Sdílet prostřednictvím

Integrace Jamf Pro s Microsoft Intune a hlášení dodržování předpisů zařízením s ID Microsoft Entra

  • Článek

Proces navázání integrace mezi Jamf Pro a Microsoft Intune se vyvíjí. Hlášení stavu dodržování předpisů zařízení spravovaných přes Jamf teď umožňuje prostředí Jamf Pro určit stav dodržování předpisů se spravovanými zásadami Jamf a hlásit stav dodržování předpisů zařízením do Microsoft Entra ID prostřednictvím konektoru v Intune. Jakmile se stav dodržování předpisů pro zařízení spravovaná přes Jamf nahlásí do Microsoft Entra ID, budou tato zařízení schopná splňovat Zero-Trust zásady podmíněného přístupu, které stanoví zásady podmíněného přístupu Microsoft Entra.

Důležité

Podpora podmíněného přístupu pro zařízení s macOS v Jamf je zastaralá.

Od 1. září 2024 už nebude podporována platforma, na které je postavená funkce podmíněného přístupu Jamf Pro.

Pokud používáte integraci podmíněného přístupu jamf Pro pro zařízení s macOS, postupujte podle zdokumentovaných pokynů Jamf k migraci zařízení na integraci dodržování předpisů zařízením v tématu Migrace z podmíněného přístupu macOS na dodržování předpisů zařízením s macOS – Dokumentace k Jamf Pro.

Pokud potřebujete pomoc, kontaktujte Jamf Customer Success. Další informace najdete v blogovém příspěvku na adrese https://aka.ms/Intune/Jamf-Device-Compliance.

Tento článek vám může pomoct s následujícími úlohami:

  • Nakonfigurujte požadované komponenty a konfigurace v Jamf Pro.
  • Nakonfigurujte Jamf Pro pro nasazení aplikace Portál společnosti Intune na zařízení, která spravujete pomocí Jamf.
  • Nakonfigurujte zásadu pro nasazení uživatelům prostřednictvím aplikace samoobslužného portálu Jamf a zaregistrujte zařízení s ID Microsoft Entra.
  • Nakonfigurujte konektor Intune.
  • Příprava požadovaných komponent Microsoft Entra ID

Abyste mohli dokončit postupy v tomto článku, váš účet musí mít následující oprávnění:

  • Správce Jamf Pro nebo uživatelský účet Jamf Pro s oprávněními pro dodržování předpisů zařízením
  • Správce Intune
  • Globální správce Microsoft Entra

Běžné dotazy k integraci Jamf Pro s Microsoft Entra ID

Proč by integrace s Microsoft Entra ID byla přínosem pro naše zařízení spravovaná pomocí Jamf Pro?

Zásady podmíněného přístupu Microsoft Entra mohou vyžadovat, aby zařízení nejen splňovala standardy dodržování předpisů, ale také se zaregistrovala pomocí Microsoft Entra ID. Organizace se snaží průběžně vylepšovat stav zabezpečení pomocí zásad podmíněného přístupu Microsoft Entra, aby zajistily následující ukázkové scénáře:

  • Zařízení jsou zaregistrovaná pomocí Microsoft Entra ID.
  • Zařízení používají známé důvěryhodné umístění nebo rozsah IP adres.
  • Zařízení splňují standardy dodržování předpisů, aby mohla přistupovat k podnikovým prostředkům pomocí desktopových aplikací Microsoftu 365 a prohlížeče.

V čem se liší integrace Microsoft Entra od metody podmíněného přístupu, kterou Jamf dříve nabízel?

Pro organizace, které využívají Jamf Pro, ale ještě nenavážily připojení k Intune, už předchozí metoda, která využívala konfiguraci na portálu Jamf Pro v cestě globálního > podmíněného přístupu, nemůže přijímat nové konfigurace.>

Nové integrace vyžadují konfigurace v části Nastavení > Globální > dodržování předpisů zařízením a poskytují proces založený na průvodci, který vás provede připojením k Intune. Průvodce poskytuje metodu pro vytvoření požadovaných aplikací registrovaných společností Microsoft Entra. Tyto registrované aplikace nelze v tomto aktuálním návrhu předem vytvořit jako dříve.

