Condividi tramite

Integrare Jamf Pro con Microsoft Intune per segnalare la conformità del dispositivo all Microsoft Entra ID

  • Articolo

Il processo per stabilire l'integrazione tra Jamf Pro e Microsoft Intune è in evoluzione. La segnalazione dello stato di conformità dei dispositivi gestiti jamf è ora in grado di consentire all'ambiente Jamf Pro di determinare lo stato di conformità con i criteri gestiti di Jamf e di segnalare lo stato di conformità del dispositivo a Microsoft Entra ID tramite un connettore in Intune. Quando lo stato di conformità per i dispositivi gestiti da Jamf viene segnalato all Microsoft Entra ID, tali dispositivi sono in grado di soddisfare i principi di Zero-Trust stabiliti Microsoft Entra criteri di accesso condizionale.

Importante

Il supporto dei dispositivi MacOS jamf per l'accesso condizionale è deprecato.

A partire dal 1° settembre 2024, la piattaforma su cui è basata la funzionalità di accesso condizionale di Jamf Pro non sarà più supportata.

Se si usa l'integrazione dell'accesso condizionale di Jamf Pro per i dispositivi macOS, seguire le linee guida documentate di Jamf per eseguire la migrazione dei dispositivi all'integrazione di Conformità del dispositivo in Migrazione dall'accesso condizionale macOS alla conformità dei dispositivi macOS - Documentazione di Jamf Pro.

Per assistenza, contattare Jamf Customer Success. Per altre informazioni, vedere il post di blog all'indirizzo https://aka.ms/Intune/Jamf-Device-Compliance.

Questo articolo consente di eseguire le attività seguenti:

  • Configurare i componenti e le configurazioni necessari in Jamf Pro.
  • Configurare Jamf Pro per distribuire l'app Portale aziendale Intune nei dispositivi gestiti con Jamf.
  • Configurare un criterio da distribuire agli utenti tramite l'app portale self-service Jamf per registrare i dispositivi con Microsoft Entra ID.
  • Configurare il connettore di Intune.
  • Preparare Microsoft Entra componenti necessari per l'ID.

Per completare le procedure descritte in questo articolo, l'account deve disporre delle autorizzazioni seguenti:

  • Amministratore di Jamf Pro o un account utente Jamf Pro con privilegi di conformità del dispositivo
  • Amministratore di Intune
  • amministratore globale Microsoft Entra

Domande comuni sull'integrazione di Jamf Pro con Microsoft Entra ID

Perché l'integrazione con Microsoft Entra ID dovrebbe trarre vantaggio dai dispositivi gestiti da Jamf Pro?

Microsoft Entra i criteri di accesso condizionale sono in grado di richiedere ai dispositivi non solo di soddisfare gli standard di conformità, ma anche di registrarsi con Microsoft Entra ID. Le organizzazioni cercano di migliorare continuamente il proprio comportamento di sicurezza usando Microsoft Entra criteri di accesso condizionale per garantire gli scenari di esempio seguenti:

  • I dispositivi vengono registrati con Microsoft Entra ID.
  • I dispositivi usano un percorso attendibile noto o un intervallo di indirizzi IP.
  • I dispositivi soddisfano gli standard di conformità per accedere alle risorse aziendali usando le applicazioni desktop di Microsoft 365 e il browser.

Cosa c'è di diverso nell'integrazione Microsoft Entra rispetto al metodo di accesso condizionale jamf offerto in precedenza?

Per le organizzazioni che usano Jamf Pro ma non hanno ancora stabilito una connessione a Intune, il metodo precedente che usava la configurazione nel percorso Di accesso condizionale globale > delle impostazioni > del portale di Jamf Pro non è più in grado di accettare nuove configurazioni.

Le nuove integrazioni richiedono configurazioni in Conformità globale > dei dispositivi delle impostazioni > e forniscono un processo basato su procedura guidata per eseguire la connessione a Intune. La procedura guidata fornisce un metodo per creare le applicazioni registrate Microsoft Entra necessarie. Queste applicazioni registrate non possono essere precreate in questa progettazione corrente come in precedenza.

