Microsoft Entra ID で Jamf Pro をシングルサインオンのために設定する

2025-07-07

この記事では、Jamf Pro と Microsoft Entra ID を統合する方法について説明します。 Jamf Pro と Microsoft Entra ID を統合すると、次のことができます。

Microsoft Entra ID を使用して、Jamf Pro にアクセスできるユーザーを制御します。
Microsoft Entra アカウントを使用して Jamf Pro にユーザーを自動的にサインインします。
1 つの中央サイト (Azure Portal) でアカウントを管理できます。

[前提条件]

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

アクティブなサブスクリプションを持つ Microsoft Entra ユーザーアカウント。まだアカウントがない場合は、無料でアカウントを作成することができます。
次のいずれかのロール:

シングルサインオン (SSO) が有効になっている Jamf Pro サブスクリプション。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

Jamf Pro では、 SP Initiated SSO と IdP Initiated SSO がサポートされます 。

ギャラリーから Jamf Pro を追加する

Microsoft Entra ID への Jamf Pro の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Jamf Pro を追加する必要があります。

クラウドアプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
[ギャラリーからの追加] セクションで、検索ボックスに「Jamf Pro」と入力します。
結果パネルから Jamf Pro を選択し、アプリを追加します。お使いのテナントにアプリが追加されるのを数秒待機します。

または、エンタープライズアプリ構成ウィザードを使用することもできます。このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細をご覧ください。

Jamf Pro の Microsoft Entra ID での SSO の構成とテスト

B.Simon というテストユーザーを使用して、Jamf Pro に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるには、Microsoft Entra ユーザーと Jamf Pro の関連ユーザーとの間にリンク関係を確立する必要があります。

このセクションでは、Jamf Pro で Microsoft Entra SSO を構成し、テストします。

ユーザーがこの機能を使用できるように、Microsoft Entra ID で SSO を構成します。
1. B.Simon アカウントで Microsoft Entra SSO をテストする Microsoft Entra テストユーザーを作成します。
2. B.Simon が Microsoft Entra ID で SSO を使用できるように、Microsoft Entra テストユーザーを割り当てます。
Jamf Pro で SSO を構成して、アプリケーション側で SSO 設定を構成します。
1. Jamf Pro のテストユーザーを作成します。Jamf Pro で、Microsoft Entra 内のユーザー B.Simon に対応するユーザーを作成し、これらのユーザーをリンクします。
SSO 構成をテストして、構成が機能することを確認します。

Microsoft Entra ID で SSO を構成する

このセクションでは、Microsoft Entra SSO を有効にします。

クラウドアプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
Entra ID>Enterprise apps>Jamf Pro アプリケーション統合ページに移動し、[管理] セクションを見つけて、[シングルサインオン] を選択します。
[ 単一の Sign-On 方法の選択 ] ページで、[SAML] を選択 します。
[SAML によるシングルサインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。
[ 基本的な SAML 構成] セクションで、 IdP 開始 モードでアプリケーションを構成する場合は、次のフィールドの値を入力します。

a. [ 識別子 ] テキストボックスに、次の式を使用する URL を入力します。 https://<subdomain>.jamfcloud.com/saml/metadata

b。 [ 応答 URL ] テキストボックスに、次の式を使用する URL を入力します。 https://<subdomain>.jamfcloud.com/saml/SSO
[ 追加の URL の設定] を選択します。 SP 開始モードでアプリケーションを構成する場合は、[サインオン URL] テキストボックスに、次の式を使用する URL を入力します。https://<subdomain>.jamfcloud.com

注

これらの値は実際の値ではありません。実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 Jamf Pro ポータルの [シングルサインオン ] セクションから実際の識別子の値を取得します。これについては、この記事の後半で説明します。識別子の値から実際のサブドメイン値を抽出し、そのサブドメイン情報をサインオン URL と応答 URL として使用できます。「 基本的な SAML 構成 」セクションに示されている数式を参照することもできます。
[ SAML を使用した単一 Sign-On のセットアップ ] ページで、[ SAML 署名証明書 ] セクションに移動し、 コピー ボタンを選択して アプリのフェデレーションメタデータ URL をコピーし、コンピューターに保存します。

Microsoft Entra テストユーザーの作成と割り当て

ユーザーアカウントの作成と割り当てのクイックスタートのガイドラインに従って、B.Simon というテストユーザーアカウントを作成します。

Jamf Pro で SSO を構成する

Jamf Pro 内での構成を自動化するには、[拡張機能のインストール] を選択して My Apps Secure Sign-in ブラウザー拡張機能をインストールします。
拡張機能をブラウザーに追加したら、[ Jamf Pro のセットアップ] を選択します。 Jamf Pro アプリケーションが開いたら、サインインするための管理者の資格情報を入力します。ブラウザー拡張機能によってアプリケーションが自動的に構成され、手順 3 から 7 が自動化されます。
Jamf Pro を手動で設定するには、新しい Web ブラウザーウィンドウを開き、管理者として Jamf Pro 企業サイトにサインインします。次に、次の手順を実行します。
ページの右上隅にある [設定] アイコン を選択します。
[ シングルサインオン] を選択します。
[ シングルサインオン ] ページで、次の手順を実行します。

