Jamf Pro とMicrosoft Intuneを統合して、デバイスのコンプライアンスをMicrosoft Entra ID に報告する

Jamf Pro と Microsoft Intune の統合を確立するプロセスは進化しています。 Jamf マネージド デバイスのコンプライアンス状態のレポートにより、Jamf Pro 環境で Jamf 管理ポリシーのコンプライアンスの状態を判断し、Intune のコネクタを介してデバイスコンプライアンスの状態をMicrosoft Entra ID に報告できるようになりました。 Jamf によって管理されているデバイスのコンプライアンス状態が Microsoft Entra ID に報告されると、それらのデバイスは、条件付きアクセス ポリシーが確立する Zero-Trust 原則Microsoft Entra満たできるようになります。

重要

条件付きアクセスに対する Jamf macOS デバイスのサポートは非推奨になっています。

2024 年 9 月 1 日から、Jamf Pro の条件付きアクセス機能が構築されているプラットフォームはサポートされなくなります。

macOS デバイスに Jamf Pro の条件付きアクセス統合を使用する場合は、Jamf のドキュメントに記載されているガイドラインに従って、デバイスをデバイス コンプライアンス統合に移行します。「 macOS 条件付きアクセスから macOS デバイス コンプライアンスへの移行 - Jamf Pro のドキュメント」を参照してください。

ヘルプが必要な場合は、 Jamf カスタマー サクセスにお問い合わせください。 詳細については、 のブログ投稿 https://aka.ms/Intune/Jamf-Device-Complianceを参照してください。

この記事は、次のタスクに役立ちます。

• Jamf Pro で必要なコンポーネントと構成を構成します。
• Jamf Pro を構成して、Jamf で管理するデバイスに Intune ポータル サイト アプリを展開します。
• Jamf セルフサービス ポータル アプリを使用してユーザーに展開するポリシーを構成して、デバイスを Microsoft Entra ID に登録します。
• Intune コネクタを構成します。
• 必要なコンポーネントMicrosoft Entra ID を準備します。

この記事の手順を完了するには、アカウントに次のアクセス許可が必要です。

• Jamf Pro 管理者またはデバイス コンプライアンス特権を持つ Jamf Pro ユーザー アカウント
• Intune 管理者
• グローバル管理者Microsoft Entra

Jamf Pro と Microsoft Entra ID の統合に関する一般的な質問

Microsoft Entra ID と統合すると、Jamf Pro マネージド デバイスにメリットがあるのはなぜですか?

Microsoft Entra条件付きアクセス ポリシーでは、デバイスがコンプライアンス標準を満たすだけでなく、Microsoft Entra ID に登録する必要があります。 組織は、Microsoft Entra条件付きアクセス ポリシーを使用してセキュリティ体制を継続的に改善し、次のシナリオの例を確認しようとしている。

• デバイスは、Microsoft Entra ID で登録されます。
• デバイスは、既知の信頼された場所または IP アドレス範囲を使用しています。
• デバイスは、Microsoft 365 デスクトップ アプリケーションとブラウザーを使用して企業リソースにアクセスするために、コンプライアンスの基準を満たしています。

Microsoft Entra統合と、以前に提供された条件付きアクセス方法 Jamf の違いは何ですか?

Jamf Pro を利用しているが Intune への接続がまだ確立されていない組織の場合、Jamf Pro ポータルの [設定 > ] グローバル > 条件付きアクセス パスで構成を利用していた以前の方法では、新しい構成を受け入れることができません。

新しい統合では、[設定] [グローバル > デバイス コンプライアンス] > の下の構成が必要であり、Intune への接続を説明するためのウィザード ベースのプロセスを提供します。 ウィザードには、必要なMicrosoft Entra登録済みアプリケーションを作成する方法が用意されています。 これらの登録済みアプリケーションは、以前と同様に、この現在の設計では事前に作成できません。

Jamf Pro の管理構成

Jamf Pro の構成では、Intune への接続を確立する前に、Jamf Pro コンソールで次の コンピューター スマート グループ と コンピューター ポリシー を作成する必要があります。

コンピューター スマート グループ

次の例を使用して、2 つのコンピューター スマート グループを作成します。

該当: 条件を含むコンピューター スマート グループを作成します。これにより、Microsoft テナント内の会社のリソースへのアクセスが必要なデバイスが決定されます。

例：Jamf Pro>ComputersSmart Computer Groups に>移動して、新しいグループを作成します。

• 表示名:
  • この記事では、 Jamf-Intune の該当するグループという名前を付けました。
• 条件：
  • アプリケーション タイトル、Operator = is、Value = CompanyPortal.app

コンプライアンス: Jamf 内でデバイスが準拠していると見なされ、organizationのセキュリティ基準を満たしているかどうかを判断する、条件を含む 2 つ目のコンピューター スマート グループを作成します。

