Jamf Pro 用 API 統合ガイド
DigiCert® Trust Lifecycle Manager により、Jamf Pro モバイルデバイス管理(MDM)環境を通じて証明書の発行を行うことができます。このガイドでは、Trust Lifecycle Manager の REST API サービス を使用して Jamf と統合する方法について説明します。
重要
Jamf Pro は Trust Lifecycle Manager からの証明書の発行に SCEP 統合もサポートしています。API 統合は現在必要とする設定がより少なくなっていますが、SAN エクステンションによる証明書の発行やサブジェクト DN の固定値フィールドをサポートしていません。
前提条件
Jamf の設定および使用に関する質問について、ローカルの管理者または Jamf Pro の文書で確認します。
有効な申請対象のデバイスの Jamf Pro アカウントが追加されている。
Apple iOS デバイスに証明書を発行しようとする場合、Jamf Pro アカウントに Apple の MDM プッシュ証明書が設定されている。
(推奨)申請するデバイスまたはコンピュータの各ロジカルグループに Jamf Pro のスマートグループを作成する。詳しくは、公式の『Jamf Pro の文書』を参照してください。
ワークフロー
API を通じて Jamf Pro の統合を設定するには、次のタスクを順に完了してください。
タスク | セクション | |
|---|---|---|
1. | Trust Lifecycle Manager アカウントへのAPI アクセスを有効化します。 | |
2. | Trust Lifecycle Manager で発行する証明書のプロパティを定義します。 | |
3. | DigiCert から証明書を申請するのに必要な設定がされた Jamf 設定プロファイルを作成します。 | |
4. | 証明書が Trust Lifecycle Manager で発行されて Jamf Pro でプロビジョニングされているか検証します。 |
統合の準備をする
統合の準備をするには、クライアント認証証明書を使用して、Jamf Pro から Trust Lifecycle Manager アカウントへの API アクセスを設定します。
注記
トラッキングの目的で、次の説明の通り統合専用の API サービスユーザーを使用することを、デジサートは推奨します。ユーザーおよび認証マネージャーロールまたはそれと同等の権限を持つ標準ユーザーに対して、クライアント認証の証明書を生成することもできます。
DigiCert ONE で必要な最低限の権限で API サービスユーザーを作成するには、次の操作を実行します。
DigiCert ONE でサービスユーザーの認証証明書を生成するには、次の方法に従います。
Trust Lifecycle Manager アカウントにアクセスするための Jamf Pro 設定を構成するには、次の操作を実行します。
Trust Lifecycle Manager に証明書プロファイルを作成する
証明書プロファイルは発行 CA および Trust Lifecycle Manager で発行できる証明書タイプの一般的なプロパティを定義します。ベーステンプレートを起点として使用し、Jamf Pro を通じて申請しようとする各証明書のタイプのプロファイルを作成します。
Jamf Pro と使用するために Trust Lifecycle Manager の証明書プロファイルを作成する際には、次のベーステンプレートのいずれかを起点として使用します。
両方のテンプレートは API ベースの申請をサポートし、DigiCert® Private CA の CA からプライベートなトラスト証明書を発行します。
証明書を発行する Trust Lifecycle Manager の事業部門に配置された利用可能なシートライセンスがあることを確認してください。
テンプレート名 |
|---|
|
|
Trust Lifecycle Manager に証明書プロファイルを作成して Jamf Pro と使用するには、次の操作を実行します。
[Trust Lifecycle Manager]メニューで[Policies > Certificate profiles]を選択します。
[テンプレートからプロファイルを作成]ボタンを選択します。
利用可能なベーステンプレートセクションから、証明書プロファイル作成の基盤としてテンプレートを 1 つ選択します。
プロファイル作成ウィザードに従い、次に説明する Jamf 関連のオプションを重視して、自社のニーズに応じて他の選択を行います。
[プライマリオプション]画面は次のようになります。
[一般情報]: 適切な事業部門と証明書の 発行 CA を選択します。
[申請方法]:
REST APIを選択します。[認証方法]:
3rd Party appを選択します。
[証明書オプション] > [サブジェクト DN および SAN フィールド]で、このプロファイルから発行された証明書を含めるようフィールドを設定します。
デフォルトでは、各証明書のサブジェクト DN にコモンネームが含まれています。このコモンネームは、[REST 要求]から値を取得しています。
(オプション)ドロップダウンを使用して、証明書にフィールドを追加します。[フィールド値のソース]に、[REST 要求]を選択して、API 申請要求から動的に値を割り当てます。
重要
重要な注記:
