Integrieren von Jamf Pro in Microsoft Intune, um die Gerätekonformität an Microsoft Entra ID zu melden
Der Prozess zum Einrichten der Integration zwischen Jamf Pro und Microsoft Intune wird weiterentwickelt. Die Berichterstellung über den Konformitätsstatus von von Jamf verwalteten Geräten ermöglicht es der Jamf Pro-Umgebung jetzt, den Status der Konformität mit von Jamf verwalteten Richtlinien zu ermitteln und den Status der Gerätekonformität über einen Connector in Intune an Microsoft Entra ID zu melden. Sobald der Konformitätsstatus für geräte, die von Jamf verwaltet werden, an die Microsoft Entra ID gemeldet wird, können diese Geräte die Zero-Trust Prinzipien erfüllen, die die Richtlinien für bedingten Zugriff von Microsoft Entra festlegen.
Wichtig
Jamf macOS-Geräteunterstützung für bedingten Zugriff ist veraltet.
Ab dem 31. Januar 2025 wird die Plattform, auf der das Feature für bedingten Zugriff von Jamf Pro basiert, nicht mehr unterstützt.
Wenn Sie die Integration des bedingten Zugriffs von Jamf Pro für macOS-Geräte verwenden, befolgen Sie die dokumentierten Richtlinien von Jamf, um Ihre Geräte zur Integration der Gerätekonformität zu migrieren. Informationen finden Sie unter Migrieren von bedingtem macOS-Zugriff zu macOS-Gerätekonformität – Jamf Pro-Dokumentation.
Wenn Sie Hilfe benötigen, wenden Sie sich an Jamf Customer Success. Weitere Informationen finden Sie im Blogbeitrag unter https://aka.ms/Intune/Jamf-Device-Compliance.
Dieser Artikel kann Ihnen bei den folgenden Aufgaben helfen:
- Konfigurieren Sie die erforderlichen Komponenten und Konfigurationen in Jamf Pro.
- Konfigurieren von Jamf Pro zur Bereitstellung der App „Intune-Unternehmensportal“ auf Geräten, die Sie mit Jamf verwalten.
- Konfigurieren Sie eine Richtlinie für die Bereitstellung für Benutzer über die Jamf-Self-Service-Portal-App, um Geräte mit Microsoft Entra ID zu registrieren.
- Konfigurieren Sie den Intune-Connector.
- Bereiten Sie erforderliche Microsoft Entra ID-Komponenten vor.
Kontoberechtigungen
Um die Verfahren in diesem Artikel ausführen zu können, benötigen Sie Folgendes:
Ein Jamf Pro-Benutzerkonto mit Gerätekonformitätsberechtigungen oder ein Jamf Pro-Administratorkonto.
Ein Microsoft Entra-Konto, dem eine Rolle mit ausreichenden Berechtigungen zugewiesen wurde. Zu den verfügbaren integrierten Rollen gehören:
Intune-Administrator: Diese Rolle kann alle Schritte in diesem Artikel ausführen.
Tipp
Der Intune-Administrator ist eine Rolle mit hohen Berechtigungen mit Vollzugriff in Microsoft Intune. Wenn Sie Rollen an andere Konten delegieren, sollten Sie erwägen, eine integrierte Rolle mit weniger Berechtigungen zuzuweisen.
Gruppenadministrator: Diese Rolle kann die erforderlichen Gerätegruppen erstellen.
Administrator für bedingten Zugriff: Diese Rolle kann die Microsoft Entra-Richtlinien für bedingten Zugriff erstellen und aktualisieren, die die Registrierung von Benutzern und Geräten ermöglichen.
Anwendungsadministrator: Mit dieser Rolle können Apps erstellt werden, die mit JAMF über den Gerätekompatibilitätsstatus kommunizieren.
Weitere Informationen zu diesen Rollen finden Sie unter Integrierte Microsoft Entra-Rollen.
