Share via

A Jamf Pro és a Microsoft Intune integrálása az eszközmegfelelés Microsoft Entra-azonosítóra való jelentéséhez

  • Cikk

A Jamf Pro és a Microsoft Intune közötti integráció létrehozásának folyamata folyamatosan fejlődik. A Jamf által felügyelt eszközök megfelelőségi állapotának jelentése mostantól lehetővé teszi a Jamf Pro-környezet számára, hogy meghatározza a Jamf által felügyelt szabályzatoknak való megfelelés állapotát, és az eszközmegfelelés állapotát Microsoft Entra id-nak jelentse egy Intune-összekötőn keresztül. Miután a Jamf által felügyelt eszközök megfelelőségi állapotát jelentette Microsoft Entra id-nak, ezek az eszközök megfelelnek a feltételes hozzáférési szabályzatok által Microsoft Entra Zero-Trust alapelveknek.

Fontos

A Jamf macOS-eszköztámogatása a feltételes hozzáféréshez elavult.

2024. szeptember 1-től a Jamf Pro feltételes hozzáférési funkciójára épülő platform már nem támogatott.

Ha a Jamf Pro feltételes hozzáférési integrációját macOS-eszközökhöz használja, kövesse a Jamf dokumentált irányelveit az eszközök eszközmegfelelőségi integrációjába való migráláshoz a Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation (Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation) című témakörben.

Ha segítségre van szüksége, forduljon a Jamf-ügyfél sikeréhez. További információt a következő blogbejegyzésben https://aka.ms/Intune/Jamf-Device-Compliancetalál: .

Ez a cikk a következő feladatok elvégzésében nyújt segítséget:

  • Konfigurálja a szükséges összetevőket és konfigurációkat a Jamf Pro-ban.
  • Konfigurálja a Jamf Pro-t a Intune Céges portál alkalmazás üzembe helyezésére a Jamf használatával felügyelt eszközökön.
  • Konfiguráljon egy szabályzatot a felhasználók számára a Jamf önkiszolgáló portálalkalmazáson keresztül történő üzembe helyezéshez az eszközök Microsoft Entra-azonosítóval való regisztrálásához.
  • Konfigurálja az Intune-összekötőt.
  • Készítse elő Microsoft Entra azonosítóhoz szükséges összetevőket.

A cikkben ismertetett eljárások elvégzéséhez a fiókjának a következő engedélyekkel kell rendelkeznie:

  • Jamf Pro-rendszergazda vagy egy Jamf Pro-felhasználói fiókeszközmegfelelőségi jogosultságokkal
  • Intune-rendszergazda
  • Microsoft Entra globális rendszergazda

A Jamf Pro és Microsoft Entra ID integrációjával kapcsolatos gyakori kérdések

Miért előnyös a Jamf Pro által felügyelt eszközök Microsoft Entra-azonosítóval való integráció?

Microsoft Entra feltételes hozzáférési szabályzatok nem csak a megfelelőségi szabványoknak való megfelelést követelhetik meg az eszközöktől, hanem Microsoft Entra azonosítóval is regisztrálhatnak. A szervezetek a következő példaforgatókönyvek biztosítása érdekében Microsoft Entra feltételes hozzáférési szabályzatok használatával folyamatosan javítani szeretnék biztonsági helyzetüket:

  • Az eszközök Microsoft Entra azonosítóval vannak regisztrálva.
  • Az eszközök egy ismert megbízható helyet vagy IP-címtartományt használnak.
  • Az eszközök megfelelnek a megfelelőségi szabványoknak, hogy a vállalati erőforrásokhoz a Microsoft 365 asztali alkalmazásokkal és a böngészővel férhessenek hozzá.

Miben különbözik a Microsoft Entra integráció és a Jamf által korábban kínált feltételes hozzáférési módszer?

Azok a szervezetek, amelyek a Jamf Pro-t használják, de még nem hoztak létre kapcsolatot az Intune-ral, a Jamf Pro portál Beállítások > globális > feltételes hozzáférési útvonalán a konfigurációt használó korábbi módszer már nem képes új konfigurációk elfogadására.

Az új integrációkhoz konfigurációkra van szükség a Beállítások > Globális > eszközmegfelelés területen, és varázslóalapú folyamattal végigvezetik az Intune-kapcsolaton. A varázsló egy metódust biztosít a szükséges Microsoft Entra regisztrált alkalmazások létrehozásához. Ezek a regisztrált alkalmazások nem hozhatók létre előre ebben a jelenlegi kialakításban, mint korábban.

A Jamf Pro felügyeleti konfigurációi

A Jamf Pro-konfigurációkhoz a következő számítógép-intelligens csoportokra és számítógép-szabályzatokra van szükség a Jamf Pro konzolon, mielőtt kapcsolatot létesítenének az Intune-ral.