各証明書プロファイルには、[REST 要求]から値を取得するフィールド(例えば、[コモンネーム])を 1 つ以上含める必要があります。このフィールドは Jamf Pro からユーザーまたはデバイス識別子を追加するために使用されます。
デバイスが証明書を要求するときには、[REST 要求]フィールドに対応する値を提供する Jamf 設定プロファイルを設定することになります。
警告
Jamf Pro の API 統合は現在SAN エクステンションや、固定値で設定されたいずれの サブジェクト DN フィールドもサポートしていません。申請の問題を回避するために、Trust Lifecycle Manager の証明書プロファイルにそのようなフィールドを追加しないでください。
[詳細設定] > [サービスユーザーバインディング]で、次を行います。
[サービスユーザーの選択]: 統合の準備をするセクションで説明したように、Jamf Pro 統合用にサービスユーザーをセットアップした場合は、ここでユーザーの名前を選択して、プロファイルへのアクセスをそのサービスユーザーに限定してください。これにより、プロファイルは Jamf Pro 統合専用で使用され、Jamf が管理するデバイスに発行された証明書の、追跡と管理の強化が可能になります。
新規の証明書プロファイルを保存するには、最後のウィザード画面で[作成]を選択します。
API 申請用に Jamf を設定する
エンドポイントデバイスが DigiCert ONE から証明書を申請できるようにするには、Trust Lifecycle Manager の証明書プロファイルに一致している Jamf Pro の設定プロファイルを作成する必要があります。Jamf Pro プロファイルには、ターゲットユーザーと申請するデバイスを含める必要があります。
注記
Jamf の設定プロファイルに関して詳しくは、公式の『Jamf Pro の文書』を参照してください。
Jamf Pro で設定プロファイルを作成するには、次の操作を実行します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[Content Management] > [Configuration Profiles]を選択します。
[新規]を選択して、新しい設定プロファイルを作成します。
[一般]タブで、次の設定を行います。
[名前]: この設定プロファイルを識別するのに役立つ名前を入力します。
[レベル]: 以下から 1 つ以上を選択します。
Device LevelまたはComputer Level: デバイスまたはコンピュータ上のすべてのユーザーが、プロファイルを使用できるようにします。ヒント
MDM の目的から、ほとんどの Jamf 設定プロファイルが
Device LevelまたはComputer Levelの設定を使用する必要があります。User Level: プロファイルをコンピュータ上の特定のユーザーアカウントに関連付けます。この設定は一般的には使用されず、主に複数のユーザーでコンピュータを共有するときに適用されます。
[配信方法]:
Install Automaticallyを選択します。
[証明書]タブで、Trust Lifecycle Manager に作成した証明書プロファイルと一致する証明書プロパティを設定します。
[名前]: この証明書の設定を識別するのに役立つ名前を入力します。
[Select Certificate Option]: グローバル Jamf Pro 設定に構成されているように、Trust Lifecycle Manager アカウントに適切な統合を選択します。詳しくは、統合の準備をする セクションを参照してください。
[証明書プロファイル]: Trust Lifecycle Manager から証明書を発行するための、プロファイルの名前を選択します。選択を行うと、プロファイルの GUID が検証用に表示されるので、Trust Lifecycle Manager の証明書プロファイルと照合できます。
シート ID: デバイスがこの設定プロファイルから新しい証明書を申請するときに、Trust Lifecycle Manager の
Seat IDの値として使用するため、Jamf Pro 識別子を選択します。すべてのデバイスに識別子が存在することを確認するため、デジサートは一般的なデバイスのタイプに応じて、次の識別子のいずれかを使用することを推奨しています。Device UDID: 個人所有(BYOD)のデバイス。Serial Number: 機関所有のデバイス。
[Attribute mapping]: このセクションでは、Trust Lifecycle Manager で選択された証明書プロファイルのすべてのサブジェクト DN フィールドを一覧表示します。これらのフィールドは [REST 要求]から値を取得するよう設定されています。各フィールドについて、ドロップダウンを使用して Jamf パラメーターを選択し、発行された証明書の値として割り当てます。
右下の[保存]を選択して、新しい Jamf 設定プロファイルを保存します。
Jamf プロファイルからコンピュータ/デバイスおよびユーザーの申請を開始するには、次のようにプロファイルの範囲を設定します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[Content Management] > [Configuration Profiles]を選択します。
設定プロファイルを選択します。
右下の[編集]を選択します。
上部のプロファイル名の下にある[範囲]タブを選択します。
