權限提升設定

Jamf Connect 說明文件

Solution
Application: Jamf Connect
Content Type: 技術說明文件
Utilities & Services
ft:locale: zh-TW

網域 —com.jamf.connect
字典 —TemporaryUserPermissions
說明 —
用於在Self Service+中配置權限提升功能。


設定	說明
暫時使用者權限提升 `TemporaryUserPromotion`	（必要）啟用使用者在Self Service+中請求提升權限的選項。 `<key>TemporaryUserPromotion</key> <true/>`
使用者權限提升計時器 `UserPromotionTimer`	在權限提升期間，於Self Service+功能表列圖示旁的使用者功能表列中顯示計時器。 `<key>UserPromotionTimer</key> <true/>`
使用者權限提升期間 `UserPromotionDuration`	確定權限提升的期間（以分鐘為單位）。此設定預設為5分鐘。如需更多資訊，請參閱使用記錄檔稽核權限提升。注意：期間為0會對定義的使用者群組停用此功能。使用者權限提升角色（`UserPromotionRole`）設定會覆寫此設定中的值。 `<key>UserPromotionDuration</key> <integer>10</integer>`
驗證使用者權限提升 `VerifyUserPromotion`	要求使用者在提升之前透過其身分識別提供者進行認證。 `<key>VerifyUserPromotion</key> <true/>` 注意：驗證使用者權限提升（`VerifyUserPromotion`）設定不能與以Google作為身分識別提供者的設定描述檔一起使用。
透過FIDO2驗證使用者權限提升 `VerifyUserPromotionFIDO2`	要求使用者透過瀏覽器向其身分識別提供者進行認證。此設定支援WebAuthn身分認證器，包括通行密鑰和FIDO2密鑰，並優先於驗證使用者權限提升設定。此設定目前使用以下身分識別提供者提供支援： Microsoft Entra ID Okta Identity Engine Okta OpenID Connect（OIDC） PingFederate 注意：要求權限提升使用WebAuthn認證可能需要變更您身分識別提供者的認證政策。啟用設定後，位於您身分識別提供者配置中的Jamf Connect OIDC應用程式必須使用以下重新導向URI以防止出現任何錯誤：`jamfconnect://loggedin` `<key>VerifyUserPromotionFIDO2</key> <true/>`
使用者權限提升限制 `UserPromotionLimit`	指定使用者每個行事曆月份可以請求提升權限的次數限制。 `<key>UserPromotionLimit</key> <integer>5</integer>`
使用者權限提升原因 `UserPromotionReason`	要求使用者提供臨時提升請求的原因。所有提升原因均記錄在本機Self Service+記錄檔中。注意：使用者的文字輸入欄位限制為200個字元。 `<key>UserPromotionReason</key> <true/>`
使用者權限提升選項 `UserPromotionChoices`	指定使用者可以選擇的臨時提升請求的原因。 `<key>UserPromotionChoices</key> <array> <string>Download software</string> <string>Update software</string> </array>`
使用者權限提升角色 `UserPromotionRole`	限制誰可以使用該功能，並透過使用者或角色名稱來修改其他設定，以進行以下身分識別提供者的配置： Microsoft Entra ID Okta Identity Engine PingFederate 注意：若要按角色配置權限提升設定，您必須選取驗證使用者權限提升。使用者權限提升角色（`UserPromotionRole`）欄位中輸入的值必須與 ID 代號的角色宣告中的值完全相符。您還必須輸入管理員屬性（`OIDCAdminAttribute`）。將Okta Identity Engine設定為身分識別提供者的Jamf Connect配置需要設定描述檔中的範圍（`Scopes`）設定，以實現群組型權限提升。期間為0將使該功能對定義的使用者群組不可用。 `<key>UserPromotionRole</key> <array> <dict> <key>Duration</key> <integer>20</integer> <key>Name</key> <string>Teachers</string> </dict> </array>`
使用者權限提升生物辨識技術 `UserPromotionBiometrics`	要求使用者在臨時提升工作階段之前，使用Touch ID作為認證形式。注意：驗證使用者權限提升（`VerifyUserPromotion`）設定優先於此設定，並且不能一起使用。如果已啟用驗證使用者權限提升（`VerifyUserPromotion`）設定，使用者將跳過生物辨識認證。 `<key>UserPromotionBiometrics</key> <true/>`
URL方案和命令列提升 `URLCommandLineElevation`	限制使用者透過命令列介面或URL方案使用權限提升功能。 `<key>URLCommandLineElevation</key> <true/>`
管理者屬性 `OIDCAdminAttribute`	指定要在使用者權限提升角色（`UserPromotionRole`）設定中使用的屬性。根據預設，Self Service+會使用群組屬性來尋找管理者角色（`OIDCAdmin`）設定中所指定的任何值。注意：若使用Microsoft Entra ID，請將此值設為`角色`。若使用 Google Identity，則無法使用 ID代號來定義使用者角色。手動配置管理員屬性（`OIDCAdminAttribute`）設定時，將設定新增至`IdPSettings`字典而非`TemporaryUserPermissions`字典。 `<key>OIDCAdminAttribute</key> <string>groups</string>`