共用方式為

教學課程:Microsoft Entra SSO 與 Jamf Pro 整合

  • 發行項

在本教學課程中,您將瞭解如何整合 Jamf Pro 與 Microsoft Entra ID。 在整合 Jamf Pro 與 Microsoft Entra ID 時,您可以:

  • 以使用 Microsoft Entra ID 來控制可存取 Jamf Pro 的人員。
  • 讓您的使用者使用其 Microsoft Entra 帳戶自動登入 Jamf Pro。
  • 在 Azure 入口網站中集中管理您的帳戶。

必要條件

若要開始使用,您需要下列項目:

  • Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶
  • 已啟用單一登入 (SSO) 的 Jamf Pro 訂用帳戶。

案例描述

在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。

  • Jamf Pro 支援 SP 起始IDP 起始的 SSO。

若要設定 Jamf Pro 與 Microsoft Entra ID 整合,您需要從資源庫將 Jamf Pro 新增到受控 SaaS 應用程式清單。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [新增應用程式]
  3. 在 [從資源庫新增] 區段的搜尋方塊中輸入 Jamf Pro
  4. 從結果面板選取 [Jamf Pro],然後新增應用程式。 將應用程式新增至您的租用戶時,請稍候幾秒鐘。

或者,您也可以使用企業應用程式組態精靈。 在此精靈中,您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色,以及逐步進行 SSO 設定。 深入了解 Microsoft 365 精靈。

針對 Jamf Pro 在 Microsoft Entra ID 中設定和測試 SSO

以名為 B.Simon 的測試使用者,設定及測試與 Jamf Pro 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Jamf Pro 中相關使用者之間的連結關聯性。

在本節中,您會設定及測試搭配 Jamf Pro 的 Microsoft Entra SSO。

  1. 在 Microsoft Entra ID 中設定 SSO,讓您的使用者可以使用這項功能。
    1. 建立 Microsoft Entra ID 測試使用者,使用 B.Simon 帳戶測試 Microsoft Entra SSO。
    2. 指派 Microsoft Entra 測試使用者 ,讓 B.Simon 可以在 Microsoft Entra ID 中使用 SSO。
  2. 設定 Jamf Pro 中的 SSO,以在應用程式端進行 SSO 設定。
    1. 建立 Jamf Pro 測試使用者,使 Jamf Pro 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表項目。
  3. 測試 SSO 組態,以驗證組態是否能運作。

Microsoft Entra ID 中設定 SSO

您會在本節內容節中啟用 Microsoft Entra SSO。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Jamf Pro] 應用程式整合頁面,尋找 [管理] 區段並選取 [單一登入]

  3. 在 [選取單一登入方法] 頁面上,選取 [SAML]

  4. 在 [以 SAML 設定單一登入] 頁面上,選取 [基本 SAML 設定] 的鉛筆圖示,以編輯設定。

    編輯 [基本 SAML 組態] 頁面。

  5. 在 [基本 SAML 設定] 區段中,如果您想要以 IDP 起始模式設定應用程式,請輸入下列欄位的值:

    a. 在 [識別碼] 文字方塊中,以下列公式輸入 URL:https://<subdomain>.jamfcloud.com/saml/metadata

    b. 在 [回覆 URL] 文字方塊中,以下列公式輸入 URL:https://<subdomain>.jamfcloud.com/saml/SSO

  6. 選取 [設定其他 URL]。 如果您想要以 SP 起始模式設定應用程式,請在 [登入 URL] 文字方塊中使用下列公式輸入 URL:https://<subdomain>.jamfcloud.com

    注意

    這些不是真正的值。 請使用實際的識別碼、回覆 URL 及登入 URL 來更新這些值。 您將會從 Jamf Pro 入口網站的 [單一登入] 區段取得實際的識別碼值,本教學課程稍後將說明此值。 您可以從識別碼值擷取實際的子網域值,並使用該子網域資訊作為登入 URL 和回覆 URL。 您也可以參考 [基本 SAML 設定] 區段所示的公式。

  7. 在 [以 SAML 設定單一登入] 頁面的 [SAML 簽署憑證] 區段中,選取 [複製] 按鈕以複製 [應用程式同盟中繼資料 URL],並將資料儲存在您的電腦上。

    SAML 簽署憑證下載連結

建立 Microsoft Entra 測試使用者

在本節中,您會建立名為 B.Simon 的測試使用者。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  3. 在畫面頂端選取 [新增使用者]
  4. 在 [使用者] 屬性中,執行下列步驟:
    1. 在 [名稱] 欄位中,輸入 B.Simon
    2. 在 [使用者名稱] 欄位中,輸入 [name]@[companydomain].[extension]。 例如: B.Simon@contoso.com
    3. 選取 [顯示密碼] 核取方塊,然後記下 [密碼] 方塊中顯示的值。
    4. 選取 建立

指派 Microsoft Entra 測試使用者

在本節中,您會對 B.Simon 授與 Jamf Pro 的存取權。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[Jamf Pro]
  3. 在應用程式的 [概觀] 頁面中,尋找 [管理] 區段,然後選取 [使用者和群組]
  4. 選取 [新增使用者],然後在 [新增指派] 對話方塊中選取 [使用者和群組]
  5. 在 [使用者和群組] 對話方塊的 [使用者] 清單中,選取 [B.Simon],然後選取畫面底部的 [選取] 按鈕。
  6. 如果您預期將角色指派給使用者,則可以從 [選取角色] 下拉式清單中選取該角色。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取權] 角色。
  7. 在 [新增指派] 對話方塊中,選取 [指派] 按鈕。

