Self Service+ で macOS 権限昇格を構成する

Jamf Connect ドキュメント
Solution
Application
Jamf Connect
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP
Jamf Connect Configuration App で権限昇格の設定を構成し、Self Service+ で一時的なユーザ権限昇格を有効にすることができます。これらの設定には、権限昇格の期間と回数の制限、検証の種類、および権限昇格された権限にアクセスできる役割が含まれます。設定の完全なリストについては、権限昇格の設定を参照してください。
要件
  • Jamf Connect Configuration App へのアクセス

  • 既存の Jamf Connect の構成プロファイル

  • サポートされているアイデンティティプロバイダで構成されたユーザ役割 (役割ごとに権限昇格の設定を構成する場合)。サポートされているアイデンティティプロバイダ (IdP) については、Jamf Connect アイデンティティプロバイダ統合 を参照してください。

  1. Jamf Connect Configuration App で、接続タブをクリックして、一時的なユーザ権限セクションに移動します。
  2. 一時的なユーザ特権昇格を選択します。
  3. (オプション) 権限昇格を Self Service+ インターフェイスのみに制限するには、URL スキームおよびコマンドライン権限昇格を選択します。
  4. (オプション) 一時的な権限昇格期間中にユーザのメニューに視覚的なカウントダウンタイマーを表示するには、ユーザ特権昇格タイマー設定を有効にします。
  5. ユーザセッションの期間 (分単位) と1か月あたりの権限昇格可能回数を構成するには、ユーザ特権昇格の制限フィールドとユーザ特権昇格期間フィールドに数値を入力します。
    注:

    ユーザ特権昇格の制限 (UserPromotionLimit) 設定によって設定された制限を回避するためにシステムの時間または日付を調整したユーザは、ログに時間改ざんフラグが付けられ、一時的な昇格機能を使用できなくなります。このフラグを削除するには、以下のコマンドを使用します。sudo defaults delete com.jamf.connect.state TimeTamperingDetected

    役割ベースの検証を構成する場合、役割に適用された期間によって、ユーザ特権昇格期間で設定された期間が上書きされます。

  6. (オプション) グループごとに権限昇格の設定を構成する場合、または権限昇格の前に認証を必要とする場合は、以下の手順を実行します。
    1. 認証方式に応じて、ユーザ特権昇格を検証または FIDO2によるユーザ特権昇格の検証を選択します。
    2. + ボタンをクリックします。
    3. 役割フィールドに、IdP に表示されるグループ名を正確に入力し、期間フィールドに制限時間を入力します。
    4. 管理者の属性で、役割を決定する IdP 設定の属性を定義します。
    注:

    Jamf Connect Configuration App で役割を追加しても、IdP で役割を構成していない場合、または管理者の属性を設定していない場合、権限昇格は失敗します。役割ごとに異なる権限昇格の設定を構成せずに検証を要求するには、UserPromotionRole に値を指定しないでください。

    ユーザグループに対して権限昇格を使用できないようにするには、管理者の属性を設定し、ユーザ特権昇格の役割を入力して、期間フィールドを0に設定します。

  7. ユーザ特権昇格の選択肢に、権限昇格の理由のリストをカンマ区切り値で入力します。
  8. Jamf Connect Configuration App の上部にある保存をクリックします。

権限昇格の設定は構成プロファイルで構成され、ユーザのデバイスに展開できます。

権限昇格の設定が有効になっている構成例を以下に示します。

<dict>
	<key>TemporaryUserPermissions</key>
<!-- Enables the feature for user promotion in Self Service+ -->
<dict>
	<key>TemporaryUserPromotion</key>
            <true/>
<!-- Displays a countdown timer to the user in Self Service+ -->
            <key>UserPromotionTimer</key>
            <true/>
<!-- Duration in minutes for user to be promoted -->
            <key>UserPromotionDuration</key>
            <integer>5</integer>
<!-- Require a user authenticate to the identity provider before account privilege elevation is granted. -->
            <key>VerifyUserPromotion</key>
            <true/> 
<!-- Require the user to be a member of a specific group. Each role requires a separate duration -->
            <key>UserPromotionRole</key>
				<array>
                        <dict>
<!-- Duration is time in minutes and is defined in whole number integer values -->
						  <key>Duration</key>
                              <integer>8</integer>
<!-- Name is case sensitive and must match the role value exactly as emitted in the ID token's roles claim -->
						  <key>Name</key>
                              <string>IT Help Desk Staff</string>

<!--The attribute of the identity token containing the group value -->
 						  <key>OIDCAdminAttribute</key>
						  <string>roles</string>
<!-- Your IdP -->
						  <key>Provider</key>
						  <string>EntraID</string>
				     </dict>
 					<dict>
                              <key>Duration</key>
                              <integer>30</integer>
						  <key>Name</key>
						  <string>Xcode Developer Staff</string>
						  <key>OIDCAdminAttribute</key>
						  <string>roles</string>
 						  <key>Provider</key>
						  <string>EntraID</string>
                       </dict>
         </array>
<!-- Enforces a maximum number of times that a user can request rights in one calendar month -->
            <key>UserPromotionLimit</key>
            <integer>10</integer>
<!-- Requires the user to provide a reason for promotion which will be recorded in system logs -->
            <key>UserPromotionReason</key>
            <true/>
<!-- A list of default reasons for promotion.  An "other" field will be provided automatically with a 200 character maximum input limit. -->
            <key>UserPromotionChoices</key>
            	<array>
                  	<string>Hardware driver install</string>
                  	<string>Xcode software development</string>
                  	<string>General use</string>
             	</array>
	</dict>
</dict>