A Jamf Pro manuális integrálása az Intune-nal a megfelelőség érdekében

Fontos

A Jamf macOS-eszköztámogatása a feltételes hozzáféréshez elavult.

2024. szeptember 1-től a Jamf Pro feltételes hozzáférési funkciójára épülő platform már nem támogatott.

Ha a Jamf Pro feltételes hozzáférési integrációját macOS-eszközökhöz használja, kövesse a Jamf dokumentált irányelveit az eszközök eszközmegfelelőségi integrációjába való migráláshoz a Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation (Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation) című témakörben.

Ha segítségre van szüksége, forduljon a Jamf-ügyfél sikeréhez. További információt a következő blogbejegyzésben https://aka.ms/Intune/Jamf-Device-Compliancetalál: .

Tipp

Ha útmutatást szeretne a Jamf Pro integrálásához az Intune-nal és Microsoft Entra-azonosítóval, beleértve a Jamf Pro konfigurálását a Intune Céges portál alkalmazás jamf pro-val felügyelt eszközökre való üzembe helyezéséhez, olvassa el a Jamf Pro integrálása az Intune-nal című témakört, amely Microsoft Entra ID-nak való megfelelőséget jelenti.

Microsoft Intune támogatja a Jamf Pro-telepítés integrálását, hogy eszközmegfelelési és feltételes hozzáférési szabályzatokat hozzon létre a macOS-eszközökön. Az integráció révén megkövetelheti, hogy a Jamf Pro által felügyelt macOS-eszközök megfeleljenek az Intune eszközmegfelelési követelményeinek, mielőtt ezek az eszközök hozzáférhetnek a szervezet erőforrásaihoz. Az erőforrás-hozzáférést a Microsoft Entra feltételes hozzáférési szabályzatai ugyanúgy szabályozzák, mint az Intune-nal felügyelt eszközök esetében.

Amikor a Jamf Pro integrálódik az Intune-nal, szinkronizálhatja a macOS-eszközök leltáradatait az Intune-nal Microsoft Entra id-val. Az Intune megfelelőségi motorja ezután elemzi a leltáradatokat egy jelentés létrehozásához. Az Intune elemzése kombinálva van az eszközfelhasználó Microsoft Entra identitásával kapcsolatos intelligenciával, hogy a feltételes hozzáférésen keresztül kényszerítse a kényszerítést. A feltételes hozzáférési szabályzatnak megfelelő eszközök hozzáférhetnek a védett vállalati erőforrásokhoz.

Ez a cikk segítséget nyújt a Jamf Pro intune-nal való manuális integrálásában.

Tipp

A Jamf Pro integrálása az Intune-nal való manuális konfigurálása helyett javasoljuk, hogy konfigurálja és használja a Jamf Cloud Connectort Microsoft Intune. A Cloud Connector automatizálja az integráció manuális konfigurálásához szükséges számos lépést.

Az integráció konfigurálása után a Jamf és az Intune konfigurálásával kikényszeríti a feltételes hozzáférésnek való megfelelőséget a Jamf által felügyelt eszközökön.

Előfeltételek

Termékek és szolgáltatások

A feltételes hozzáférés Jamf Pro-val való konfigurálásához a következőkre van szüksége:

• Jamf Pro 10.1.0 vagy újabb
• Microsoft Intune és Microsoft Entra azonosítójú P1-licencek (ajánlott Microsoft Enterprise Mobility + Security licenccsomag)
• Globális rendszergazdai szerepkör Microsoft Entra-azonosítóban.
• Microsoft Intune Integrációs jogosultságokkal rendelkező felhasználó a Jamf Pro-ban
• Céges portál alkalmazás macOS-hez
• macOS-eszközök OS X 10.12 Yosemite vagy újabb verzióval

Hálózati portok

A jamf és az Intune megfelelő integrálásához a következő portoknak kell elérhetőnek lenniük:

• Intune: 443-as port
• Apple: 2195-ös, 2196-os és 5223-os port (leküldéses értesítések az Intune-ba)
• Jamf: 80-at és 5223-at

Ahhoz, hogy az APNS megfelelően működjön a hálózaton, engedélyeznie kell a kimenő kapcsolatokat, és átirányítania a következőről:

• az Apple 17.0.0.0/8 blokkja az 5223-at és a 443-at az összes ügyfélhálózatról.
• 2195-ös és 2196-os portot a Jamf Pro-kiszolgálókról.

