L’intégration de Jamf Pro avec Microsoft Entra ID en tant que fournisseur d’identité dans le cloud permet de réaliser les workflows suivants du répertoire :
Recherche de tous les utilisateurs et groupes à des fins d’inventaire
Effectuer des recherches de données utilisateur et les utiliser pour mapper les privilèges aux comptes correspondants dans Jamf Pro
Configuration de l’authentification de l’utilisateur et du périmètre
Lors de l’intégration de Jamf Pro à Entra ID, tenez compte des informations suivantes :
Vous devez disposer d’un environnement hébergé dans Jamf Standard Cloud ou Jamf Premium Cloud.
Actuellement, cette intégration prend uniquement en charge les locataires Entra ID commerciaux.
Vous devez disposer des privilèges Entra ID d’administrateur global pour gérer les autorisations requises par l’app d’entreprise Jamf Pro Entra ID Connector.
Les groupes d’utilisateurs ajoutés dans Jamf Pro ont le même nom que les groupes configurés dans Entra ID. Les comptes et les groupes ajoutés dans Jamf Pro doivent être de type standard.
Dans les workflows liés à un répertoire (p. ex. l’ajout de limitations et d’exclusions au périmètre), les éléments de l’identité dans le cloud Entra ID sont répertoriés dans la section Service d’annuaire.
Jamf Pro peut rencontrer des problèmes de performances si le périmètre d’un objet contient trop de groupes dans le fournisseur d’identité (IdP) dans le cloud. Si vous devez utiliser plusieurs critères dans un périmètre, vous pouvez créer un groupe intelligent regroupant ces critères, ainsi qu’un périmètre pour ce groupe intelligent.
L’intégration d’Entra ID en tant que fournisseur d’identité (IdP) dans le cloud utilise l’API Microsoft Graph et les connexions au domaine Microsoft Graph. Avec le consentement accordé par l’administrateur via Cloud Connector, cela garantit que les données du répertoire sont automatiquement transmises et utilisées dans les workflows du répertoire dans Jamf Pro. Aucune action autre que la lecture des données n’est effectuée dans Entra ID.
Lors de la configuration de la connexion de l’API Microsoft Graph entre Jamf Pro et Entra ID, l’authentification doit être réalisée par un administrateur global. Une fois l’authentification réussie, une application pour Jamf Pro est automatiquement ajoutée dans Entra ID pour utiliser l’API Microsoft Graph. Cela signifie qu’il n’est pas nécessaire de créer l’application manuellement dans Entra ID. Une fois l’application ajoutée, la session se termine. Lorsque Jamf Pro effectue des recherches dans Entra ID, les résultats apparaissent en lecture seule. Jamf Pro ne peut pas réécrire les données dans Entra ID.
Le diagramme suivant montre le workflow d’intégration standard de Jamf Pro et du fournisseur d’identité dans le cloud Entra ID :
Après avoir reçu le consentement, l’app Web Cloud Connector autorise un identifiant de client donné et l’identifiant du locataire reçu via le point de terminaison de l’autorisation d’Entra ID. Entra ID répond en envoyant un code d’autorisation. Ce code est retransféré avec l’identifiant du locataire à Jamf Pro. Une fois l’ensemble des données de l’app Web Cloud Connector reçu, Jamf Pro vérifie le code d’authentification. S’il n’y a aucun problème, la configuration est sauvegardée. Cette approche garantit que Jamf Pro limite l’utilisation des données de votre locataire Entra ID uniquement au client ou à l’app ayant reçu l’autorisation.
La version du protocole TLS utilisée pour sécuriser les données en transit est la version 1.2 ou supérieure avec PFS (Perfect Forward Secrecy). Jamf Pro commencera toujours par négocier le protocole le plus élevé.
Pour créer la connexion, l’ensemble des autorisations suivantes est requis pour l’application Jamf Pro.
Se connecter et lire le profil de l’utilisateur
Lire les données du répertoire
L’ensemble des autorisations suivantes est requis pour l’application :
MembreGroupe.Lecture.Tous (application)
User.Read (délégué)
Utilisateur.Lecture.Tous (application)
Lorsque la connexion à Entra ID est activée, Jamf Pro peut interroger les données du répertoire depuis Entra ID. Le diagramme suivant montre le workflow standard pour les recherches dans les données du répertoire :
Lorsque l’administrateur lance une recherche dans le répertoire, Jamf Pro demande un jeton d’accès à Entra ID via le flux d’informations d’identification du client. Une fois le jeton obtenu, Jamf Pro interroge les données du répertoire via l’API Microsoft Graph. Une fois la vérification du client effectuée, un ensemble de données est renvoyé. Jamf Pro relie ces données à un objet qui peut ensuite être utilisé dans les workflows du répertoire dans Jamf Pro. Pour plus d’informations relatives à l’API REST Microsoft Graph, consultez l’article Référence sur le point de terminaison de l’API REST v1.0 Microsoft Graph.