アウトバウンドモードには Jamf Pro 11.13.0以降および Jamf AD CS Connector 2.0.0以降が必要です。アウトバウンドモードでは、コネクタは定期的にアウトバウンドを Jamf Pro に接続し、未処理の証明書要求を取得します。デフォルトでは、コネクタは10秒ごとに証明書ジョブを取得します。ポーリング間隔は、コネクタのインストール時に変更できます。ファイアウォールポートやリバースプロキシの構成は不要です。
Jamf Pro からのリクエストが API 呼び出しから Jamf Pro に返されると、コネクタは Web リクエストを Microsoft のネイティブ DCOM プロトコルに変換して AD CS サーバに渡します。証明書の準備ができ次の発行呼び出しが行われたら、Jamf Pro に戻され、管理対象のデバイスに配布するために再パックされます。デバイスがコネクタに直接接続することはないため、ファイアウォールルールを使用してアクセスを制限できます。
既存の AD CS 統合があり、アウトバウンド通信モードが不要の場合は、Jamf AD CS Connector 1.1.0を引き続き使用することを Jamf では推奨します。Jamf AD CS Connector 2.0.0が必要となるのは、アウトバウンド通信モードを使用する場合のみです。
既存の AD CS 統合をインバウンド通信モードからアウトバウンド通信モードに移行するには、新しい PKI 統合を作成し、新しい構成プロファイルまたは更新された構成プロファイルを展開する必要があります。
アウトバウンドモードは Jamf Cloud がホストしている環境を想定しています。お使いの Jamf Pro インスタンスが Jamf Cloud でホストされており、AD CS インフラストラクチャへのファイアウォールポートを開かない場合は、コネクタのアウトバウンドモードを使用する必要があります。オンプレミスの Jamf Pro 環境があり、リモートで署名された証明書がある場合は、コネクタのアウトバウンドモードを利用できます。それ以外の場合は、インバウンドモードを使用する必要があります。
Jamf Pro は Jamf AD CS Connector を含む管理対象デバイスに代わって ID 証明書を要求および取り消す目的で、発行認証局に接続するための多数の手段を提供しています。
アウトバウンドモードでは、Jamf AD CS Connector はクライアント証明書要求を Jamf Pro から取得するバックグラウンドサービスとして実行されます。アウトバウンドコネクタは TLS 証明書サブジェクトを経由して Jamf Pro サーバの ID を検証し、OAuth 2.0を使用して Jamf Pro に認証します。
組織は以前のインバウンド専用通信要件に代わるものとして、コネクタへのアウトバウンド接続を使用できる
クラウドホストの Jamf Pro と内部ネットワーク間のネットワークを構成する必要がなくなるため、証明書統合の実装が簡素化される
内部ネットワークへの接続を開くことが許可されていない規制の厳しい業界の組織が、オンプレミス Jamf Pro 環境から Jamf Cloud がホストする環境に移行できる
Jamf Pro の認証証明書を更新するときにコネクタを再インストールする必要がない
ネットワークへのインバウンドアクセスの構成に慣れている場合、または内部ネットワーク上で Jamf Pro サーバを自己ホストする場合は、インバウンドモードの利用をお勧めします。ほとんどのシナリオでは、アウトバウンドモードで動作するときに採用される追加のキューイングおよびポーリングメカニズムのオーバーヘッドを発生させないため、インバウンドモードでは低遅延の証明書プロセスが提供されます。さらに、Windows によって信頼されていない CA から取得した TLS 証明書を使用して Jamf Pro を自己ホストする場合、コネクタは Jamf Pro への信頼された接続を開始できないため、インバウンドモードでコネクタを実行する必要があります。
以下の図は、アウトバウンドモードにおける Jamf AD CS Connector の一般的な実装を示しています。
アウトバウンド通信モードでは、CA 証明書要求の手動承認はサポートされません。