Jamf デバイス・マネージャーの追加

オンラインで編集

Jamf® をデバイスマネージャーとして設定してください。

始める前に

注: デバイス・マネージャーの mtlsidaas グローバル・テナントは非推奨になり、2024 年 3 月以降に削除されます。 バニティドメインをリクエストするには、バニティホスト名の取得に進んでください。 詳細については、 「デバイスマネージャーの追加」 を参照してください。
  • このタスクを完了するには管理者権限が必要です。
  • 管理者として IBM Verify 管理コンソールにログインします。

このタスクについて

注: Safari MacOS® をご利用の場合、Jamfデバイスマネージャーが発行したクライアント証明書の入力を求められることがないという問題が発生する可能性があります。 この問題を解決するには、MacOS キーチェーン ID 設定を構成する必要があります。
  1. Mac システムで、 「キーチェーンアクセス」に移動します。
  2. クライアント証明書の ID 設定を追加します。
  3. ID 設定の場所をテナント認証 URL + (スペース) + (com.apple.Safari)に設定します。 例えば、https://{mtls_enabled_tenant_name}/uscです。
識別情報の優先順位は現在 キーチェーンアクセス ログイン >すべての項目に表示され、証明書のプロンプトは正常に機能します。

手順

  1. 認証 > デバイスマネージャーを選択します。
  2. 「デバイス・マネージャーの追加」を選択します。
  3. セットアップするデバイス・マネージャーのタイプとして 「JAMF」 を選択します。
  4. 「次へ」を選択します。
  5. 「一般設定」 ページで、以下の情報を指定します。
    • 表示されたフィールドに デバイス・マネージャー名 を入力します。
    • メニューから 「ID プロバイダー」 を選択します。
    • メニューからトラスト・タイプを選択する。 デバイスの信頼を選択する場合、ユーザーは設定された第一要素認証メカニズムでログインする必要があります。 デバイスの信頼は、認証が管理対象デバイスから行われたかどうかだけを確認する。
      注: デバイス信頼機能 CI-114829 は、リクエストに応じて有効にすることができます。 この機能をご希望の場合は、 IBM 営業担当者または IBM までご連絡ください。 許可があれば、サポートチケットを作成してください。 IBM Verify トライアルサブスクリプションはサポートチケットを作成できません。
    • ユーザー・アカウントに対してジャストインタイム・プロビジョニングを有効にするかどうかを選択します。
      注意: ユーザー アカウントの JIT (Just-in-Time) プロビジョニングは、ユーザーおよびデバイスの信頼を選択した場合にのみ適用されます。
    • クライアント証明書の有効期間を選択します。 デフォルトでは3年となっている。
    • デバイスごとに証明書の最大数を指定します。
    • ユーザーおよびデバイスの情報を保持する分数を指定します。
  6. 「次へ」を選択します。
  7. 「API 資格情報」 ページで、Jamf にアプリケーションの API 詳細を入力します。
    1. Jamf API に接続するためのユーザー名とパスワードを指定します。
    2. 「デバイス情報の同期」 チェック・ボックスは選択したままにします。
    3. テナント名を指定します。
    4. 属性の事前定義リストから Unique user identifier を選択するか、 カスタム・ルール を選択して属性マッピングを指定します。
      カスタム・ルールを使用することを選択した場合は、カスタム属性とルールを追加できます。 属性値を計算するためのルールを入力します。 例えば、以下のとおりです。
      requestContext.email[0].split('@')[0]
      注: requestContext および idsuser には、以下のクライアント証明書属性が取り込まれます (使用可能な場合)。

      subjectCN, subjectDN, subjectO, subjectOU, subjectC, subjectL, subjectST, subjectE, subjectUid, subjectAlternativeNameEmail.

