將Jamf Pro與Microsoft Entra ID整合為雲端身分識別提供者即啟用以下基於目錄的工作流程:
-
基於資產用途查詢所有使用者和群組
-
執行使用者成員資格查詢,並用來將權限對應至 Jamf Pro 中的相關帳戶
-
配置使用者驗證和範圍
整合Jamf Pro與Entra ID時,請考慮下列事項:
-
您必須擁有Jamf Standard Cloud託管或Jamf Premium Cloud託管的環境。
-
您需要全域管理者Entra ID權限,才能管理Jamf Pro Entra ID Connector企業App所請求的同意。
-
在Jamf Pro中新增的使用者群組與Entra ID中配置的群組同名。在 Jamf Pro 中新增的帳戶和群組必須是標準類型。
-
使用目錄相關工作流程時(例如,新增範圍限制和排除項目),Entra ID雲端身分識別項目會列在目錄服務標題下方。
-
如果物件範圍內包含太多雲端身分識別提供者群組,Jamf Pro可能發生效能問題。如果您需要在範圍內使用多個規則,請考慮利用這些規則建立智慧型群組,然後將範圍改設為該智慧型群組。
Entra ID作為雲端IdP整合使用Microsoft Graph API以及Microsoft Graph網域的連線。有了管理者透過Cloud Connector授與的同意,就能確保在 Jamf Pro 中自動傳遞目錄資料並且在目錄工作流程中使用。在 Entra ID 只會執行讀取資料的動作。
設定 Jamf Pro 與 Entra ID 之間的 Graph API 連線時,需要全域管理者使用者權限才能進行驗證。驗證成功後,Jamf Pro 的應用程式就會自動新增到 Entra ID 中,以使用 Graph API。這表示, Entra ID 中的應用程式不需要手動建立。新增應用程式後,工作階段就會終止。當Jamf Pro正在Entra ID中執行查閱時,會處於唯讀狀態。Jamf Pro無法將資料寫回Entra ID。
下圖顯示典型的 Jamf Pro 和 Entra ID IdP 整合工作流程:
收到同意後,Web應用程式Cloud Connector就會根據 Entra ID 的授權端點,執行指定用戶端識別碼及收到的租用戶識別碼授權。最後 Entra ID 會以授權碼回應。此代碼會隨著租用戶識別碼傳遞回 Jamf Pro。當 Jamf Pro 收到來自 Web 應用程式Cloud Connector的資料集後,便會驗證收到的授權碼。若資料集沒有任何問題,則會儲存配置。此方式可確保Jamf Pro將Entra ID租用戶資料的使用僅限於允許的用戶端/應用程式。
用於保護傳輸中資料安全的TLS版本為具有完整轉寄密碼(PFS)功能的1.2或更新版本。Jamf Pro將一律先嘗試協商最高通訊協定。
若要建立連線,則 Jamf Pro 應用程式須有下列權限集:
-
登入和讀取使用者描述檔
-
讀取目錄資料
應用程式需要下列一組權限:
-
GroupMember.Read.All(應用程式)
-
User.Read(委託)
-
User.Read.All(應用程式)
啟用Entra ID連線時,Jamf Pro可查詢Entra ID中的目錄資訊。下圖顯示目錄資料查詢的一般流程:
當管理者初始化目錄查詢時,Jamf Pro 會使用用戶端認證流程向 Entra ID 請求存取代號。在代號被授與後,Jamf Pro 會透過 Microsoft Graph API 查詢目錄資料。用戶端驗證成功後就會傳回資料集。Jamf Pro把此資料對應到物件後,就可以在Jamf Pro中的目錄工作流程中使用該物件。如需關於Microsoft Graph REST API的資訊,請參閱Microsoft Graph REST API v1.0端點參考。