添加 Jamf 设备管理器

在线编辑

将 Jamf® 配置为您的设备管理器。

准备工作

注意: 设备管理器的 mtlsidaas 全局租户现已弃用,并将于 2024 年 3 月后移除。 请访问 “申请自定义主机名 ”页面以申请自定义域名。 如需了解更多信息,请参阅 “添加设备管理器 ”。
  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM Verify

关于此任务

注意: 如果您使用的是 MacOS® 版Safari,可能会遇到系统未提示您输入Jamf设备管理器签发的客户端证书的情况。 要解决此问题,必须配置 MacOS 密钥链身份首选项。
  1. 在您的 Mac 系统上,请打开 “钥匙串访问”
  2. 为客户机证书添加身份首选项。
  3. 将身份首选项位置设置为租户认证 URL +(空格)+ (com.apple.Safari)。 例如,https://{mtls_enabled_tenant_name}/usc
身份验证偏好设置现已位于 “钥匙串访问” > “登录 ”> “所有项目 ”中,且证书提示功能已正常工作。

过程

  1. 选择 “身份验证 ”> “设备管理器 ”。
  2. 选择 “添加设备管理器 ”。
  3. 选择 “JAMF ”作为您要设置的设备管理器类型。
  4. 选择 “下一步”
  5. “常规设置 ”页面中,请填写以下信息。
    • 在相应的字段中输入设备管理器的名称
    • 从菜单中选择身份提供商
    • 从菜单中选择信托类型。 在选择设备信任时,用户需要使用其已配置的第一因素身份验证机制进行登录。 设备信任仅用于确认身份验证是否来自受管设备。
      注: 设备信任功能 CI-114829 可根据要求启用。 如需申请此功能,请联系您的 IBM 销售代表或 IBM 联系人,并表明您希望启用此功能的意愿。 如果您有权限,请提交支持工单。 IBM Verify 试用订阅用户无法创建支持工单。
    • 选择是否为用户帐户启用即时供应。
      注意: 用户账户的“及时(JIT)”配置仅适用于 “用户和设备信任 ”选项。
    • 选择客户端证书的有效期。 默认情况下,选择范围为3年。
    • 指定每个设备的最大证书数量。
    • 指定用户和设备信息的保留分钟数。
  6. 选择 “下一步”
  7. 在“API 凭据 ”页面上,输入您在 Jamf 中的应用程序的 API 详细信息。
    1. 提供用于连接到 Jamf API 的用户名和密码。
    2. 请保持 “同步设备信息 ”复选框处于选中状态。
    3. 提供租户名称。
    4. 从预定义的属性列表中选择 Unique user identifier ,或选择 “自定义规则 ”以指定属性映射。
      如果您选择使用自定义规则,可以添加自定义属性及规则。 请输入用于计算属性值的规则。 例如,
      requestContext.email[0].split('@')[0]
      注: requestContext 如果可用,和 idsuser 将填充以下客户端证书属性:

      subjectCN, subjectDN, subjectO, subjectOU, subjectC, subjectL, subjectST, subjectE, subjectUid, subjectAlternativeNameEmail.

