Megosztás a következőn keresztül:

A Jamf Pro integrálása a Microsoft Intune-nal az eszközmegfelelőség Microsoft Entra ID-nak való jelentéséhez

  • Cikk

A Jamf Pro és a Microsoft Intune közötti integráció létrehozásának folyamata folyamatosan fejlődik. A Jamf által felügyelt eszközök megfelelőségi állapotának jelentése mostantól lehetővé teszi a Jamf Pro-környezet számára, hogy meghatározza a Jamf által felügyelt szabályzatoknak való megfelelés állapotát, és egy Intune-összekötőn keresztül jelentse az eszközmegfelelőség állapotát a Microsoft Entra ID-nak. Miután a Jamf által felügyelt eszközök megfelelőségi állapotát jelentette a Microsoft Entra ID-nak, ezek az eszközök megfelelnek a Microsoft Entra feltételes hozzáférési szabályzatai által meghatározott Zero-Trust elveknek.

Fontos

A Jamf macOS-eszköztámogatása a feltételes hozzáféréshez elavult.

2024. szeptember 1-től a Jamf Pro feltételes hozzáférési funkciójára épülő platform már nem támogatott.

Ha a Jamf Pro feltételes hozzáférési integrációját macOS-eszközökhöz használja, kövesse a Jamf dokumentált irányelveit az eszközök eszközmegfelelőségi integrációjába való migráláshoz a Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation (Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation) című témakörben.

Ha segítségre van szüksége, forduljon a Jamf-ügyfél sikeréhez. További információt a következő blogbejegyzésben https://aka.ms/Intune/Jamf-Device-Compliancetalál: .

Ez a cikk a következő feladatok elvégzésében nyújt segítséget:

  • Konfigurálja a szükséges összetevőket és konfigurációkat a Jamf Pro-ban.
  • Konfigurálja a Jamf Pro-t az Intune Céges portál alkalmazás üzembe helyezésére a Jamf segítségével felügyelt eszközökön.
  • Konfiguráljon egy szabályzatot a felhasználók számára a Jamf önkiszolgáló portálalkalmazáson keresztül az eszközök Microsoft Entra ID azonosítóval való regisztrálásához.
  • Konfigurálja az Intune-összekötőt.
  • Készítse elő a Microsoft Entra-azonosító szükséges összetevőit.

A cikkben ismertetett eljárások elvégzéséhez a fiókjának a következő engedélyekkel kell rendelkeznie:

  • Jamf Pro-rendszergazda vagy egy Jamf Pro-felhasználói fiókeszközmegfelelőségi jogosultságokkal
  • Intune-rendszergazda
  • Microsoft Entra globális rendszergazda

A Jamf Pro És a Microsoft Entra ID integrációjával kapcsolatos gyakori kérdések

Miért előnyös a Microsoft Entra ID-val való integráció a Jamf Pro által felügyelt eszközökön?

A Microsoft Entra feltételes hozzáférési szabályzatai nem csak a megfelelőségi szabványoknak való megfelelést követelik meg az eszközöktől, hanem regisztrálhatnak a Microsoft Entra-azonosítóval is. A szervezetek a Microsoft Entra feltételes hozzáférési szabályzataival folyamatosan javítani szeretnék biztonsági helyzetüket a következő példaforgatókönyvek biztosítása érdekében:

  • Az eszközök regisztrálva vannak a Microsoft Entra-azonosítóval.
  • Az eszközök egy ismert megbízható helyet vagy IP-címtartományt használnak.
  • Az eszközök megfelelnek a megfelelőségi szabványoknak, hogy a vállalati erőforrásokhoz a Microsoft 365 asztali alkalmazásokkal és a böngészővel férhessenek hozzá.

Miben különbözik a Microsoft Entra integrációja és a Jamf által korábban kínált feltételes hozzáférési módszer?

Azok a szervezetek, amelyek a Jamf Pro-t használják, de még nem hoztak létre kapcsolatot az Intune-ral, a Jamf Pro portál Beállítások > globális > feltételes hozzáférési útvonalán a konfigurációt használó korábbi módszer már nem képes új konfigurációk elfogadására.

Az új integrációkhoz konfigurációkra van szükség a Beállítások > Globális > eszközmegfelelés területen, és varázslóalapú folyamattal végigvezetik az Intune-kapcsolaton. A varázsló egy módszert biztosít a microsoft entra regisztrált alkalmazások létrehozásához. Ezek a regisztrált alkalmazások nem hozhatók létre előre ebben a jelenlegi kialakításban, mint korábban.

A Jamf Pro felügyeleti konfigurációi

A Jamf Pro-konfigurációkhoz a következő számítógép-intelligens csoportokra és számítógép-szabályzatokra van szükség a Jamf Pro konzolon, mielőtt kapcsolatot létesítenének az Intune-ral.

