Self Service+ はすべての昇格イベントを PrivilegeElevation (権限昇格) というカテゴリでユニファイログに記録します。ユーザ特権昇格の理由 (UserPromotionReason) 設定を有効にすると、昇格をリクエストしたユーザ、昇格の理由、昇格リクエストのタイムスタンプなどの詳細を示す ElevationReasons ログファイルが Self Service+ ログディレクトリに作成されます。
権限昇格を有効にした Self Service+ の構成。
管理者は、macOS で log バイナリを使用して権限昇格ログをローカルに収集できます。以下のコマンド例は、すべての Self Service+ 権限昇格ログメッセージをターミナルウィンドウに直接表示します。
log stream --style compact --predicate '(subsystem == "com.jamf.connect.daemon.ssp") && (category == "PrivilegeElevation")'
log stream --style compact --predicate '(subsystem == "com.jamf.connect") && (category == "PrivilegeElevation")'また、管理者は、Jamf Protect の統合ログフィルタを使用して、Jamf Connect 権限昇格イベントからログを自動的に収集し、構成済みの SIEM の統合にコンピュータからそれらのログを直接送信することもできます。Jamf Protect に追加が可能な統合ログフィルタについては、jamf / jamfprotect (GitHub) を参照してください。SIEM 管理者は、以下のメッセージのソースをクエリすることで、Jamf Protect から送信された権限昇格ログを解析できます。
Checking for existing elevation timers for [user]
Failed to check elevation time remaining because no user elevation previously occurred.
No running elevation timers for [user]
User elevation time remaining: [duration in minutes:seconds]
[user] has reached their maximum amount of elevations for this month
Request Admin Privileges menu item selected
Privilege Elevation limit has been set
No promotion roles or groups found
Elevation blocked by group - user's roles are not listed in UserPromotionRole
Elevation duration specified by group lookup [duration in minutes] minutes
Elevation blocked by group lookup - default elevation time of 0
[user] elevated to admin for stated reason: [reason]
User [user] elevated to admin for [duration in minutes] minutes
Added user [user] to admin group.
[user]'s elevations this month: [no. of monthly elevations]
Removed user [user] from admin group
User [user] has been demoted back to standard macOS user
[user] has reached their maximum amount of elevations for this month.ユーザがホームライブラリの環境設定を変更して権限昇格を有効にしようとすると、システムログには以下のようなメッセージとともにこの情報が記録されます。2024-03-07 09:38:01.529 E JCDaemon[246:21ee] [com.jamf.connect.daemon:PrivilegeElevation] Privilege elevation requested but not enabled at the device level. A user has likely attempted to enable elevation without admin knowledge。Self Service+ からの起動デーモンはユーザレベルの環境設定を無視し、予期しない昇格を防ぎます。
Jamf では、管理者権限で組織を危険にさらさないユーザにのみ権限昇格機能を展開することをお勧めしています。
権限昇格ログ情報にアクセスすると、組織内の昇格のすべての記録を特定できるようになります。