Számítógép intelligens csoportjai

Hozzon létre két intelligens számítógépcsoportot az alábbi példák használatával:

Alkalmazható: Hozzon létre egy olyan számítógép-intelligens csoportot, amely feltételeket tartalmaz, amelyek meghatározzák azokat az eszközöket, amelyeknek hozzá kell férnie a Vállalati erőforrásokhoz a Microsoft-bérlőben.

Példa: Lépjen a Jamf Pro>számítógépek>intelligensszámítógép-csoportok új csoport létrehozása szakaszra:

  • Megjelenítendő név:
    • Ebben a cikkben a Jamf-Intune Applicable Group nevet adtunk a csoportnak.
  • Kritériumok:
    • Alkalmazás címe, operátor = is, érték = CompanyPortal.app

Megfelelőség: Hozzon létre egy második számítógép-intelligens csoportot, amely kritériumokat tartalmaz, amelyek meghatározzák, hogy az eszközök megfelelőnek minősülnek-e a Jamfben, és megfelelnek-e a szervezet biztonsági szabványainak.

Példa: Nyissa meg a Jamf Pro>számítógépek>intelligensszámítógép-csoportjait, és hozzon létre egy másik csoportot:

  • Megjelenítendő név:
    • Ebben a cikkben a Jamf-Intune megfelelőségi csoport nevet adtunk a csoportnak.
    • Lehetőség azE-mail-értesítés küldése a tagság módosításáról beállítás engedélyezésére.
  • Kritériumok:
    • Legutóbbi leltárfrissítés, operátor = kevesebb mint x nappal ezelőtt, érték = 2
    • and - Criteria: Application Title, Operator = is, Value = CompanyPortal.app
    • És - File Vault 2, Operator = is, Value = All Partitions Encrypted

Számítógép-házirend

Hozzon létre egy számítógépházirendet, amely a következő konfigurációkat tartalmazza:

Példa: Nyissa meg a Jamf Pro>számítógépekre>vonatkozó házirendet, és hozzon létre egy új házirendet:

  • Beállítások lap:

    • Általános:
      • Megjelenítendő név – Adjon nevet a szabályzatnak. Regisztráljon például Microsoft Entra ID(Microsoft Entra) azonosítóval.
      • Engedélyezve – Jelölje be ezt a jelölőnégyzetet a szabályzat engedélyezéséhez.
    • Microsoft-eszközmegfelelés:
      • Engedélyezze a Számítógépek regisztrálása Microsoft Entra azonosítóval beállítást.

  • Hatókör lap: Konfigurálja a kiválasztott központi telepítési célokat a Jamf Pro felügyeleti konfigurációinak részeként létrehozott Megfelelő számítógép intelligens csoport hozzáadásához.

  • Önkiszolgáló lap:

    • Engedélyezze a Szabályzat elérhetővé tétele az Önkiszolgáló szolgáltatásban beállítást.
    • Adjon meg egy megjelenítendő nevet.
    • Állítson be egy gombnevet.
    • Adjon meg egy leírást.
    • Engedélyezze Annak biztosítása, hogy a felhasználók megtekinthessék a leírást.
    • Igény szerint engedélyezze a választható kategóriákat .

  • Válassza a Mentés elemet.

Mac-alkalmazás

Hozzon létre egy alkalmazást a Mac Apps Jamf appkatalógusában az összes eszközön üzembe helyező Microsoft Intune Céges portál. A Jamf alkalmazáskatalógus-verziójának használata megkönnyíti az alkalmazás naprakészen tartását.

  • Lépjen a Számítógépek>Mac-alkalmazások területre, és válassza az +Új lehetőséget.
  • Válassza a Jamf-alkalmazáskatalógus, majd a Tovább gombot.
  • Keresse meg a Microsoft Intune Céges portál, és válassza a hozzáadás lehetőséget az alkalmazás mellett.
  • Állítsa a Célcsoport beállítást a Minden felügyelt ügyfél értékre.
  • Állítsa a Terjesztési módszer beállítást automatikus telepítésre.
  • Engedélyezze a Támogató konfigurációs profilok telepítése lehetőséget.
  • Engedélyezze az Üzembe helyezés kapcsolót a jobb felső sarokban, majd válassza a Mentés lehetőséget.

felügyeleti konfigurációk Microsoft Entra

Az eszközök regisztrálásának lehetősége blokkolható a szervezet által a vállalati erőforrások védelmére szolgáló feltételes hozzáférési szabályzat konfigurációi miatt.

Az alábbiakban egy, a Jamf által felügyelt eszközök felhasználóit tartalmazó csoportot hozhat létre, amelyet a későbbi lépésekben az Intune-összekötő hatókörének meghatározására fogunk használni.

