Jamf Pro で管理されている Mac のコンプライアンスを強化する

  • [アーティクル]

重要

条件付きアクセスに対する Jamf macOS デバイスのサポートは非推奨になっています

2024 年 9 月 1 日から、Jamf Pro の条件付きアクセス機能が構築されているプラットフォームはサポートされなくなります。

macOS デバイスに Jamf Pro の条件付きアクセス統合を使用する場合は、Jamf のドキュメントに記載されているガイドラインに従って、デバイスをデバイス コンプライアンス統合に移行します。「 macOS 条件付きアクセスから macOS デバイス コンプライアンスへの移行 - Jamf Pro のドキュメント」を参照してください

ヘルプが必要な場合は、 Jamf カスタマー サクセスにお問い合わせください。 詳細については、 のブログ投稿 https://aka.ms/Intune/Jamf-Device-Complianceを参照してください。

ヒント

Jamf Pro と Intune とMicrosoft Entra IDを統合するためのガイダンス (Jamf Pro を Jamf Pro で管理するデバイスにIntune ポータル サイト アプリを展開するように構成する方法など) については、「Jamf Pro と Intune を統合して、コンプライアンスをMicrosoft Entra IDに報告する」を参照してください。

Jamf Pro と Intune を統合したら、Intune コンプライアンス ポリシーと条件付きアクセス ポリシーをMicrosoft Entraして、macOS デバイスのコンプライアンスを組織の要件に適用します。

この記事は、次のタスクに役立ちます。

  • 条件付きアクセス ポリシーを作成する。
  • Jamf Pro を構成して、Jamf で管理するデバイスに Intune ポータル サイト アプリを展開します。
  • デバイス ユーザーが Jamf セルフサービス アプリ内から起動するポータル サイト アプリにサインインするときに、Microsoft Entra IDに登録するようにデバイスを構成します。 デバイス登録により、Microsoft Entra IDで ID が確立され、会社のリソースにアクセスするための条件付きアクセス ポリシーによってデバイスを評価できます。

この記事の手順では、Intune と Jamf Pro の両方のコンソールにアクセスする必要があります。 Intune では Jamf Pro を統合する 2 つの方法がサポートされており、それらの方法は、この記事の手順とは別に構成します。

統合が構成された後、デバイス ユーザーは、デバイスを登録する方法について IT 部門からの通信によって、または Jamf Pro Self Service で展開する Intune ポータル サイト アプリを検出することによって、Jamf Pro と Intune の統合について学習します。 デバイスの登録が完了すると、そのデバイス用に Jamf Pro によって収集されたインベントリ データが Intune と共有されます。 情報は、完了した Mac デバイスに対してのみ共有されます。

Intune のデバイス コンプライアンス ポリシーを設定する

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイスのコンプライアンス]> に移動します。 以前に作成したポリシーを使用している場合は、そのポリシーを選択し、この手順の次の手順に進みます。 新しいポリシーを作成する場合は、[ポリシーの作成] を選択してから、macOS[プラットフォーム] を含むポリシーの詳細を指定します。 組織の要件を満たすように [設定][コンプライアンス非対応に対するアクション] を構成してから、[作成] を選択してポリシーを保存します。

  3. [プロパティ] をクリックします。

  4. [割り当ての編集]> に移動します。 使用可能なオプションを使用して、ユーザーとセキュリティ グループがこのポリシーを受け取るMicrosoft Entraを構成します。 Jamf と Intune の統合では、デバイス グループを対象とするコンプライアンス ポリシーがサポートされていません。

    注:

    Jamf と Intune の統合では、Microsoft Entraユーザー グループのみがサポートされます。 デバイス グループを対象とするデバイス コンプライアンス ポリシーは適用されません。

  5. [保存] を選択すると、ポリシーがユーザーに展開されます。

展開するポリシーは、割り当てられたユーザーによって使用されるデバイスを対象とします。 これらのデバイスのコンプライアンスが評価されます。 準拠しているデバイスは、Microsoft Entra IDの設定 "デバイスを準拠としてマークする必要があります" に対して準拠としてマークされます。

注:

Intune では、ポリシーに準拠するためにディスク全体の暗号化が必要です。

macOS 用ポータル サイト アプリを Jamf Pro に展開する

Jamf Pro でポリシーを作成して Intune ポータル サイトを展開します。 このポリシーではポータル サイト アプリが展開され、Jamf Self Service で使用できるようになります。 ユーザーがデバイスをMicrosoft Entra IDに登録するためのポリシーを Jamf Pro で作成する前に、このポリシーを作成します。