Häufig gestellte Fragen zur Jamf Pro-Integration mit Microsoft Entra ID
Warum würde die Integration mit Microsoft Entra ID unseren verwalteten Jamf Pro-Geräten zugute kommen?
Microsoft Entra-Richtlinien für bedingten Zugriff können vorschreiben, dass Geräte nicht nur Die Compliancestandards erfüllen, sondern auch die Registrierung bei Microsoft Entra ID vorschreiben. Organisationen versuchen, ihren Sicherheitsstatus kontinuierlich zu verbessern, indem sie Microsoft Entra-Richtlinien für bedingten Zugriff verwenden, um die folgenden Beispielszenarien sicherzustellen:
- Geräte werden mit der Microsoft Entra-ID registriert.
- Geräte verwenden einen bekannten vertrauenswürdigen Standort oder IP-Adressbereich.
- Geräte erfüllen die Compliancestandards, um über Microsoft 365-Desktopanwendungen und den Browser auf Unternehmensressourcen zuzugreifen.
Was unterscheidet sich bei der Microsoft Entra-Integration und der zuvor von Jamf angebotenen Methode für bedingten Zugriff?
Für Organisationen, die Jamf Pro verwenden, aber noch keine Verbindung mit Intune hergestellt haben, kann die vorherige Methode, die die Konfiguration im Pfad "Einstellungen > Globaler > bedingter Zugriff " des Jamf Pro-Portals verwendet hat, keine neuen Konfigurationen mehr akzeptieren.
Neue Integrationen erfordern Konfigurationen unter Einstellungen > Globale > Gerätekonformität und stellen einen assistentenbasierten Prozess bereit, der Sie durch die Verbindung mit Intune führt. Der Assistent stellt eine Methode zum Erstellen der erforderlichen bei Microsoft Entra registrierten Anwendungen bereit. Diese registrierten Anwendungen können in diesem aktuellen Design nicht wie zuvor vorkonfiguriert werden.
Administrative Jamf Pro-Konfigurationen
Jamf Pro-Konfigurationen erfordern, dass die folgenden intelligenten Computergruppen und die Computerrichtlinie in der Jamf Pro-Konsole erstellt werden, bevor die Verbindung mit Intune hergestellt wird.
Intelligente Computergruppen
Erstellen Sie zwei intelligente Computergruppen mithilfe der folgenden Beispiele:
Anwendbar: Erstellen Sie eine intelligente Computergruppe mit Kriterien, die die Geräte bestimmt, die Zugriff auf Unternehmensressourcen im Microsoft-Mandanten benötigen.
Beispiel: Wechseln Sie zu Jamf Pro>Computers>Smart Computer Gruppen erstellen sie eine neue Gruppe:
- Anzeigename:
- In diesem Artikel haben wir die Gruppe Jamf-Intune Anwendbare Gruppe benannt.
- Kriterien:
- Anwendungstitel, Operator = is, Wert = CompanyPortal.app
Compliance: Erstellen Sie eine zweite intelligente Computergruppe mit Kriterien, die bestimmt, ob Geräte in Jamf als konform eingestuft werden und die Sicherheitsstandards Ihrer Organisation erfüllen.
Beispiel: Wechseln Sie zu Jamf Pro>Computers>Smart Computer-Gruppen, und erstellen Sie eine weitere Gruppe:
- Anzeigename:
- In diesem Artikel haben wir die Gruppe Jamf-Intune Compliance Group benannt.
- Option zum Aktivieren vonE-Mail-Benachrichtigungen bei Mitgliedschaftsänderung senden.
- Kriterien:
- Letzte Bestandsaktualisierung, Operator = Weniger als x Tage zurück, Wert = 2
- und - Kriterien: Anwendungstitel, Operator = is, Wert = CompanyPortal.app
- und - File Vault 2, Operator = is, Value = All Partitions Encrypted
Computerrichtlinie
Erstellen Sie eine Computerrichtlinie, die die folgenden Konfigurationen enthält:
Beispiel: Wechseln Sie zu JamfPro-Computerrichtlinie>>, und erstellen Sie eine neue Richtlinie:
Registerkarte "Optionen":
- Allgemein:
- Anzeigename: Geben Sie der Richtlinie einen Namen. Beispiel: Registrieren mit Microsoft Entra ID(Microsoft Entra).