Ezekről a portokról a következő cikkekben talál további információt:

• Az Intune hálózati konfigurációs követelményei és sávszélessége.
• A Jamf Pro által a jamf.com használt hálózati portok .
• Az Apple szoftvertermékek által a support.apple.com használt TCP- és UDP-portok

Az Intune csatlakoztatása a Jamf Pro-hoz

Az Intune és a Jamf Pro összekapcsolása:

1. Hozzon létre egy új alkalmazást az Azure-ban.
2. Az Intune és a Jamf Pro integrációjának engedélyezése.
3. Feltételes hozzáférés konfigurálása a Jamf Pro-ban.

Alkalmazás létrehozása Microsoft Entra-azonosítóban

1. A Azure Portal lépjen Microsoft Entra Azonosító>alkalmazásregisztrációk elemre, majd válassza az Új regisztráció lehetőséget.

2. Az Alkalmazás regisztrálása lapon adja meg a következő adatokat:

   • A Név szakaszban adjon meg egy kifejező alkalmazásnevet, például Jamf feltételes hozzáférés.
   • A Támogatott fióktípusok szakaszban válassza a Bármely szervezeti címtárban található Fiókok lehetőséget.
   • Az Átirányítási URI beállításnál hagyja meg a Web alapértelmezett értékét, majd adja meg a Jamf Pro-példány URL-címét.

3. Az alkalmazás létrehozásához és az új alkalmazás Áttekintés lapjának megnyitásához válassza a Regisztráció lehetőséget.

4. Az alkalmazás Áttekintés lapján másolja ki az Alkalmazás (ügyfél) azonosító értékét, és jegyezze fel későbbi használatra. Erre az értékre szüksége lesz a későbbi eljárásokban.

5. A Kezelés területen válassza a Tanúsítványok & titkos kulcsok lehetőséget. Válassza az Új titkos ügyfélkód gombot. Adjon meg egy értéket a Leírás mezőben, válassza a Lejárati idő beállítás bármelyik lehetőségét, majd válassza a Hozzáadás lehetőséget.

   Fontos

   A lap elhagyása előtt másolja ki az ügyfél titkos kódjának értékét, és jegyezze fel későbbi használatra. Erre az értékre szüksége lesz a későbbi eljárásokban. Ez az érték nem érhető el újra az alkalmazásregisztráció újbóli létrehozása nélkül.

6. A Kezelés területen válassza az API-engedélyek lehetőséget.

7. Az API-engedélyek lapon távolítsa el az összes engedélyt az alkalmazásból az egyes meglévő engedélyek melletti ... ikonra kattintva. Ez az eltávolítás kötelező; az integráció nem fog sikerülni, ha váratlan extra engedélyek vannak ebben az alkalmazásregisztrációban.

8. Ezután adjon hozzá engedélyeket az eszközattribútumok frissítéséhez. Az API-engedélyek lap bal felső részén válassza az Engedély hozzáadása új engedély hozzáadásához lehetőséget.

9. Az API-engedélyek kérése lapon válassza az Intune, majd az Alkalmazásengedélyek lehetőséget. Jelölje be a update_device_attributes jelölőnégyzetét, és mentse az új engedélyt.

10. A Microsoft Graph területen válassza az Alkalmazásengedélyek, majd az Application.Read.All elemet.

11. Válassza az Engedélyek hozzáadása lehetőséget.

12. Lépjen a szervezet által használt API-khoz. Keresse meg és válassza a Windows Azure Active Directory elemet. Válassza az Alkalmazásengedélyek, majd az Application.Read.All lehetőséget.