次の手順を完了するには、macOS デバイスと Jamf Pro ポータルにアクセスする必要があります。

ポータル サイト アプリを展開するには

  1. macOS デバイスに、最新バージョンの macOS 用ポータル サイト アプリをダウンロードします (ただし、インストールしません)。 アプリを Jamf Pro にアップロードできるようにするために必要なものは、アプリのコピーのみです。

  2. Jamf Pro を開き、[Computer management]\(コンピューターの管理\)>[Packages]\(パッケージ\) に移動します。

  3. macOS 用のポータル サイト アプリで新しいパッケージを作成し、[保存] を選択します。

  4. [コンピューター]>[ポリシー] を開き、[新規] を選択します。

  5. [全般] ペイロードを使用して、ポリシーの設定を構成します。 これらの設定は次のとおりです。

    • トリガー: [登録完了][Recurring Check-in]\(定期的なチェックイン\) を選択します。
    • 実行の頻度: [Once per computer]\(コンピューターにつき 1 回\) を選択します。

  6. [パッケージ] ペイロードを選択し、[構成] を選択します。

  7. [追加] を選択し、ポータル サイト アプリでパッケージを選択します。

  8. [アクション] ポップアップ メニューから [インストール] を選択します。

  9. パッケージの設定を構成します。

  10. [スコープ] タブを選択し、ポータル サイト アプリをインストールするコンピューターを指定します。 [保存] を選択します。 ポリシーは、次回、選択したトリガーがコンピューターで発生し、[全般] ペイロードの条件を満たしている場合にスコープのデバイスで実行されます。

Jamf Pro でポリシーを作成して、ユーザーにデバイスを登録Microsoft Entra ID

Jamf Pro セルフサービスを使用して macOS 用のポータル サイトをデプロイした後、ユーザーのデバイスをMicrosoft Entra IDに登録する Jamf Pro ポリシーを作成できます。

デバイス登録を行うには、デバイス ユーザーが Jamf Self Service 内から手動で Intune ポータル サイト アプリを選択する必要があります。 メール、Jamf Pro の通知、または組織が使用しているその他の方法でエンド ユーザーに連絡し、この操作を完了してデバイスを登録するように指示することをお勧めします。

警告

ポータル サイト アプリを手動で起動した場合 (たとえば、アプリケーション フォルダーまたはダウンロード フォルダーから起動)、デバイスは登録されません。 デバイス ユーザーがポータル サイトを手動で起動した場合は、"AccountNotOnboarded" という警告が表示されます。

登録ポリシーを作成するには

  1. Jamf Pro で [Computers]\(コンピューター\)>[Policies]\(ポリシー\) に移動し、デバイス登録用の新しいポリシーを作成します。

  2. トリガーや実行の頻度など、[Microsoft Intune 統合] ペイロードを構成します。

  3. [スコープ] タブを選択し、ポリシーのスコープをすべての対象デバイスに限定します。

  4. [セルフ サービス] タブを選択し、Jamf Self Service でポリシーを利用可能にします。 ポリシーを [デバイスのポリシー準拠] カテゴリに含めます。 [保存] を選択します。

Intune と Jamf の統合を検証する

Jamf Pro コンソールを使用して、Jamf Pro と Microsoft Intune 間の通信が成功していることを確認します。

  • Jamf Pro で、[Settings]\(設定\)>[Global Management]\(グローバル管理\)>[Microsoft Intune Integration]\(Microsoft Intune の統合\) に移動し、[Test]\(テスト\) を選択します。

コンソールには、接続が成功したか失敗したかを示すメッセージが表示されます。 Jamf Pro コンソールからの接続テストが失敗する場合は、Jamf の構成を確認します。

Intune から Jamf で管理されたデバイスを削除する

Jamf で管理されているデバイスを削除するには、Microsoft Intune管理センターを開き、[デバイス>] [すべてのデバイス] の順に選択し、デバイスを選択して、[削除] を選択します。 複数のデバイスを選択し、[削除] をクリックすることで、デバイスの一括削除を有効にすることができます。

Jamf Pro のドキュメントで、Jamf で管理されるデバイスを削除する方法について説明します。さらにヘルプが必要な場合は、Jamf サポートにサポート チケットを提出することもできます。

次の手順