      注意: 自定义规则的选择不适用于 “设备信任 ”。 不过,您可以在相应的字段中输入相应的属性。
      点击 “运行测试 ”以确保该规则正常工作。
    5. 从菜单中选择用户标识位置。
    6. 选择 “测试凭据 ”以验证您的凭据。
  8. 单击下一步
  9. (在选择“用户和设备信任”时打开)或 设备属性 (在选择“设备信任”时打开)在该 用户属性 页面上,将设备管理器属性映射到 IBM Verify 属性。
    1. 选择设备管理器属性。
    2. 可选: 从菜单中选择一个变换。
    3. 必填: 选择您要映射到的属性 Verify
    4. 选择您希望如何在用户概要文件中存储属性。
  10. 可选: 点击 “添加属性 ”。
    如果您选择使用自定义规则,可以一次添加一个自定义属性并创建一条规则。 请输入用于计算属性值的规则。 例如,
    idsuser.email[0].split('@')[0]
    点击 “运行测试 ”以确保该规则正常工作。
  11. 单击 “确定”
  12. 单击下一步
  13. 创建根证书概要文件。
    请遵循提供的指示信息进行操作。
    1. 请下载以下提供的根证书和中间证书 .zip 文件。
    2. 登录 Jamf 门户,然后选择 “计算机 ”。
    3. 选择 “配置文件 ”,选中相应的配置文件,然后点击 “编辑 ”。 如果该配置文件不存在,您必须创建一个。
    4. 在个人资料的导航菜单中选择 “证书”
    5. 要创建根证书,请选择 “配置 ”或工具栏上的 “+” 按钮。
    6. 请为根证书命名(例如: JAMF_RootCA_Cert )。
    7. 上传您在步骤 a 中下载的根证书配置文件。
    8. 选择 “保存”
    9. 请对中间证书重复步骤 b 至 h。
  14. 选择 “下一步”
  15. SCEP 证书配置文件页面上,输入您应用程序的 API 详细信息。
    • 如果您已经有 SCEP 证书配置文件,请选择仅值
      1. 提供 SCEP 主题。
      2. 选择质询类型。
        静态
        输入并确认质询或密码。
        动态
        填写 Webhook 配置 页面。
      3. 选择 “保存并继续 ”。
    • 如果要创建 SCEP 证书配置文件,请选择显示步骤并遵循指示信息进行操作。
      1. 登录 Jamf 门户网站并选择计算机
      2. 选择配置概要文件,选择配置概要文件,然后选择编辑
      3. 在概要文件的导航菜单中选择 SCEP
      4. 要创建 SCEP 证书,请选择配置+ 按钮。
      5. 使用以下配置设置:
        名称
        SCEP_CERTIFICATE。
        重新分发概要文件
        3 天。
        主体
        请使用您的 Verify 租户提供的 “主题 ”值。 例如,CN=$EMAIL::,OU=v::v1,OU=d::$JSSID,OU=r::cloudIdentityRealm,O=mdm::isvdev.jamfcloud.com
        主题备用名称
        无。
        质询类型
        静态
        输入并确认质询或密码。
        动态
        填写 Webhook 配置 页面。
        重试次数
        3.
        重试延迟
        10.
        密钥大小(位)
        2048。
        证书到期通知阈值
        14.
        用作数字签名
        已选择。
        用于密钥加密
        已选择。
        SCEP 服务器 URL
        请使用租户 Verify 提供的 SCEP URL 值。
      6. 选择 “保存 ”。
      7. 选择 “保存并继续 ”。
    如果选择使用动态密码,请完成下一个步骤。 如果选择使用静态密码,请跳至设置范围
  16. 请提供 Webhook 的配置信息。
    1. 在 Jamf 租户中,请导航至 “设置” > “Webhooks”
    2. 创建新的 Webhook。
    3. 使用以下配置设置。
      显示名称
      请提供有效的显示名称。
      已启用
      请选中此复选框。
      认证类型
      基本认证

      请提供用户名和密码并验证密码。

      连接超时
      设置它或将它保留为缺省值。
      读取超时
      设置它或将它保留为缺省值。
      内容类型
      JSON
      Webhook 事件
      选择 SCEPChallenge
    4. 保存配置。
    5. 点击 “保存并继续 ”。
  17. 设置作用域。
    请遵循指示信息进行操作。
    1. 登录 Jamf 门户,然后选择 “计算机 ”。
    2. 选择 “配置文件 ”,选中相应的配置文件,然后点击 “编辑 ”。
    3. 选择范围 > 编辑
    4. 在“已选定的部署目标 ”部分下,添加您要进行部署的计算机、计算机组、用户、用户组、楼宇和部门。
    5. 选择 “保存 ”。
  18. 选择 “下一步”
  19. 测试配置。
    请遵循指示信息进行操作。
  20. 选择 “完成设置 ”。
    1. 复查设置。
    2. 选择 “保存更改 ”。