Jamf デバイス・マネージャーの追加

オンラインで編集

Jamf®をデバイスマネージャーとして設定します。

始める前に

注: デバイスマネージャー用の mtlsidaas グローバルテナントは現在非推奨となっており、2024年3月以降に削除される予定です。 「 カスタムホスト名の取得 」に進み、カスタムドメインを申請してください。 詳細については、 「デバイスマネージャーの追加」 を参照してください。
  • このタスクを完了するには管理者権限が必要です。
  • IBM Verify 管理者として管理コンソールにログインしてください。

このタスクについて

注:MacOS® 版Safariをご利用の場合、Jamfデバイスマネージャーが発行したクライアント証明書について、確認のメッセージが表示されないという問題が発生する可能性があります。 この問題を解決するには、MacOS キーチェーン ID 設定を構成する必要があります。
  1. Macで「 キーチェーンアクセス 」を開きます。
  2. クライアント証明書の ID 設定を追加します。
  3. ID 設定の場所をテナント認証 URL + (スペース) + (com.apple.Safari)に設定します。 例えば、https://{mtls_enabled_tenant_name}/uscです。
「IDの優先順位」は現在、「キーチェーンアクセス」 >「 ログイン 」>「 すべての項目 」に表示され、証明書の確認画面も正常に動作します。

手順

  1. 「認証 」>「 デバイスマネージャー」 を選択します。
  2. 「デバイスマネージャーを追加」 を選択します。
  3. 設定するデバイスマネージャーの種類として「 JAMF 」を選択してください。
  4. 「次へ」 を選択します。
  5. 一般設定 」ページで、以下の情報を入力してください。
    • 表示された欄に 「デバイスマネージャー」 と入力してください。
    • メニューから IDプロバイダー を選択してください。
    • メニューからトラストの種類を選択してください。 デバイスの信頼設定を行うには、ユーザーは設定済みの一次認証方式を使用してログインする必要があります。 デバイスの信頼性は、認証が管理対象デバイスから行われたかどうかを確認するだけです。
      注: デバイス信頼機能( CI-114829 )は、ご要望に応じて有効化できます。 この機能をご希望の場合は、 IBM の営業担当者、または IBM の担当者までご連絡いただき、本機能の有効化をご希望であることをお伝えください。 権限をお持ちの場合は、サポートチケットを作成してください。 IBM Verify 無料体験版では、サポートチケットを作成することはできません。
    • ユーザー・アカウントに対してジャストインタイム・プロビジョニングを有効にするかどうかを選択します。
      注: ユーザーアカウントのジャスト・イン・タイム(JIT)プロビジョニングは、「ユーザーおよびデバイスの信頼」 が選択されている場合にのみ適用されます。
    • クライアント証明書の有効期間を選択してください。 デフォルトでは、選択期間は3年間です。
    • デバイスごとに証明書の最大数を指定します。
    • ユーザーおよびデバイスの情報を保持する分数を指定します。
  6. 「次へ」 を選択します。
  7. API 認証情報 」ページで、Jamf 内のアプリケーションの API 情報を入力してください。
    1. Jamf API に接続するためのユーザー名とパスワードを指定します。
    2. 「デバイス情報の同期」 チェックボックスは選択したままにしておいてください。
    3. テナント名を指定します。
    4. あらかじめ定義された属性のリストから選択 Unique user identifier するか、 「カスタムルール」 を選択して属性のマッピングを指定してください。
      カスタムルールを使用することを選択した場合、カスタム属性とルールを追加できます。 属性値を計算するルールを入力してください。 例えば、以下のとおりです。
      requestContext.email[0].split('@')[0]
      注: requestContext および idsuser には、利用可能な場合、以下のクライアント証明書属性が設定されます:

      subjectCN, subjectDN, subjectO, subjectOU, subjectC, subjectL, subjectST, subjectE, subjectUid, subjectAlternativeNameEmail.

