所属する組織が Microsoft Entra ID 条件付きアクセスポリシーを使用している場合、ユーザのパスワードの同期時に Jamf Connect で予期しない問題が発生する可能性があります。多要素認証、デバイスコンプライアンスの評価、またはサードパーティ認証方式を要求するポリシーは、Jamf Connect が実行するバックグラウンドでのパスワードチェックをログイン試行として認識させる原因となります。これらの認証は、Jamf Connect がパスワード同期のために使用する ROPG ワークフローにより"中断"されたものとして Entra ID のログに表示されます。これにより、ユーザログインのリスク評価に影響を与えたり、ユーザがロックアウトされたり、不要なアラートが生成されたりする可能性があります。
デフォルトでは、パブリッククライアントフローが使用されるため、Jamf Connect を条件付きアクセスポリシーで明示的に対象にしたり除外したりすることはできません。Jamf Connect 用のカスタムスコープとプライベートアプリケーション登録を作成することで、管理者は、すべてのクラウド App をスコープとする条件付きアクセスポリシーから Jamf Connect を除外できます。これらのタスクを完了すると、ユーザは条件付きアクセスポリシーの要件に違反することなく、Jamf Connect にログインしてパスワードを同期できます。
Jamf では、既存のアプリケーション登録を変更するのではなく、Jamf Connect 用のアプリケーション登録を新規に作成することを推奨しています。これにより、展開中に予期しないエラーやコンフリクトが発生するのを防ぐことができます。
Jamf Connect と Microsoft Entra ID 条件付きアクセスポリシーの互換性を確保するには、以下の手順に従います。
カスタム API を使用してアプリケーション登録を作成します。
カスタム API をスコープとして呼び出すアプリケーション登録を作成します。
すべてのクラウド App をスコープとする条件付きアクセスポリシーから、新規カスタム API を除外します。
カスタム API とスコープを使用して Jamf Connect 構成を作成します。