配置Entra ID雲端身分識別提供者連線

Jamf Pro 說明文件 11.21.0
Solution
Application
Content Type
技術說明文件
Utilities & Services
version
11.21.0
ft:locale
zh-TW
vrm_version
11.21.0
Important:

Jamf Pro已與Microsoft Entra IDDomain Services整合或是已與您打算移轉至Entra ID物件實體的Microsoft Active Directory LDAP配置整合,請勿在Jamf Pro中將此Entra ID物件實體新增為雲端身分識別提供者,直到您已準備好移轉配置為止。為了確保現有的 LDAP 工作流程 (例如,設定使用者帳戶和群組的範圍) 繼續正確運作,需要移轉您的配置。如需更多資訊,請參閱將LDAP伺服器移轉至Entra ID雲端身分識別提供者物件實體。在移轉前添加或使用來自 Entra ID 整合的資料可能會中斷您的環境。

伺服器連線新增後,會預設為啟用。您可以配置多個連線並選擇要使用的配置。停用連線會使得 Jamf Pro 無法從這部伺服器查詢資料。這表示,您可以新增不同的配置,而不需刪除目前的連線。若要停用連線,可使用切換開關。

Requirements

  • Jamf Standard Cloud託管或Jamf Premium Cloud託管的環境

  • Entra ID中的全域管理員或更高權限

  • Jamf Pro中新增的標準使用者群組與Entra ID中配置的群組同名

  1. 在Jamf Pro中,於側邊欄中按一下設定
  2. 系統區段中,按一下雲端身分識別提供者
  3. 按一下 新建
  4. 選擇 Entra ID 並按一下 下一個。系統會將您重新導向至 Microsoft 中的管理者同意頁面。
  5. 輸入Microsoft Entra ID憑證,並依照螢幕上的指示授予Jamf Pro Entra ID Connector應用程式所請求的權限。
  6. 出現提示時,驗證URL是否正確並按一下繼續
  7. 完成該請求後,在 Jamf Pro 中配置「伺服器配置」索引標籤上的設定。考慮下列各項:

    • 配置的顯示名稱必須是唯一的。

    • 系統會將從 Microsoft 取得的資訊預先填入租用戶 ID 值。

    • Jamf Pro 中配置 Entra ID 的單一登入 (SSO) 後,請選取 SSO 的可轉移群組,以便在使用者和群組目錄中強制執行可轉移成員資格查詢。這可確保某群組所在的所有 Entra ID 群組均已被納入目錄查詢。無需對使用者是所屬成員的清單群組執行遞迴查詢。您可以在 SAML 判斷提示中的使用者對應 欄位中配置特定使用者對應。這可讓您在可轉移成員資格請求期間調整使用者名稱對應,並且從 Entra ID 配置中的 SAML 單一登入設定比對使用者識別碼。

    • 選取可轉移成員資格查詢,以強制查詢使用者或群組所在所有群組的目錄工作流程的成員資格。這是週期性的,而且檢查的範圍不只是直接成員資格。

    • 建議將連線逾時值設為 5。

  8. 使用 對應 索引標籤指定使用者屬性對應和群組屬性對應。如需預設對應參考資料,請參閱下方「身為雲端身分識別提供者之 Entra ID 的預設屬性對應」部分,並在疑難排解連線時使用該參考資料。
    Important:

    為了確保配置如期運作,請考慮下列項目:

    • 使用者ID對應的值必須支援Entra ID中的$filter參數。

    • 群組 ID 對應的值預設為「id」,而且無法變更。

    Note:

    您可以使用Jamf Pro API配置雲端身分識別提供者屬性對應。如需更多資訊,請參閱Configuring Cloud Identity Provider Attribute Mappings Using the Jamf Pro API(使用Jamf Pro API配置雲端身分識別提供者屬性對應)文章。

  9. 按一下儲存

儲存伺服器連線會觸發自動驗證處理程序。配置儲存後,您就可以測試對應。如需更多資訊,請參閱測試雲端身分識別提供者屬性對應