13. Válassza az Engedélyek hozzáadása lehetőséget.

14. Ezután adja meg a rendszergazdai hozzájárulást ehhez az alkalmazáshoz az API-engedélyek lap bal felső részén található Rendszergazdai hozzájárulás megadása a bérlőhöz<> lehetőséget választva. Előfordulhat, hogy újrahitelesítenie kell a fiókját az új ablakban, és az utasításokat követve hozzáférést kell adnia az alkalmazásnak.

15. Frissítse a lapot a lap tetején található Frissítés gombra kattintva. Ellenőrizze, hogy a rendszergazdai hozzájárulás meg lett-e adva a update_device_attributes engedélyhez.

16. Az alkalmazás sikeres regisztrálása után az API-engedélyeknek csak egy update_device_attributes nevű engedélyt kell tartalmazniuk, és a következőképpen kell megjelennie:

Az alkalmazásregisztrációs folyamat befejeződött Microsoft Entra azonosítóban.

Megjegyzés:

Ha az ügyfélkód lejár, létre kell hoznia egy új titkos ügyfélkulcsot az Azure-ban, majd frissítenie kell a feltételes hozzáférési adatokat a Jamf Pro-ban. Az Azure lehetővé teszi a régi titkos kód és az új kulcs aktív használatát a szolgáltatáskimaradások megelőzése érdekében.

Az Intune és a Jamf Pro integrációjának engedélyezése

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza a Bérlői felügyelet>Összekötők és jogkivonatok>Partnereszköz-kezelés lehetőséget.

3. Engedélyezze a Jamf megfelelőségi összekötőt úgy, hogy beilleszti az előző eljárás során mentett alkalmazásazonosítót a Jamf Microsoft Entra alkalmazásazonosítójának megadása mezőbe.

4. Válassza a Mentés elemet.

Microsoft Intune-integráció konfigurálása a Jamf Pro-ban

1. Aktiválja a kapcsolatot a Jamf Pro konzolon:

   1. Nyissa meg a Jamf Pro konzolt, és lépjen a Globális felügyelet>feltételes hozzáférése elemre. Válassza a Szerkesztés lehetőséget a macOS Intune Integration (Intune-integráció ) lapon.
   2. Jelölje be az Intune-integráció engedélyezése macOS rendszeren jelölőnégyzetet. Ha ez a beállítás engedélyezve van, a Jamf Pro készletfrissítéseket küld a Microsoft Intune. Törölje a kijelölést, ha le szeretné tiltani a kapcsolatot, de menteni szeretné a konfigurációt.
   3. A Kapcsolat típusa területen válassza a Manuális lehetőséget.
   4. A Szuverén felhő előugró menüben válassza ki a Szuverén felhő helyét a Microsofttól.
   5. Válassza a Rendszergazdai hozzájárulás URL-címének megnyitása lehetőséget, és kövesse a képernyőn megjelenő utasításokat, hogy a Jamf Native macOS Connector alkalmazás hozzáadható legyen a Microsoft Entra-bérlőhöz.
   6. Adja hozzá a Microsoft Entra bérlő nevét a Microsoft Azure-ból.
   7. Adja hozzá az alkalmazásazonosítót és az ügyfélkulcsot (korábbi nevén alkalmazáskulcsot) a Jamf Pro alkalmazáshoz a Microsoft Azure-ból.
   8. Válassza a Mentés elemet. A Jamf Pro teszteli a beállításokat, és ellenőrzi a sikert.

   A konfigurálás befejezéséhez térjen vissza az Intune Partnereszköz-kezelési lapjára.