例：Jamf Pro>ComputersSmart Computer Groups に移動し、別の>グループを作成します。

• 表示名:
  • この記事では、 グループ Jamf-Intune コンプライアンス グループという名前を付けました。
  • メンバーシップの変更に関する電子メール通知の送信を有効にするオプション。
• 条件：
  • 前回のインベントリ更新、演算子 = x 日前未満、値 = 2
  • および - 条件: アプリケーション タイトル、Operator = is、Value = CompanyPortal.app
  • そして - File Vault 2、Operator = is、Value = All Partition Encrypted

コンピューター ポリシー

次の構成を含む 1 つのコンピューター ポリシーを作成します。

例：Jamf Pro>Computers>ポリシーに移動し、新しいポリシーを作成します。

• [オプション ] タブ:

  • 全般:
    • [表示名] - ポリシーに名前を付けます。 たとえば、Microsoft Entra ID(Microsoft Entra)で登録します。
    • [有効] - ポリシーを有効にするには、このボックスをオンにします。
  • Microsoft デバイス コンプライアンス:
    • [Microsoft Entra ID を使用してコンピューターを登録する] を有効にします。

• [スコープ] タブ: Jamf Pro の管理構成の一部として作成された適用可能なコンピューター スマート グループを追加するように、選択した展開ターゲットを構成します。

• [セルフサービス ] タブ:

  • [ セルフサービスでポリシーを使用できるようにする] を有効にします。
  • 表示名を設定します。
  • ボタン名を設定します。
  • 説明を入力する。
  • [ ユーザーが説明を表示することを確認する] を有効にします。
  • 必要に応じてオプション のカテゴリ を有効にします。

• [保存] を選択します。

Mac アプリ

Mac Apps Jamf App Catalog で、すべてのデバイスにデプロイするMicrosoft Intune ポータル サイト用のアプリを作成します。 Jamf アプリ カタログ バージョンを使用すると、アプリケーションを最新の状態に保つことができます。

• [コンピューター Mac アプリ]> に移動し、[+新規] を選択します。
• [ Jamf App Catalog] を選択し、[ 次へ] を選択します。
• Microsoft Intune ポータル サイトを検索し、アプリケーションの横にある [追加] を選択します。
• [ ターゲット グループ] を [すべてのマネージド クライアント] に設定します。
• [配布方法] を [自動的にインストール] に設定します。
• [ サポート構成プロファイルのインストール] を有効にします。
• 右上にある [デプロイ] スイッチを有効にし、[保存] を選択 します。

Microsoft Entra管理構成

organizationが企業リソースをセキュリティで保護するために用意されている条件付きアクセス ポリシー構成により、デバイスを登録する機能がブロックされる可能性があります。

以下を使用して、Jamf マネージド デバイスのユーザーを含むグループを作成します。これは、後の手順で Intune コネクタのスコープを設定するために使用されます。

1. グループを作成し https://entra.microsoft.com 、条件付きアクセス ポリシーを作成および編集するためのアクセス許可を持つアカウントでサインインします。

2. [グループ] [すべてのグループ>]> の順に展開し、[新しいグループ] を選択します。

3. 適切なルールを持つ動的グループを作成し、Jamf マネージド デバイスを Microsoft Entra ID で登録する該当するユーザーを含めます。

   ヒント

   動的グループを使用することをお勧めしますが、静的グループを使用することもできます。

Jamf Pro を Intune に接続する

Jamf pro は、テナント管理コネクタとトークンに関するページにあるMicrosoft Intune>管理>センターのコネクタを利用します。 Jamf Pro を Intune に接続するプロセスは、Jamf Pro 管理ポータルから開始され、次の手順を求めるウィザードを利用します。

1. Jamf 管理 ポータルにサインインします (例: https://tenantname.jamfcloud.com)。

2. [設定] [グローバル > デバイス コンプライアンス] >に進みます。

3. [ 編集] を選択し、チェック ボックスをオンにしてプラットフォーム macOS を有効にします。

4. [ コンプライアンス グループ ] ドロップダウンで、前のセクション「この記事のコンピューター スマート グループ」で 、コンプライアンス 用に作成した コンピューター スマート グループ を選択します。

5. [ 該当するグループ ] ドロップダウンで、前のセクション「この記事のコンピューター スマート グループ」で [適用可能] に作成した コンピューター スマート グループ を選択します。

6. 右上のスライダーを有効にし、[保存] を選択 します。

7. その後、2 つの Microsoft 認証プロンプトが表示されます。 各プロンプトを認証するには、Microsoft 365 グローバル管理者が必要です。

   • 最初の認証プロンプトでは、Microsoft Entra ID で Cloud Connector for Device Compliance アプリケーションが作成されます。
   • 2 番目の認証プロンプトでは、 デバイス コンプライアンス用のユーザー登録アプリが作成されます。

   

8. [ コンプライアンス パートナーの構成 ] ダイアログが表示された Jamf ポータル ページに新しいブラウザー タブが開き、[ Microsoft エンドポイント マネージャーを開く] というラベルのボタンを選択します。

   

