Élévation des privilèges macOS pour les utilisateurs via la règle Jamf Pro

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR
Vous pouvez utiliser une règle Jamf Pro pour élever ou rétrograder à distance les privilèges d’un utilisateur sur son ordinateur à l’aide de commandes. Cela implique la création d’une règle Jamf Pro qui exécute la commande jamfconnect acc-promo --elevate ou jamfconnect acc-promo --demote lors de son déclenchement.
Remarque :

L’utilisation des règles Jamf Pro ne permet pas de remplacer ni d’ignorer les réglages configurés pour l’élévation des privilèges, notamment le réglage Vérifier les privilèges accordés à l’utilisateur (VerifyUserPromotion). Les administrateurs peuvent choisir de masquer la fonctionnalité d’élévation des privilèges aux utilisateurs en utilisant le réglage Privilèges utilisateur (userprivileges) dans la section HiddenMenuItems de votre profil de configuration Self Service+, ce qui n’empêche pas les utilisateurs d’utiliser cette fonctionnalité. L’utilisateur peut toujours accéder à la ligne de commande pour élever ses privilèges. Les commandes sont donc un exemple d’utilisation dans une règle ou dans la partie d’un script exécuté via une règle.

Ces règles ne prennent en charge que la promotion et la rétrogradation des comptes via Self Service+. Elles n’affecteront pas les utilisateurs dont le compte a été promu ou rétrogradé à partir d’applications autres que Self Service+.

Exigences

  • Un profil de configuration Self Service+ avec élévation de privilèges et le réglage Schéma URL et ligne de commande (URLCommandLineElevation) activé

  • Les commandes d’élévation des privilèges ajoutées à vos scripts Jamf Pro

  1. Dans la barre latérale de Jamf Pro, cliquez sur Ordinateurs .
  2. Cliquez sur Règles dans la barre latérale.
  3. Cliquez sur Nouveau .
  4. Utilisez l’entité Général pour configurer les réglages de base de la règle, y compris le déclencheur et la fréquence d’exécution.
  5. Cliquez sur Fichiers et processus.
    1. Pour une élévation, ajoutez la commande suivante dans le champ Exécuter la commande : sudo -u $( /usr/sbin/scutil <<< "show State:/Users/ConsoleUser" | /usr/bin/awk -F': ' '/[[:space:]]+Name[[:space:]]:/ { if ( $2 != "loginwindow" ) { print $2 }}' ) /usr/local/bin/jamfconnect acc-promo --elevate.
    2. Pour une rétrogradation, ajoutez la commande suivante dans le champ Exécuter la commande : sudo -u $( /usr/sbin/scutil <<< "show State:/Users/ConsoleUser" | /usr/bin/awk -F': ' '/[[:space:]]+Name[[:space:]]:/ { if ( $2 != "loginwindow" ) { print $2 }}' ) /usr/local/bin/jamfconnect acc-promo --demote.
  6. Utilisez le reste des entités pour configurer les tâches que vous voulez effectuer.
  7. Cliquez sur l’onglet Périmètre et configurez le périmètre de la règle :
  8. Cliquez sur Enregistrer.

Jamf Pro peut désormais élever les privilèges des utilisateurs Self Service+ à distance grâce à la fonctionnalité d’élévation des privilèges en initiant n’importe quelle règle prise en charge avec des déclencheurs prédéfinis ou personnalisés.