Sie mit verzeichnisspezifischen Workflows arbeiten (z. B. Bereichseinschränkungen und -ausschlüsse hinzufügen), werden cloudbasierte Entra ID Identitätselemente unter den Verzeichnisdienst-Überschriften aufgeführt.
In Jamf Pro können Probleme auftreten, wenn der Anwendungsbereich eines Objekts zu viele cloudbasierte Identitätsdienst-Gruppen enthält. Wenn Sie innerhalb eines Bereichs mehrere Kriterien verwenden möchten, wird empfohlen, eine dynamische Gruppe mit diesen Kriterien zu erstellen und anschließend diese dynamische Gruppe dem Bereich hinzuzufügen.
Entra ID verwendet als cloudbasierte Identitätsdienst-Integration Microsoft Graph API und Verbindungen zur Domäne Microsoft Graph. Gemeinsam mit der vom Administrator über Cloud Connector gewährten Zustimmung wird so sichergestellt, dass die Verzeichnisdaten automatisch weitergegeben und in den Verzeichnis-Workflows in Jamf Pro verwendet werden. In Entra ID werden lediglich die Daten gelesen und keine weiteren Aktionen durchgeführt.
Beim Einrichten der Graph API-Verbindung zwischen Jamf Pro und Entra ID sind für die Authentifizierung Benutzerberechtigungen vom Typ „Global Administrator“ erforderlich. Nach der erfolgreichen Authentifizierung wird automatisch eine Anwendung für Jamf Pro in Entra ID hinzugefügt, damit die Graph API verwendet werden kann. Das bedeutet, dass die App in Entra ID nicht manuell erstellt werden muss. Nach dem Hinzufügen der Anwendung wird die Sitzung beendet. Während Jamf Pro Suchvorgänge in Entra ID durchführt, befindet sich das System in einem schreibgeschützten Status. Jamf Pro kann keine Daten in Entra ID zurückschreiben.
Das folgende Diagramm zeigt den typischen Workflow der Integration von Jamf Pro und dem Entra ID Identitätsdienst:
Nach Erhalt der Einwilligung autorisiert die Cloud Connector Web-App eine spezifische Client-ID und die empfangene Mandanten-ID durch einen Abgleich mit dem Autorisierungsendpunkt von Entra ID. Aus diesem Grund antwortet Entra ID mit einem Autorisierungscode. Dieser Code wird zusammen mit der Mandanten-ID zurück an Jamf Pro übertragen. Wenn Jamf Pro den Datensatz von der Cloud Connector Web-App empfängt, wird der empfangene Autorisierungscode verifiziert. Wenn keine Probleme mit dem Datensatz erkannt werden, wird die Konfiguration gespeichert. Dieser Ansatz stellt sicher, dass Jamf Pro die Nutzung Ihrer Entra ID Mandantendaten ausschließlich auf den erlaubten Client/die erlaubte Anwendung beschränkt.
Für die Sicherung von Daten während der Übertragung wird TLS Version 1.2 oder neuer mit Perfect Forward Secrecy (PFS) verwendet. Jamf Pro versucht stets, das höchste Protokoll zuerst auszuhandeln.
Um die Verbindung herzustellen, ist der folgende Berechtigungssatz für die Jamf Pro Anwendung erforderlich:
Anmelden und Benutzerprofil lesen
Verzeichnisdaten lesen
Der folgende Berechtigungssatz ist für die Anwendung erforderlich:
GroupMember.Read.All (App)
User.Read (delegiert)
User.Read.All (App)
Wenn die Verbindung mit Entra ID aktiviert ist, kann Jamf Pro die Verzeichnisinformationen von Entra ID abrufen. Das folgende Diagramm zeigt den typischen Workflow für das Abrufen von Verzeichnisdaten:
Wenn der Administrator die Verzeichnissuche initialisiert, fordert Jamf Pro über den Clientanmeldeinformations-Flow ein Zugriffstoken von Entra ID an. Wenn das Token gewährt wurde, fragt Jamf Pro die Verzeichnisdaten über die Microsoft Graph API ab. Nach erfolgreicher Client-Verifizierung wird ein Datensatz zurückgegeben. Jamf Pro ordnet diese Daten einem Objekt zu, das dann in Verzeichnis-Workflows in Jamf Pro verwendet werden kann. Informationen zur Microsoft Graph REST API finden Sie unter Microsoft Graph REST API v1.0 Endpunkt-Referenz.