- Aktiviert: Aktivieren Sie dieses Kontrollkästchen, um die Richtlinie zu aktivieren.
- Microsoft-Gerätekonformität:
- Aktivieren Sie Computer mit Microsoft Entra-ID registrieren.
Registerkarte Bereich: Konfigurieren Sie ausgewählte Bereitstellungsziele, um die intelligente Gruppe Anwendbarer Computer hinzuzufügen, die als Teil der administrativen Konfigurationen von Jamf Pro erstellt wurde.
Registerkarte "Self Service ":
- Aktivieren Sie Die Richtlinie in Self Service verfügbar machen.
- Legen Sie einen Anzeigenamen fest.
- Legen Sie einen Schaltflächennamen fest.
- Geben Sie eine Beschreibung an.
- Aktivieren Sie Sicherstellen, dass Benutzer die Beschreibung anzeigen.
- Aktivieren Sie optionale Kategorien nach Bedarf.
Klicken Sie auf Speichern.
Mac-App
Erstellen Sie eine App im Jamf-App-Katalog für Mac-Apps für das Microsoft Intune-Unternehmensportal, das auf allen Geräten bereitgestellt wird. Die Verwendung der Jamf-App-Katalogversion erleichtert es Ihnen, die Anwendung auf dem neuesten Stand zu halten.
- Wechseln Sie zu Computer>Mac-Apps, und wählen Sie +Neu aus.
- Wählen Sie Jamf-App-Katalog und dann Weiter aus.
- Suchen Sie nach Microsoft Intune-Unternehmensportal, und wählen Sie neben der Anwendung hinzufügen aus.
- Legen Sie Zielgruppe auf Alle verwalteten Clients fest.
- Legen Sie die Verteilungsmethode auf Automatisch installieren fest.
- Aktivieren Sie Unterstützende Konfigurationsprofile installieren.
- Aktivieren Sie oben rechts den Schalter Bereitstellen , und wählen Sie dann Speichern aus.
Administrative Microsoft Entra-Konfigurationen
Die Möglichkeit zum Registrieren von Geräten kann aufgrund der Richtlinienkonfigurationen für bedingten Zugriff blockiert werden, über die Ihre Organisation verfügt, um Unternehmensressourcen zu schützen.
Verwenden Sie folgendes, um eine Gruppe zu erstellen, die Benutzer von von Jamf verwalteten Geräten enthält, die in späteren Schritten zum Festlegen des Bereichs für den Intune-Connector verwendet wird.
https://entra.microsoft.com Melden Sie sich bei mit einem Konto an, das über Berechtigungen zum Erstellen von Gruppen und zum Erstellen und Bearbeiten einer Richtlinie für bedingten Zugriff verfügt.
Erweitern Sie Gruppen>Alle Gruppen> , und wählen Sie Neue Gruppe aus.
Erstellen Sie eine dynamische Gruppe mit geeigneten Regeln, um die entsprechenden Benutzer einzubeziehen, die ihre von Jamf verwalteten Geräte mit Microsoft Entra ID registrieren.
Tipp
Es wird empfohlen, eine dynamische Gruppe zu verwenden, aber Sie können auch eine statische Gruppe verwenden.
Verbinden von Jamf Pro mit Intune
Jamf Pro verwendet Connectors im Microsoft Intune Admin Center unter >Connectors und Token für die Mandantenverwaltung>. Der Prozess zum Verbinden von Jamf Pro mit Intune beginnt im Jamf Pro-Verwaltungsportal und verwendet einen Assistenten, der zur nächsten Schritte auffordert.