      注意: カスタム ルールの選択は、デバイスの信頼には適用されません。 しかし、提供されたフィールドに適切な属性を入力することができます。
      「テストの実行」 をクリックして、ルールが機能することを確認します。
    5. メニューからユーザー IDのロケーションを選択します。
    6. 「資格情報のテスト」 を選択して、資格情報を検証します。
  8. 「次へ」をクリックします。
  9. ユーザーのプロパティページ(ユーザーとデバイスの信頼関係を選択した場合に開きます)、またはデバイスのプロパティ(デバイスの信頼関係を選択した場合に開きます)で、デバイスマネージャの属性をIBM Verify属性にマッピングします
    1. デバイス・マネージャー属性を選択します。
    2. オプション: メニューから変換を選択してください。
    3. 必須: マッピングする属性 Verify を選択してください。
    4. ユーザーのプロファイルに属性を保管する方法を選択します。
  10. オプション: [属性を追加 ] をクリックします。
    カスタム・ルールを使用することを選択した場合は、一度に 1 つのカスタム属性と 1 つのルールを追加できます。 属性値を計算するためのルールを入力します。 例えば、以下のとおりです。
    idsuser.email[0].split('@')[0]
    「テストの実行」 をクリックして、ルールが機能することを確認します。
  11. 「OK」をクリックします。
  12. 「次へ」をクリックします。
  13. ルート証明書プロファイルを作成します。
    表示された指示に従ってください。
    1. 提供されている以下のルート証明書および中間証明書の .zip ファイルをダウンロードします。
    2. Jamf ポータルにログインして、 「コンピューター」を選択します。
    3. 「構成プロファイル」 を選択し、構成プロファイルを選択して、 「編集」を選択します。 プロファイルが存在しない場合は、作成する必要があります。
    4. プロファイルのナビゲーション・メニューで 「証明書」 を選択します。
    5. ルート証明書を作成するには、 「構成」 または 「+」 ツールバー・ボタンを選択します。
    6. ルート証明書に名前を付ける、例えば JAMF_RootCA_Cert).
    7. ステップ aでダウンロードしたルート証明書プロファイルをアップロードします。
    8. 「保存」を選択します。
    9. 中間証明書について、ステップ b から h を繰り返します。
  14. 「次へ」を選択します。
  15. 「SCEP 証明書プロファイル」 ページで、アプリケーションの API 詳細を入力します。
    • SCEP 証明書プロファイルが既にある場合は、「値のみ」を選択します。
      1. SCEP サブジェクトを指定します。
      2. チャレンジ・タイプを選択します。
        静的
        チャレンジまたはパスワードを入力して確認します。
        動的
        Webhook構成ページに入力します。
      3. 「保存して続行」を選択します。
    • SCEP 証明書プロファイルを作成する場合は、 「ステップを表示」を選択し、その手順に従います。
      1. JAMF ポータルにログインし、コンピューターを選択します。
      2. 構成プロファイルで構成プロファイルを選択して、 編集を選択します。
      3. プロファイルのナビゲーション・メニューで SCEPを選択します。
      4. SCEP認証を作成するには、構成または+ボタンを選択してください。
      5. 以下の構成設定を使用します。
        名前
        SCEP_CERTIFICATE。
        プロファイルの再配布
        3 日間。
        件名
        Verify テナントから提供される Subject 値を使用します。 例: CN=$EMAIL::,OU=v::v1,OU=d::$JSSID,OU=r::cloudIdentityRealm,O=mdm::isvdev.jamfcloud.com
        サブジェクトの別名
        なし。
        チャレンジのタイプ
        静的
        チャレンジまたはパスワードを入力して確認します。
        動的
        Webhook構成ページに入力します。
        再試行
        3.
        再試行遅延
        10。
        キー・サイズ (ビット)
        2048。
        証明書の期限切れ通知のしきい値
        14。
        デジタル署名として使用
        選択。
        キーの暗号化に使用
        選択。
        SCEP サーバー URL
        Verify テナントから提供された SCEP URLを使用してください。
      6. 「保存」を選択します。
      7. 「保存して続行」を選択します。
    動的パスワードの使用を選択した場合、次の手順を実行してください。 静的パスワードの使用を選択した場合、スコープの設定にスキップしてください。
  16. Webhook 構成情報を指定します。
    1. Jamfテナントで、 [設定 ] > [Webhooks] に移動します。
    2. 新規 Webhook を作成します。
    3. 以下の構成設定を使用します。
      表示名
      有効な表示名を指定してください。
      有効
      チェック・ボックスを選択します。
      認証タイプ
      基本認証

      ユーザー名とパスワードを指定し、パスワードを確認します。

      接続タイムアウト
      設定するか、デフォルト値のままにします。
      読み取りタイムアウト
      設定するか、デフォルト値のままにします。
      コンテンツ・タイプ
      JSON
      Webhook イベント
      SCEPChallengeを選択します。
    4. 構成を保存します。
    5. 「保存して続行」をクリックします。
  17. スコープを設定します。
    指示に従います。
    1. Jamf ポータルにログインして、 「コンピューター」を選択します。
    2. 「構成プロファイル」 を選択し、構成プロファイルを選択して 「編集」を選択します。
    3. [スコープ] > [編集] を選択します。
    4. 「選択したデプロイメント・ターゲット」 セクションで、デプロイ先のコンピューター、コンピューター・グループ、ユーザー、ユーザー・グループ、建物、および部門を追加します。
    5. 「保存」を選択します。
  18. 「次へ」を選択します。
  19. 構成をテストします。
    指示に従います。
  20. 「セットアップの完了」を選択します。
    1. 設定を確認します。
    2. 「変更の保存」を選択します。