  1. Jelentkezzen be https://entra.microsoft.com egy olyan fiókkal, amely jogosult csoportok létrehozására, valamint feltételes hozzáférési szabályzat létrehozására és szerkesztésére.

  2. Bontsa ki a Csoportok>Minden csoport elemet> , és válassza az Új csoport lehetőséget.

  3. Hozzon létre egy megfelelő szabályokkal rendelkező dinamikus csoportot, amely tartalmazza azokat a megfelelő felhasználókat, amelyek regisztrálják a Jamf által felügyelt eszközeiket Microsoft Entra azonosítóval.

    Tipp

    Javasoljuk, hogy dinamikus csoportot használjon, de használhat statikus csoportot is.

A Jamf Pro csatlakoztatása az Intune-hoz

A Jamf pro az Microsoft Intune Felügyeleti központban, a Bérlői felügyeleti>összekötők és jogkivonatok területen > található összekötőket használja. A Jamf Pro intune-hoz való csatlakoztatásának folyamata a Jamf Pro felügyeleti portálon kezdődik, és egy varázslót használ, amely a következő lépésekre kéri.

  1. Jelentkezzen be a Jamf Rendszergazda portálra, például: https://tenantname.jamfcloud.com.

  2. Lépjen a Beállítások > Globális > eszközmegfelelés területre.

  3. Válassza a Szerkesztés lehetőséget, majd engedélyezze a macOS platformot a jelölőnégyzet bejelölésével.

  4. A Megfelelőségi csoport legördülő listában válassza ki azt a számítógép-intelligens csoportot, amelyet a cikk előző, Számítógép-intelligens csoportjai című szakaszában hozott létre a Megfelelőség beállításhoz.

  5. A Vonatkozó csoport legördülő listában válassza ki a jelen cikk előző, Számítógép-intelligens-csoportjai című szakaszÁban az Alkalmazható beállításhoz létrehozott számítógép-intelligens csoportot.

  6. Engedélyezze a csúszkát a jobb felső sarokban, és válassza a Mentés lehetőséget.

  7. Ezután két Microsoft-hitelesítési kérés jelenik meg. Mindegyikhez a Microsoft 365 globális rendszergazdájának kell hitelesítenie a kérést:

    • Az első hitelesítési kérés létrehozza a Cloud Connector for Device Compliance alkalmazást Microsoft Entra azonosítóban.
    • A második hitelesítési kérés létrehozza a Felhasználóregisztrációs alkalmazást az eszközmegfeleléshez.

    A Microsoft Entra regisztrált alkalmazásokban kért engedélyekre vonatkozó kéréseket bemutató kép.

  8. Egy új böngészőlap nyílik meg egy Jamf-portállapon a Megfelelőségi partner konfigurálása párbeszédpanellel, majd válassza a Microsoft Endpoint Manager megnyitása gombot.

    A Jamf Configure Compliance Partner Open Microsoft Endpoint Manager gomb képe.

  9. Egy új böngészőlap megnyitja a Microsoft Intune Felügyeleti központot.

  10. Lépjen tovább a Bérlőfelügyeleti > összekötők és jogkivonatok > Partnermegfelelés kezelése című témakörre.

  11. A Partnermegfelelés kezelése lap tetején válassza a Megfelelőségi partner hozzáadása lehetőséget.

  12. A Megfelelőségi partner létrehozása varázslóban:

    1. A Megfelelőségi partner legördülő menüben válassza a Jamf-eszközmegfelelés lehetőséget.
    2. A Platform legördülő menüben válassza a macOS lehetőséget, majd a Tovább gombot.
    3. A Hozzárendelések területen válassza a Csoportok hozzáadása lehetőséget, majd válassza ki a korábban létrehozott Microsoft Entra felhasználói csoportot. Ne válassza az Összes felhasználó hozzáadása lehetőséget, mert ez gátolja a kapcsolatot.
    4. Válassza a Tovább, majd a Létrehozás lehetőséget.

  13. A böngészőben nyissa meg a Jamf-portált tartalmazó lapot a Megfelelőségi partner konfigurálása párbeszédpanellel.

  14. Válassza a Megerősítés gombot.

    A Jamf Configure Compliance Partner Confirm (Megfelelőségi partner megerősítése) gomb képe.

  15. Váltson az Intune Partnermegfelelési felügyeleti irányítópultot megjelenítő böngészőlapra, és válassza a Frissítés ikont a megfelelőségi partner hozzáadása lehetőség mellett.

  16. Ellenőrizze, hogy a macOS Jamf Eszközmegfelelési összekötő aktív partnerállapotú-e.

    Az Intune-összekötők eszközmegfelelési partner macOS-hez aktív kapcsolatának képe.

