Self Service+ (anciennement la barre de menus de l’app Jamf Connect) peut synchroniser le mot de passe local et le mot de passe réseau d’un utilisateur. Lorsque Self Service+ est configuré avec les réglages minimaux d’authentification de votre fournisseur d’identité (IdP) dans le cloud, cela effectue par défaut les opérations suivantes :
- Vérification du mot de passe en continu —
Toutes les 60 minutes, la synchronisation des mots de passe utilisateur réseau et local est vérifiée.
- Synchronisation des mots de passe —
Invite un utilisateur à changer son mot de passe local si celui-ci ne correspond pas au mot de passe réseau.
Si la synchronisation du mot de passe d’un utilisateur échoue, car son nouveau mot de passe ne répond pas aux exigences imposées par macOS (via la configuration du code MDM, etc.), une liste des exigences auxquelles le mot de passe doit répondre s’affiche.
- Gérer les modifications du mot de passe réseau —
Faciliter la modification du mot de passe réseau lors de son expiration. Pour appliquer le changement, Self Service+ ouvre une vue Web de l’URL du changement de mot de passe de votre fournisseur d’identité dans le cloud. Si Kerberos est utilisé, le changement de mot de passe est effectué directement dans l’interface utilisateur de Self Service+.
- Avertissements d’expiration du mot de passe —Self Service+ peut afficher le nombre de jours restant avant l’expiration d’un mot de passe dans l’interface utilisateur. Si les notifications sont autorisées, il peut également envoyer une notification à l’utilisateur final lorsqu’un mot de passe n’est pas synchronisé.
Pour plus d’informations relatives aux URL de modification et de réinitialisation des mots de passe par défaut et recommandées, consultez les préférences Modifier l’URL du mot de passe (
ChangePasswordURL) et Réinitialiser l’URL du mot de passe (ResetPasswordURL) dans les Réglages d’authentification dans la barre de menus.Si vous utilisez la plateforme SSO avec Microsoft Entra ID, avant le déploiement, vous devez ajouter un réglage de liste d’autorisation personnalisée à votre profil de configuration afin d’éviter tout échec de synchronisation du mot de passe. Cette liste d’autorisation doit inclure
com.jamf.managementetcom.jamf.selfserviceplus. Pour plus d’informations, consultez la section Déploiement d’un profil de configuration de l’authentification par signature unique de la plateforme.
Self Service+ ne peut pas afficher les notifications, à moins que l’utilisateur ne les autorise dans . Les administrateurs Mac peuvent également autoriser les notifications de Self Service+ grâce à un profil de notifications. Si vous utilisez Jamf Pro, vous pouvez activer les notifications à distance en accédant à et en configurant l’option Installer automatiquement un profil de notifications Jamf.
Si le mot de passe d’un compte réseau est modifié sans passer par Self Service+ (p. ex. via la page Web du fournisseur d’identité (IdP) de votre organisation pour les changements de mots de passe), le mot de passe réseau précédemment utilisé restera le mot de passe local jusqu’à ce que Self Service+ se connecte (par défaut toutes les 60 minutes) et invite l’utilisateur à mettre à jour son mot de passe. L’utilisateur recevra une notification toutes les 60 minutes jusqu’à ce qu’il ait effectué la mise à jour du mot de passe du compte réseau.
Les utilisateurs doivent connaître leurs anciens mots de passe pour pouvoir synchroniser les mots de passe. Si un utilisateur met à jour son mot de passe sans passer par Self Service+ et ne se rappelle pas de son ancien mot de passe (ancien mot de passe réseau), connectez-vous en tant qu’administrateur et consultez l’article Si vous avez oublié le mot de passe de connexion à votre Mac du site Web d’assistance Apple.
Vous pouvez désactiver la synchronisation des mots de passe pour des comptes locaux spécifiques en utilisant le réglage Liste de blocage de la synchronisation du mot de passe (
PasswordSyncBlockList). Elle vous permet de spécifier une liste de comptes macOS locaux pour laquelle vous ne voulez pas synchroniser les mots de passe (en général, des comptes administrateurs). Pour plus d’informations, consultez la section Réglages des règles de mot de passe.- L’app Self Service+ utilisera automatiquement la règle de mot de passe de votre fournisseur d’identité dans le cloud ou d’Active Directory, si elle la détecte. Si vous configurez le réglage Règle de mot de passe (
PolicyRequirements) dans Self Service+ ou des restrictions de code avec votre solution MDM, pour éviter les erreurs de changements de mot de passe, vous devez vous assurer que la règle configurée correspond à la règle de mot de passe du fournisseur d’identité (IdP) de votre organisation, ou qu’elle est moins restrictive que cette dernière.Avertissement :Pour éviter d’empêcher les utilisateurs d’accéder à leur ordinateur en raison de règles de mot de passe contradictoires, n’appliquez pas le réglage Modifier à la prochaine authentification (macOS 10.13 ou version ultérieure) (
changeAtNextAuth) disponible dans l’entité Code via une solution MDM. Autorisez plutôt la règle de mot de passe de votre fournisseur d’identité (IdP) à laisser expirer les mots de passe des utilisateurs et utilisez Self Service+ pour gérer les modifications de mot de passe.
Pour exécuter la synchronisation des mots de passe dans la fenêtre d’ouverture de session pendant la création d’un compte, vous devez configurer des réglages Self Service+ supplémentaires. Pour plus d’informations relatives à la synchronisation des mots de passe dans la fenêtre d’ouverture de session, consultez Création du mot de passe local initial.