Ajout d'un gestionnaire de périphériques Jamf
Configurez Jamf® comme gestionnaire de vos appareils.
Avant de commencer
Remarque : les locataires globaux mtlsidaas pour les gestionnaires de périphériques sont désormais obsolètes et seront supprimés après mars 2024. Rendez-vous sur la page « Obtenir un nom d'hôte personnalisé » pour demander un domaine personnalisé. Pour plus d'informations, consultez la section « Ajouter un gestionnaire de périphériques ».
- Vous devez disposer des droits d'administration pour effectuer cette tâche.
- Connectez-vous à la IBM Verify console d'administration en tant qu'administrateur.
A propos de cette tâche
Remarque : si vous utilisez Safari sur un MacOS®, il se peut que vous ne soyez pas invité à saisir les certificats clients émis par le gestionnaire de périphériques Jamf. Pour résoudre ce problème, vous devez configurer la préférence d'identité de la chaîne de certificats MacOS.
- Sur votre Mac, ouvrez l'application « Accès au trousseau ».
- Ajoutez une préférence d'identité pour le certificat client.
- Définissez l'emplacement de préférence d'identité sur URL d'authentification du titulaire + (espace) + (com.apple.Safari). Par exemple, https://{mtls_enabled_tenant_name}/usc.
Procédure
- Sélectionnez « Authentification » > « Gestionnaires de périphériques ».
- Sélectionnez « Ajouter un gestionnaire de périphériques ».
- Sélectionnez JAMF comme type de gestionnaire de périphériques que vous souhaitez configurer.
- Cliquez sur Suivant.
- Sur la page « Paramètres généraux », saisissez les informations suivantes.
- Saisissez le nom du gestionnaire de périphériques dans le champ prévu à cet effet.
- Sélectionnez le fournisseur d'identité dans le menu.
- Sélectionnez le type de fiducie dans le menu. Pour sélectionner la confiance d'un appareil, les utilisateurs doivent se connecter à l'aide du mécanisme d'authentification à un facteur qu'ils ont configuré. La confiance dans l'appareil permet uniquement de vérifier si l'authentification est effectuée à partir d'un appareil géré ou non.Remarque : la fonctionnalité « Device trust » (CI-114829 ) peut être activée sur demande. Pour demander cette fonctionnalité, veuillez contacter votre représentant commercial IBM ou votre interlocuteur IBM et lui faire part de votre souhait d'activer cette fonctionnalité. Créez un ticket d'assistance si vous en avez l'autorisation. IBM Verify Les abonnements d'essai ne permettent pas de créer des tickets d'assistance.
- Indiquez si vous souhaitez activer l'application des accès JIT pour les comptes utilisateur.Remarque : la création de comptes utilisateurs « juste à temps » (JIT) ne s'applique que lorsque l'on opte pour la confiance des utilisateurs et des appareils.
- Sélectionnez la durée de validité du certificat client. Par défaut, la période sélectionnée est de 3 ans.
- Spécifiez le nombre maximal de certificats de chaque périphérique.
- Spécifiez le nombre de minutes pendant lesquelles les informations sur l'utilisateur et le périphérique sont conservées.
- Cliquez sur Suivant.
- Sur la page des identifiants API, saisissez les informations API de votre application dans Jamf.
- Spécifiez votre nom d'utilisateur et votre mot de passe pour vous connecter à l'API Jamf.
- Laissez la case « Synchroniser les informations sur l'appareil » cochée.
- Spécifiez votre nom de titulaire.
- Sélectionnez
Unique user identifierun élément dans une liste d'attributs prédéfinis, ou sélectionnez « Règle personnalisée » pour définir les correspondances d'attributs.Si vous choisissez d'utiliser une règle personnalisée, vous pouvez ajouter des attributs personnalisés et une règle. Saisissez la règle permettant de calculer la valeur de l'attribut. Par exemple :requestContext.email[0].split('@')[0]Remarque :requestContextetidsusersont renseignés avec les attributs suivants du certificat client, s'ils sont disponibles :subjectCN, subjectDN, subjectO, subjectOU, subjectC, subjectL, subjectST, subjectE, subjectUid, subjectAlternativeNameEmail.
Remarque : la sélection de règles personnalisées ne s'applique pas à la confiance des appareils. Vous pouvez toutefois saisir l'attribut correspondant dans le champ prévu à cet effet.Cliquez sur « Exécuter le test » pour vérifier que la règle fonctionne. - Sélectionnez l'emplacement de l'ID utilisateur dans le menu.
- Sélectionnez « Identifiants de test » pour vérifier vos identifiants.
- Cliquez sur Suivant.
- Dans la page Propriétés de l'utilisateur (qui s'ouvre lorsque vous sélectionnez « Confiance de l'utilisateur et de l'appareil ») ou Propriétés de l'appareil (qui s'ouvre lorsque vous sélectionnez « Confiance de l'appareil »), mappez les attributs du gestionnaire d'appareils aux IBM Verify attributs.
- Sélectionnez l'attribut de gestionnaire de périphériques.
- Facultatif : sélectionnez une transformation dans le menu.
- Obligatoire : sélectionnez l'attribut Verify auquel vous souhaitez associer cet attribut.
- Sélectionnez les modes de stockage de l'attribut dans le profil de l'utilisateur.