A felügyeleti konfiguráció befejezése

Ahhoz, hogy a felhasználók regisztrálhassák az eszközöket, ismernie kell azokat a Microsoft Entra feltételes hozzáférési szabályzatokat, amelyek blokkolhatják őket. A Jamf Pro intune-hoz való csatlakoztatásakor létrehozott Eszközmegfelelőség felhasználóregisztrációs alkalmazását ki kell venni minden olyan szabályzatból, amely megakadályozhatja, hogy a felhasználók regisztrálják az eszközeiket.

Vegyünk például egy Microsoft Entra feltételes hozzáférési szabályzatot, amely megfelelő eszközöket igényel:

  • Hozzárendelések – Rendelje hozzá ezt a szabályzatot az összes felhasználóhoz, vagy foglalja bele a Jamf által felügyelt eszközökkel rendelkező felhasználói csoportokat.
  • Célerőforrások – Állítsa be a következő konfigurációkat:
    • Alkalmazás az összes felhőalkalmazásra.
    • Zárja ki a Felhasználóregisztrációs alkalmazást az Eszközmegfelelési alkalmazáshoz . Ez az alkalmazás akkor jött létre, amikor csatlakoztatta a Jamf Prót az Intune-hoz.
  • A feltételek a következő lehetőségeket tartalmazzák:
    • Megfelelőséget igényel
    • Regisztrált eszközt igényel

A felhasználói alkalmazás Microsoft Entra feltételes hozzáférési szabályzat kivételének képe

Végfelhasználói értesítések

Javasoljuk, hogy adjon meg bőséges értesítést a végfelhasználói élményről, hogy a Jamf által felügyelt eszközök felhasználói tisztában legyenek a folyamattal, annak működésével és egy ütemtervvel, amelyben meg kell felelniük a szabályzatnak. Fontos emlékeztető, hogy az értesítéseknek tartalmazniuk kell, hogy a Jamf Self-Service alkalmazás tartalmazza az eszköz regisztrálásához használt szabályzatot. A felhasználók nem használhatják az üzembe helyezett Microsoft Céges portál alkalmazást a regisztráció megkísérléséhez. A Céges portál alkalmazás használata az AccountNotOnboarded hibát eredményez.

A Jamf platformmal felügyelt eszközök nem jelennek meg az Intune eszközlistájában az alábbi folyamat során. Miután a felhasználók regisztrálták az eszközeiket Microsoft Entra azonosítóban, az eszköz kezdeti állapota Nem megfelelő lesz. A Megfelelőségre konfigurált Jamf Pro számítógép intelligens csoport frissítése után a rendszer elküldi az állapotot az Intune-összekötőn keresztül Microsoft Entra azonosítóra az eszközök megfelelőségi állapotának frissítéséhez. A Microsoft Entra eszközinformációk frissítéseinek gyakorisága a Jamf változási gyakoriságának Megfelelőségi számítógép intelligens csoportján alapul.

Hibaelhárítás

Probléma

Miután elindította a szabályzatot a Jamf Self-Service alkalmazásból a macOS-eszközön az utasításoknak megfelelően, úgy tűnt, hogy a Microsoft hitelesítési kérése megfelelően működik. Az eszköz Microsoft Entra-azonosítóban látható állapota azonban nem frissült az N/A-ről a Megfelelő állapotra, még egy óra vagy több várakozás után sem.

Ebben az esetben az eszközrekord Microsoft Entra azonosítóban hiányos volt.

Megoldás

Először ellenőrizze a következőket:

  • Az eszköz a Jamf számítógép megfelelőségi intelligens csoportjának tagjaként jelenik meg. Ez a tagság azt jelzi, hogy az eszköz megfelelő.
  • A hitelesítő felhasználó a Jamf Intune-összekötőre vonatkozó Microsoft Entra csoport tagja.

Másodszor, az érintett eszközön:

  • Nyissa meg a Terminálalkalmazást, és hajtsa végre a következő parancsot:

    /usr/local/jamf/bin/jamfaad gatherAADInfo

    • Ha a parancs nem eredményez parancssort, és ehelyett Microsoft Entra macOS felhasználói $USER beszerzett azonosítót adja vissza, akkor a regisztráció jó volt.
    • Ha a parancs létrehoz egy bejelentkezési kérést, és a felhasználó hiba nélkül be tudja fejezni a bejelentkezést, előfordulhat, hogy felhasználói hiba történt a kezdeti regisztrációs kísérlet során.
    • Ha a parancs bejelentkezési kérést hoz létre, de a felhasználó bejelentkezésekor hiba történik, további hibaelhárításra van szükség egy támogatási eseten keresztül.

Következő lépések