A Jamf Pro és a Microsoft Intune integrálása az eszközmegfelelés Microsoft Entra-azonosítóra való jelentéséhez
A Jamf Pro és a Microsoft Intune közötti integráció létrehozásának folyamata folyamatosan fejlődik. A Jamf által felügyelt eszközök megfelelőségi állapotának jelentése mostantól lehetővé teszi a Jamf Pro-környezet számára, hogy meghatározza a Jamf által felügyelt szabályzatoknak való megfelelés állapotát, és az eszközmegfelelés állapotát Microsoft Entra id-nak jelentse egy Intune-összekötőn keresztül. Miután a Jamf által felügyelt eszközök megfelelőségi állapotát jelentette Microsoft Entra id-nak, ezek az eszközök megfelelnek a feltételes hozzáférési szabályzatok által Microsoft Entra Zero-Trust alapelveknek.
Fontos
A Jamf macOS-eszköztámogatása a feltételes hozzáféréshez elavult.
2024. szeptember 1-től a Jamf Pro feltételes hozzáférési funkciójára épülő platform már nem támogatott.
Ha a Jamf Pro feltételes hozzáférési integrációját macOS-eszközökhöz használja, kövesse a Jamf dokumentált irányelveit az eszközök eszközmegfelelőségi integrációjába való migráláshoz a Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation (Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation) című témakörben.
Ha segítségre van szüksége, forduljon a Jamf-ügyfél sikeréhez. További információt a következő blogbejegyzésben https://aka.ms/Intune/Jamf-Device-Compliancetalál: .
Ez a cikk a következő feladatok elvégzésében nyújt segítséget:
- Konfigurálja a szükséges összetevőket és konfigurációkat a Jamf Pro-ban.
- Konfigurálja a Jamf Pro-t a Intune Céges portál alkalmazás üzembe helyezésére a Jamf használatával felügyelt eszközökön.
- Konfiguráljon egy szabályzatot a felhasználók számára a Jamf önkiszolgáló portálalkalmazáson keresztül történő üzembe helyezéshez az eszközök Microsoft Entra-azonosítóval való regisztrálásához.
- Konfigurálja az Intune-összekötőt.
- Készítse elő Microsoft Entra azonosítóhoz szükséges összetevőket.
A cikkben ismertetett eljárások elvégzéséhez a fiókjának a következő engedélyekkel kell rendelkeznie:
- Jamf Pro-rendszergazda vagy egy Jamf Pro-felhasználói fiókeszközmegfelelőségi jogosultságokkal
- Intune-rendszergazda
- Microsoft Entra globális rendszergazda
A Jamf Pro és Microsoft Entra ID integrációjával kapcsolatos gyakori kérdések
Miért előnyös a Jamf Pro által felügyelt eszközök Microsoft Entra-azonosítóval való integráció?
Microsoft Entra feltételes hozzáférési szabályzatok nem csak a megfelelőségi szabványoknak való megfelelést követelhetik meg az eszközöktől, hanem Microsoft Entra azonosítóval is regisztrálhatnak. A szervezetek a következő példaforgatókönyvek biztosítása érdekében Microsoft Entra feltételes hozzáférési szabályzatok használatával folyamatosan javítani szeretnék biztonsági helyzetüket:
- Az eszközök Microsoft Entra azonosítóval vannak regisztrálva.
- Az eszközök egy ismert megbízható helyet vagy IP-címtartományt használnak.
- Az eszközök megfelelnek a megfelelőségi szabványoknak, hogy a vállalati erőforrásokhoz a Microsoft 365 asztali alkalmazásokkal és a böngészővel férhessenek hozzá.
Miben különbözik a Microsoft Entra integráció és a Jamf által korábban kínált feltételes hozzáférési módszer?
Azok a szervezetek, amelyek a Jamf Pro-t használják, de még nem hoztak létre kapcsolatot az Intune-ral, a Jamf Pro portál Beállítások > globális > feltételes hozzáférési útvonalán a konfigurációt használó korábbi módszer már nem képes új konfigurációk elfogadására.
Az új integrációkhoz konfigurációkra van szükség a Beállítások > Globális > eszközmegfelelés területen, és varázslóalapú folyamattal végigvezetik az Intune-kapcsolaton. A varázsló egy metódust biztosít a szükséges Microsoft Entra regisztrált alkalmazások létrehozásához. Ezek a regisztrált alkalmazások nem hozhatók létre előre ebben a jelenlegi kialakításban, mint korábban.
