將LDAP伺服器移轉至Entra ID雲端身分識別提供者物件實體

Jamf Pro 說明文件 11.21.0
Solution
Application
Content Type
技術說明文件
Utilities & Services
version
11.21.0
ft:locale
zh-TW
vrm_version
11.21.0

您可以在 Jamf Pro 中移轉 LDAP 伺服器,以使用 Entra ID 資料。Entra ID 移轉的測試功能可讓您確認使用者和群組對應的值,並確保目錄工作流程在移轉完成後繼續正確運作。

Note:

完成移轉後,Entra ID系統移轉輔助程式中選定的對應將覆寫目前為Entra ID雲端IdP配置的對應。

Important:
  • 系統移轉輔助程式目前的版本不會確認電腦登入視窗承載資料。若您的環境中存在具有登入視窗承載資料的設定描述檔,則您必須在移轉後再次進行配置。
  • 將 LDAP 伺服器移轉至 Entra ID 是一個單向處理程序,而且無法復原。
  • 將 LDAP 伺服器整合的工作流程移轉至 Entra ID 雲端身分識別提供者,意味著您的源 LDAP 伺服器配置將停用並標示為 已移轉。不能用於資料查詢。
  • 完成 Entra ID 移轉後,即會停用與 LDAP Proxy 的通訊。
Requirements

  • Jamf Standard Cloud託管或Jamf Premium Cloud託管的環境

  • 已在Jamf Pro中啟用Entra ID整合。

  • 熟悉您的Entra ID基礎架構

  • Entra ID目錄使用Entra ID Connect 與您的LDAP目錄同步

  • 已啟用Entra ID雲端IdP連線

  1. 在Jamf Pro中,於側邊欄中按一下設定
  2. 系統區段中,按一下雲端身分識別提供者
  3. 按一下您欲移轉目錄配置的 Entra ID 物件實體。
  4. 按一下移轉
  5. 選取現有的來源 LDAP 配置。
    系統移轉輔助程式顯示目前為 Entra ID 配置所選取的可轉移成員資格查詢設定。如果可轉移成員資格查詢設定與 LDAP 中的遞迴群組搜尋設定不符,則會顯示警告,因為這將影響巢狀群組的成員資格結果。
  6. 按一下下一個
  7. "來自來源 LDAP 的使用者名稱" 欄位中輸入來源目錄中使用者的使用者名稱。
  8. "來自 Azure AD 的使用者名稱" 欄位中輸入 Entra ID 中使用者的使用者名稱。
  9. 按一下測試
  10. 確認「狀態」欄中的資訊以確定資料相符。下表描述了您在測試期間可能會看到的狀態:
    狀態說明

    相符

    對應傳回相同的值。使用它們的工作流程不會受到影響。

    新建

    Entra ID 對應所傳回的值尚未用於來源配置中。檢閱您環境的設定,確保目錄相關工作流程不受影響。

    衝突

    對應傳回不同的值。使用它們的工作流程將會受到影響,而且可能無法完成。

    案例衝突

    為群組屬性傳回的值區分大小寫且不符合。使用它們的工作流程將會受到影響,而且可能無法完成。

    不符合

    對應傳回不同的值。使用它們的內部Jamf Pro工作流程不會受影響。可能的原因包括多值延伸功能屬性中重複項的大小寫差異或不符合。
    Note:

    移轉後Jamf pro不會受影響,但不匹配可能會影響依賴 Jamf Pro 的 資料執行其工作流程的系統。

    這與案例衝突不同,案例變更可能會影響內部Jamf Pro工作流程。

    空白

    Entra ID對應未傳回值。檢閱您環境的設定,確保目錄相關工作流程不受影響。

    如果索引鍵資料不如預期相符,可編輯 Entra ID 屬性,直到獲得能在環境運作的值。
    Note:

    來源配置和目標配置的值必須相同,但不太可能匹配的 ID 除外。

    Jamf建議測試不同的Entra ID對應來減少衝突和不匹配的數量。

    Jamf 建議至少測試三位使用者和三個群組。您可以產生一份具有移轉摘要 (包括位置資訊) 的選用報告。這可讓您檢閱設定,並確認新配置中之使用者和群組值的對應方式。在Entra ID物件實體的歷史記錄細節或Jamf Pro通知中存取該報告。

  11. 按一下下一個
  12. "來自來源 LDAP 的群組名稱" 欄位中輸入來源目錄中的群組名稱。
  13. "來自 Azure AD 的群組名稱"欄位中輸入Entra ID中的群組名稱。
  14. 按一下測試
  15. 確認「狀態」欄中的資訊以確定資料相符。
    如果索引鍵數據不如預期相符,可編輯 Entra ID 屬性,直到獲得對於您的環境來說足夠的數值。
    Note:

    Entra ID 整合下啟用 SSO 的傳遞群組可能會影響使用者的存取。如果您在移轉之前使用了 Entra ID SSO 並啟用了 SSO 的傳遞群組,請驗證在移轉之前授予的基於群組的權限是否仍然正確。

  16. 按一下 下一個 以測試延伸功能屬性對應。
    Note:

    如果您不想測試延伸功能屬性,請按一下跳過並繼續執行步驟 21。

  17. "來自來源 LDAP 的使用者名稱" 欄位中輸入來源目錄中使用者的使用者名稱。
  18. "來自 Azure AD 的使用者名稱" 欄位中輸入 Entra ID 中使用者的使用者名稱。
  19. 按一下測試
    Note:

    使用者資料是以使用者單一裝置最近一次報到為依據。 Jamf Pro將使用者延伸功能屬性儲存在裝置項目中,系統移轉輔助程式會顯示最近一次報到的使用者裝置資料,從而確保比較最新的使用者資料。

  20. 按一下下一個
    Note:

    針對使用者和群組所使用的對應將會儲存於 Entra ID 整合歷史記錄中。如果您離開系統移轉輔助程式,則必須從 Entra ID 整合歷史記錄中擷取對應,並手動套用,以供未來使用。

  21. (Optional) 按一下 產生,以建立報告,其中彙總系統移轉輔助程式完成後所對應的資料。

    產生報告時會顯示對話視窗。

    Best Practice:
    在檢閱報告時,請考量以下事項:

    • 報告的前頁 (CSV 檔案) 提供了協助您解譯資料的資訊。

    • 該報告僅列出有問題的項目。可用工作表中的空白索引標籤和更少列意味著更高的移轉成功機率。

    • 欄成對出現,表示 Jamf Pro 中的 LDAP 型資料和在 Entra ID 中找到的資料。

    • 物件根據嚴重性進行顏色編碼,紅色項目表示會影響 Jamf Pro 的不符合狀態,黃色項目表示不會影響 Jamf Pro 的不符合狀態。白色的物件表示符合,但列的其他地方存在資料不符合現象。

  22. 按一下儲存並移轉
  23. 按一下移轉
    在移轉處理程序完成後,系統會將來源 LDAP 伺服器配置標示為「已移轉」。
Note:

Entra ID 整合下啟用 SSO 的傳遞群組可能會影響使用者的存取。如果您在移轉之前使用了 Entra ID SSO 並啟用了 SSO 的傳遞群組,請驗證在移轉之前授予的基於群組的權限是否仍然正確。