添加 Jamf 设备管理器

在线编辑

将 Jamf® 配置为您的设备管理器。

准备工作

注: 现在不推荐使用设备管理器的 mtlsidaas 全局租户,将在 2024 年 3 月之后移除。 前往获取自定义主机名页面申请自定义域名。 有关更多信息,请参阅添加设备管理器
  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM Verify 管理控制台。

关于此任务

注意: 若您使用的是 MacOS® Safari 浏览器,可能会遇到无法提示输入 Jamf 设备管理器签发的客户端证书的问题。 要解决此问题,必须配置 MacOS 密钥链身份首选项。
  1. 在 Mac 系统上,转至 Keychain Access
  2. 为客户机证书添加身份首选项。
  3. 将身份首选项位置设置为租户认证 URL +(空格)+ (com.apple.Safari)。 例如,https://{mtls_enabled_tenant_name}/usc
身份偏好设置现位于钥匙串访问 > 登录 > 所有项目中,证书提示功能已正常运作。

过程

  1. 选择身份验证 > 设备管理器
  2. 选择 添加设备管理器
  3. 选择 JAMF 作为要设置的设备管理器类型。
  4. 选择 下一步
  5. 在 " 常规设置 " 页面上,提供以下信息。
    • 在提供的字段中输入 设备管理器名称
    • 从菜单中选择 身份提供者
    • 从菜单中选择 信任类型。 对于设备信任选择,用户需要使用其配置的第一要素身份验证机制登录。 设备信任只确认身份验证是否来自受管设备。
      注: 可根据要求启用设备信任功能 CI-114829。 要申请此功能,请联系 IBM 销售代表或 IBM 联系人,并说明您对启用此功能的兴趣。 如果您有权限,请创建支持票据。 IBM Verify 试用订阅不能创建支持票单。
    • 选择是否为用户帐户启用即时供应。
      注意:用户帐户的即时 (JIT) 配置仅适用于用户和设备信任选择的情况。
    • 选择 客户证书有效期。 默认情况下,选择 3 年。
    • 指定每个设备的最大证书数量。
    • 指定用户和设备信息的保留分钟数。
  6. 选择 下一步
  7. API 凭证 页面上,输入 Jamf 中应用程序的 API 详细信息。
    1. 提供用于连接到 Jamf API 的用户名和密码。
    2. 保持选中 同步设备信息 复选框。
    3. 提供租户名称。
    4. 从预定义的属性列表中选择 Unique user identifier ,或者选择 定制规则 以指定属性映射。
      如果选择使用定制规则,那么可以添加定制属性和规则。 输入规则以计算属性值。 例如,
      requestContext.email[0].split('@')[0]
      注: requestContextidsuser 填充了以下客户机证书属性 (如果可用):

      subjectCN, subjectDN, subjectO, subjectOU, subjectC, subjectL, subjectST, subjectE, subjectUid, subjectAlternativeNameEmail.

      注意:自定义规则选择不适用于 设备信任。 不过,您可以在提供的字段中输入适当的属性。
      单击 运行测试 以确保规则有效。
    5. 从菜单中选择用户标识位置。
    6. 选择 测试凭证 以验证凭证。
  8. 单击下一步
  9. 用户属性(在选择用户和设备信任时打开)或 设备属性 (在选择设备信任时打开) 上,将设备管理器属性映射到 IBM Verify 属性。
    1. 选择设备管理器属性。
    2. 可选: 从菜单中选择一种变换。
    3. 必填: 选择要映射的属性 Verify
    4. 选择您希望如何在用户概要文件中存储属性。
  10. 可选: 点击添加属性
    如果选择使用定制规则,那么可以一次添加一个定制属性和一个规则。 输入规则以计算属性值。 例如,
    idsuser.email[0].split('@')[0]
    单击 运行测试 以确保规则有效。
  11. 单击 确定
  12. 单击下一步
  13. 创建根证书概要文件。
    请遵循提供的指示信息进行操作。
    1. 下载提供的以下根证书和中间证书 .zip 文件。
    2. 登录到 Jamf 门户网站并选择 计算机
    3. 选择 配置概要文件 ,然后选择配置概要文件并选择 编辑。 如果该概要文件不存在,那么必须创建一个概要文件。
    4. 在概要文件的导航菜单中选择 证书
    5. 要创建根证书,请选择 配置+ 工具栏按钮。
    6. 命名根证书,例如 JAMF_RootCA_Cert).
    7. 上载在步骤 a中下载的根证书概要文件。
    8. 选择 保存
    9. 对中间证书重复步骤 b-h。
  14. 选择 下一步
  15. 在 " SCEP 证书概要文件 " 页面上,输入应用程序的 API 详细信息。
    • 如果您已经有 SCEP 证书配置文件,请选择仅值
      1. 提供 SCEP 主题。
      2. 选择质询类型。
        静态
        输入并确认质询或密码。
        动态
        填写 Webhook 配置 页面。
      3. 选择 保存并继续
    • 如果要创建 SCEP 证书配置文件,请选择显示步骤并遵循指示信息进行操作。
      1. 登录 Jamf 门户网站并选择计算机
      2. 选择配置概要文件,选择配置概要文件,然后选择编辑
      3. 在概要文件的导航菜单中选择 SCEP
      4. 要创建 SCEP 证书,请选择配置+ 按钮。
      5. 使用以下配置设置:
        姓名
        SCEP_CERTIFICATE。
        重新分发概要文件
        3 天。
        主体
        使用 Verify 租户提供的 Subject 值。 例如,CN=$EMAIL::,OU=v::v1,OU=d::$JSSID,OU=r::cloudIdentityRealm,O=mdm::isvdev.jamfcloud.com
        主题备用名称
        无。
        质询类型
        静态
        输入并确认质询或密码。
        动态
        填写 Webhook 配置 页面。
        重试次数
        3.
        重试延迟
        10.
        密钥大小(位)
        2048。
        证书到期通知阈值
        14.
        用作数字签名
        已选择。
        用于密钥加密
        已选择。
        SCEP 服务器 URL
        请使用您的 Verify 租户提供的 URL
      6. 选择 保存
      7. 选择 保存并继续
    如果选择使用动态密码,请完成下一个步骤。 如果选择使用静态密码,请跳至设置范围
  16. 提供 Webhook 配置信息。
    1. 在 Jamf 租户中,导航至“设置” > “Webhooks”
    2. 创建新的 Webhook。
    3. 使用以下配置设置。
      显示名称
      请提供有效的显示名称。
      已启用
      请选中此复选框。
      认证类型
      基本认证

      请提供用户名和密码并验证密码。

      连接超时
      设置它或将它保留为缺省值。
      读取超时
      设置它或将它保留为缺省值。
      内容类型
      JSON
      Webhook 事件
      选择 SCEPChallenge
    4. 保存配置。
    5. 单击 保存并继续
  17. 设置作用域。
    请遵循指示信息进行操作。
    1. 登录到 Jamf 门户网站并选择 计算机
    2. 选择 配置概要文件 ,然后选择配置概要文件并选择 编辑
    3. 选择范围 > 编辑
    4. 选定的部署目标 部分下,添加要部署到的计算机,计算机组,用户,用户组,建筑物和部门。
    5. 选择 保存
  18. 选择 下一步
  19. 测试配置。
    请遵循指示信息进行操作。
  20. 选择 完成设置
    1. 复查设置。
    2. 选择 保存更改