Configurazioni amministrative di Jamf Pro

Le configurazioni di Jamf Pro richiedono la creazione dei seguenti gruppi intelligenti computer e criteri computer nella console di Jamf Pro prima di stabilire la connessione a Intune.

Gruppi intelligenti di computer

Creare due gruppi intelligenti di computer usando gli esempi seguenti:

Applicabile: creare un gruppo intelligente di computer contenente criteri, che determina i dispositivi che devono accedere alle risorse aziendali nel tenant Microsoft.

Esempio: Passare a Jamf Pro>Computers>Smart Computer Groups create a new group (Creare un nuovo gruppo):

  • Nome visualizzato:
    • In questo articolo è stato denominato il gruppo Jamf-Intune Applicable Group.
  • Criteri:
    • Titolo applicazione, Operatore = is, Valore = CompanyPortal.app

Conformità: creare un secondo gruppo intelligente di computer contenente criteri, che determina se i dispositivi vengono considerati conformi all'interno di Jamf e soddisfano gli standard di sicurezza dell'organizzazione.

Esempio: Passare a Jamf Pro>Computers>Smart Computer Groups ,creare un altro gruppo:

  • Nome visualizzato:
    • In questo articolo è stato denominato gruppo Jamf-Intune Compliance Group.
    • Opzione per abilitareInvia notifica tramite posta elettronica in caso di modifica dell'appartenenza.
  • Criteri:
    • Ultimo aggiornamento inventario, Operatore = Meno di x giorni fa, Valore = 2
    • e - Criteri: Titolo applicazione, Operatore = è, Valore = CompanyPortal.app
    • E - File Vault 2, Operator = is, Value = All Partitions Encrypted

Criteri computer

Creare un criterio computer che includa le configurazioni seguenti:

Esempio: Passare aCriteri di Jamf Pro>Computers>, creare un nuovo criterio:

  • Scheda Opzioni :

    • Generale:
      • Nome visualizzato: assegnare un nome al criterio. Ad esempio, Eseguire la registrazione con Microsoft Entra ID(Microsoft Entra).
      • Abilitato: selezionare questa casella per abilitare i criteri.
    • Conformità del dispositivo Microsoft:
      • Abilitare Registra computer con ID Microsoft Entra.

  • Scheda Ambito : configurare destinazioni di distribuzione selezionate per aggiungere il gruppo intelligente del computer applicabile creato come parte delle configurazioni amministrative di Jamf Pro.

  • Scheda Self-Service :

    • Abilitare Rendi i criteri disponibili in Self-Service.
    • Impostare un nome visualizzato.
    • Impostare il nome di un pulsante.
    • Specificare una descrizione.
    • Abilita Assicurarsi che gli utenti visualisentano la descrizione.
    • Abilitare le categorie facoltative come desiderato.

  • Selezionare Salva.

Mac App

Creare un'app in Mac Apps Jamf App Catalog per la Microsoft Intune Portale aziendale che viene distribuita in tutti i dispositivi. L'uso della versione del catalogo delle app Jamf semplifica la gestione dell'applicazione.

  • Passare a Computer>App Mac e selezionare +Nuovo.
  • Selezionare Jamf App Catalog e quindi Avanti.
  • Cercare Microsoft Intune Portale aziendale e selezionare Aggiungi accanto all'applicazione.
  • Impostare Gruppo di destinazione su Tutti i client gestiti.
  • Impostare Metodo di distribuzione su Installa automaticamente.
  • Abilitare Installa i profili di configurazione di supporto.
  • Abilitare l'opzione Distribuisci in alto a destra e quindi selezionare Salva.

Microsoft Entra configurazioni amministrative

La possibilità di registrare i dispositivi può essere bloccata a causa delle configurazioni dei criteri di accesso condizionale dell'organizzazione per proteggere le risorse aziendali.

Usare quanto segue per creare un gruppo, contenente gli utenti dei dispositivi gestiti jamf, che verrà usato per definire l'ambito del connettore di Intune nei passaggi successivi.

  1. Accedere a https://entra.microsoft.com con un account con autorizzazioni per creare gruppi e per creare e modificare i criteri di accesso condizionale.

  2. Espandere Gruppi>Tutti i gruppi> e selezionare Nuovo gruppo.

  3. Creare un gruppo dinamico con le regole appropriate per includere gli utenti applicabili che registreranno i dispositivi gestiti da Jamf con l'ID Microsoft Entra.

    Consiglio

    È consigliabile usare un gruppo dinamico, ma è anche possibile usare un gruppo statico.

Connettere Jamf Pro a Intune

Jamf Pro usa i connettori nell'interfaccia di amministrazione Microsoft Intune, disponibile in >Connettori e token di amministrazione> tenant. Il processo di connessione di Jamf Pro a Intune viene avviato nel portale di amministrazione di Jamf Pro e usa una procedura guidata che richiede i passaggi successivi.

  1. Accedere al portale di Jamf Amministrazione, ad esempio: https://tenantname.jamfcloud.com.

  2. Passare a Impostazioni > Conformità globale > del dispositivo.

  3. Selezionare Modifica e quindi abilitare la piattaforma macOS selezionando la casella .

  4. Nell'elenco a discesa Gruppo di conformità selezionare il gruppo intelligente di computer creato per Conformità nella sezione precedente Computer-smart-groups di questo articolo.

  5. Nell'elenco a discesa Gruppo applicabile selezionare il gruppo intelligente computer creato per Applicabile nella sezione precedente Computer-smart-groups di questo articolo.

  6. Abilitare il dispositivo di scorrimento in alto a destra e selezionare Salva.

  7. Vengono quindi presentate due richieste di autenticazione Microsoft. Ognuno richiede un amministratore globale di Microsoft 365 per autenticare la richiesta:

    • Il primo prompt di autenticazione crea l'applicazione Cloud Connector for Device Compliance nell Microsoft Entra ID.
    • Il secondo prompt di autenticazione crea l'app di registrazione utente per Conformità del dispositivo.

    Immagine che mostra le richieste di autorizzazioni richieste nelle applicazioni registrate Microsoft Entra.

  8. Verrà visualizzata una nuova scheda del browser in una pagina del portale jamf con una finestra di dialogo Configura partner di conformità e quindi selezionare il pulsante Apri Microsoft Endpoint Manager.

    Immagine del pulsante Jamf Configure Compliance Partner Open Microsoft Endpoint Manager (Apri Microsoft Endpoint Manager).

  9. Una nuova scheda del browser apre l'interfaccia di amministrazione Microsoft Intune.

  10. Passare alla gestione della conformità dei connettori e dei > token di amministrazione > del tenant.

  11. Nella parte superiore della pagina Gestione conformità partner selezionare Aggiungi partner di conformità.

  12. Nella procedura guidata Crea partner di conformità :

    1. Usare l'elenco a discesa Partner di conformità per selezionare Conformità dispositivo Jamf.
    2. Usare l'elenco a discesa Piattaforma per selezionare macOS e quindi selezionare Avanti.
    3. In Assegnazioni selezionare Aggiungi gruppi e quindi selezionare il gruppo di utenti Microsoft Entra creato in precedenza. Non selezionare Aggiungi tutti gli utenti perché inibisce la connessione.
    4. Selezionare Avanti e quindi Crea.

  13. Nel browser aprire la scheda contenente il portale Jamf con la finestra di dialogo Configura partner di conformità .

  14. Selezionare il pulsante Conferma .

    Immagine del pulsante Jamf Configure Compliance Partner Confirm .

  15. Passare alla scheda del browser che mostra il dashboard di gestione della conformità dei partner di Intune e selezionare l'icona Aggiorna nella parte superiore accanto all'opzione Aggiungi partner di conformità .

  16. Verificare che il connettore di conformità del dispositivo macOS Jamf mostri lo stato del partner Attivo.

    Immagine della connessione attiva macOS di Intune Connectors for Device Compliance Partner.

Completare la configurazione amministrativa

Per assicurarsi che gli utenti siano in grado di registrare i dispositivi, è necessario conoscere i criteri di accesso condizionale Microsoft Entra che potrebbero bloccarli. L'app Registrazione utente per Conformità dispositivo creata quando è stato connesso Jamf Pro a Intune deve essere aggiunta come esclusione in qualsiasi criterio che potrebbe impedire agli utenti di registrare i propri dispositivi.

Si consideri, ad esempio, un criterio di accesso condizionale Microsoft Entra che richiede dispositivi conformi:

  • Assegnazioni : assegnare questo criterio a tutti gli utenti o includere gruppi di utenti con dispositivi gestiti da Jamf.
  • Risorse di destinazione : impostare le configurazioni seguenti:
    • Si applica a tutte le app cloud.
    • Escludere l'app Registrazione utente per l'app Conformità del dispositivo . Questa app è stata creata quando è stato connesso Jamf Pro a Intune.
  • Le condizioni includono le opzioni seguenti:
    • Richiede la conformità
    • Richiede un dispositivo registrato

Immagine dell'eccezione Microsoft Entra criteri di accesso condizionale per l'applicazione utente

Notifiche dell'utente finale

È consigliabile fornire un'ampia notifica dell'esperienza utente finale per garantire che gli utenti dei dispositivi gestiti da Jamf siano a conoscenza del processo, del funzionamento e di una sequenza temporale in cui devono essere conformi ai criteri. Un importante promemoria che deve essere incluso in queste notifiche è che l'app Jamf Self-Service contiene i criteri che usano per registrare il dispositivo. Gli utenti non devono usare l'app microsoft Portale aziendale distribuita per tentare la registrazione. L'uso dell'app Portale aziendale genera un errore che indica AccountNotOnboarded.

I dispositivi gestiti con la piattaforma Jamf non vengono visualizzati nell'elenco dei dispositivi di Intune nel processo seguente. Dopo che gli utenti hanno registrato i dispositivi in Microsoft Entra ID, lo stato iniziale del dispositivo viene visualizzato come Non conforme. Dopo aver aggiornato il gruppo intelligente di computer Jamf Pro configurato per la conformità, lo stato viene inviato tramite in Intune Connector per Microsoft Entra ID per aggiornare lo stato di conformità dei dispositivi. La frequenza degli aggiornamenti alle informazioni sul dispositivo Microsoft Entra si basa sul gruppo intelligente Computer di conformità nella frequenza di modifica jamf.

Risoluzione dei problemi

Problema

Dopo l'avvio dei criteri dall'app Jamf Self-Service nel dispositivo macOS, il prompt di autenticazione Microsoft sembrava funzionare normalmente. Tuttavia, lo stato del dispositivo visualizzato nell Microsoft Entra ID non è stato aggiornato da N/D allo stato Conforme come previsto, anche dopo un'ora o più.

In questo caso, il record del dispositivo nell'ID Microsoft Entra era incompleto.

Risoluzione

Prima di tutto, verificare quanto segue:

  • Il dispositivo viene visualizzato come membro del gruppo intelligente di computer Jamf per la conformità. Questa appartenenza indica che il dispositivo è conforme.
  • L'utente che esegue l'autenticazione è un membro del gruppo di Microsoft Entra con ambito per il connettore Jamf Intune.

In secondo luogo, nel dispositivo interessato:

  • Aprire l'applicazione Terminale ed eseguire il comando seguente:

    /usr/local/jamf/bin/jamfaad gatherAADInfo

    • Se il comando non genera un prompt e restituisce invece Microsoft Entra ID acquisito per l'utente macOS $USER, la registrazione è stata valida.
    • Se il comando crea un prompt di accesso e l'utente è in grado di completare l'accesso senza errori, potrebbe essersi verificato un errore dell'utente durante il tentativo di registrazione iniziale.
    • Se il comando crea un prompt di accesso ma si verifica un errore durante l'accesso dell'utente, è necessaria un'ulteriore risoluzione dei problemi tramite un caso di supporto.

Passaggi successivi