Konfigurace správy Jamf Pro

Konfigurace Jamf Pro vyžadují, aby se v konzole Jamf Pro vytvořily následující inteligentní skupiny počítačů a zásady počítače před navázáním připojení k Intune.

Inteligentní skupiny počítačů

Vytvořte dvě inteligentní skupiny počítačů pomocí následujících příkladů:

Použitelné: Vytvořte inteligentní skupinu počítačů obsahující kritéria, která určují zařízení, která potřebují přístup k firemním prostředkům v tenantovi Microsoftu.

Příklad: Přejděte na Jamf Pro>Computers>Inteligentní skupiny počítačů vytvořte novou skupinu:

  • Zobrazovaný název:
    • V tomto článku jsme skupinu pojmenovali Jamf-Intune Applicable Group.
  • Kritéria:
    • Název aplikace, operátor = je, hodnota = CompanyPortal.app

Dodržování předpisů: Vytvořte druhou inteligentní skupinu počítačů obsahující kritéria, která určují, jestli se zařízení považují za vyhovující v rámci Jamf a splňují standardy zabezpečení vaší organizace.

Příklad: Přejděte naSkupiny inteligentních počítačůJamf Pro>Computers> a vytvořte další skupinu:

  • Zobrazovaný název:
    • V tomto článku jsme skupinu pojmenovali Skupina dodržování předpisů Jamf-Intune.
    • Možnost povolitodesílání e-mailových oznámení při změně členství.
  • Kritéria:
    • Poslední aktualizace inventáře, operátor = před x dny, hodnota = 2
    • and - Kritéria: Název aplikace, Operátor = je, Hodnota = CompanyPortal.app
    • a - Trezor souborů 2, operátor = je, hodnota = všechny oddíly šifrované

Zásady počítače

Vytvořte jednu zásadu počítače, která zahrnuje následující konfigurace:

Příklad: Přejděte naZásadypočítačů>Jamf Pro> a vytvořte novou zásadu:

  • Karta Možnosti :

    • Obecné:
      • Zobrazovaný název – pojmenujte zásadu. Můžete se například zaregistrovat pomocí Microsoft Entra ID (Microsoft Entra).
      • Povoleno – zaškrtnutím tohoto políčka zásadu povolíte.
    • Dodržování předpisů zařízením Microsoftu:
      • Povolte registraci počítačů pomocí Microsoft Entra ID.

  • Karta Obor : Nakonfigurujte vybrané cíle nasazení tak, aby se přidalapříslušná skupina inteligentních počítačů vytvořená jako součást konfigurací správy Jamf Pro.

  • Karta Samoobslužná služba :

    • Povolte zpřístupnění zásad v samoobslužné službě.
    • Nastavte zobrazovaný název.
    • Nastavte název tlačítka.
    • Zadejte popis.
    • Povolit Zajistěte, aby si uživatelé zobrazili popis.
    • Podle potřeby povolte volitelné kategorie .

  • Vyberte Uložit.

Aplikace pro Mac

Vytvořte aplikaci v katalogu aplikací Jamf pro Mac Apps pro Portál společnosti Microsoft Intune, která se nasadí do všech zařízení. Použití verze katalogu aplikací Jamf usnadňuje udržování aplikace v aktuálním stavu.

  • Přejděte na Počítače>aplikace pro Mac a vyberte +Nový.
  • Vyberte Katalog aplikací Jamf a pak vyberte Další.
  • Vyhledejte Portál společnosti Microsoft Intune a vyberte přidat vedle aplikace.
  • Nastavte Cílovou skupinu na Všichni spravovaní klienti.
  • Nastavte Metodu distribuce na Instalovat automaticky.
  • Povolte instalaci podpůrných konfiguračních profilů.
  • V pravém horním rohu povolte přepínač Deploy (Nasadit) a pak vyberte Save (Uložit).

Konfigurace pro správu Microsoft Entra

Možnost registrace zařízení může být zablokovaná kvůli konfiguracím zásad podmíněného přístupu, které vaše organizace používá pro zabezpečení podnikových prostředků.

Pomocí následujícího postupu vytvořte skupinu obsahující uživatele zařízení spravovaných pomocí Jamf, která se použije k určení rozsahu konektoru Intune v pozdějších krocích.