$Jamf Pro の [Single Sign-On]$シングルサインオン$ ページ$

a. [編集] を選択します。

b。 [ 単一 Sign-On 認証を有効にする ] チェックボックスをオンにします。

c. [ID プロバイダー] ドロップダウンメニューからオプションとして Azure を選択します。

d. ENTITY ID の値をコピーし、[基本的な SAML 構成] セクションの [識別子 ] (エンティティ ID) フィールドに貼り付けます。

注

[ <SUBDOMAIN> ] フィールドの値を使用して、[ 基本的な SAML 構成] セクションのサインオン URL と応答 URL を入力します。

e. [ID プロバイダーメタデータソース] ドロップダウンメニューから [メタデータ URL] を選択します。表示されるフィールドに、コピーした アプリのフェデレーションメタデータ URL の値を貼り付けます。

f. (省略可能)トークンの有効期限の値を編集するか、[SAML トークンの有効期限を無効にする] を選択します。
同じページで、[ ユーザーマッピング ] セクションまで下にスクロールします。次に、次の手順を実行します。

a. ID プロバイダーのユーザーマッピングの NameID オプションを選択します。既定では、このオプションは NameID に設定されていますが、カスタム属性を定義できます。

b。 Jamf Pro ユーザーマッピングの電子メールを選択します。 Jamf Pro は、IdP によって最初にユーザーによって送信され、次にグループによって送信される SAML 属性をマップします。ユーザーが Jamf Pro にアクセスしようとすると、Jamf Pro は ID プロバイダーからユーザーに関する情報を取得し、すべての Jamf Pro ユーザーアカウントと照合します。着信ユーザーアカウントが見つからない場合、Jamf Pro はグループ名で照合しようとします。

c. http://schemas.microsoft.com/ws/2008/06/identity/claims/groups] フィールドに値を貼り付けます。

d. 同じページで、[ セキュリティ ] セクションまで下にスクロールし、[ 単一 Sign-On 認証のバイパスをユーザーに許可する] を選択します。その結果、ユーザーは認証のために ID プロバイダーのサインインページにリダイレクトされません。代わりに Jamf Pro に直接サインインできます。ユーザーが ID プロバイダー経由で Jamf Pro にアクセスしようとすると、IdP によって開始される SSO 認証と承認が行われます。

e. 保存を選択します。

Jamf Pro テストユーザーの作成

Microsoft Entra ユーザーが Jamf Pro にサインインするには、Jamf Pro にユーザーをプロビジョニングする必要があります。 Jamf Pro でのプロビジョニングは手動で行います。

ユーザーアカウントをプロビジョニングするには、次の手順を実行します。

Jamf Pro 企業サイトに管理者としてサインインします。
ページの右上隅にある [Settings](設定) アイコンを選択します。
Jamf Pro ユーザーアカウントとグループを選択します。
新規を選択します。
[ 標準アカウントの作成] を選択します。
[ 新しいアカウント ] ダイアログボックスで、次の手順を実行します。

a. [USERNAME]$ ユーザー名 $ フィールドに、テストユーザーの完全な名前 Britta Simon入力します。

b。組織に応じて、 アクセスレベル、 特権セット、 およびアクセス状態 のオプションを選択します。

c. [ FULL NAME] フィールドに「 Britta Simon」と入力します。

d. [EMAIL ADDRESS]$ 電子メールアドレス $ フィールドに、Britta Simon のアカウントのメールアドレスを入力します。

e. [ パスワード ] フィールドに、ユーザーのパスワードを入力します。

f. [ パスワードの確認 ] フィールドに、ユーザーのパスワードをもう一度入力します。

g. 保存を選択します。

SSO 構成をテストする

このセクションでは、次のオプションを使用して Microsoft Entra のシングルサインオン構成をテストします。

SP 開始:

[ このアプリケーションをテストする] を選択すると、このオプションはログインフローを開始できる Jamf Pro のサインオン URL にリダイレクトされます。
Jamf Pro のサインオン URL に直接移動し、そこからログインフローを開始します。

IDP 起動しました。

[ このアプリケーションをテストする] を選択すると、SSO を設定した Jamf Pro に自動的にサインインします

Microsoft マイアプリを使用して、任意のモードでアプリケーションをテストすることもできます。マイアプリで Jamf Pro タイルを選択すると、SP モードで構成されている場合は、ログインフローを開始するためのアプリケーションサインオンページにリダイレクトされます。IDP モードで構成されている場合は、SSO を設定した Jamf Pro に自動的にサインインされます。マイアプリの詳細については、マイアプリの概要に関するページを参照してください。

Jamf Pro を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Appsでセッション制御を適用する方法について説明します。

次の方法で共有