      注: カスタムルールの選択は、デバイス信頼には適用されません。 ただし、用意されている入力欄に適切な属性を入力することは可能です。
      「テストを実行」 をクリックして、ルールが正常に動作するか確認してください。
    5. メニューからユーザー IDのロケーションを選択します。
    6. 「テスト用認証情報」 を選択して、認証情報を確認してください。
  8. 「次へ」をクリックします。
  9. ユーザーのプロパティ 」ページ (「ユーザーおよびデバイスの信頼」を選択した場合に表示されます)または「 デバイスのプロパティ」 (「デバイスの信頼」を選択した場合に表示されます) で、デバイスマネージャーの属性を属性に IBM Verify マッピングします。
    1. デバイス・マネージャー属性を選択します。
    2. (任意): メニューから変形を選択してください。
    3. 必須: マッピング先の属性 Verify を選択してください。
    4. ユーザーのプロファイルに属性を保管する方法を選択します。
  10. (任意): 属性を追加 」をクリックします。
    カスタムルールを使用するように選択した場合、カスタム属性を1つずつルールに追加できます。 属性値を計算するルールを入力してください。 例えば、以下のとおりです。
    idsuser.email[0].split('@')[0]
    「テストを実行」 をクリックして、ルールが正常に動作するか確認してください。
  11. 「OK」 をクリックします。
  12. 「次へ」をクリックします。
  13. ルート証明書プロファイルを作成します。
    表示された指示に従ってください。
    1. 提供されている以下のルート証明書および中間証明書 .zip ファイルをダウンロードしてください。
    2. Jamfポータルにログインし、 「コンピュータ」 を選択します。
    3. 「構成プロファイル」 を選択し、対象の構成プロファイルを選択して、「 編集」 をタップします。 そのプロファイルが存在しない場合は、作成する必要があります。
    4. プロフィールのナビゲーションメニューから 「証明書」 を選択してください。
    5. ルート証明書を作成するには、 「設定 」またはツールバーの「 +」 ボタンを選択します。
    6. ルート証明書に名前を付けます(例: JAMF_RootCA_Cert )。
    7. 手順a でダウンロードしたルート証明書プロファイルをアップロードしてください。
    8. 「保存」 を選択
    9. 中間証明書についても、手順b~hを繰り返します。
  14. 「次へ」 を選択します。
  15. SCEP証明書プロファイルページで、アプリケーションのAPI情報を入力してください。
    • SCEP 証明書プロファイルが既にある場合は、「値のみ」を選択します。
      1. SCEP サブジェクトを指定します。
      2. チャレンジ・タイプを選択します。
        静的
        チャレンジまたはパスワードを入力して確認します。
        動的
        Webhook構成ページに入力します。
      3. 「保存して続行」を選択します。
    • SCEP 証明書プロファイルを作成する場合は、 「ステップを表示」を選択し、その手順に従います。
      1. JAMF ポータルにログインし、コンピューターを選択します。
      2. 構成プロファイルで構成プロファイルを選択して、 編集を選択します。
      3. プロファイルのナビゲーション・メニューで SCEPを選択します。
      4. SCEP認証を作成するには、構成または+ボタンを選択してください。
      5. 以下の構成設定を使用します。
        名前
        SCEP_CERTIFICATE。
        プロファイルの再配布
        3 日間。
        件名
        Verify テナントから提供された 「件名」 の値を使用してください。 例: CN=$EMAIL::,OU=v::v1,OU=d::$JSSID,OU=r::cloudIdentityRealm,O=mdm::isvdev.jamfcloud.com
        サブジェクトの別名
        なし。
        チャレンジのタイプ
        静的
        チャレンジまたはパスワードを入力して確認します。
        動的
        Webhook構成ページに入力します。
        再試行
        3.
        再試行遅延
        10。
        キー・サイズ (ビット)
        2048。
        証明書の期限切れ通知のしきい値
        14。
        デジタル署名として使用
        選択。
        キーの暗号化に使用
        選択。
        SCEP サーバー URL
        Verify テナントから提供された SCEP ( URL )の値を使用してください。
      6. 「保存」 を選択します。
      7. 「保存して続行」を選択します。
    動的パスワードの使用を選択した場合、次の手順を実行してください。 静的パスワードの使用を選択した場合、スコープの設定にスキップしてください。
  16. Webhookの設定情報を入力してください。
    1. Jamfテナントで、 「設定 」>「 Webhook」 の順に選択します。
    2. 新規 Webhook を作成します。
    3. 以下の構成設定を使用します。
      表示名
      有効な表示名を指定してください。
      有効
      チェック・ボックスを選択します。
      認証タイプ
      基本認証

      ユーザー名とパスワードを指定し、パスワードを確認します。

      接続タイムアウト
      設定するか、デフォルト値のままにします。
      読み取りタイムアウト
      設定するか、デフォルト値のままにします。
      コンテンツ・タイプ
      JSON
      Webhook イベント
      SCEPChallengeを選択します。
    4. 構成を保存します。
    5. 「保存して続行」 をクリックしてください。
  17. スコープを設定します。
    指示に従います。
    1. Jamfポータルにログインし、 「コンピュータ」 を選択します。
    2. 「構成プロファイル」 を選択し、対象の構成プロファイルを選択して、「 編集」 をタップします。
    3. スコープ > 編集を選択します。
    4. [ 選択した展開先 ] セクションで、展開先のコンピュータ、コンピュータグループ、ユーザー、ユーザーグループ、建物、および部門を追加します。
    5. 「保存」 を選択します。
  18. 「次へ」 を選択します。
  19. 構成をテストします。
    指示に従います。
  20. 「セットアップを完了」 を選択します。
    1. 設定を確認します。
    2. 「変更を保存」 を選択します。