A Jamf Pro felügyeleti konfigurációi
A Jamf Pro-konfigurációkhoz a következő számítógép-intelligens csoportokra és számítógép-szabályzatokra van szükség a Jamf Pro konzolon, mielőtt kapcsolatot létesítenének az Intune-ral.
Számítógép intelligens csoportjai
Hozzon létre két intelligens számítógépcsoportot az alábbi példák használatával:
Alkalmazható: Hozzon létre egy olyan számítógép-intelligens csoportot, amely feltételeket tartalmaz, amelyek meghatározzák azokat az eszközöket, amelyeknek hozzá kell férnie a Vállalati erőforrásokhoz a Microsoft-bérlőben.
Példa: Lépjen a Jamf Pro>számítógépek>intelligensszámítógép-csoportok új csoport létrehozása szakaszra:
- Megjelenítendő név:
- Ebben a cikkben a Jamf-Intune Applicable Group nevet adtunk a csoportnak.
- Kritériumok:
- Alkalmazás címe, operátor = is, érték = CompanyPortal.app
Megfelelőség: Hozzon létre egy második számítógép-intelligens csoportot, amely kritériumokat tartalmaz, amelyek meghatározzák, hogy az eszközök megfelelőnek minősülnek-e a Jamfben, és megfelelnek-e a szervezet biztonsági szabványainak.
Példa: Nyissa meg a Jamf Pro>számítógépek>intelligensszámítógép-csoportjait, és hozzon létre egy másik csoportot:
- Megjelenítendő név:
- Ebben a cikkben a Jamf-Intune megfelelőségi csoport nevet adtunk a csoportnak.
- Lehetőség azE-mail-értesítés küldése a tagság módosításáról beállítás engedélyezésére.
- Kritériumok:
- Legutóbbi leltárfrissítés, operátor = kevesebb mint x nappal ezelőtt, érték = 2
- and - Criteria: Application Title, Operator = is, Value = CompanyPortal.app
- És - File Vault 2, Operator = is, Value = All Partitions Encrypted
Számítógép-házirend
Hozzon létre egy számítógépházirendet, amely a következő konfigurációkat tartalmazza:
Példa: Nyissa meg a Jamf Pro>számítógépekre>vonatkozó házirendet, és hozzon létre egy új házirendet:
Beállítások lap:
- Általános:
- Megjelenítendő név – Adjon nevet a szabályzatnak. Regisztráljon például Microsoft Entra ID(Microsoft Entra) azonosítóval.
- Engedélyezve – Jelölje be ezt a jelölőnégyzetet a szabályzat engedélyezéséhez.
- Microsoft-eszközmegfelelés:
- Engedélyezze a Számítógépek regisztrálása Microsoft Entra azonosítóval beállítást.
Hatókör lap: Konfigurálja a kiválasztott központi telepítési célokat a Jamf Pro felügyeleti konfigurációinak részeként létrehozott Megfelelő számítógép intelligens csoport hozzáadásához.
Önkiszolgáló lap:
- Engedélyezze a Szabályzat elérhetővé tétele az Önkiszolgáló szolgáltatásban beállítást.
- Adjon meg egy megjelenítendő nevet.
- Állítson be egy gombnevet.
- Adjon meg egy leírást.
- Engedélyezze Annak biztosítása, hogy a felhasználók megtekinthessék a leírást.
- Igény szerint engedélyezze a választható kategóriákat .
Válassza a Mentés elemet.
Mac-alkalmazás
Hozzon létre egy alkalmazást a Mac Apps Jamf appkatalógusában az összes eszközön üzembe helyező Microsoft Intune Céges portál. A Jamf alkalmazáskatalógus-verziójának használata megkönnyíti az alkalmazás naprakészen tartását.
- Lépjen a Számítógépek>Mac-alkalmazások területre, és válassza az +Új lehetőséget.
- Válassza a Jamf-alkalmazáskatalógus, majd a Tovább gombot.
- Keresse meg a Microsoft Intune Céges portál, és válassza a hozzáadás lehetőséget az alkalmazás mellett.
- Állítsa a Célcsoport beállítást a Minden felügyelt ügyfél értékre.
- Állítsa a Terjesztési módszer beállítást automatikus telepítésre.
- Engedélyezze a Támogató konfigurációs profilok telepítése lehetőséget.
- Engedélyezze az Üzembe helyezés kapcsolót a jobb felső sarokban, majd válassza a Mentés lehetőséget.
felügyeleti konfigurációk Microsoft Entra
Az eszközök regisztrálásának lehetősége blokkolható a szervezet által a vállalati erőforrások védelmére szolgáló feltételes hozzáférési szabályzat konfigurációi miatt.