Számítógép intelligens csoportjai

Hozzon létre két intelligens számítógépcsoportot az alábbi példák használatával:

Alkalmazható: Hozzon létre egy olyan számítógép-intelligens csoportot, amely feltételeket tartalmaz, amelyek meghatározzák azokat az eszközöket, amelyeknek hozzá kell férnie a Vállalati erőforrásokhoz a Microsoft-bérlőben.

Példa: Lépjen a Jamf Pro>számítógépek>intelligensszámítógép-csoportok új csoport létrehozása szakaszra:

  • Megjelenítendő név:
    • Ebben a cikkben a Jamf-Intune Applicable Group nevet adtunk a csoportnak.
  • Kritérium:
    • Alkalmazás címe, operátor = is, érték = CompanyPortal.app

Megfelelőség: Hozzon létre egy második számítógép-intelligens csoportot, amely kritériumokat tartalmaz, amelyek meghatározzák, hogy az eszközök megfelelőnek minősülnek-e a Jamfben, és megfelelnek-e a szervezet biztonsági szabványainak.

Példa: Nyissa meg a Jamf Pro>számítógépek>intelligensszámítógép-csoportjait, és hozzon létre egy másik csoportot:

  • Megjelenítendő név:
    • Ebben a cikkben a Jamf-Intune megfelelőségi csoport nevet adtunk a csoportnak.
    • Lehetőség azE-mail-értesítés küldése a tagság módosításáról beállítás engedélyezésére.
  • Kritérium:
    • Legutóbbi leltárfrissítés, operátor = kevesebb mint x nappal ezelőtt, érték = 2
    • and - Criteria: Application Title, Operator = is, Value = CompanyPortal.app
    • és - File Vault 2, Operator = is, Value = All Partitions Encrypted

Számítógép-házirend

Hozzon létre egy számítógépházirendet, amely a következő konfigurációkat tartalmazza:

Példa: Nyissa meg a Jamf Pro>számítógépekre>vonatkozó házirendet, és hozzon létre egy új házirendet:

  • Beállítások lap:

    • Általános:
      • Megjelenítendő név – Adjon nevet a szabályzatnak. Regisztráljon például a Microsoft Entra ID(Microsoft Entra) használatával.
      • Engedélyezve – Jelölje be ezt a jelölőnégyzetet a szabályzat engedélyezéséhez.
    • Microsoft-eszközmegfelelés:
      • Engedélyezze a Számítógépek regisztrálása a Microsoft Entra-azonosítóval beállítást.

  • Hatókör lap: Konfigurálja a kiválasztott központi telepítési célokat a Jamf Pro felügyeleti konfigurációinak részeként létrehozott Megfelelő számítógép intelligens csoport hozzáadásához.

  • Önkiszolgáló lap:

    • Engedélyezze a Szabályzat elérhetővé tétele az Önkiszolgáló szolgáltatásban beállítást.
    • Adjon meg egy megjelenítendő nevet.
    • Állítson be egy gombnevet.
    • Adjon meg egy leírást.
    • Engedélyezze Annak biztosítása, hogy a felhasználók megtekinthessék a leírást.
    • Igény szerint engedélyezze a választható kategóriákat .

  • Válassza a Mentés elemet.

Mac-alkalmazás

Hozzon létre egy alkalmazást a Mac Apps Jamf alkalmazáskatalógusában az összes eszközön üzembe helyező Microsoft Intune Vállalati portálhoz. A Jamf alkalmazáskatalógus-verziójának használata megkönnyíti az alkalmazás naprakészen tartását.

  • Lépjen a Számítógépek>Mac-alkalmazások területre, és válassza az +Új lehetőséget.
  • Válassza a Jamf-alkalmazáskatalógus, majd a Tovább gombot.
  • Keresse meg a Microsoft Intune Céges portált , és válassza a hozzáadás lehetőséget az alkalmazás mellett.
  • Állítsa a Célcsoport beállítást a Minden felügyelt ügyfél értékre.
  • Állítsa a Terjesztési módszer beállítást automatikus telepítésre.
  • Engedélyezze a Támogató konfigurációs profilok telepítése lehetőséget.
  • Engedélyezze az Üzembe helyezés kapcsolót a jobb felső sarokban, majd válassza a Mentés lehetőséget.

A Microsoft Entra felügyeleti konfigurációi

Az eszközök regisztrálásának lehetősége blokkolható a szervezet által a vállalati erőforrások védelmére szolgáló feltételes hozzáférési szabályzat konfigurációi miatt.

Az alábbiakban egy, a Jamf által felügyelt eszközök felhasználóit tartalmazó csoportot hozhat létre, amelyet a későbbi lépésekben az Intune-összekötő hatókörének meghatározására fogunk használni.

