権限昇格の設定

Jamf Connect ドキュメント
Solution
Application
Jamf Connect
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP
  • ドメインcom.jamf.connect
  • ディクショナリTemporaryUserPermissions
  • 説明

    Self Service+ で権限昇格機能を構成するために使用されます。

設定

説明

一時的なユーザ特権昇格

TemporaryUserPromotion

(必須) ユーザがSelf Service+ で昇格された権限をリクエストするオプションを有効にします。

<key>TemporaryUserPromotion</key>
<true/>

ユーザ特権昇格タイマー

UserPromotionTimer

権限昇格期間中に、ユーザのメニューバーの Self Service+ メニューバーアイコンの横にタイマーを表示します。

<key>UserPromotionTimer</key>
<true/>

ユーザ特権昇格期間

UserPromotionDuration

権限昇格の期間を分単位で指定します。デフォルトの設定は5分です。詳しくは、ログによる権限昇格の監査 を参照してください。

注:

期間を0にすると、定義されたユーザグループに対してこの機能が無効になります。ユーザ特権昇格の役割 (UserPromotionRole) 設定は、この設定の値を上書きします。

<key>UserPromotionDuration</key>
<integer>10</integer>

ユーザ特権昇格を検証

VerifyUserPromotion

特権昇格を行う前に、ユーザにアイデンティティプロバイダによる認証を要求します。

<key>VerifyUserPromotion</key>
<true/>
注:

ユーザ特権昇格を検証 (VerifyUserPromotion) 設定は、Google をアイデンティティプロバイダとする構成プロファイルでは使用できません。

FIDO2によるユーザ特権昇格の検証

VerifyUserPromotionFIDO2

ユーザはブラウザを介してアイデンティティプロバイダで認証する必要があります。この設定は、パスキーや FIDO2キーを含む WebAuthn 認証をサポートし、ユーザ特権昇格を検証設定よりも優先されます。この設定は現在、以下のアイデンティティプロバイダでサポートされています。

  • Microsoft Entra ID

  • Okta Identity Engine

  • Okta OpenID Connect (OIDC)

  • PingFederate

注:WebAuthn 認証を使用して権限昇格するには、アイデンティティプロバイダの認証ポリシーを変更する必要がある場合があります。

設定を有効にした後、アイデンティティプロバイダ構成にある Jamf Connect OIDC アプリケーションは、エラーを防ぐために以下のリダイレクト URI を使用する必要があります。jamfconnect://loggedin

<key>VerifyUserPromotionFIDO2</key>
<true/>

ユーザ特権昇格制限

UserPromotionLimit

ユーザが暦月ごとに昇格された特権をリクエストできる回数の制限を指定します。 

<key>UserPromotionLimit</key>
<integer>5</integer>

ユーザ特権昇格の理由

UserPromotionReason

ユーザに一時的な昇格リクエストの理由を入力するよう要求します。すべての昇格理由は Self Service+ ログにローカルに記録されます。

注:

ユーザのテキスト入力フィールドは200文字に制限されています。

<key>UserPromotionReason</key>
<true/>

ユーザ特権昇格の選択肢

UserPromotionChoices

ユーザが選択できる一時的な昇格リクエストの理由を指定します。

<key>UserPromotionChoices</key>
<array>
<string>Download software</string>
<string>Update software</string>
</array>

ユーザ特権昇格の役割

UserPromotionRole

以下のアイデンティティプロバイダを使用した構成では、ユーザまたは役割の名称によって機能を使用できるユーザや、追加の設定を変更できるユーザを制限します。

  • Microsoft Entra ID

  • Okta Identity Engine

  • PingFederate

注:

役割ごとに権限昇格設定を構成するには、ユーザ特権昇格を検証を選択する必要があります。ユーザ特権昇格の役割 (UserPromotionRole) フィールドに入力した値は、ID トークンの役割クレームの値と完全に一致する必要があります。また、管理者の属性 (OIDCAdminAttribute) も入力する必要があります。

Okta Identity Engine をアイデンティティプロバイダとして設定した Jamf Connect 構成では、グループベースの権限昇格に構成プロファイルのスコープ (Scopes) 設定が必要です。

期間を0にすると、定義されたユーザグループはこの機能を使用できなくなります。

<key>UserPromotionRole</key>
<array>
<dict>
<key>Duration</key> 
<integer>20</integer>
<key>Name</key>
<string>Teachers</string>
</dict>
</array>

ユーザ特権昇格・生体認証

UserPromotionBiometrics

一時的な昇格セッションの前に、ユーザに認証形式として Touch ID の使用を要求します。

注:

ユーザ特権昇格を検証 (VerifyUserPromotion) 設定は、この設定よりも優先され、併用することはできません。ユーザ特権昇格を検証 (VerifyUserPromotion) 設定が有効の場合、ユーザは生体認証をスキップします。

<key>UserPromotionBiometrics</key>
<true/>
URL スキームおよびコマンドライン権限昇格

URLCommandLineElevation

ユーザがコマンドラインインターフェイスまたは URL スキームを介して権限昇格機能を使用することを制限します。

<key>URLCommandLineElevation</key>
<true/>

管理者の属性

OIDCAdminAttribute

ユーザ特権昇格の役割 (UserPromotionRole)設定内で使用する属性を指定します。デフォルトでは、Self Service+groups (グループ) 属性を使用して、管理者の役割 (OIDCAdmin) 設定で指定された値を検索します。

注:

Microsoft Entra ID を使用している場合、この値を roles に設定します。Google Identity を使用している場合、ID トークンを使用してユーザロールを定義することはできません。

管理者の属性 (OIDCAdminAttribute) 設定を手動で構成する場合は、TemporaryUserPermissions 辞書ではなく、IdPSettings 辞書に設定を追加します。

<key>OIDCAdminAttribute</key>
<string>groups</string>