Jamf Mobile Threat Protection と Intune の統合

Jamf Mobile Threat Defense ソリューションを Intune と統合するには、次の手順を実行します。

開始する前に

Jamf と Intune を統合するプロセスを開始する前に、次の前提条件が満たされていることを確認してください。

• Microsoft Intune プラン 1 サブスクリプション

• Microsoft Entra 管理者の資格情報と、次のアクセス許可を付与できる割り当てられたロール。

  • サインインおよびユーザー プロファイルの読み取り
  • サインインしているユーザーとしてのディレクトリへのアクセス
  • ディレクトリ データの読み取り
  • Intune にデバイスのリスク情報を送信する

• 有効な Jamf Security Cloud サブスクリプション

  • スーパー管理者特権を持つ管理者アカウント

統合の概要

Jamf と Intune の間で Mobile Threat Defense の統合を有効にするには、次の作業が必要です。

• Jamf の UEM Connect サービスが Azure と Intune と情報を同期できるようにする。 同期には、ユーザーとデバイスのライフ サイクル管理 (LCM) メタデータとモバイル脅威防御 (MTD) デバイスの脅威レベルが含まれます。
• Jamf でアクティブ化プロファイルを作成して、デバイス登録の動作を定義します。
• 管理対象の iOS デバイスと Android デバイスに Jamf Trust アプリをデプロイします。
• iOS および Android デバイスで MAM を使用してエンド ユーザーのセルフサービス用に Jamf を構成します。

Jamf Mobile Threat Defense の統合を設定する

Jamf と Intune の統合を設定する場合、Jamf スタッフのサポートは必要なく、数分で簡単に実行できます。

Intune で Jamf のサポートを有効にする

1. Microsoft Intune 管理センターにサインインします。

2. [テナント管理]>[コネクタとトークン]>[Mobile Threat Defense]>[追加] を選択します。

3. [ コネクタの追加] ページで、ドロップダウンを使用して [Jamf] を選択します。 次いで [作成] を選択します。

4. [Mobile Threat Defense]\(モバイル脅威防御\) ウィンドウで、コネクタの一覧から Jamf MTD コネクタを選択して、[ コネクタの編集 ] ウィンドウを開きます。 [ Jamf 管理コンソールを開く ] を選択して Jamf Security Cloud ポータルを開き、サインインします。

5. Jamf Security Cloud ポータルで、 UEM 統合 > 統合に移動し、[ UEM 接続 ] タブを選択します。[EMM ベンダー] ドロップダウンを使用して、[ Microsoft Intune] を選択します。

6. 次の図のような画面が表示され、統合を完了するために必要なアクセス許可許可が示されます。

   

7. [Microsoft Intune ユーザーとデバイス同期] の横にある [ 許可 ] ボタンを選択して、Jamf が Azure と Intune でライフ サイクル管理 (LCM) 機能を実行することに同意するプロセスを開始します。

8. プロンプトが表示されたら、Azure 管理者の資格情報を選択または入力します。 要求されたアクセス許可を確認して、[組織の代理として同意する] チェックボックスをオンにします。 最後に、[同意する] を選択して LCM 統合を承認します。

   

9. Jamf Security Cloud ポータルに自動的に戻ります。 承認が成功した場合は、[許可] ボタンの横に緑色のチェックマークが表示されます。

10. 一覧表示された残りの統合について、[Grant]\(許可\) ボタンをクリックして、それぞれの横に緑色のティックが表示されるまで同意プロセスを繰り返します。

11. Intune 管理センターに戻り、MTD コネクタの編集を再開します。 使用可能な切り替えを [オン] に設定して、構成を [保存] します。

    

Intune と Jamf が接続されました。

Jamf でアクティブ化プロファイルを作成する

Intune ベースのデプロイは、Jamf Security Cloud ポータルで定義されている Jamf ライセンス認証プロファイルを使用して容易に行うことができます。 各アクティブ化プロファイルでは、認証要件、サービス機能、初期のグループ メンバーシップなどの特定の構成オプションを定義します。