Melden Sie sich beim Jamf-Verwaltungsportal an, Beispiel: https://tenantname.jamfcloud.com.
Fahren Sie mit Einstellungen > Globale > Gerätekonformität fort.
Wählen Sie Bearbeiten aus, und aktivieren Sie dann die Plattform macOS, indem Sie das Kontrollkästchen aktivieren.
Wählen Sie in der Dropdownliste Compliancegruppe die intelligente Computergruppe aus, die Sie im vorherigen Abschnitt Computer-smart-groups dieses Artikels für Compliance erstellt haben.
Wählen Sie in der Dropdownliste Anwendbare Gruppe die intelligente Computergruppe aus, die Sie im vorherigen Abschnitt Computer-smart-groups dieses Artikels für Anwendbar erstellt haben.
Aktivieren Sie den Schieberegler oben rechts, und wählen Sie Speichern aus.
Anschließend werden zwei Microsoft-Authentifizierungsaufforderungen angezeigt. Jeder erfordert einen globalen Microsoft 365-Administrator, um die Eingabeaufforderung zu authentifizieren:
- Die erste Authentifizierungsaufforderung erstellt die Anwendung Cloud Connector for Device Compliance in Microsoft Entra ID.
- Die zweite Authentifizierungsaufforderung erstellt die Benutzerregistrierungs-App für Gerätekonformität.
Eine neue Browserregisterkarte wird mit einer Jamf-Portalseite mit dem Dialogfeld Compliancepartner konfigurieren geöffnet, und wählen Sie dann die Schaltfläche Microsoft Endpoint Manager öffnen aus.
Eine neue Browserregisterkarte öffnet das Microsoft Intune Admin Center.
Fahren Sie mit Mandantenverwaltungsconnectors > und Token > für die Partnerkonformitätsverwaltung fort.
Wählen Sie oben auf der Seite Partner compliance management die Option Add compliance partner (Compliancepartner hinzufügen) aus.
Führen Sie im Assistenten zum Erstellen von Compliancepartnern folgendes aus:
- Wählen Sie in der Dropdownliste Compliancepartnerjamf Device Compliance aus.
- Verwenden Sie die Dropdownliste Plattform , um macOS auszuwählen, und wählen Sie dann Weiter aus.
- Wählen Sie unter Zuweisungen die Option Gruppen hinzufügen und dann die zuvor erstellte Microsoft Entra-Benutzergruppe aus. Wählen Sie nichtAlle Benutzer hinzufügen aus, da dies die Verbindung verhindert.
- Wählen Sie Weiter und dann Erstellen aus.
Öffnen Sie in Ihrem Browser die Registerkarte, die das Jamf-Portal mit dem Dialogfeld Compliancepartner konfigurieren enthält.
Wählen Sie die Schaltfläche Bestätigen aus.
Wechseln Sie zur Browserregisterkarte mit dem Dashboard für die Intune-Partnerkonformitätsverwaltung, und wählen Sie oben neben der Option Compliancepartner hinzufügen das Symbol Aktualisieren aus.
Vergewissern Sie sich, dass der macOS Jamf-Gerätekonformitätsconnector den Partnerstatus Aktiv anzeigt.
Abschließen der administrativen Konfiguration
Um sicherzustellen, dass Benutzer Geräte registrieren können, müssen Sie die Microsoft Entra-Richtlinien für bedingten Zugriff kennen, die sie möglicherweise blockieren. Die Benutzerregistrierungs-App für Gerätekonformität , die beim Verbinden von Jamf Pro mit Intune erstellt wurde, muss als Ausschluss in jeder Richtlinie hinzugefügt werden, die Benutzer daran hindern kann, ihre Geräte zu registrieren.
Betrachten Sie beispielsweise eine Microsoft Entra-Richtlinie für bedingten Zugriff, die kompatible Geräte erfordert:
- Zuweisungen : Weisen Sie diese Richtlinie allen Benutzern oder Gruppen von Benutzern zu, die über von Jamf verwaltete Geräte verfügen.