  1. Přihlaste se k https://entra.microsoft.com účtu, který má oprávnění k vytváření skupin a k vytváření a úpravám zásad podmíněného přístupu.

  2. Rozbalte Skupiny>Všechny skupiny> a vyberte Nová skupina.

  3. Vytvořte dynamickou skupinu s odpovídajícími pravidly, která zahrne příslušné uživatele, kteří budou registrovat svá zařízení spravovaná pomocí Microsoft Entra ID.

    Tip

    Doporučujeme použít dynamickou skupinu, ale můžete použít i statickou skupinu.

Připojení Jamf Pro k Intune

Jamf pro využívá konektory v Centru pro správu Microsoft Intune, které najdete v tématu >Konektory a tokenypro správu> tenanta. Proces připojení Jamf Pro k Intune začíná na portálu pro správu Jamf Pro a využívá průvodce, který vás vyzve k dalším krokům.

  1. Přihlaste se k portálu pro správu Jamf, například: https://tenantname.jamfcloud.com.

  2. Přejděte na Nastavení > Globální > dodržování předpisů zařízením.

  3. Vyberte Upravit a pak zaškrtnutím políčka povolte platformu macOS.

  4. V rozevíracím seznamu Skupina dodržování předpisů vyberte skupinu inteligentních počítačů, kterou jste vytvořili pro dodržování předpisů v předchozí části Computer-smart-groups v tomto článku.

  5. V rozevíracím seznamu Použitelná skupina vyberte skupinu inteligentních počítačů, kterou jste vytvořili v části Platné v předchozí části Počítačové inteligentní skupiny tohoto článku.

  6. Povolte posuvník v pravém horním rohu a vyberte Uložit.

  7. Zobrazí se dvě výzvy k ověření microsoftu. Každý z nich vyžaduje ověření výzvy globálním správcem Microsoftu 365:

    • První výzva k ověření vytvoří aplikaci Cloud Connector for Device Compliance v Microsoft Entra ID.
    • Druhá výzva k ověření vytvoří aplikaci pro registraci uživatelů pro dodržování předpisů zařízením.

    Obrázek znázorňující výzvy k zadání požadovaných oprávnění v aplikacích registrovaných společností Microsoft Entra

  8. Otevře se nová karta prohlížeče na stránce portálu Jamf s dialogovým oknem Konfigurovat partnera pro dodržování předpisů a pak vyberte tlačítko s popiskem Otevřít Microsoft Endpoint Manager.

    Obrázek tlačítka Jamf Configure Compliance Partner Open Microsoft Endpoint Manager

  9. Na nové kartě prohlížeče se otevře Centrum pro správu Microsoft Intune.

  10. Přejděte k části Správa > klientů – Konektory a tokeny > – Správa dodržování předpisů partnerem.

  11. V horní části stránky Správa dodržování předpisů pro partnery vyberte Přidat partnera pro dodržování předpisů.

  12. V průvodci Vytvořit partnera pro dodržování předpisů :

    1. Pomocí rozevíracího seznamu Partnera pro dodržování předpisů vyberte Dodržování předpisů zařízením Jamf.
    2. V rozevíracím seznamu Platforma vyberte macOS a pak vyberte Další.
    3. V části Přiřazení vyberte Přidat skupiny a pak vyberte skupinu uživatelů Microsoft Entra vytvořenou dříve. NevybírejteMožnost Přidat všechny uživatele , protože tím se připojení znemožní.
    4. Vyberte Další a pak Vytvořit.

  13. V prohlížeči otevřete kartu obsahující portál Jamf v dialogovém okně Konfigurovat partnera pro dodržování předpisů .

  14. Vyberte tlačítko Potvrdit .

    Obrázek tlačítka Jamf Configure Compliance Partner Confirm (Potvrdit konfiguraci partnera pro dodržování předpisů)

  15. Přepněte na kartu prohlížeče zobrazující řídicí panel správy dodržování předpisů partnera Intune a vyberte ikonu Aktualizovat v horní části vedle možnosti Přidat partnera pro dodržování předpisů .

  16. Ověřte, že konektor pro dodržování předpisů zařízení pro macOS Jamf zobrazuje stav partnera Aktivní.

    Obrázek konektorů Intune pro aktivní připojení partnera pro dodržování předpisů zařízením pro macOS.