在 Jamf Pro 中設定 SSO

  1. 若要自動執行 Jamf Pro 內的設定,您必須選取 [安裝擴充功能] 以安裝「我的應用程式安全登入瀏覽器擴充功能」

    我的應用程式安全登入瀏覽器擴充功能頁面

  2. 將擴充功能新增至瀏覽器之後,請選取 [設定 Jamf Pro]。 當 Jamf Pro 應用程式開啟時,請提供系統管理員認證以登入。 瀏覽器擴充功能會自動設定應用程式,並自動執行步驟 3 到 7。

    Jamf Pro 中的設定組態頁面

  3. 若要手動設定 Jamf Pro,請開啟新的網頁瀏覽器視窗,並以系統管理員身分登入 Jamf Pro 公司網站。 然後執行下列步驟。

  4. 選取頁面右上角的 [設定] 圖示。

    選取 Jamf Pro 中的設定圖示

  5. 選取 [單一登入]

    在 Jamf Pro 中選取單一登入

  6. 在 [單一登入] 頁面上,執行下列步驟。

    Jamf Pro 中的單一登入頁面

    a. 選取編輯

    b. 選取 [啟用單一登入驗證] 核取方塊。

    c. 從 [識別提供者] 下拉式功能表中,選取 [Azure] 作為選項。

    d. 複製 [實體識別碼] 值,並將其貼至 [基本 SAML 組態] 區段上的 [識別碼 (實體識別碼)] 欄位中。

    注意

    <SUBDOMAIN> 中使用此值來完成 [基本 SAML 設定] 區段中的 [登入 URL] 和 [回覆 URL]。

    e. 從 [識別提供者中繼資料來源] 下拉式功能表中選取 [中繼資料 URL]。 在顯示的欄位中,貼上您複製的 [應用程式同盟中繼資料 URL] 值。

    f. (選擇性) 編輯權杖到期日,或選取 [停用 SAML 權杖到期日]。

  7. 在相同頁面上,向下捲動到 [使用者對應] 區段。 然後執行下列步驟。

    Jamf Pro 中 [單一登入] 頁面的 [使用者對應] 區段。

    a. 針對 [識別提供者使用者對應] 選取 [NameID] 選項。 根據預設,此選項會設定為 [NameID],但您可以定義自訂屬性。

    b. 針對 [Jamf Pro 使用者對應] 選取 [電子郵件]。 Jamf Pro 會先根據使用者,然後再根據群組來對應由 IdP 所傳送的 SAML 屬性。 當使用者嘗試存取 Jamf Pro 時,Jamf Pro 會從識別提供者中取得該使用者的相關資訊,並比對所有 Jamf Pro 使用者帳戶。 如果找不到傳入的使用者帳戶,則 Jamf Pro 會嘗試依群組名稱來進行比對。

    c. 將值 http://schemas.microsoft.com/ws/2008/06/identity/claims/groups 貼到 [識別提供者群組屬性名稱] 欄位中。

    d. 在相同頁面上,向下捲動至 [安全性] 區段,然後選取 [允許使用者略過單一登入驗證]。 如此一來,使用者將不會重新導向至身分識別提供者登入頁面來進行驗證,而是可以直接登入 Jamf Pro。 當使用者嘗試透過識別提供者存取 Jamf Pro 時,就會進行 IdP 啟始的 SSO 驗證和授權。

    e. 選取 [儲存]。

建立 Jamf Pro 測試使用者

為了讓 Microsoft Entra 使用者能夠登入 Jamf Pro,必須將他們佈建到 Jamf Pro。 在 Jamf Pro 中,需以手動方式進行佈建。

若要佈建使用者帳戶,請執行下列步驟:

  1. 以系統管理員身分登入您的 Jamf Pro 公司網站。

  2. 選取頁面右上角的 [設定] 圖示。

    Jamf Pro 中的設定圖示

  3. 選取 [Jamf Pro 使用者帳戶和群組]

    Jamf Pro 設定中的 [Jamf Pro 使用者帳戶和群組] 圖示

  4. 選取新增

    Jamf Pro 使用者帳戶和群組的系統設定頁面

  5. 選取 [建立標準帳戶]

    [Jamf Pro 使用者帳戶和群組] 頁面中的 [建立標準帳戶] 選項

  6. 在 [新增帳戶] 對話方塊中,執行下列步驟:

    Jamf Pro 系統設定中的新增帳戶設定選項

    a. 在 [使用者名稱] 欄位中,輸入 Britta Simon (測試使用者的全名)。

    b. 選取符合您組織的 [存取層級]、[授權集合] 和 [存取狀態] 選項。

    c. 在 [全名] 欄位中,輸入 Britta Simon

    d. 在 [電子郵件地址] 欄位中,輸入 Britta Simon 帳戶的電子郵件地址。

    e. 在 [密碼] 欄位中,輸入使用者的密碼。

    f. 在 [驗證密碼] 欄位中,再次輸入使用者的密碼。

    .g 選取 [儲存]。

測試 SSO 組態

在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

SP 起始:

  • 請按一下 [測試此應用程式],這會重新導向至 Jamf Pro 登入 URL,您可以在此處起始登入流程。

  • 直接移至 Jamf Pro 登入 URL,然後從該處起始登入流程。

IDP 起始:

  • 按一下 [測試此應用程式],您應該會自動登入您已設定 SSO 的 Jamf Pro

您也可以使用 Microsoft「我的應用程式」,以任何模式測試應用程式。 當您按一下「我的應用程式」中的 Jamf Pro 圖格時,如果是在 SP 模式中設定,您會重新導向至 [應用程式登入] 頁面來起始登入流程,如果在 IDP 模式中設定,則應該會自動登入已設定 SSO 的 Jamf Pro。 如需「我的應用程式」的詳細資訊,請參閱我的應用程式簡介

下一步

設定 Jamf Pro 後,您可以強制執行工作階段控制項,以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項