Az alábbiakban egy, a Jamf által felügyelt eszközök felhasználóit tartalmazó csoportot hozhat létre, amelyet a későbbi lépésekben az Intune-összekötő hatókörének meghatározására fogunk használni.
Jelentkezzen be https://entra.microsoft.com egy olyan fiókkal, amely jogosult csoportok létrehozására, valamint feltételes hozzáférési szabályzat létrehozására és szerkesztésére.
Bontsa ki a Csoportok>Minden csoport elemet> , és válassza az Új csoport lehetőséget.
Hozzon létre egy megfelelő szabályokkal rendelkező dinamikus csoportot, amely tartalmazza azokat a megfelelő felhasználókat, amelyek regisztrálják a Jamf által felügyelt eszközeiket Microsoft Entra azonosítóval.
Tipp
Javasoljuk, hogy dinamikus csoportot használjon, de használhat statikus csoportot is.
A Jamf Pro csatlakoztatása az Intune-hoz
A Jamf pro az Microsoft Intune Felügyeleti központban, a Bérlői felügyeleti>összekötők és jogkivonatok területen > található összekötőket használja. A Jamf Pro intune-hoz való csatlakoztatásának folyamata a Jamf Pro felügyeleti portálon kezdődik, és egy varázslót használ, amely a következő lépésekre kéri.
Jelentkezzen be a Jamf Rendszergazda portálra, például: https://tenantname.jamfcloud.com.
Lépjen a Beállítások > Globális > eszközmegfelelés területre.
Válassza a Szerkesztés lehetőséget, majd engedélyezze a macOS platformot a jelölőnégyzet bejelölésével.
A Megfelelőségi csoport legördülő listában válassza ki azt a számítógép-intelligens csoportot, amelyet a cikk előző, Számítógép-intelligens csoportjai című szakaszában hozott létre a Megfelelőség beállításhoz.
A Vonatkozó csoport legördülő listában válassza ki a jelen cikk előző, Számítógép-intelligens-csoportjai című szakaszÁban az Alkalmazható beállításhoz létrehozott számítógép-intelligens csoportot.
Engedélyezze a csúszkát a jobb felső sarokban, és válassza a Mentés lehetőséget.
Ezután két Microsoft-hitelesítési kérés jelenik meg. Mindegyikhez a Microsoft 365 globális rendszergazdájának kell hitelesítenie a kérést:
- Az első hitelesítési kérés létrehozza a Cloud Connector for Device Compliance alkalmazást Microsoft Entra azonosítóban.
- A második hitelesítési kérés létrehozza a Felhasználóregisztrációs alkalmazást az eszközmegfeleléshez.
Egy új böngészőlap nyílik meg egy Jamf-portállapon a Megfelelőségi partner konfigurálása párbeszédpanellel, majd válassza a Microsoft Endpoint Manager megnyitása gombot.
Egy új böngészőlap megnyitja a Microsoft Intune Felügyeleti központot.
Lépjen tovább a Bérlőfelügyeleti > összekötők és jogkivonatok > Partnermegfelelés kezelése című témakörre.
A Partnermegfelelés kezelése lap tetején válassza a Megfelelőségi partner hozzáadása lehetőséget.
A Megfelelőségi partner létrehozása varázslóban:
- A Megfelelőségi partner legördülő menüben válassza a Jamf-eszközmegfelelés lehetőséget.
- A Platform legördülő menüben válassza a macOS lehetőséget, majd a Tovább gombot.
- A Hozzárendelések területen válassza a Csoportok hozzáadása lehetőséget, majd válassza ki a korábban létrehozott Microsoft Entra felhasználói csoportot. Ne válassza az Összes felhasználó hozzáadása lehetőséget, mert ez gátolja a kapcsolatot.
- Válassza a Tovább, majd a Létrehozás lehetőséget.
A böngészőben nyissa meg a Jamf-portált tartalmazó lapot a Megfelelőségi partner konfigurálása párbeszédpanellel.
Válassza a Megerősítés gombot.
Váltson az Intune Partnermegfelelési felügyeleti irányítópultot megjelenítő böngészőlapra, és válassza a Frissítés ikont a megfelelőségi partner hozzáadása lehetőség mellett.
Ellenőrizze, hogy a macOS Jamf Eszközmegfelelési összekötő aktív partnerállapotú-e.
