Jamf Pro ポリシーを使用して、コマンドを介してコンピュータ上のユーザの権限をリモートで昇格または削除できます。これを行うには、トリガー時に
jamfconnect acc-promo --elevate または jamfconnect acc-promo --demote コマンドを実行する Jamf Pro ポリシーを作成する必要があります。注:
Jamf Pro ポリシーの使用により、ユーザ権限昇格を検証 (VerifyUserPromotion) を含む、権限昇格の構成済み設定が上書きまたはスキップされることはありません。管理者は、Self Service+ 構成プロファイルの HiddenMenuItems セクションにあるユーザの権限 (userprivileges) 設定を使用して、ユーザに対して権限昇格機能を非表示にすることを選択できますが、これによってユーザが機能を使用することが制限されるわけではありません。ユーザは引き続きコマンドラインにアクセスして権限を昇格できます。このため、コマンドはポリシー内またはポリシーを介して実行されるスクリプトの一部で使用する方法の例となります。
これらのポリシーは、Self Service+ 経由のアカウントの権限昇格と降格のみをサポートします。これらのポリシーは、Self Service+ 以外のアプリケーションからアカウントが権限昇格または降格されたユーザには影響しません。
要件
権限昇格と URL スキームおよびコマンドライン (
URLCommandLineElevation) 設定が有効になっている Self Service+ 構成プロファイルJamf Pro スクリプトに追加された権限昇格コマンド
- Jamf Pro のサイドバーで、コンピュータ をクリックします。
- サイドバーの Policies (ポリシー) をクリックします。
- 新規 をクリックします。
- ポリシーの基本設定 (トリガーや実行頻度など) は、一般ペイロードで構成します。
- ファイルとプロセスをクリックします。
- 特権昇格のコマンドを実行フィールドに以下のコマンドを追加します。
sudo -u $( /usr/sbin/scutil <<< "show State:/Users/ConsoleUser" | /usr/bin/awk -F': ' '/[[:space:]]+Name[[:space:]]:/ { if ( $2 != "loginwindow" ) { print $2 }}' ) /usr/local/bin/jamfconnect acc-promo --elevate。 - 降格のコマンドを実行フィールドに以下のコマンドを追加します。
sudo -u $( /usr/sbin/scutil <<< "show State:/Users/ConsoleUser" | /usr/bin/awk -F': ' '/[[:space:]]+Name[[:space:]]:/ { if ( $2 != "loginwindow" ) { print $2 }}' ) /usr/local/bin/jamfconnect acc-promo --demote。
- 特権昇格のコマンドを実行フィールドに以下のコマンドを追加します。
- 残りの Payload を使用して、実行したいタスクを構成します。
- スコープ タブをクリックし、ポリシーのスコープを設定します。
- 保存をクリックします。
Jamf Pro は、事前定義されたトリガーまたはカスタムトリガーを使用してサポートされているポリシーを開始することにより、権限昇格機能を使用して Self Service+ ユーザをリモートで昇格させることができるようになりました。