Jamf でアクティブ化プロファイルを作成した後、Intune のユーザーとデバイスに割り当てます。 ライセンス認証プロファイルは、デバイス プラットフォームと管理戦略全体で汎用ですが、次の手順では、これらの違いに基づいて Intune を構成する方法を定義します。

この手順では、Intune 経由でターゲット デバイスに展開するライセンス認証プロファイルを Jamf に作成していることを前提としています。 Jamf ライセンス認証プロファイルの作成と使用の詳細については、Jamf セキュリティ ドキュメントの 「ライセンス認証プロファイル 」を参照してください。

注:

Intune 経由で展開するためのアクティブ化プロファイルを作成する場合は、セキュリティ、クロスプラットフォームの互換性、および合理化されたエンド ユーザー エクスペリエンスを最大限に高めるために、[関連付けられたユーザー] を [Authenticated by Identity Provider > Microsoft Entra] オプションに設定してください。

MDM で管理されるデバイスへの Jamf Over-the-Air の展開

Intune で管理する iOS デバイスと Android デバイスの場合、Jamf は、プッシュベースの迅速なアクティブ化のために、空中で展開できます。 このセクションに進む前に、必要なアクティブ化プロファイルが既に作成されていることを確認してください。 管理対象デバイスへの Jamf のデプロイには、次のことが含まれます。

• Intune への Jamf 構成プロファイルの追加とターゲット デバイスへの割り当て。
• Jamf 信頼アプリとそれぞれのアプリ構成を Intune に追加し、ターゲット デバイスに割り当てます。

iOS 構成プロファイルの構成とデプロイ

このセクションでは、 必要な iOS デバイス構成ファイルをダウンロードし、MDM 経由で Intune マネージド デバイスに配信します。

1. Jamf Security Cloud ポータルで、展開するアクティブ化プロファイル (デバイス>アクティブ化) に移動し、[展開戦略] タブ> [管理されたデバイス>Microsoft Intune] を選択します。

2. ご使用のデバイス フリーと構成に基づいて、[Apple iOS Supervised]\(監視下の Apple iOS \) セクションまたは [Apple iOS Unsupervised]\(監視されていない Apple iOS\) セクションを展開します。

3. 指定した構成プロファイルをダウンロードし、後の手順でアップロードする準備をします。

4. Microsoft Intune 管理センターを開き、[デバイス > iOS/iPadOS >構成プロファイル] に移動します。 [ 作成>新しいポリシー] を選択します。

5. 表示されるパネルで、[ プラットフォーム ] で [ iOS/iPadOS] を選択し、[ プロファイルの種類 ] で [ テンプレート ] を選択し、[ カスタム] を選択します。 その後、[作成] を選択します。

6. [ 名前 ] フィールドに構成のわかりやすいタイトルを指定します。Jamf Security Cloud ポータルでライセンス認証プロファイルに名前を付けた内容と理想的に一致します。 一致する名前は、将来的にクロスリファレンスを容易にするのに役立ちます。 または、必要に応じて、アクティブ化プロファイル コードを指定します。 名前にサフィックスを付けて、監視下のデバイスまたは監視されていないデバイスのどちらの構成であるかを示すことをお勧めします。

7. 必要に応じて、[説明] を入力して、構成の目的または用途について他の管理者に詳細を提供します。 [次へ] を選択します。

8. [ 構成設定 ] ページの [ 構成プロファイル ファイル] で、手順 3 でダウンロードしたアクティブ化プロファイルに対応するダウンロードした構成プロファイルを指定または参照します。 監視下のプロファイルと監視されていないプロファイルの両方をダウンロードした場合は、適切なプロファイルを選択するようにしてください。 [次へ] を選択します。

9. Jamf がインストールされているユーザーまたはデバイスのグループに構成プロファイルを割り当てます。 テスト グループから開始し、アクティブ化が正常に機能していることを検証した後に展開することをお勧めします。 [次へ] を選択します。

10. 必要に応じて構成の正確性の編集を確認し、[ 作成 ] を選択して構成プロファイルを作成して展開します。

注:

