A Jamf Pro manuális integrálása az Intune-nal a megfelelőség érdekében
Fontos
A Jamf macOS-eszköztámogatása a feltételes hozzáféréshez elavult.
2024. szeptember 1-től a Jamf Pro feltételes hozzáférési funkciójára épülő platform már nem támogatott.
Ha a Jamf Pro feltételes hozzáférési integrációját macOS-eszközökhöz használja, kövesse a Jamf dokumentált irányelveit az eszközök eszközmegfelelőségi integrációjába való migráláshoz a Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation (Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation) című témakörben.
Ha segítségre van szüksége, forduljon a Jamf-ügyfél sikeréhez. További információt a következő blogbejegyzésben https://aka.ms/Intune/Jamf-Device-Compliancetalál: .
Tipp
Ha útmutatást szeretne a Jamf Pro integrálásához az Intune-nal és Microsoft Entra-azonosítóval, beleértve a Jamf Pro konfigurálását a Intune Céges portál alkalmazás jamf pro-val felügyelt eszközökre való üzembe helyezéséhez, olvassa el a Jamf Pro integrálása az Intune-nal című témakört, amely Microsoft Entra ID-nak való megfelelőséget jelenti.
Microsoft Intune támogatja a Jamf Pro-telepítés integrálását, hogy eszközmegfelelési és feltételes hozzáférési szabályzatokat hozzon létre a macOS-eszközökön. Az integráció révén megkövetelheti, hogy a Jamf Pro által felügyelt macOS-eszközök megfeleljenek az Intune eszközmegfelelési követelményeinek, mielőtt ezek az eszközök hozzáférhetnek a szervezet erőforrásaihoz. Az erőforrás-hozzáférést a Microsoft Entra feltételes hozzáférési szabályzatai ugyanúgy szabályozzák, mint az Intune-nal felügyelt eszközök esetében.
Amikor a Jamf Pro integrálódik az Intune-nal, szinkronizálhatja a macOS-eszközök leltáradatait az Intune-nal Microsoft Entra id-val. Az Intune megfelelőségi motorja ezután elemzi a leltáradatokat egy jelentés létrehozásához. Az Intune elemzése kombinálva van az eszközfelhasználó Microsoft Entra identitásával kapcsolatos intelligenciával, hogy a feltételes hozzáférésen keresztül kényszerítse a kényszerítést. A feltételes hozzáférési szabályzatnak megfelelő eszközök hozzáférhetnek a védett vállalati erőforrásokhoz.
Ez a cikk segítséget nyújt a Jamf Pro intune-nal való manuális integrálásában.
Tipp
A Jamf Pro integrálása az Intune-nal való manuális konfigurálása helyett javasoljuk, hogy konfigurálja és használja a Jamf Cloud Connectort Microsoft Intune. A Cloud Connector automatizálja az integráció manuális konfigurálásához szükséges számos lépést.
Az integráció konfigurálása után a Jamf és az Intune konfigurálásával kikényszeríti a feltételes hozzáférésnek való megfelelőséget a Jamf által felügyelt eszközökön.
Előfeltételek
Termékek és szolgáltatások
A feltételes hozzáférés Jamf Pro-val való konfigurálásához a következőkre van szüksége:
- Jamf Pro 10.1.0 vagy újabb
- Microsoft Intune és Microsoft Entra azonosítójú P1-licencek (ajánlott Microsoft Enterprise Mobility + Security licenccsomag)
- Globális rendszergazdai szerepkör Microsoft Entra-azonosítóban.
- Microsoft Intune Integrációs jogosultságokkal rendelkező felhasználó a Jamf Pro-ban
- Céges portál alkalmazás macOS-hez
- macOS-eszközök OS X 10.12 Yosemite vagy újabb verzióval
Hálózati portok
A jamf és az Intune megfelelő integrálásához a következő portoknak kell elérhetőnek lenniük:
- Intune: 443-as port
- Apple: 2195-ös, 2196-os és 5223-os port (leküldéses értesítések az Intune-ba)
- Jamf: 80-at és 5223-at
Ahhoz, hogy az APNS megfelelően működjön a hálózaton, engedélyeznie kell a kimenő kapcsolatokat, és átirányítania a következőről:
- az Apple 17.0.0.0/8 blokkja az 5223-at és a 443-at az összes ügyfélhálózatról.
- 2195-ös és 2196-os portot a Jamf Pro-kiszolgálókról.
Ezekről a portokról a következő cikkekben talál további információt:
- Az Intune hálózati konfigurációs követelményei és sávszélessége.
- A Jamf Pro által a jamf.com használt hálózati portok .
- Az Apple szoftvertermékek által a support.apple.com használt TCP- és UDP-portok
Az Intune csatlakoztatása a Jamf Pro-hoz
Az Intune és a Jamf Pro összekapcsolása:
- Hozzon létre egy új alkalmazást az Azure-ban.
- Az Intune és a Jamf Pro integrációjának engedélyezése.
- Feltételes hozzáférés konfigurálása a Jamf Pro-ban.