  1. Jelentkezzen be https://entra.microsoft.com egy olyan fiókkal, amely jogosult csoportok létrehozására, valamint feltételes hozzáférési szabályzat létrehozására és szerkesztésére.

  2. Bontsa ki a Csoportok>Minden csoport elemet> , és válassza az Új csoport lehetőséget.

  3. Hozzon létre egy megfelelő szabályokkal rendelkező dinamikus csoportot, amely tartalmazza azokat a megfelelő felhasználókat, amelyek regisztrálják a Jamf által felügyelt eszközeiket a Microsoft Entra ID azonosítójával.

    Tipp

    Javasoljuk, hogy dinamikus csoportot használjon, de használhat statikus csoportot is.

A Jamf Pro csatlakoztatása az Intune-hoz

A Jamf Pro összekötőket használ a Microsoft Intune Felügyeleti központban, amely a Bérlői felügyeleti>összekötők és jogkivonatok területen > található. A Jamf Pro intune-hoz való csatlakoztatásának folyamata a Jamf Pro felügyeleti portálon kezdődik, és egy varázslót használ, amely a következő lépésekre kéri.

  1. Jelentkezzen be a Jamf felügyeleti portálra, például: https://tenantname.jamfcloud.com.

  2. Lépjen a Beállítások > Globális > eszközmegfelelés területre.

  3. Válassza a Szerkesztés lehetőséget, majd engedélyezze a macOS platformot a jelölőnégyzet bejelölésével.

  4. A Megfelelőségi csoport legördülő listában válassza ki azt a számítógép-intelligens csoportot, amelyet a cikk előző, Számítógép-intelligens csoportjai című szakaszában hozott létre a Megfelelőség beállításhoz.

  5. A Vonatkozó csoport legördülő listában válassza ki a jelen cikk előző, Számítógép-intelligens-csoportjai című szakaszÁban az Alkalmazható beállításhoz létrehozott számítógép-intelligens csoportot.

  6. Engedélyezze a csúszkát a jobb felső sarokban, és válassza a Mentés lehetőséget.

  7. Ezután két Microsoft-hitelesítési kérés jelenik meg. Mindegyikhez a Microsoft 365 globális rendszergazdájának kell hitelesítenie a kérést:

    • Az első hitelesítési kérés létrehozza a Cloud Connector for Device Compliance alkalmazást a Microsoft Entra ID azonosítójában.
    • A második hitelesítési kérés létrehozza a Felhasználóregisztrációs alkalmazást az eszközmegfeleléshez.

    Kép a Microsoft Entra regisztrált alkalmazásokban kért engedélyekre vonatkozó kérésekről.

  8. Egy új böngészőlap nyílik meg egy Jamf-portállapon a Megfelelőségi partner konfigurálása párbeszédpanellel, majd válassza a Microsoft Endpoint Manager megnyitása gombot.

    A Jamf Configure Compliance Partner Open Microsoft Endpoint Manager gomb képe.

  9. Egy új böngészőlap nyílik meg a Microsoft Intune Felügyeleti központban.

  10. Lépjen tovább a Bérlőfelügyeleti > összekötők és jogkivonatok > Partnermegfelelés kezelése című témakörre.

  11. A Partnermegfelelés kezelése lap tetején válassza a Megfelelőségi partner hozzáadása lehetőséget.

  12. A Megfelelőségi partner létrehozása varázslóban:

    1. A Megfelelőségi partner legördülő menüben válassza a Jamf-eszközmegfelelés lehetőséget.
    2. A Platform legördülő menüben válassza a macOS lehetőséget, majd a Tovább gombot.
    3. A Hozzárendelések területen válassza a Csoportok hozzáadása lehetőséget, majd válassza ki a korábban létrehozott Microsoft Entra felhasználói csoportot. Ne válassza az Összes felhasználó hozzáadása lehetőséget, mert ez gátolja a kapcsolatot.
    4. Válassza a Tovább, majd a Létrehozás lehetőséget.

  13. A böngészőben nyissa meg a Jamf-portált tartalmazó lapot a Megfelelőségi partner konfigurálása párbeszédpanellel.

  14. Válassza a Megerősítés gombot.

    A Jamf Configure Compliance Partner Confirm (Megfelelőségi partner megerősítése) gomb képe.

  15. Váltson az Intune Partnermegfelelési felügyeleti irányítópultot megjelenítő böngészőlapra, és válassza a Frissítés ikont a megfelelőségi partner hozzáadása lehetőség mellett.

  16. Ellenőrizze, hogy a macOS Jamf Eszközmegfelelési összekötő aktív partnerállapotú-e.

    Az Intune-összekötők eszközmegfelelési partner macOS-hez aktív kapcsolatának képe.