Jamf は、監視対象の iOS デバイス用の拡張デプロイ プロファイルを提供します。 監視下のデバイスと監視されていないデバイスが混在するフリートを使用している場合は、必要に応じて、他方のプロファイルの種類に対して上記の手順を繰り返します。 Intune を介して展開される将来のすべてのアクティブ化プロファイルについても、これらの同じ手順に従う必要があります。 監視対象の iOS デバイスと教師なし iOS デバイスが混在しており、監視モードベースのポリシー割り当てのサポートが必要な場合は、Jamf サポートにお問い合わせください。

MAM マネージド アプリケーションを使用して登録解除されたデバイスに Jamf をデプロイする

MAM マネージド アプリケーションを使用して登録解除されたデバイスの場合、Jamf は統合された認証ベースのオンボード エクスペリエンスを利用して、MAM マネージド アプリ内の会社のデータをアクティブ化して保護します。

次のセクションでは、会社のデータにアクセスする前にエンド ユーザーが Jamf をシームレスにアクティブ化できるように Jamf と Intune を構成する方法について説明します。

Jamf ライセンス認証プロファイルで Azure Device Provisioning を構成する

MAM で使用するアクティブ化プロファイルでは、関連付けられているユーザーが [認証された ID プロバイダー] > Microsoft Entra オプションに設定されている必要があります。

1. Jamf Security Cloud ポータルで、既存のアクティブ化プロファイルを選択するか、新しいアクティブ化プロファイルを作成します。このプロファイルを使用して、MAM マネージド アプリケーションを使用して登録解除されたデバイスは、[デバイス] > アクティブ化時に使用されます。

2. [ Id ベースのプロビジョニング ] タブを選択し、[Microsoft] セクションまでスクロールします。

3. 使用する アクティブ化プロファイル のトグルを選択します。これにより、[ アクティブ化プロファイルへの自動プロビジョニングの追加] ウィンドウが開きます。

4. [ すべてのユーザー (任意のグループ)] オプションの現在の選択を確認するか、[ 特定のグループ ] を選択し、 グループ ID を追加して、ユーザーのアクティブ化をそれらのグループのみに制限します。

   • 1 つ以上の グループ ID が 定義されている場合、MAM をアクティブ化するユーザーは、このアクティブ化プロファイルを使用してアクティブ化するために、指定したグループの少なくとも 1 つのメンバーである必要があります。
   • 同じ Azure テナント ID に対して、それぞれ異なるグループ ID を使用して、複数のアクティブ化プロファイルを設定できます。 さまざまなグループ ID を使用すると、Azure グループ メンバーシップに基づいてデバイスを Jamf に登録し、アクティブ化時にグループごとに差別化された機能を有効にできます。
   • グループ ID を指定しない 1 つの "既定" アクティブ化プロファイルを構成できます。 このグループは、認証されたユーザーが別のアクティブ化プロファイルとの関連付けを持つグループのメンバーではない、すべてのアクティブ化のキャッチオールとして機能します。

5. ページの右上隅にある [ 保存] を選択します 。

次の手順

• Jamf Security Cloud ポータルに Jamf ライセンス認証プロファイルが読み込まれた状態で、Intune でクライアント アプリを作成して、Jamf Trust アプリを Android および iOS/iPadOS デバイスに展開します。 Jamf アプリ構成は、デバイスにプッシュされるデバイス構成プロファイルを補完するための重要な機能を提供し、すべてのデプロイに推奨されます。 Jamf アプリに固有の手順とカスタムの詳細については、「 MTD アプリの追加」を参照してください。
• Jamf と Intune の統合により、構成の調整、レポートの表示、モバイル デバイスのフリート全体への展開をより広範に行うことができます。 詳細な構成ガイドについては、Jamf ドキュメントの サポート センターの概要ガイド を参照してください。