Alkalmazás létrehozása Microsoft Entra-azonosítóban
A Azure Portal lépjen Microsoft Entra Azonosító>alkalmazásregisztrációk elemre, majd válassza az Új regisztráció lehetőséget.
Az Alkalmazás regisztrálása lapon adja meg a következő adatokat:
- A Név szakaszban adjon meg egy kifejező alkalmazásnevet, például Jamf feltételes hozzáférés.
- A Támogatott fióktípusok szakaszban válassza a Bármely szervezeti címtárban található Fiókok lehetőséget.
- Az Átirányítási URI beállításnál hagyja meg a Web alapértelmezett értékét, majd adja meg a Jamf Pro-példány URL-címét.
Az alkalmazás létrehozásához és az új alkalmazás Áttekintés lapjának megnyitásához válassza a Regisztráció lehetőséget.
Az alkalmazás Áttekintés lapján másolja ki az Alkalmazás (ügyfél) azonosító értékét, és jegyezze fel későbbi használatra. Erre az értékre szüksége lesz a későbbi eljárásokban.
A Kezelés területen válassza a Tanúsítványok & titkos kulcsok lehetőséget. Válassza az Új titkos ügyfélkód gombot. Adjon meg egy értéket a Leírás mezőben, válassza a Lejárati idő beállítás bármelyik lehetőségét, majd válassza a Hozzáadás lehetőséget.
Fontos
A lap elhagyása előtt másolja ki az ügyfél titkos kódjának értékét, és jegyezze fel későbbi használatra. Erre az értékre szüksége lesz a későbbi eljárásokban. Ez az érték nem érhető el újra az alkalmazásregisztráció újbóli létrehozása nélkül.
A Kezelés területen válassza az API-engedélyek lehetőséget.
Az API-engedélyek lapon távolítsa el az összes engedélyt az alkalmazásból az egyes meglévő engedélyek melletti ... ikonra kattintva. Ez az eltávolítás kötelező; az integráció nem fog sikerülni, ha váratlan extra engedélyek vannak ebben az alkalmazásregisztrációban.
Ezután adjon hozzá engedélyeket az eszközattribútumok frissítéséhez. Az API-engedélyek lap bal felső részén válassza az Engedély hozzáadása új engedély hozzáadásához lehetőséget.
Az API-engedélyek kérése lapon válassza az Intune, majd az Alkalmazásengedélyek lehetőséget. Jelölje be a update_device_attributes jelölőnégyzetét, és mentse az új engedélyt.
A Microsoft Graph területen válassza az Alkalmazásengedélyek, majd az Application.Read.All elemet.
Válassza az Engedélyek hozzáadása lehetőséget.
Lépjen a szervezet által használt API-khoz. Keresse meg és válassza a Windows Azure Active Directory elemet. Válassza az Alkalmazásengedélyek, majd az Application.Read.All lehetőséget.
Válassza az Engedélyek hozzáadása lehetőséget.
Ezután adja meg a rendszergazdai hozzájárulást ehhez az alkalmazáshoz az API-engedélyek lap bal felső részén található Rendszergazdai hozzájárulás megadása a bérlőhöz<> lehetőséget választva. Előfordulhat, hogy újrahitelesítenie kell a fiókját az új ablakban, és az utasításokat követve hozzáférést kell adnia az alkalmazásnak.
Frissítse a lapot a lap tetején található Frissítés gombra kattintva. Ellenőrizze, hogy a rendszergazdai hozzájárulás meg lett-e adva a update_device_attributes engedélyhez.
Az alkalmazás sikeres regisztrálása után az API-engedélyeknek csak egy update_device_attributes nevű engedélyt kell tartalmazniuk, és a következőképpen kell megjelennie:
Az alkalmazásregisztrációs folyamat befejeződött Microsoft Entra azonosítóban.
Megjegyzés:
Ha az ügyfélkód lejár, létre kell hoznia egy új titkos ügyfélkulcsot az Azure-ban, majd frissítenie kell a feltételes hozzáférési adatokat a Jamf Pro-ban. Az Azure lehetővé teszi a régi titkos kód és az új kulcs aktív használatát a szolgáltatáskimaradások megelőzése érdekében.
Az Intune és a Jamf Pro integrációjának engedélyezése
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza a Bérlői felügyelet>Összekötők és jogkivonatok>Partnereszköz-kezelés lehetőséget.
Engedélyezze a Jamf megfelelőségi összekötőt úgy, hogy beilleszti az előző eljárás során mentett alkalmazásazonosítót a Jamf Microsoft Entra alkalmazásazonosítójának megadása mezőbe.
Válassza a Mentés elemet.
Microsoft Intune-integráció konfigurálása a Jamf Pro-ban
Aktiválja a kapcsolatot a Jamf Pro konzolon:
- Nyissa meg a Jamf Pro konzolt, és lépjen a Globális felügyelet>feltételes hozzáférése elemre. Válassza a Szerkesztés lehetőséget a macOS Intune Integration (Intune-integráció ) lapon.
- Jelölje be az Intune-integráció engedélyezése macOS rendszeren jelölőnégyzetet. Ha ez a beállítás engedélyezve van, a Jamf Pro készletfrissítéseket küld a Microsoft Intune. Törölje a kijelölést, ha le szeretné tiltani a kapcsolatot, de menteni szeretné a konfigurációt.
