Provisionnement des comptes locaux lors de l’Inscription automatisée des appareils

Documentation Jamf Pro 11.19.0
Solution
Application
Content Type
Documentation technique
Utilities & Services
version
11.19.0
ft:locale
fr-FR
vrm_version
11.19.0

Vous pouvez créer un compte d’administrateur local géré, également appelé « administrateur géré », et configurer les informations du compte local pour l’utilisateur principal au cours de l’Inscription automatisée des appareils.

Sur les ordinateurs avec macOS 10.15 ou version ultérieure, vous pouvez également configurer les éléments suivants :

  • Préremplissez les informations du nom de compte local et du nom de compte de l’utilisateur principal. Si votre environnement dispose d’un serveur LDAP ou du serveur du fournisseur d’identité dans le cloud, vous pouvez saisir des variables d’utilisateur. Vous pouvez également empêcher l’utilisateur qui s’inscrit de modifier ces informations au cours de l’inscription.

  • Si un jeton d’amorçage est placé sous séquestre dans Jamf Pro, les administrateurs gérés peuvent recevoir un jeton sécurisé lors de la connexion.
Requirements

Pour permettre aux variables d’utilisateur d’être remplies avec la valeur de l’attribut LDAP ou de celui du fournisseur d’identité (IdP) dans le cloud, vous devez avoir configuré un serveur LDAP ou le serveur du fournisseur d’identité dans Jamf Pro. Pour plus d’informations, consultez Intégration à un service d’annuaire LDAP et Fournisseurs d’identité dans le cloud.

  1. Sur la page Inscriptions PreStage, effectuez l’une des opérations suivantes :

    • Cliquez sur Nouveau pour créer une nouvelle inscription PreStage.

    • Sélectionnez une inscription PreStage existante et cliquez sur Modifier .

  2. (Optional) Dans le volet Réglages de compte, procédez comme suit pour créer un compte d’administrateur local (administrateur géré) :
    Note:

    Jamf ne recommande pas d’utiliser la solution MDM LAPS pour la modification régulière du mot de passe si le compte doit utiliser FileVault ou autoriser des mises à jour logicielles sur des ordinateurs équipés d’une puce Apple. La modification régulière du mot de passe d’un compte d’administrateur local géré via l’inscription PreStage qui a été activée par cryptographie avec un jeton sécurisé entraînera la modification du mot de passe de connexion. Cependant, le nouveau mot de passe ne fonctionnera pas pour une authentification chiffrée de l’utilisateur.

    1. Cochez la case Créer un compte administrateur local géré avant l’Assistant réglages.
    2. Renseignez les champs Nom d’utilisateur et Mot de passe, puis confirmez le mot de passe.
      Warning:

      N’utilisez pas le même nom d’utilisateur pour le compte administrateur local géré créé dans les réglages de l’inscription par l’utilisateur et pour un compte administrateur local géré créé dans une inscription PreStage. Si vous utilisez le même nom d’utilisateur pour ces deux comptes, leur création pourrait ne pas se dérouler correctement pendant l’inscription automatisée des appareils et une erreur inattendue pourrait se produire. De plus, le mot de passe pour la solution de mot de passe de l’administrateur local (LAPS) ne pourra pas être récupéré dans l’API Jamf Pro.

    3. Sélectionnez Masquer l’administrateur géré dans Utilisateurs et groupes.
      Vous empêchez ainsi les utilisateurs de voir le compte d’administrateur géré ou d’interagir avec dans Réglages Système (macOS 13 ou version ultérieure) ou Préférences Système (macOS 12 ou version antérieure).
    4. Cochez la case Activer le compte d’administrateur local pour la solution MDM.
      Vous activez ainsi le compte d’administrateur géré par MDM.
      Warning:

      Le fait d’activer l’administrateur géré par MDM empêche le compte utilisateur local suivant d’être activé par MDM. Si le compte local principal n’est pas activé par MDM, il ne sera pas possible d’installer des profils de configuration de niveau utilisateur pour l’utilisateur. Pour plus d’informations, consultez la section Comptes utilisateur locaux activés par MDM.

  3. Sélectionnez l’un des éléments suivants pour configurer le type de compte local de l’utilisateur principal :
    • Compte d’administrateur

      Crée l’utilisateur principal comme administrateur local.

    • Compte standard

      Crée un compte utilisateur standard.

    • Ignorer la création de compte
      Ignore la création du compte au cours de l’inscription. Sélectionnez cette option lorsque :

      • Une autre solution, telle que Jamf Connect, est configurée de sorte à créer des comptes locaux pour l’utilisateur principal au cours de l’Inscription automatisée des appareils.

      • Vous voulez créer l’administrateur géré uniquement au cours de l’inscription.

  4. Cochez la case Préremplir les informations du compte principal, puis sélectionnez l’une des options suivantes :
    • Détails personnalisés
      Cette option vous permet de saisir le nom complet et le nom du compte pour l’ordinateur. Ces informations sont appliquées à tous les ordinateurs inscrits via une inscription PreStage. Si le LDAP ou le fournisseur d’identité (IdP) dans le cloud est intégré à votre environnement Jamf Pro, vous pouvez utiliser des variables pour alimenter de façon dynamique les données utilisateur du LDAP ou d’un IdP. Les variables suivantes sont prises en charge :

      • $USERNAME

      • $FULLNAME

      • $REALNAME

      • $EMAIL

      • $PHONE

      • $POSITION

      • $ROOM

      • $EXTENSIONATTRIBUTE_#

      Note:

      • Si une valeur vide est renvoyée pour une variable, le réglage Verrouiller les informations du compte principal est ignoré pour permettre aux utilisateurs de saisir les informations du compte utilisateur manquantes.

      • Seuls les attributs d’extension d’utilisateurs sont disponibles sous forme de variables. Les attributs d’extension des ordinateurs et des appareils mobiles ne sont pas pris en charge.

    • Détails du propriétaire de l’appareil

      Cette option définit le nom complet du compte et le nom du compte sur la base des valeurs des champs Nom d’utilisateur et Nom complet figurant dans les données d’inventaire de l’ordinateur au moment de l’inscription. Si une authentification est requise au cours de l’inscription, les informations de l’utilisateur sont associées à l’appareil à l’aide d’une recherche Jamf Pro dans l’annuaire LDAP ou dans votre fournisseur d’identité (IdP) dans le cloud.

      Note:

      Si l’inscription PreStage comprend une configuration de la personnalisation de l’inscription avec le volet PreStage Authentification par signature unique et qu’une consultation de l’annuaire LDAP ou du fournisseur d’identité (IdP) dans le cloud n’est pas disponible, Jamf Pro ne recevra que le nom du compte et ne pourra pas obtenir le nom complet lors de la création du compte. Les informations relatives au nom d’utilisateur fournies par votre fournisseur d’identité sont alimentées par l’attribut NameID défini dans l’app SAML de votre fournisseur d’identité. Contactez votre fournisseur d’identité pour savoir s’il est possible de personnaliser cette valeur.

  5. Cochez la case Verrouiller les informations du compte principal pour empêcher les utilisateurs de modifier les champs Nom du compte et Nom complet du compte préremplis au cours de l’Assistant réglages.
  6. Cliquez sur Enregistrer .