- Facultatif : cliquez sur « Ajouter des attributs ».Si vous choisissez d'utiliser une règle personnalisée, vous pouvez ajouter des attributs personnalisés un par un à cette règle. Saisissez la règle permettant de calculer la valeur de l'attribut. Par exemple :
Cliquez sur « Exécuter le test » pour vérifier que la règle fonctionne.idsuser.email[0].split('@')[0] - Cliquez sur OK.
- Cliquez sur Suivant.
- Créez le profil de certificat racine.Suivez les instructions fournies.
- Téléchargez les fichiers de certificats .zip racine et intermédiaires fournis ci-dessous.
- Connectez-vous au portail Jamf et sélectionnez « Ordinateurs ».
- Sélectionnez « Profils de configuration », choisissez le profil de configuration souhaité, puis cliquez sur « Modifier ». Si le profil n'existe pas, vous devez en créer un.
- Sélectionnez « Certificat » dans le menu de navigation du profil.
- Pour créer un certificat racine, sélectionnez « Configurer » ou cliquez sur le bouton « + » de la barre d'outils.
- Donnez un nom au certificat racine (par exemple, « JAMF_RootCA_Cert »).
- Téléchargez le profil de certificat racine que vous avez téléchargé à l'étape a.
- Cliquez sur « Enregistrer »
- Répétez les étapes b à h pour le certificat intermédiaire.
- Cliquez sur Suivant.
- Sur la page du profil de certificat SCEP, saisissez les informations API de votre application.
- Si vous disposez déjà d'un profil de certificat SCEP, sélectionnez Valeurs uniquement.
- Spécifiez le sujet SCEP.
- Sélectionnez le type de défi.
- Statique
- Entrez et confirmez une demande d'authentification ou un mot de passe.
- Dynamique
- Renseignez la page Configuration de webhook.
- Cliquez sur « Enregistrer et continuer ».
- Si vous créez un profil de certificat SCEP, sélectionnez Afficher avec les étapes et suivez les instructions.
- Connectez-vous au portail Jamf et sélectionnez Ordinateurs.
- Sélectionnez Profils de configuration et sélectionnez le profil de configuration et sélectionnez Editer.
- Sélectionnez SCEP dans le menu de navigation du profil.
- Pour créer un certificat SCEP, sélectionnez Configurer ou le bouton +.
- Utilisez les paramètres de configuration suivants :
- Nom
- SCEP_CERTIFICATE.
- Redistribution du profil
- 3 jours.
- Objet
- Utilisez la valeur « Objet » fournie par votre Verify tenant. Par exemple,
CN=$EMAIL::,OU=v::v1,OU=d::$JSSID,OU=r::cloudIdentityRealm,O=mdm::isvdev.jamfcloud.com - Autre nom du sujet
- Aucune.
- Type de demande d'authentification
- Statique
- Entrez et confirmez une demande d'authentification ou un mot de passe.
- Dynamique
- Renseignez la page Configuration de webhook.
- Nouvelles tentatives
- 3.
- Délai entre les tentatives
- 10.
- Taille de la clé (bits)
- 2048.
- Seuil de notification d'expiration du certificat
- 14.
- Utiliser comme signature numérique
- Sélectionné.
- Utiliser pour le chiffrement de clé
- Sélectionné.
- URL de serveur SCEP
- Utilisez la valeur SCEP ( URL ) fournie par votre Verify tenant.
- Cliquez sur Enregistrer.
- Cliquez sur « Enregistrer et continuer ».
Si vous avez choisi d'utiliser un mot de passe dynamique, passez à l'étape suivante. Si vous avez choisi d'utiliser un mot de passe statique, passez à Définir les portées. - Si vous disposez déjà d'un profil de certificat SCEP, sélectionnez Valeurs uniquement.
- Indiquez les informations de configuration du webhook.
- Dans le tenant Jamf, accédez à Paramètres > Webhooks.
- Créez un nouveau webhook.
- Utilisez les paramètres de configuration suivants.
- Nom d'affichage
- Indiquez un nom d'affichage valide.
- Activé
- Cochez la case.
- Type d'authentification
- Authentification de base
Indiquez le nom d'utilisateur, le mot de passe et vérifiez le mot de passe.
- Délai de connexion
- Définissez-le ou laissez les valeurs par défaut.
- Délai de lecture
- Définissez-le ou laissez les valeurs par défaut.
- Type de contenu
- JSON
- Evénement Webhook
- Sélectionnez SCEPChallenge.
- Sauvegardez la configuration.
- Cliquez sur « Enregistrer » puis sur « Continuer ».
- Définissez les portées.Suivez les instructions.
- Connectez-vous au portail Jamf et sélectionnez « Ordinateurs ».
- Sélectionnez « Profils de configuration », choisissez le profil de configuration souhaité, puis cliquez sur « Modifier ».
- Sélectionnez la portée > Modifier.
- Dans la section « Cibles de déploiement sélectionnées », ajoutez les ordinateurs, les groupes d'ordinateurs, les utilisateurs, les groupes d'utilisateurs, les bâtiments et les services vers lesquels vous souhaitez effectuer le déploiement.
- Cliquez sur Enregistrer.
- Cliquez sur Suivant.
- Testez la configuration.Suivez les instructions.
- Sélectionnez « Terminer l'installation ».
- Passez en revue vos paramètres.
- Cliquez sur « Enregistrer les modifications ».