Erzwingen der Compliance von Macs mit Jamf Pro

Wichtig

Jamf macOS-Geräteunterstützung für bedingten Zugriff ist veraltet.

Ab dem 1. September 2024 wird die Plattform, auf der das Feature für bedingten Zugriff von Jamf Pro basiert, nicht mehr unterstützt.

Wenn Sie die Integration des bedingten Zugriffs von Jamf Pro für macOS-Geräte verwenden, befolgen Sie die dokumentierten Richtlinien von Jamf, um Ihre Geräte zur Integration der Gerätekonformität zu migrieren. Informationen finden Sie unter Migrieren von bedingtem macOS-Zugriff zu macOS-Gerätekonformität – Jamf Pro-Dokumentation.

Wenn Sie Hilfe benötigen, wenden Sie sich an Jamf Customer Success. Weitere Informationen finden Sie im Blogbeitrag unter https://aka.ms/Intune/Jamf-Device-Compliance.

Tipp

Anleitungen zum Integrieren von Jamf Pro in Intune und Microsoft Entra ID, einschließlich der Konfiguration von Jamf Pro für die Bereitstellung der Intune-Unternehmensportal-App auf Geräten, die Sie mit Jamf Pro verwalten, finden Sie unter Integrieren von Jamf Pro in Intune, um Konformität an Microsoft Entra ID zu melden.

Nachdem Sie Jamf Pro in Intune integriert haben, konfigurieren Sie Intune-Konformitätsrichtlinien und Microsoft Entra Richtlinien für bedingten Zugriff, um die Konformität von macOS-Geräten mit den Anforderungen Ihrer Organisation zu erzwingen.

Dieser Artikel unterstützt Sie bei den folgenden Aufgaben:

• Erstellen von Richtlinien für bedingten Zugriff.
• Konfigurieren von Jamf Pro zur Bereitstellung der App „Intune-Unternehmensportal“ auf Geräten, die Sie mit Jamf verwalten.
• Konfigurieren Sie Geräte so, dass sie sich bei Microsoft Entra ID registrieren, wenn sich der Gerätebenutzer bei der Unternehmensportal App anmeldet, die er in der Jamf Self Service-App startet. Die Geräteregistrierung richtet eine Identität in Microsoft Entra ID ein, mit der das Gerät von Richtlinien für bedingten Zugriff für den Zugriff auf Unternehmensressourcen ausgewertet werden kann.

Die Verfahren in diesem Artikel erfordern Zugriff auf die Intune- und Jamf Pro-Konsole. Intune unterstützt zwei Methoden zur Integration von Jamf Pro, die Sie getrennt von den Verfahren in diesem Artikel konfigurieren:

• Empfohlen - Integrieren von Jamf Pro in Intune mit dem Jamf-Cloudconnector
• Manuelles Konfigurieren der Integration von Jamf Pro in Intune

Nachdem die Integration konfiguriert wurde, erfahren die Gerätebenutzer erstmals durch eine Mitteilung Ihrer IT-Abteilung zur Vorgehensweise bei der Registrierung eines Geräts etwas über die Jamf Pro- und Intune-Integration oder indem sie die Intune-Unternehmensportal-App entdecken, die Sie über Jamf Pro Self Service bereitstellen. Nachdem die Geräteregistrierung abgeschlossen ist, werden Inventardaten, die von JAMF pro für dieses Gerät erfasst wurden, mit Intune geteilt. Informationen werden nur für die Mac-Geräte geteilt, deren Registrierung abgeschlossen wurde.

Einrichten von Gerätekonformitätsrichtlinien in Intune

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wechseln Sie zuGerätekonformität>. Wenn Sie eine zuvor erstellte Richtlinie verwenden, wählen Sie diese Richtlinie aus, und fahren Sie dann mit dem nächsten Schritt dieses Verfahrens fort. Wählen Sie Richtlinie erstellen aus, um eine neue Richtlinie zu erstellen, und geben Sie dann Details für eine Richtlinie mit macOS als Plattform an. Konfigurieren Sie Einstellungen und Aktionen bei Inkompatibilität, um Ihre unternehmensinternen Anforderungen zu erfüllen, und klicken Sie dann zum Speichern der Richtlinie auf Erstellen.

3. Wählen Sie Eigenschaften aus.

4. Wechseln Sie zu Aufgaben>Bearbeiten. Verwenden Sie die verfügbaren Optionen, um zu konfigurieren, welche Microsoft Entra Benutzer und Sicherheitsgruppen diese Richtlinie erhalten. Die Jamf-Integration in Intune unterstützt keine Konformitätsrichtlinien für Gerätegruppen.

   Hinweis

   Die Jamf-Integration in Intune unterstützt nur Microsoft Entra Benutzergruppen. Gerätekonformitätsrichtlinien, die auf Gerätegruppen ausgerichtet sind, werden nicht angewendet.

5. Wenn Sie auf Speichern klicken, wird die Richtlinie für die Benutzer bereitgestellt.

Die von Ihnen bereitgestellten Richtlinien gelten für die Geräte, die von den zugewiesenen Benutzern verwendet werden. Diese Geräte werden auf Konformität geprüft. Kompatible Geräte werden für die Einstellung "Gerät muss als konform gekennzeichnet sein müssen" in Microsoft Entra ID als konform gekennzeichnet.

Hinweis

Intune erfordert, dass die vollständige Datenträgerverschlüsselung konform ist.