2. Az Intune-ban lépjen a Partnereszköz-kezelés lapra. Az Összekötő beállításai csoportban konfigurálja a csoportokat a hozzárendeléshez:

   • Válassza a Belefoglalás lehetőséget, és adja meg, hogy mely felhasználói csoportokat szeretné megcélzni a MacOS-regisztrációhoz a Jamf használatával.
   • A Kizárás lehetőséggel olyan felhasználók csoportjait választhatja ki, amelyek nem regisztrálnak a Jamfben, és ehelyett közvetlenül az Intune-nal regisztrálják Mac gépeiket.

   Felülbírálások kizárása: Ez azt jelenti, hogy a két csoportban lévő összes eszköz ki van zárva a Jamfből, és az Intune-beli regisztrációra van irányítva.

   Megjegyzés:

   A felhasználói csoportok belefoglalásának és kizárásának ez a módja hatással van a felhasználó regisztrációs élményére. Minden olyan macOS-eszközzel rendelkező felhasználónak, aki már regisztrálva van a Jamfben vagy az Intune-ban, és ezt követően a másik MDM-hez szeretne regisztrálni, törölnie kell az eszköz regisztrációját, majd újra regisztrálnia kell az új MDM-ben, mielőtt az eszköz kezelése megfelelően működjön.

3. Válassza az Értékelés lehetőséget annak meghatározásához, hogy hány eszköz lesz regisztrálva a Jamfben a csoportkonfigurációk alapján.

4. Ha készen áll a konfiguráció alkalmazására, válassza a Mentés lehetőséget.

5. A folytatáshoz a Jamf használatával kell üzembe helyeznie a Mac Céges portál, hogy a felhasználók regisztrálhassák eszközeiket az Intune-ban.

Megfelelőségi szabályzatok beállítása és eszközök regisztrálása

Miután konfigurálta az Intune és a Jamf közötti integrációt, megfelelőségi szabályzatokat kell alkalmaznia a Jamf által felügyelt eszközökre.

A Jamf Pro és az Intune leválasztása

Ha el kell távolítania a Jamf Pro és az Intune integrációját, használja az alábbi módszerek egyikét. Mindkét módszer a manuálisan vagy a Felhőösszekötő használatával konfigurált integrációra vonatkozik.

A Jamf Pro megszüntetése a Microsoft Intune Felügyeleti központban

1. A Microsoft Intune Felügyeleti központban lépjen a Bérlőfelügyeleti>összekötők és jogkivonatok>Partnereszköz-kezelés menüpontra.

2. Válassza a Leállítás lehetőséget. Az Intune üzenetet jelenít meg a műveletről. Tekintse át az üzenetet, és ha elkészült, kattintson az OK gombra. Az integráció leállításának lehetősége csak akkor jelenik meg, ha a Jamf-kapcsolat létezik.

Miután leállítja az integrációt, frissítse a felügyeleti központ nézetét a nézet frissítéséhez. A szervezet macOS-eszközeit 90 nap múlva eltávolítjuk az Intune-ból.

A Jamf Pro megszüntetése a Jamf Pro konzolból

Az alábbi lépésekkel távolíthatja el a kapcsolatot a Jamf Pro-konzolról.

1. A Jamf Pro konzolon lépjen a Globális felügyelet>feltételes hozzáférése elemre. A macOS Intune Integration (MacOS Intune-integráció ) lapon válassza a Szerkesztés lehetőséget.

2. Törölje az Intune-integráció engedélyezése macOS rendszeren jelölőnégyzet jelölését.

3. Válassza a Mentés elemet. A Jamf Pro elküldi a konfigurációt az Intune-nak, és az integráció leáll.

4. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

5. Válassza a Bérlőfelügyeleti>összekötők és jogkivonatok>Partnereszköz-kezelés lehetőséget annak ellenőrzéséhez, hogy az állapot most le van-e állítva.

Az integráció megszüntetése után a szervezet macOS-eszközeit a konzolon megjelenő időpontban távolítjuk el, amely három hónap elteltével lesz elérhető.

Következő lépések

• Megfelelőségi szabályzatok alkalmazása Jamf által felügyelt eszközökre
• Data Jamf elküldi az Intune-nak