範囲を設定するには、コンピュータ/デバイスまたはユーザーの[ターゲット]の選択を、以下のいずれかに更新します。
[All]: すべてのコンピュータ/デバイスまたはユーザーがプロファイルから申請可能にします。
[Specific]: 特定のコンピュータ/デバイスまたはユーザーのみ申請可能にします。
[追加]ボタンを使用して、この設定プロファイルから証明書を取得できるターゲットのコンピュータ/デバイスまたはユーザーを追加します。
[Add Deployment Targets]で、申請する個別のターゲットまたはターゲットグループを選択します。
重要
重要な注記:
デジサートは範囲を[Specific]に設定して Smart Groups を使用して証明書を取得できるコンピュータ/デバイスまたはユーザーを管理することを推奨しています。
一度に申請するデバイスが多くなりすぎるのを避けるため、ターゲットの Smart Group を 1 つずつ選択して適用するか、少ないバッチで実行します。詳しくは、下の「Distribute the Jamf profile to more targets」を参照してください。
右下の[保存]を選択して、変更を適用します。
Jamf 設定プロファイルは選択したすべてのターゲットに配信され、Trust Lifecycle Manager から証明書を申請するよう指示されます。
一度に申請するデバイスが多すぎる問題を回避するため、Jamf 設定プロファイルを一度に Smart Group に配布するか、小さなバッチで配布します。1 つのグループのデバイスに申請した後、プロファイルの範囲を更新して次のグループに配布します。
Jamf プロファイルを次のデバイスのグループに配信するには、次の操作を実行します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[Content Management] > [Configuration Profiles]を選択します。
設定プロファイルを選択します。
右下の[編集]を選択します。
上部のプロファイル名の下にある[範囲]タブを選択します。
申請する新しいターゲットのコンピュータ/デバイスまたはユーザーを追加するため、[ターゲット]の選択を更新します。
右下の[保存]を選択して、変更を適用します。
[Redistribution Options]ダイアログで、次のいずれかのオプションを選択します。
[Distribute to All]: Jamf 設定プロファイルは、すでにプロファイルがインストールされているものも含めてすべてのターゲットデバイスに配信されます。これにより、すべてのデバイスが Trust Lifecycle Manager から新しい証明書を申請することになります。
[Distribute to Newly Assigned Devices Only]: Jamf 設定プロファイルは、新しく選択されたターゲットデバイスのみに配信されます。新しく追加したデバイスのみが Trust Lifecycle Manager から証明書を申請することになります。
重要
デジサートは[Distribute to Newly Assigned Devices Only]オプションを使用して、流動的なグループで証明書を申請することを推奨します。
[保存]を選択して完了し、選択した配信オプションに基づいて、設定プロファイルを選択したターゲットに配信します。
このプロセスを繰り返して、次のデバイスのグループを登録してください。
証明書の申請を検証する
ターゲットのデバイスを申請した後、Trust Lifecycle Manager で発行されて Jamf Pro にプロビジョニングされた証明書を検証します。
Trust Lifecycle Manager で発行された証明書を表示するには、次の操作を実行します。
[Inventory] ページに移動します。
表示機能を使用して証明書を表示し、[コモンネーム] または[シート ID]などのフィールドでフィルタリングします。
証明書を[コモンネーム]で選択して、詳細を確認します。
Jamf Pro ポータルの単一のコンピュータまたはデバイスについて、設定プロファイルの配信および証明書発行を検証するには、次の操作を実行します。
Jamf Pro ポータルで、デバイスをセットアップする場所に応じて、[Computers]または[デバイス]タブに移動します。
[インベントリ] >[Search Inventory]を選択します。
右上にある[検索]ボタンを選択します。
一覧からコンピュータまたはデバイスを選択して、詳細を確認します。
コンピュータまたはデバイスのレコードの詳細を検証します。
[インベントリ] > [プロファイル]: デバイスにインストールされているすべての設定プロファイルを、各識別子も含めて一覧表示します。
[インベントリ] > [証明書]: デバイスにインストールされているすべての証明書を、有効期間とそれぞれのステータスも含めて一覧表示します。詳細を確認する証明書を選択します。
[Management] >[Management Commands]: このタブをレビューして、デジサートから Jamf Pro に報告されたエラーを含む、Jamf 設定プロファイルの導入ステータスを確認します。
Jamf Pro アカウントで Trust Lifecycle Manager を通じて発行されたすべての証明書を表示するには、次の操作を実行します。
詳細情報
統合について詳しくは、次の Jamf の技術ペーパーを参照してください。『Jamf Pro を使用した DigiCert との統合』。