Bereitstellen der Unternehmensportal-App für macOS in Jamf Pro

Erstellen Sie in Jamf Pro eine Richtlinie für die Bereitstellung des Intune-Unternehmensportals. Diese Richtlinie stellt die Unternehmensportal-App so bereit, dass sie in Jamf Self Service verfügbar ist. Erstellen Sie diese Richtlinie, bevor Sie eine Richtlinie in Jamf Pro erstellen, damit Benutzer Geräte bei Microsoft Entra ID registrieren können.

Um das folgende Verfahren abzuschließen, benötigen Sie Zugriff auf ein macOS-Gerät und das Jamf Pro-Portal.

So stellen Sie die Unternehmensportal-App bereit

1. Laden Sie auf einem macOS-Gerät die aktuelle Version der Unternehmensportal-App für macOS herunter, ohne sie zu installieren. Sie benötigen nur eine Kopie der App, damit Sie die App in Jamf Pro hochladen können.

2. Öffnen Sie Jamf Pro, und navigieren Sie zu Computer management>Packages (Computerverwaltung -> Pakete).

3. Erstellen Sie in der Unternehmensportal-App für macOS ein neues Paket, und klicken Sie auf Save (Speichern).

4. Öffnen Sie Computer>Richtlinien, und wählen Sie dann Neu aus.

5. Verwenden Sie die Nutzlast Allgemein, um Einstellungen für die Richtlinie zu konfigurieren. Zu diesen Einstellungen müssen zählen:

   • Trigger: Wählen Sie Enrollment Complete (Registrierung abgeschlossen) und Recurring Check-in (Wiederholtes Einchecken) aus.
   • Häufigkeit der Ausführung: Wählen Sie Einmal pro Computer aus.

6. Wählen Sie die Nutzlast Packages (Pakete) und dann Configure (Konfigurieren) aus.

7. Wählen Sie Add (Hinzufügen) aus, um das Paket mit der Unternehmensportal-App auszuwählen.

8. Wählen Sie im Popupmenü AktionInstallieren aus.

9. Konfigurieren Sie die Einstellungen für das Paket.

10. Klicken Sie auf die Registerkarte Scope (Bereich), um anzugeben, auf welchen Computern die Unternehmensportal-App installiert werden soll. Wählen Sie Speichern. Die Richtlinie wird auf den betreffenden Geräten ausgeführt, wenn der ausgewählte Trigger das nächste Mal auf dem Computer auftritt und die Kriterien in der Nutzlast General (Allgemein) erfüllt sind.

Erstellen Sie eine Richtlinie in Jamf Pro, damit Benutzer ihre Geräte bei Microsoft Entra ID

Nachdem Sie die Unternehmensportal für macOS über Jamf Pro Self-Service bereitgestellt haben, können Sie die Jamf Pro-Richtlinie erstellen, die das Gerät eines Benutzers bei Microsoft Entra ID registriert.

Bei der Geräteregistrierung muss ein Gerätebenutzer die Intune-Unternehmensportal-App im Jamf Self Service manuell auswählen. Es wird empfohlen, Sie kontaktieren Ihre Endbenutzer per E-Mail, Jamf Pro-Benachrichtigungen oder einer anderen in Ihrer Organisation verwendeten Methode, um sie anzuweisen, diese Aktion zum Registrieren ihrer Geräte durchzuführen.

Warnung

Wenn Sie die Unternehmensportal-App manuell starten (z. B. in den Ordnern „Anwendungen“ oder „Downloads“), wird das Gerät nicht registriert. Wenn ein Gerätebenutzer die Unternehmensportal-App manuell startet, wird die Warnung AccountNotOnboarded angezeigt.

So erstellen Sie die Registrierungsrichtlinie

1. Navigieren Sie in Jamf Pro zu Computers>Policies (Computer -> Richtlinien), und erstellen Sie eine neue Richtlinie für die Geräteregistrierung.

2. Konfigurieren Sie die Nutzlast Microsoft Intune-Integration, einschließlich Trigger und Ausführungshäufigkeit.

3. Klicken Sie auf die Registerkarte Scope (Bereich), und beschränken Sie die Richtlinie auf alle Zielgeräte.

4. Klicken Sie auf die Registerkarte Self Service, um die Richtlinie in Jamf Self Service verfügbar zu machen. Nehmen Sie die Richtlinie in die Kategorie Gerätekonformität auf. Wählen Sie Speichern.

Überprüfen der Integration von Intune und Jamf

Bestätigen Sie mithilfe der Jamf Pro-Konsole, dass Jamf Pro und Microsoft Intune erfolgreich miteinander kommunizieren.

• Wechseln Sie in Jamf Pro zu Settings>Global Management>Microsoft Intune Integration (Einstellungen -> Globale Verwaltung -> Microsoft Intune-Integration), und klicken Sie dann auf Test.

In der Konsole wird eine Meldung zum Erfolg oder Misserfolg der Verbindung angezeigt. Sollte der Verbindungstest in der Jamf Pro-Konsole fehlschlagen, überprüfen Sie die Jamf-Konfiguration.

Entfernen eines mit Jamf verwalteten Gerätes aus Intune

Um ein von Jamf verwaltetes Gerät zu entfernen, öffnen Sie das Microsoft Intune Admin Center, wählen Sie Geräte>Alle Geräte aus, wählen Sie das Gerät und dann Löschen aus. Die Massenlöschung von Geräten kann aktiviert werden, indem Sie mehrere Geräte auswählen und auf Löschen klicken.

Informationen zum Entfernen eines von Jamf verwalteten Geräts finden Sie in der Jamf Pro-Dokumentation. Sie können auch ein Supportticket bei Jamf-Support öffnen, um weitere Hilfe zu erhalten.

Nächste Schritte

• Bedingter Zugriff in Microsoft Entra ID
• Erste Schritte mit bedingtem Zugriff in Microsoft Entra ID