在 Self Service+ 中配置 macOS 權限提升

Jamf Connect 說明文件
Solution
Application
Jamf Connect
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW
您可以在 Jamf Connect 配置 App 中配置權限提升設定,以便在 Self Service+ 中啟用臨時使用者權限。這些設定包括提升權限的持續時間和次數限制、驗證類型,以及哪些角色可以存取提升的權限。有關設定的完整清單,請參閱 權限提升設定
需求條件
  • 存取Jamf Connect Configuration App

  • 現有的Jamf Connect設定描述檔

  • 如果您打算按角色配置提升設定,則需要在支援的身分識別提供者中配置使用者角色。有關支援哪些身分識別提供者(IdP)的資訊,請參閱Jamf Connect 身分識別提供者整合

  1. 在Jamf Connect Configuration App中,按一下連接標籤頁並前往臨時使用者權限區段。
  2. 選取臨時使用者權限提升
  3. (任選) 若要將權限提升限制在 Self Service+ 介面範圍內,請選取 URL 配置和命令列提升
  4. (任選) 若要在臨時使用者權限提升期間,在使用者的功能表中顯示視覺倒數計時器,請啟用使用者權限提升計時器設定。
  5. 若要配置使用者工作階段的持續時間(以分鐘為單位)和每月允許的權限提升次數,請在使用者權限提升限制使用者權限提升期間欄位中輸入數字。
    注意:

    為避免受到使用者權限提升限制UserPromotionLimit)設定所限制而調整其系統時間或日期的使用者,記錄檔內會出現一則時間竄改標記,並且將無法使用臨時提升權限功能。若要移除此標記,請使用以下命令:sudo defaults delete com.jamf.connect.state TimeTamperingDetected

    如果配置了角色式驗證,則應用於角色的持續時間將覆寫使用者權限提升期間中設定的持續時間。

  6. (任選) 若要按群組配置權限提升設定,或要求在權限提升之前進行認證,請完成以下步驟:
    1. 選取 驗證使用者權限提升驗證使用者權限提升 FIDO2乃取決於您的授權方法。
    2. 按一下 + 按鈕。
    3. 角色欄位中,準確輸入 IdP 中顯示的群組名稱,然後在持續時間欄位中輸入時間限制。
    4. 管理員屬性中,定義 IdP 設定中用於確定角色的屬性。
    注意:

    如果您在 Jamf Connect Configuration App 中新增了角色,但未在 IdP 中配置角色或設定管理員屬性,則權限提升將失敗。若要要求進行驗證,但又不依角色配置不同的權限提升設定,請不要指定 UserPromotionRole 的值。

    若要使一組使用者無法提升權限,請設定管理員屬性,輸入使用者權限提升角色,然後將持續時間欄位設為 0。

  7. 使用者權限提升選項中,請以逗號分隔值的方式輸入權限提升的原因清單。
  8. 按一下 Jamf Connect Configuration App 頂部的儲存

權限提升設定在設定描述檔中配置,可以部署到使用者的裝置。

請檢視下面提供的已啟用權限提升設定的範例配置:

<dict>
	<key>TemporaryUserPermissions</key>
<!-- Enables the feature for user promotion in Self Service+ -->
<dict>
	<key>TemporaryUserPromotion</key>
            <true/>
<!-- Displays a countdown timer to the user in Self Service+ -->
            <key>UserPromotionTimer</key>
            <true/>
<!-- Duration in minutes for user to be promoted -->
            <key>UserPromotionDuration</key>
            <integer>5</integer>
<!-- Require a user authenticate to the identity provider before account privilege elevation is granted. -->
            <key>VerifyUserPromotion</key>
            <true/> 
<!-- Require the user to be a member of a specific group. Each role requires a separate duration -->
            <key>UserPromotionRole</key>
				<array>
                        <dict>
<!-- Duration is time in minutes and is defined in whole number integer values -->
						  <key>Duration</key>
                              <integer>8</integer>
<!-- Name is case sensitive and must match the role value exactly as emitted in the ID token's roles claim -->
						  <key>Name</key>
                              <string>IT Help Desk Staff</string>

<!--The attribute of the identity token containing the group value -->
 						  <key>OIDCAdminAttribute</key>
						  <string>roles</string>
<!-- Your IdP -->
						  <key>Provider</key>
						  <string>EntraID</string>
				     </dict>
 					<dict>
                              <key>Duration</key>
                              <integer>30</integer>
						  <key>Name</key>
						  <string>Xcode Developer Staff</string>
						  <key>OIDCAdminAttribute</key>
						  <string>roles</string>
 						  <key>Provider</key>
						  <string>EntraID</string>
                       </dict>
         </array>
<!-- Enforces a maximum number of times that a user can request rights in one calendar month -->
            <key>UserPromotionLimit</key>
            <integer>10</integer>
<!-- Requires the user to provide a reason for promotion which will be recorded in system logs -->
            <key>UserPromotionReason</key>
            <true/>
<!-- A list of default reasons for promotion.  An "other" field will be provided automatically with a 200 character maximum input limit. -->
            <key>UserPromotionChoices</key>
            	<array>
                  	<string>Hardware driver install</string>
                  	<string>Xcode software development</string>
                  	<string>General use</string>
             	</array>
	</dict>
</dict>