9. 新しいブラウザー タブが開き、Microsoft Intune管理センターが開きます。

10. [テナント管理>] [コネクタとトークン] [パートナー コンプライアンス管理] >に進みます。

11. [パートナー コンプライアンス管理] ページの上部にある [コンプライアンス パートナーの追加] を選択します。

12. [コンプライアンス パートナーの作成] ウィザードで、次の操作を行います。

    1. [コンプライアンス パートナー] ドロップダウンを使用して、[Jamf Device Compliance]\(Jamf デバイス コンプライアンス\) を選択します。
    2. [プラットフォーム] ドロップダウンを使用して macOS を選択し、[次へ] を選択します。
    3. [割り当て] で、[グループの追加] を選択し、先ほど作成したMicrosoft Entraユーザー グループを選択します。 [すべてのユーザーの追加] を選択しないでください。これにより接続が禁止されます。
    4. [ 次へ] を選択し、[作成] を 選択します。

13. ブラウザーで、Jamf ポータルを含むタブを開き、[ コンプライアンス パートナーの構成 ] ダイアログを表示します。

14. [ 確認 ] ボタンを選択します。

    

15. Intune パートナー コンプライアンス管理ダッシュボードが表示されているブラウザー タブに切り替え、[コンプライアンス パートナーの追加] オプションの横にある上部にある [更新] アイコンを選択します。

16. macOS Jamf デバイス コンプライアンス コネクタに [パートナーの状態] が [アクティブ] と表示されていることを確認します。

    

管理構成を完了する

ユーザーがデバイスを登録できるようにするには、デバイスをブロックする可能性があるMicrosoft Entra条件付きアクセス ポリシーに注意する必要があります。 Jamf Pro を Intune に接続したときに作成されたデバイス コンプライアンスのユーザー登録アプリは、ユーザーがデバイスを登録できない可能性があるポリシーの除外として追加する必要があります。

たとえば、準拠しているデバイスを必要とするMicrosoft Entra条件付きアクセス ポリシーを考えてみましょう。

• 割り当て - このポリシーをすべてのユーザーに割り当てるか、Jamf マネージド デバイスを持つユーザーのグループを含めます。
• ターゲット リソース - 次の構成を設定します。
  • すべての クラウド アプリに適用します。
  • デバイス コンプライアンス アプリのユーザー登録アプリを除外します。 このアプリは、 Jamf Pro を Intune に接続したときに作成されました。
• 条件 には、次のオプションが含まれます。
  • コンプライアンスが必要
  • 登録済みデバイスが必要です

エンド ユーザー通知

Jamf マネージド デバイスのユーザーがプロセス、動作方法、ポリシーに準拠する必要があるタイムラインを確実に認識できるように、エンド ユーザー エクスペリエンスの十分な通知を提供することをお勧めします。 これらの通知に含める必要がある重要なリマインダーは、Jamf Self-Service アプリにデバイスの登録に使用するポリシーが含まれていることです。 ユーザーは、デプロイされた Microsoft ポータル サイト アプリを使用して登録を試みてはいけません。 ポータル サイト アプリを使用すると、AccountNotOnboarded を示すエラーが発生します。

Jamf プラットフォームで管理されているデバイスは、次のプロセスで Intune のデバイスの一覧に表示されません。 ユーザーがデバイスを Microsoft Entra ID で登録すると、デバイスの初期状態は [準拠していません] と表示されます。 コンプライアンス用に構成された Jamf Pro コンピューター のスマート グループが更新されると、デバイスのコンプライアンス状態を更新するために、Intune コネクタを介して ID Microsoft Entraに状態が送信されます。 Microsoft Entra デバイス情報の更新頻度は、Jamf の変更頻度のコンプライアンス コンピューター スマート グループに基づいています。

トラブルシューティング

問題

指示に従って macOS デバイス上の Jamf Self-Service アプリからポリシーが起動された後、Microsoft 認証プロンプトは正常に動作するように見えました。 ただし、Microsoft Entra ID に表示されるデバイスの状態は、1 時間以上待機した後でも、N/A から想定どおりに準拠状態に更新されませんでした。

この場合、Microsoft Entra ID のデバイス レコードが不完全でした。

解決方法

まず、次のことを確認します。

• デバイスは、コンプライアンスの Jamf コンピューター スマート グループのメンバーとして表示されます。 このメンバーシップは、デバイスが準拠されていることを示します。
• 認証ユーザーは、Jamf Intune コネクタをスコープとするMicrosoft Entra グループのメンバーです。

次に、影響を受けるデバイスで次の操作を行います。

• ターミナル アプリケーションを開き、次のコマンドを実行します。

  /usr/local/jamf/bin/jamfaad gatherAADInfo

  • コマンドでプロンプトが表示されず、代わりに macOS ユーザー $USER用に取得した Microsoft Entra ID が返される場合は、登録が適切でした。
  • コマンドによってサインイン プロンプトが作成され、ユーザーがエラーなしでサインインを完了できる場合、最初の登録試行中にユーザー エラーが発生している可能性があります。
  • コマンドによってサインイン プロンプトが作成され、ユーザーがサインインするときにエラーが発生する場合は、サポート ケースを使用してさらにトラブルシューティングを行う必要があります。

次の手順

• Jamf で管理されたデバイスにコンプライアンス ポリシーを適用する
• Jamf から Intune に送られるデータ