A felügyeleti konfiguráció befejezése

Ahhoz, hogy a felhasználók regisztrálhassák az eszközöket, ismernie kell a Microsoft Entra feltételes hozzáférési szabályzatait, amelyek blokkolhatják őket. A Jamf Pro intune-hoz való csatlakoztatásakor létrehozott Eszközmegfelelőség felhasználóregisztrációs alkalmazását ki kell venni minden olyan szabályzatból, amely megakadályozhatja, hogy a felhasználók regisztrálják az eszközeiket.

Vegyük például a Microsoft Entra feltételes hozzáférési szabályzatát, amely megfelelő eszközöket igényel:

  • Hozzárendelések – Rendelje hozzá ezt a szabályzatot az összes felhasználóhoz, vagy foglalja bele a Jamf által felügyelt eszközökkel rendelkező felhasználói csoportokat.
  • Célerőforrások – Állítsa be a következő konfigurációkat:
    • Alkalmazás az összes felhőalkalmazásra.
    • Zárja ki a Felhasználóregisztrációs alkalmazást az Eszközmegfelelési alkalmazáshoz . Ez az alkalmazás akkor jött létre, amikor csatlakoztatta a Jamf Prót az Intune-hoz.
  • A feltételek a következő lehetőségeket tartalmazzák:
    • Megfelelőséget igényel
    • Regisztrált eszközt igényel

A Microsoft Entra feltételes hozzáférési szabályzat felhasználói alkalmazásra vonatkozó kivételének képe

Végfelhasználói értesítések

Javasoljuk, hogy adjon meg bőséges értesítést a végfelhasználói élményről, hogy a Jamf által felügyelt eszközök felhasználói tisztában legyenek a folyamattal, annak működésével és egy ütemtervvel, amelyben meg kell felelniük a szabályzatnak. Fontos emlékeztető, hogy az értesítéseknek tartalmazniuk kell, hogy a Jamf Self-Service alkalmazás tartalmazza az eszköz regisztrálásához használt szabályzatot. A felhasználók nem használhatják az üzembe helyezett Microsoft Céges portál alkalmazást a regisztráció megkísérléséhez. A Vállalati portál alkalmazás használata az AccountNotOnboarded hibát eredményez.

A Jamf platformmal felügyelt eszközök nem jelennek meg az Intune eszközlistájában az alábbi folyamat során. Miután a felhasználók regisztrálták eszközeiket a Microsoft Entra-azonosítóban, az eszköz kezdeti állapota Nem megfelelő lesz. A Megfelelőségre konfigurált Jamf Pro számítógép-intelligens csoport frissítése után a rendszer elküldi az állapotot az Intune-összekötőn keresztül a Microsoft Entra ID-nak az eszközök megfelelőségi állapotának frissítéséhez. A Microsoft Entra eszközinformációinak frissítéseinek gyakorisága a Jamf változási gyakoriságának Megfelelőségi számítógép intelligens csoportján alapul.

Hibaelhárítás

Probléma

Miután elindította a szabályzatot a Jamf Self-Service alkalmazásból a macOS-eszközön az utasításoknak megfelelően, úgy tűnt, hogy a Microsoft hitelesítési kérése megfelelően működik. A Microsoft Entra-azonosítóban látható eszköz állapota azonban nem frissült a nem megfelelőállapotról a megfelelő állapotra, még egy óra vagy több várakozás után sem.

Ebben az esetben a Microsoft Entra ID eszközrekordja hiányos volt.

Megoldás

Először ellenőrizze a következőket:

  • Az eszköz a Jamf számítógép megfelelőségi intelligens csoportjának tagjaként jelenik meg. Ez a tagság azt jelzi, hogy az eszköz megfelelő.
  • A hitelesítő felhasználó tagja a Microsoft Entra-csoportnak, amely a Jamf Intune-összekötőre terjed ki.

Másodszor, az érintett eszközön:

  • Nyissa meg a Terminálalkalmazást, és hajtsa végre a következő parancsot:

    /usr/local/jamf/bin/jamfaad gatherAADInfo

    • Ha a parancs nem eredményez parancssort, és ehelyett a macOS felhasználói $USER beszerzett Microsoft Entra-azonosítót adja vissza, akkor a regisztráció jó volt.
    • Ha a parancs létrehoz egy bejelentkezési kérést, és a felhasználó hiba nélkül be tudja fejezni a bejelentkezést, előfordulhat, hogy felhasználói hiba történt a kezdeti regisztrációs kísérlet során.
    • Ha a parancs bejelentkezési kérést hoz létre, de a felhasználó bejelentkezésekor hiba történik, további hibaelhárításra van szükség egy támogatási eseten keresztül.

Következő lépések