- A Kapcsolat típusa területen válassza a Manuális lehetőséget.
- A Szuverén felhő előugró menüben válassza ki a Szuverén felhő helyét a Microsofttól.
- Válassza a Rendszergazdai hozzájárulás URL-címének megnyitása lehetőséget, és kövesse a képernyőn megjelenő utasításokat, hogy a Jamf Native macOS Connector alkalmazás hozzáadható legyen a Microsoft Entra-bérlőhöz.
- Adja hozzá a Microsoft Entra bérlő nevét a Microsoft Azure-ból.
- Adja hozzá az alkalmazásazonosítót és az ügyfélkulcsot (korábbi nevén alkalmazáskulcsot) a Jamf Pro alkalmazáshoz a Microsoft Azure-ból.
- Válassza a Mentés elemet. A Jamf Pro teszteli a beállításokat, és ellenőrzi a sikert.
A konfigurálás befejezéséhez térjen vissza az Intune Partnereszköz-kezelési lapjára.
Az Intune-ban lépjen a Partnereszköz-kezelés lapra. Az Összekötő beállításai csoportban konfigurálja a csoportokat a hozzárendeléshez:
- Válassza a Belefoglalás lehetőséget, és adja meg, hogy mely felhasználói csoportokat szeretné megcélzni a MacOS-regisztrációhoz a Jamf használatával.
- A Kizárás lehetőséggel olyan felhasználók csoportjait választhatja ki, amelyek nem regisztrálnak a Jamfben, és ehelyett közvetlenül az Intune-nal regisztrálják Mac gépeiket.
Felülbírálások kizárása: Ez azt jelenti, hogy a két csoportban lévő összes eszköz ki van zárva a Jamfből, és az Intune-beli regisztrációra van irányítva.
Megjegyzés:
A felhasználói csoportok belefoglalásának és kizárásának ez a módja hatással van a felhasználó regisztrációs élményére. Minden olyan macOS-eszközzel rendelkező felhasználónak, aki már regisztrálva van a Jamfben vagy az Intune-ban, és ezt követően a másik MDM-hez szeretne regisztrálni, törölnie kell az eszköz regisztrációját, majd újra regisztrálnia kell az új MDM-ben, mielőtt az eszköz kezelése megfelelően működjön.
Válassza az Értékelés lehetőséget annak meghatározásához, hogy hány eszköz lesz regisztrálva a Jamfben a csoportkonfigurációk alapján.
Ha készen áll a konfiguráció alkalmazására, válassza a Mentés lehetőséget.
A folytatáshoz a Jamf használatával kell üzembe helyeznie a Mac Céges portál, hogy a felhasználók regisztrálhassák eszközeiket az Intune-ban.
Megfelelőségi szabályzatok beállítása és eszközök regisztrálása
Miután konfigurálta az Intune és a Jamf közötti integrációt, megfelelőségi szabályzatokat kell alkalmaznia a Jamf által felügyelt eszközökre.
A Jamf Pro és az Intune leválasztása
Ha el kell távolítania a Jamf Pro és az Intune integrációját, használja az alábbi módszerek egyikét. Mindkét módszer a manuálisan vagy a Felhőösszekötő használatával konfigurált integrációra vonatkozik.
A Jamf Pro megszüntetése a Microsoft Intune Felügyeleti központban
A Microsoft Intune Felügyeleti központban lépjen a Bérlőfelügyeleti>összekötők és jogkivonatok>Partnereszköz-kezelés menüpontra.
Válassza a Leállítás lehetőséget. Az Intune üzenetet jelenít meg a műveletről. Tekintse át az üzenetet, és ha elkészült, kattintson az OK gombra. Az integráció leállításának lehetősége csak akkor jelenik meg, ha a Jamf-kapcsolat létezik.
Miután leállítja az integrációt, frissítse a felügyeleti központ nézetét a nézet frissítéséhez. A szervezet macOS-eszközeit 90 nap múlva eltávolítjuk az Intune-ból.
A Jamf Pro megszüntetése a Jamf Pro konzolból
Az alábbi lépésekkel távolíthatja el a kapcsolatot a Jamf Pro-konzolról.
A Jamf Pro konzolon lépjen a Globális felügyelet>feltételes hozzáférése elemre. A macOS Intune Integration (MacOS Intune-integráció ) lapon válassza a Szerkesztés lehetőséget.
Törölje az Intune-integráció engedélyezése macOS rendszeren jelölőnégyzet jelölését.
Válassza a Mentés elemet. A Jamf Pro elküldi a konfigurációt az Intune-nak, és az integráció leáll.
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza a Bérlőfelügyeleti>összekötők és jogkivonatok>Partnereszköz-kezelés lehetőséget annak ellenőrzéséhez, hogy az állapot most le van-e állítva.
Az integráció megszüntetése után a szervezet macOS-eszközeit a konzolon megjelenő időpontban távolítjuk el, amely három hónap elteltével lesz elérhető.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: