Microsoft Intune と統合するために Jamf Cloud Connector を構成する

重要

条件付きアクセスに対する Jamf macOS デバイスのサポートは非推奨になっています。

2024 年 9 月 1 日から、Jamf Pro の条件付きアクセス機能が構築されているプラットフォームはサポートされなくなります。

macOS デバイスに Jamf Pro の条件付きアクセス統合を使用する場合は、Jamf のドキュメントに記載されているガイドラインに従って、デバイスをデバイス コンプライアンス統合に移行します。「 macOS 条件付きアクセスから macOS デバイス コンプライアンスへの移行 - Jamf Pro のドキュメント」を参照してください。

ヘルプが必要な場合は、 Jamf カスタマー サクセスにお問い合わせください。 詳細については、 のブログ投稿 https://aka.ms/Intune/Jamf-Device-Complianceを参照してください。

この記事では、Jamf Cloud Connector をインストールして、Jamf Pro を Microsoft Intune と統合する方法について説明します。 統合により、Jamf Pro によって管理されている macOS デバイスが、組織のリソースへのアクセスを許可される前に Intune デバイスのコンプライアンス要件を満たすように要求できます。 リソース アクセスは、Intune で管理されるデバイスの場合と同じ方法で、Microsoft Entra条件付きアクセス ポリシーによって制御されます。

Jamf Cloud Connector では、「コンプライアンスのために Jamf Pro を Intune と統合する」に記載されている、手動で統合を構成する場合に必要となる手順の多くが自動化されるため、Jamf Cloud Connector を使用することをお勧めします。

Cloud Connector を設定すると:

• 設定を行うと、Jamf Pro アプリケーションが Azure に自動的に作成されるので、手動で構成する必要がなくなります。
• Jamf Pro の複数のインスタンスを、お客様の Intune サブスクリプションをホストする同一の Azure テナントに統合できます。

Jamf Pro の複数のインスタンスを単一の Azure テナントに接続することは、Cloud Connector を使用する場合にのみサポートされます。 手動で構成された接続を使用する場合、Jamf のインスタンスは 1 つのみ Azure テナントと統合できます。

Cloud Connector の使用には、次の選択肢があります。

• まだ Jamf と統合されていない新しいテナントの場合は、この記事の説明に従って Cloud Connector を構成するか、 「コンプライアンスのために Jamf Pro を Intune と統合する」の説明に従って手動で統合を構成するかをユーザーが選択できます。
• 既に手動で構成されているテナントの場合は、その統合を削除してから、Cloud Connector を設定することを選択できます。 この記事では、既存の統合の削除と Cloud Connector の設定の両方について説明します。

以前の統合を Jamf Cloud Connector に置き換えるには:

• 現在の構成を削除するための手順を実行します。これには、Jamf Pro 用のエンタープライズ アプリを削除し、その手動統合を無効にすることが含まれます。 次に、Cloud Connector を構成するための手順を実行できます。
• デバイスを再登録する必要はありません。 既に登録されているデバイスは、追加の構成なしで Cloud Connector を使用できます。
• 登録済みデバイスが自身の状態を報告し続けられるようにするため、手動統合を削除してから 24 時間以内に Cloud Connector を必ず構成してください。

Jamf Cloud Connector の詳細については、docs.jamf.com の「Cloud Connector を使用した macOS Intune 統合の構成」を参照してください。

前提条件

製品とサービス:

• Jamf Pro 10.18 以降
• 条件付きアクセス特権を持つ Jamf Pro ユーザー アカウント
• Microsoft Intune
• Microsoft Entra ID P1 または P2
• macOS 用ポータル サイト アプリ
• OS X 10.12 Yosemite 以降を使用する macOS デバイス

ネットワーク:
Jamf と Intune を適切に統合するには、次のポートとエンドポイントにアクセスできる必要があります。

• Intune: Port 443

• Apple: ポート 2195、2196、および 5223 (Intune へのプッシュ通知)

• Jamf: Ports 80 および 5223

• エンドポイント:

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

APNS がネットワーク上で正常に機能するには、次のポートに対する発信接続、およびそれらのポートからのリダイレクトを有効にする必要があります。

• すべてのクライアント ネットワークからの TCP ポート 5223 および 443 上の Apple 17.0.0.0/8 ブロック。
• Jamf Pro サーバーからのポート 2195 および 2196。

これらのポートの詳細については、次の記事を参照してください。

• Intune のネットワーク構成の要件と帯域幅。
• jamf.com 上で Jamf Pro に使用されるネットワーク ポート。
• support.apple.com 上で Apple ソフトウェア製品に使用される TCP ポートと UDP ポート

[アカウント]:
この記事の手順を実行するには、次のアクセス許可を持つアカウントを使用する必要があります。

• Jamf Pro コンソール: Jamf Pro を管理するためのアクセス許可を持つアカウント
• Microsoft Intune管理センター: グローバル管理者
• Azure portal: 全体管理者

以前に構成したテナントの Jamf Pro 統合を削除する

Cloud Connector を構成する前に、次の手順を実行して、Azure テナントから手動で構成した Jamf Pro の統合を削除します。

Jamf Pro と Intune の間の接続を以前に設定していない場合、または既に Cloud Connector を使用している 1 つ以上の接続がある場合は、この手順をスキップして、「 新しいテナント用にクラウド コネクタを構成する」から始めます。

手動で構成された Jamf Pro 統合を削除する

1. Jamf Pro コンソールにサインインします。

2. [設定] (右上隅の歯車アイコン) を選択し、[グローバル管理]>[条件付きアクセス] の順に移動します。

   

3. [編集] を選択します。

4. [Enable Intune Integration for macOS]\(macOS の Intune 統合の有効化\) チェックボックスをオフにします。

   この設定をオフにすると、接続は無効になりますが、構成は保存されます。

5. Microsoft Intune管理センターにサインインし、[テナント管理>] [パートナー デバイス管理] に移動します。

   [パートナー デバイス管理] ノードの [Jamf のMicrosoft Entraアプリ ID を指定する] フィールドでアプリケーション ID を削除し、[保存] を選択します。

   このアプリケーション ID は、Jamf Pro の場合に手動統合を設定するときに Azure で作成された Azure エンタープライズ アプリの ID です。

6. グローバル 管理 アクセス許可を持つアカウントでAzure portalにサインインし、[Microsoft Entra ID>Enterprise アプリケーション] に移動します。

   2 つの Jamf アプリを見つけて、それらを削除します。 次の手順で Jamf Cloud Connector を構成すると、新しいアプリケーションが自動的に作成されます。

   

   Jamf Pro で統合を無効にし、エンタープライズ アプリケーションを削除すると、[パートナー デバイス管理] ノードに接続の状態が [Terminated]\(終了\) として表示されます。

   

これで、Jamf Pro 統合の手動構成が正常に削除されたので、Cloud Connector を使用して統合を設定することができます。 これを行うには、この記事の「新しいテナント用に Cloud Connector を構成する」を参照してください。

新しいテナント用に Cloud Connector を構成する

次の場合は、以下に示す手順を使用して、Jamf Cloud Connector を構成し、Jamf Pro と Microsoft Intune を統合します。

• Jamf Pro と Intune の間に Azure テナント用の統合は構成されていない。
• Azure テナントで Jamf Pro と Intune の間に Cloud Connector が既に設定されており、もう一つの Jamf インスタンスをサブスクリプションと統合する必要がある。

Intune と Jamf Pro の間に手動で構成された統合がある場合は、先に進む前に、この記事の「以前に構成したテナントの Jamf Pro 統合を削除する」を参照してその統合を削除してください。 Jamf Cloud Connector を正常に設定するには、その前に、手動で構成された統合を削除する必要があります。

新しい接続を作成する

1. Jamf Pro コンソールにサインインします。

2. [設定] (右上隅の歯車アイコン) を選択し、[グローバル管理]>[条件付きアクセス] の順に移動します。

   

3. [編集] を選択します。

4. [Enable Intune Integration for macOS]\(macOS の Intune 統合の有効化\) チェックボックスをオンにします。

   • この設定を選択すると、Jamf Pro はインベントリの更新情報を Microsoft Intune に送信します。
   • この設定をオフにして接続を無効にしても、構成は保存できます。

   重要

   [Enable Intune Integration for macOS]\(macOS の Intune 統合の有効化\) が既に選択されていて、[接続の種類] が [手動] に設定されている場合は、先に進む前にその統合を削除する必要があります。 先に進む前に、この記事の「以前に構成したテナントの Jamf Pro 統合を削除する」を参照してください。

5. [接続の種類] で、[Cloud Connector] を選択します。

   

6. [ソブリン クラウド] ポップアップ メニューから、Microsoft からのソブリン クラウドの場所を選択します。 以前の統合を Jamf Cloud Connector に置き換える場合、その場所が指定されていればこの手順は省略できます。

7. Microsoft Azure によって認識されないコンピューターについて、次のいずれかのランディング ページ オプションを選択します。

   • [既定の Jamf Pro デバイス登録] ページ - macOS デバイスの状態に応じて、このオプションは、ユーザーを Jamf Pro デバイス登録ポータル (Jamf Pro に登録する場合) または Intune ポータル サイト アプリ (Microsoft Entra ID で登録する) のいずれかにリダイレクトします。
   • [アクセスが拒否されました] ページ
   • カスタム URL

   以前の統合を Jamf Cloud Connector に置き換える場合、そのランディング ページが指定されていればこの手順は省略できます。

8. [接続] を選択します。 Azure で Jamf Pro アプリケーションを登録するようにリダイレクトされます。

   プロンプトが表示されたら、Microsoft Azure の資格情報を指定し、画面の指示に従って要求されたアクセス許可を付与します。 Cloud Connector に対してアクセス許可を付与し、Cloud Connector ユーザー登録アプリに対してもアクセス許可を付与します。 両方のアプリは、エンタープライズ アプリケーションとして Azure に登録されます。

   両方のアプリに対してアクセス許可が付与されると、[アプリケーション ID] ページが開きます。

9. [アプリケーション ID] ページで、[Intune をコピーして開く] を選択します。

   

   次の手順で使用するためにアプリケーション ID がシステム クリップボードにコピーされ、Microsoft Intune管理センターのパートナー デバイス管理ノードが開きます。 ([テナント管理]>[パートナー デバイス管理])。

10. [パートナー デバイス管理] ノードの [アプリケーション ID] を [Jamf のMicrosoft Entraアプリ ID を指定する] フィールドに貼り付け、[保存] を選択します。

    

11. Jamf Pro の [アプリケーション ID] ページに戻り、[確認] を選択します。

12. Jamf Pro により構成が完了され、テストが実行されます。接続の成功または失敗は、条件付きアクセス設定ページに表示されます。 成功の例を次の図に示します。

    

13. Microsoft Intune管理センターで、パートナー デバイス管理ノードを更新します。 接続が [アクティブ] として表示されるはずです。

    

Jamf Pro と Microsoft Intune の間の接続が正常に確立されると、Jamf Pro は、Microsoft Entra ID に登録されている各コンピューターのMicrosoft Intuneにインベントリ情報を送信します (Microsoft Entra ID での登録はエンド ユーザー ワークフローです)。 Jamf Pro のコンピューターのインベントリ情報の [ローカル ユーザー アカウント] カテゴリで、ユーザーとコンピューターの条件付きアクセス インベントリ状態を確認できます。

Jamf Cloud Connector を使用して Jamf Pro のインスタンスを 1 つ統合したら、この同じ手順を使用して、Azure テナント内の同じ Intune サブスクリプションでさらに多くの Jamf Pro のインスタンスを構成できます。

コンプライアンス ポリシーを設定してデバイスを登録する

Intune と Jamf の統合を構成したら、Jamf で管理されたデバイスにコンプライアンス ポリシーを適用する必要があります。

Jamf Pro と Intune を切断する

Jamf Pro と Intune の統合を削除するには、次の手順に従って、Jamf Pro コンソール内から接続を削除します。 この情報は、Cloud Connector と手動で構成された統合の両方に適用されます。

Microsoft Intune管理センター内から Jamf Pro のプロビジョニングを解除する

1. Microsoft Intune管理センターで、[テナント管理>コネクタとトークン>パートナー デバイス管理] に移動します。

2. [終了] オプションを 選択します。 Intune では、アクションに関するメッセージが表示されます。 メッセージを確認し、準備ができたら [ OK] を選択します。 統合を 終了 するオプションは、Jamf 接続が存在する場合にのみ表示されます。

統合を終了したら、管理センターのビューを更新してビューを更新します。 organizationの macOS デバイスは、90 日間で Intune から削除されます。

Jamf Pro コンソール内から Jamf Pro をプロビジョニング解除する

Jamf Pro コンソール内から接続を削除するには、次の手順に従います。

1. Jamf Pro コンソールで、[ グローバル管理>の条件付きアクセス] に移動します。 [macOS Intune Integration]\(macOS Intune 統合\) タブで、[編集] を選択します。

2. [Enable Intune Integration for macOS]\(macOS の Intune 統合の有効化\) チェック ボックスをオフにします。

3. [保存] を選択します。 Jamf Pro によって構成が Intune に送信され、統合が終了します。

4. Microsoft Intune管理センターにサインインします。

5. [テナント管理]>[コネクタとトークン]>[パートナー デバイスの管理] の順に選択して、状態が [終了] になっていることを確認します。

統合を終了すると、organizationの macOS デバイスは、本体に表示されている日付 (3 か月後) に削除されます。

Cloud Connector のサポートを受ける

統合に必要な Azure エンタープライズ アプリは Cloud Connector によって自動的に作成されるので、最初のサポート連絡先は Jamf になります。 オプションは以下のとおりです。

• メールでのサポート: support@jamf.com
• Jamf Nation のサポート ポータルを使用する: https://www.jamf.com/support/

サポートに問い合わせる前に:

• 使用するポートや製品バージョンなどの前提条件を確認します。

• Azure で作成された次の 2 つの Jamf Pro アプリのアクセス許可が変更されていないことを確認します。 アプリのアクセス許可の変更は Intune でサポートされていないため、統合が失敗する可能性があります。

  Cloud Connector ユーザー登録アプリ:

  • API 名: Microsoft Graph
    • アクセス許可: サインインしてユーザー プロファイルを読み取る
    • 型: 委任済み
    • 許可対象: 管理者の同意
    • 許可者: 管理者

  Cloud Connector アプリ:

  • API 名: Microsoft Graph (インスタンス 1)

    • アクセス許可: サインインしてユーザー プロファイルを読み取る
    • 型: 委任済み
    • 許可対象: 管理者の同意
    • 許可者: 管理者

  • API 名: Microsoft Graph (インスタンス 2)

    • アクセス許可: ディレクトリ データの読み取り
    • 型: アプリケーション名を入力する
    • 許可対象: 管理者の同意
    • 許可者: 管理者

  • API 名: Intune API

    • アクセス許可: デバイス属性を Microsoft Intune に送信する
    • 型: アプリケーション名を入力する
    • 許可対象: 管理者の同意
    • 許可者: 管理者

Jamf Cloud Connector に関してよく寄せられる質問

Cloud Connector を介して共有されるのはどのようなデータですか?

Cloud Connector は Microsoft Azure で認証を行い、デバイス インベントリ データを Jamf Pro から Azure に送信します。 また、Cloud Connector は、Azure でのサービス検出、トークン交換、通信エラー、およびディザスター リカバリーを管理します。

デバイス インベントリ データはどこに保存されますか?

デバイス インベントリ データは、Jamf Pro データベースに保存されます。

どのような資格情報が保存されますか?

資格情報は保存されません。 Cloud Connector を構成するときは、Jamf マルチテナント アプリとネイティブ macOS コネクタ アプリを Microsoft Entra テナントに追加することに同意する必要があります。 マルチテナント アプリケーションが追加されると、Cloud Connector は Azure API と対話するためにアクセス トークンを要求します。 アプリケーション アクセスは、いつでも Microsoft Azure で取り消して、アクセスを制限できます。

データはどのように暗号化されますか?

Cloud Connector は、Jamf Pro と Microsoft Azure の間で送信されるデータに対してトランスポート層セキュリティ (TLS) を使用します。

Jamf は、どのデバイスが Jamf Pro のどのインスタンスに関連付けられているかをどのように認識しますか?

Jamf Pro は、AWS のマイクロサービスを使用して、正しいインスタンスにデバイス情報を正しくルーティングします。

使用する接続の種類を Cloud Connector から手動に切り替えることはできますか?

はい。 接続の種類を [手動] に戻して、手動セットアップの手順を実行できます。 ご質問がある場合は、Jamf にお問い合わせください。

1 つまたは両方の必要なアプリ (Cloud Connector および Cloud Connector ユーザー登録アプリ) でアクセス許可が変更され、登録が機能していません。 アクセス許可の変更はサポートされていますか?

アプリのアクセス許可の変更は、サポートされていません。

Jamf Pro には、接続の種類が変更されたかどうかを示すログ ファイルがありますか?

はい。その変更は JAMFChangeManagement.log ファイルに記録されます。 変更管理ログを表示するには、Jamf Pro にサインインし、[設定>] [システム設定] [変更管理>ログ] > の順に移動し、[オブジェクトの種類] で [条件付きアクセス] を検索し、[詳細] を選択して変更を表示します。

次の手順

• Jamf で管理されたデバイスにコンプライアンス ポリシーを適用する
• Jamf から Intune に送られるデータ
• Jamf Pro と Intune を統合して、Microsoft Entra ID へのコンプライアンスを報告します。