Self Service+(以前稱為Jamf Connect功能表列App)可以同步使用者的本機和網路密碼。當使用雲端身分識別提供者 (IdP) 的最低認證設定來配置 Self Service+ 時,它預設會執行下列事項:
- 連續密碼驗證 —
使用者的網路和本機密碼每隔 60 分鐘會檢查一次,以確認其是否同步。
- 同步密碼 —
如本機密碼與網路密碼不相符,則提示使用者變更本機密碼。
如使用者的密碼同步因其新密碼不符合 macOS 所強制執行的需求 (透過 MDM 密碼配置等) 而失敗,使用者會看到其密碼必須符合的需求清單。
- 管理網路密碼變更 —
密碼過期時方便變更網路密碼。Self Service+透過開啟雲端IdP密碼變更URL的Web檢視來完成此變更。如使用 Kerberos,則可直接在 Self Service+ UI 中完成密碼變更。
- 密碼過期警告 —Self Service+可在UI中顯示密碼過期前的天數。如允許使用通知功能,則在密碼不同步時,也會透過通知功能來通知用戶。
如需更多關於預設和建議密碼變更及重設URL的資訊,請參閱功能表列認證設定中的變更密碼URL(
ChangePasswordURL)和重設密碼URL(ResetPasswordURL)偏好設定。如果您搭配使用平台 SSO 與 Microsoft Entra ID,為避免密碼同步失敗,部署前必須在設定描述檔中新增自訂允許清單設定。允許清單必須包含
com.jamf.management和com.jamf.selfserviceplus。如需更多資訊,請參閱 部署平台單一登入設定描述檔。
Self Service+ 無法顯示通知,除非使用者在中設定允許。Mac 管理者也可利用通知描述檔來為 Self Service+ 啟用通知。如您使用 Jamf Pro,則可瀏覽至 ,並配置自動安裝 Jamf 通知描述檔設定來啟用遠端通知功能。
如果變更網路帳戶密碼時未經 Self Service+ (例如,用於密碼變更的您組織的 IdP 網頁),之前使用過的網路密碼則仍然是本機密碼,直到 Self Service+ 報到 (預設每隔 60 分鐘一次),並會提示使用者更新密碼。使用者每隔60分鐘就會收到一次通知,直到完成網路帳戶密碼更新為止。
使用者必須知道他們的舊密碼才能同步密碼。如使用者未經Self Service+更新密碼,且無法記住舊密碼(之前使用的網路密碼),那就以管理員身分登入,然後參閱Apple 的支援網站中的如果你忘記Mac登入密碼。
您可以使用密碼同步封鎖清單(
PasswordSyncBlockList)設定以停用特定本機帳戶的密碼同步。它可讓您指定您不想進行密碼同步的本機 macOS 帳戶清單 (一般是管理者帳戶)。如需更多資訊,請參閱密碼政策設定。- 如 Self Service+ 從您的雲端 IdP 或 Active Directory 偵測到密碼政策,則會自動使用此政策。如您在Self Service+中配置密碼政策 (
PolicyRequirements) 設定,或以 MDM 解決方案配置密碼限制,則應確保配置政策與您組織的 IdP 密碼政策相符,或受到的限制較少,以避免密碼變更錯誤。警告:為確保使用者不會因密碼政策衝突而被鎖定在電腦外,請不要透過MDM解決方案,在密碼承載資料中強制執行於下一次認證時變更 (macOS 10.13 或更新版本) (
changeAtNextAuth) 設定。相反地,應允許 IdP 的密碼政策讓使用者密碼過期,並使用 Self Service+ 來管理密碼變更。
如要在登入視窗和建立帳戶時執行密碼同步,則必須為 Self Service+ 配置其他的設定。如需在登入視窗同步密碼的更多資訊,請參閱 初始本機密碼建立。