A felügyeleti konfiguráció befejezése
Ahhoz, hogy a felhasználók regisztrálhassák az eszközöket, ismernie kell azokat a Microsoft Entra feltételes hozzáférési szabályzatokat, amelyek blokkolhatják őket. A Jamf Pro intune-hoz való csatlakoztatásakor létrehozott Eszközmegfelelőség felhasználóregisztrációs alkalmazását ki kell venni minden olyan szabályzatból, amely megakadályozhatja, hogy a felhasználók regisztrálják az eszközeiket.
Vegyünk például egy Microsoft Entra feltételes hozzáférési szabályzatot, amely megfelelő eszközöket igényel:
- Hozzárendelések – Rendelje hozzá ezt a szabályzatot az összes felhasználóhoz, vagy foglalja bele a Jamf által felügyelt eszközökkel rendelkező felhasználói csoportokat.
- Célerőforrások – Állítsa be a következő konfigurációkat:
- Alkalmazás az összes felhőalkalmazásra.
- Zárja ki a Felhasználóregisztrációs alkalmazást az Eszközmegfelelési alkalmazáshoz . Ez az alkalmazás akkor jött létre, amikor csatlakoztatta a Jamf Prót az Intune-hoz.
- A feltételek a következő lehetőségeket tartalmazzák:
- Megfelelőséget igényel
- Regisztrált eszközt igényel
Végfelhasználói értesítések
Javasoljuk, hogy adjon meg bőséges értesítést a végfelhasználói élményről, hogy a Jamf által felügyelt eszközök felhasználói tisztában legyenek a folyamattal, annak működésével és egy ütemtervvel, amelyben meg kell felelniük a szabályzatnak. Fontos emlékeztető, hogy az értesítéseknek tartalmazniuk kell, hogy a Jamf Self-Service alkalmazás tartalmazza az eszköz regisztrálásához használt szabályzatot. A felhasználók nem használhatják az üzembe helyezett Microsoft Céges portál alkalmazást a regisztráció megkísérléséhez. A Céges portál alkalmazás használata az AccountNotOnboarded hibát eredményez.
A Jamf platformmal felügyelt eszközök nem jelennek meg az Intune eszközlistájában az alábbi folyamat során. Miután a felhasználók regisztrálták az eszközeiket Microsoft Entra azonosítóban, az eszköz kezdeti állapota Nem megfelelő lesz. A Megfelelőségre konfigurált Jamf Pro számítógép intelligens csoport frissítése után a rendszer elküldi az állapotot az Intune-összekötőn keresztül Microsoft Entra azonosítóra az eszközök megfelelőségi állapotának frissítéséhez. A Microsoft Entra eszközinformációk frissítéseinek gyakorisága a Jamf változási gyakoriságának Megfelelőségi számítógép intelligens csoportján alapul.
Hibaelhárítás
Probléma
Miután elindította a szabályzatot a Jamf Self-Service alkalmazásból a macOS-eszközön az utasításoknak megfelelően, úgy tűnt, hogy a Microsoft hitelesítési kérése megfelelően működik. Az eszköz Microsoft Entra-azonosítóban látható állapota azonban nem frissült az N/A-ről a Megfelelő állapotra, még egy óra vagy több várakozás után sem.
Ebben az esetben az eszközrekord Microsoft Entra azonosítóban hiányos volt.
Megoldás
Először ellenőrizze a következőket:
- Az eszköz a Jamf számítógép megfelelőségi intelligens csoportjának tagjaként jelenik meg. Ez a tagság azt jelzi, hogy az eszköz megfelelő.
- A hitelesítő felhasználó a Jamf Intune-összekötőre vonatkozó Microsoft Entra csoport tagja.
Másodszor, az érintett eszközön:
Nyissa meg a Terminálalkalmazást, és hajtsa végre a következő parancsot:
/usr/local/jamf/bin/jamfaad gatherAADInfo
- Ha a parancs nem eredményez parancssort, és ehelyett Microsoft Entra macOS felhasználói $USER beszerzett azonosítót adja vissza, akkor a regisztráció jó volt.
- Ha a parancs létrehoz egy bejelentkezési kérést, és a felhasználó hiba nélkül be tudja fejezni a bejelentkezést, előfordulhat, hogy felhasználói hiba történt a kezdeti regisztrációs kísérlet során.
- Ha a parancs bejelentkezési kérést hoz létre, de a felhasználó bejelentkezésekor hiba történik, további hibaelhárításra van szükség egy támogatási eseten keresztül.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: