Home Realm Discovery (HRD) ポリシーの作成

Jamf Connect ドキュメント

Solution

Application

Jamf Connect

Content Type

テクニカル資料

Utilities & Services

ft:locale

ja-JP

Home Realm Discovery (HRD) ポリシーにより、特定の App は、Entra ID に保存されているパスワードハッシュ同期を使用して、提供されたパスワードの有効性を判断できます。この HRD ポリシーは、個々の App 登録に適用されるもので、グローバル設定ではありません。

HRD ポリシーを Jamf Connect に適用すると、エンドユーザが認証のために正しい IdP に誘導されるようになります。

Requirements

Entra ID グローバル管理者権限を持つユーザ
Microsoft PowerShell。詳しくは、PowerShell のドキュメント (Microsoft) を参照してください。
Microsoft Graph PowerShell モジュール。インストールの手順については、Microsoft Graph PowerShell (Microsoft) を参照してください。

PowerShell を使用して、管理者アカウントで Entra ID にサインインし、既存のポリシーを確認します。詳しくは、Microsoft Graph PowerShell を使用して HRD ポリシーを設定する (Microsoft) を参照してください。
Microsoft Graph PowerShell を使用して HRD ポリシーを作成し、結果のオブジェクト ID を取得します。必要なコマンドとポリシーの例については、Microsoft Graph PowerShell を使用して HRD ポリシーを作成する (Microsoft) を参照してください。
ポリシーを割り当てるアプリケーションのサービスプリンシパル ID を見つけます。Microsoft Graph PowerShell を使用してポリシーを割り当てるサービスプリンシパルを見つける (Microsoft) を参照してください。

ポリシーの policyId (オブジェクト ID) と Jamf Connect の ServicePrincipalId を使用して、HRD ポリシーを Jamf Connect アプリケーションに割り当てます。詳しくは、Microsoft Graph PowerShell を使用してサービスプリンシパルにポリシーを割り当てる (Microsoft) を参照してください。

以下は、HRD ポリシーを割り当てるコマンドです。

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration", "Application.ReadWrite.All"

# Define the parameters for the New-MgServicePrincipalHomeRealmDiscoveryPolicy cmdlet  
$assignParams = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>"
}

New-MgServicePrincipalHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -BodyParameter $assignParams

HRD ポリシーを検証するには、Jamf Connect 構成に移動し、ROPG テストを再実行します。詳しくは、Jamf Connect 構成でパスワードハッシュ同期をテストするを参照してください。

HRD ポリシーの追加後も引き続きエラーが発生する場合は、Microsoft の資料の Microsoft Entra Connect の選択的なパスワードハッシュ同期の構成を参照してください。管理者がドメインでパスワードハッシュ同期を制限するポリシーを設定しているかどうかを確認し、Jamf Connect の使用について、およびサービスアカウントを Entra ID から除外したままユーザアカウントのパスワードハッシュ同期をオンにするポリシーの作成方法についてドメイン管理者と話し合いをしてください。