- Zielressourcen : Legen Sie die folgenden Konfigurationen fest:
- Gilt für alle Cloud-Apps.
- Schließen Sie die Benutzerregistrierungs-App für die Gerätekonformitäts-App aus. Diese App wurde erstellt, als Sie Jamf Pro mit Intune verbunden haben.
- Bedingungen umfassen die folgenden Optionen:
- Erfordert Konformität
- Erfordert ein registriertes Gerät
Endbenutzerbenachrichtigungen
Es wird empfohlen, dass Sie die Endbenutzererfahrung ausreichend benachrichtigungen, um sicherzustellen, dass Ihre Benutzer von jamf verwalteten Geräten den Prozess, seine Funktionsweise und einen Zeitplan kennen, in dem sie die Richtlinie einhalten müssen. Eine wichtige Erinnerung, die in diesen Benachrichtigungen enthalten sein sollte, ist, dass die Jamf-Self-Service-App die Richtlinie enthält, die sie zum Registrieren ihres Geräts verwenden. Benutzer dürfen die bereitgestellte Microsoft-Unternehmensportal-App nicht verwenden, um zu versuchen, sich zu registrieren. Die Verwendung der Unternehmensportal-App führt zu einem Fehler, der auf AccountNotOnboarded hinweist.
Geräte, die mit der Jamf-Plattform verwaltet werden, werden im folgenden Prozess nicht in der Geräteliste von Intune angezeigt. Nachdem Benutzer ihre Geräte in der Microsoft Entra-ID registriert haben, wird der anfängliche Zustand des Geräts als Nicht konform angezeigt. Sobald die für Compliance konfigurierte intelligente Jamf Pro-Computergruppe aktualisiert wurde, wird der Status über den Intune-Connector an Microsoft Entra ID gesendet, um den Konformitätsstatus der Geräte zu aktualisieren. Die Häufigkeit der Updates für die Microsoft Entra-Geräteinformationen basiert auf der intelligenten Gruppe Compliancecomputer in Jamf Häufigkeit der Änderungen.
Problembehandlung
Problem
Nachdem die Richtlinie wie angewiesen über die Jamf Self-Service App auf dem macOS-Gerät gestartet wurde, schien die Microsoft-Authentifizierungsaufforderung normal zu funktionieren. Der Status des Geräts, das in der Microsoft Entra-ID angezeigt wird, wurde jedoch nicht wie erwartet von "N/V " auf den Status "Konform " aktualisiert, auch nachdem eine Stunde oder mehr gewartet wurde.
In diesem Fall war der Gerätedatensatz in Microsoft Entra ID unvollständig.
Lösung
Überprüfen Sie zunächst Folgendes:
- Das Gerät wird als Mitglied der intelligenten Jamf-Computergruppe für Compliance angezeigt. Diese Mitgliedschaft gibt an, dass das Gerät kompatibel ist.
- Der authentifizierende Benutzer ist Mitglied der Microsoft Entra-Gruppe, die auf den Jamf Intune-Connector ausgerichtet ist.
Zweitens: Auf dem betroffenen Gerät:
Öffnen Sie die Terminalanwendung, und führen Sie den folgenden Befehl aus:
/usr/local/jamf/bin/jamfaad gatherAADInfo
- Wenn der Befehl nicht zu einer Eingabeaufforderung führt und stattdessen die für macOS-Benutzer $USER abgerufene Microsoft Entra-ID zurückgibt, war die Registrierung gut.
- Wenn der Befehl eine Anmeldeaufforderung erstellt und der Benutzer die Anmeldung ohne Fehler abschließen kann, ist möglicherweise während des ersten Registrierungsversuchs ein Benutzerfehler aufgetreten.
- Wenn der Befehl eine Anmeldeaufforderung erstellt, aber ein Fehler auftritt, wenn sich der Benutzer anmeldet, ist eine weitere Problembehandlung über eine Supportanfrage erforderlich.