Dokončení konfigurace správy

Abyste měli jistotu, že uživatelé budou moct zařízení registrovat, musíte mít na paměti zásady podmíněného přístupu Microsoft Entra, které je můžou blokovat. Aplikace Registrace uživatelů pro dodržování předpisů zařízením vytvořená při připojení Jamf Pro k Intune musí být přidána jako vyloučení do všech zásad, které můžou uživatelům bránit v registraci jejich zařízení.

Představte si například zásady podmíněného přístupu Microsoft Entra, které vyžadují vyhovující zařízení:

  • Přiřazení – Přiřaďte tuto zásadu všem uživatelům nebo zahrňte skupiny uživatelů, kteří mají zařízení spravovaná pomocí Jamf.
  • Cílové prostředky – nastavte následující konfigurace:
    • Použít pro všechny cloudové aplikace.
    • Vylučte aplikaci Registrace uživatelů pro aplikaci dodržování předpisů zařízením . Tato aplikace se vytvořila při připojení Jamf Pro k Intune.
  • Podmínky zahrnují následující možnosti:
    • Vyžaduje dodržování předpisů.
    • Vyžaduje zaregistrované zařízení.

Obrázek výjimky zásad podmíněného přístupu Microsoft Entra pro uživatelskou aplikaci

Oznámení koncového uživatele

Doporučujeme poskytnout hojiná oznámení o prostředí koncového uživatele, abyste měli jistotu, že uživatelé zařízení spravovaných pomocí Jamf budou vědět o procesu, o tom, jak funguje, a časové ose, ve které musí dodržovat zásady. Důležitým připomenutím, které by mělo být součástí těchto oznámení, je, že aplikace Jamf Self-Service obsahuje zásady, které používají k registraci zařízení. Uživatelé nesmí k pokusu o registraci použít nasazenou aplikaci Portál společnosti Microsoft. Při použití aplikace Portál společnosti se zobrazí chyba s označením AccountNotOnboarded.

Zařízení spravovaná pomocí platformy Jamf se v seznamu zařízení Intune nezobrazují v následujícím procesu. Jakmile si uživatelé zaregistrují svá zařízení v Microsoft Entra ID, počáteční stav zařízení se zobrazí jako Nevyhovující předpisům. Po aktualizaci inteligentní skupiny počítačů Jamf Pro nakonfigurované pro dodržování předpisů se stav odešle prostřednictvím konektoru Intune do Microsoft Entra ID, aby se aktualizoval stav dodržování předpisů zařízení. Frekvence aktualizací informací o zařízení Microsoft Entra je založená na inteligentní skupině Počítače pro dodržování předpisů v části Frekvence změn Jamf.

Řešení problémů

Problém

Po spuštění zásady z aplikace Jamf Self-Service na zařízení s macOS se podle pokynů zobrazila výzva k ověření od Microsoftu, která funguje normálně. Stav zařízení zobrazeného v Microsoft Entra ID se však neaktualizuje z N/A do stavu Kompatibilní podle očekávání, a to ani po čekání jedné nebo více hodin.

V tomto případě byl záznam zařízení v Microsoft Entra ID neúplný.

Řešení

Nejprve ověřte následující:

  • Zařízení se zobrazí jako člen skupiny inteligentních počítačů Jamf pro dodržování předpisů. Toto členství označuje, že zařízení dodržuje předpisy.
  • Ověřovací uživatel je členem skupiny Microsoft Entra s oborem konektoru Jamf Intune.

Za druhé, Na ovlivněném zařízení:

  • Otevřete aplikaci Terminál a spusťte následující příkaz:

    /usr/local/jamf/bin/jamfaad gatherAADInfo

    • Pokud příkaz nevyvolá výzvu a místo toho vrátí ID Microsoft Entra získané pro uživatele macOS $USER, registrace byla v pořádku.
    • Pokud příkaz vytvoří výzvu k přihlášení a uživatel může dokončit přihlášení bez chyby, může při počátečním pokusu o registraci dojít k chybě uživatele.
    • Pokud příkaz vytvoří výzvu k přihlášení, ale při přihlášení uživatele dojde k chybě, je potřeba další řešení potíží prostřednictvím případu podpory.

Další kroky