Udostępnij za pośrednictwem

Integrowanie narzędzia Jamf Pro z usługą Microsoft Intune w celu raportowania zgodności urządzeń z identyfikatorem Entra firmy Microsoft

  • Artykuł

Proces nawiązywania integracji między narzędziami Jamf Pro i Microsoft Intune ewoluuje. Raportowanie stanu zgodności urządzeń zarządzanych przez narzędzie Jamf umożliwia teraz środowisku Jamf Pro określenie stanu zgodności z zasadami zarządzanymi przez narzędzie Jamf i zgłaszanie stanu zgodności urządzeń do identyfikatora Entra firmy Microsoft za pośrednictwem łącznika w usłudze Intune. Po zgłoszeniu stanu zgodności dla urządzeń zarządzanych przez narzędzie Jamf do identyfikatora Entra firmy Microsoft urządzenia te mogą spełniać zasady Zero-Trust ustanowione przez zasady dostępu warunkowego w usłudze Microsoft Entra.

Ważna

Obsługa urządzeń jamf z systemem macOS dla dostępu warunkowego jest przestarzała.

Począwszy od 31 stycznia 2025 r., platforma, na której jest oparta funkcja dostępu warunkowego narzędzia Jamf Pro, nie będzie już obsługiwana.

Jeśli używasz integracji dostępu warunkowego narzędzia Jamf Pro dla urządzeń z systemem macOS, postępuj zgodnie z udokumentowanymi wytycznymi narzędzia Jamf, aby przeprowadzić migrację urządzeń do integracji zgodności urządzeń w sekcji Migrowanie z dostępu warunkowego systemu macOS do zgodności urządzeń z systemem macOS — dokumentacja narzędzia Jamf Pro.

Jeśli potrzebujesz pomocy, skontaktuj się z firmą Jamf Customer Success. Aby uzyskać więcej informacji, zobacz wpis w blogu pod adresem https://aka.ms/Intune/Jamf-Device-Compliance.

Ten artykuł może pomóc w wykonywaniu następujących zadań:

  • Skonfiguruj wymagane składniki i konfiguracje w narzędziu Jamf Pro.
  • Skonfiguruj narzędzie Jamf Pro, aby wdrożyć aplikację Portal firmy usługi Intune na urządzeniach zarządzanych za pomocą narzędzia Jamf.
  • Skonfiguruj zasady do wdrażania dla użytkowników za pośrednictwem aplikacji portalu samoobsługowego narzędzia Jamf w celu zarejestrowania urządzeń przy użyciu identyfikatora Entra firmy Microsoft.
  • Skonfiguruj łącznik usługi Intune.
  • Przygotowywanie wymaganych składników identyfikatora Entra firmy Microsoft.

Uprawnienia konta

Aby wykonać procedury opisane w tym artykule, musisz mieć następujące elementy:

  • Konto użytkownika narzędzia Jamf Pro z uprawnieniami zgodności urządzeń lub kontem administratora narzędzia Jamf Pro.

  • Konto Microsoft Entra, przypisane do roli z wystarczającymi uprawnieniami. Dostępne role wbudowane obejmują:

    • Administrator usługi Intune — ta rola może wykonać wszystkie kroki opisane w tym artykule.

      Porada

      Administrator usługi Intune jest bardzo uprzywilejowaną rolą z pełnym dostępem w usłudze Microsoft Intune. Podczas delegowania ról do innych kont rozważ przypisanie wbudowanej roli z mniejszą liczbą uprawnień.

    • Administrator grup — ta rola może tworzyć wymagane grupy urządzeń.

    • Administrator dostępu warunkowego — ta rola może tworzyć i aktualizować zasady dostępu warunkowego w usłudze Microsoft Entra, które umożliwiają rejestrację użytkowników i urządzeń.

    • Administrator aplikacji — ta rola może tworzyć aplikacje, które komunikują się z narzędziem JAMF na temat stanu zgodności urządzenia.

    Aby uzyskać więcej informacji na temat tych ról, zobacz Wbudowane role usługi Microsoft Entra.

Typowe pytania dotyczące integracji narzędzia Jamf Pro z identyfikatorem Microsoft Entra

Dlaczego integracja z identyfikatorem Microsoft Entra byłaby korzystna dla urządzeń zarządzanych przez narzędzie Jamf Pro?

Zasady dostępu warunkowego w usłudze Microsoft Entra mogą wymagać od urządzeń nie tylko spełnienia standardów zgodności, ale także zarejestrowania się przy użyciu identyfikatora Entra firmy Microsoft. Organizacje dążą do ciągłego poprawiania stanu zabezpieczeń przy użyciu zasad dostępu warunkowego w usłudze Microsoft Entra, aby zapewnić następujące przykładowe scenariusze:

  • Urządzenia są zarejestrowane przy użyciu identyfikatora Microsoft Entra.
  • Urządzenia korzystają ze znanej zaufanej lokalizacji lub zakresu adresów IP.
  • Urządzenia spełniają standardy zgodności w celu uzyskania dostępu do zasobów firmowych przy użyciu aplikacji klasycznych platformy Microsoft 365 i przeglądarki.

Czym różni się integracja usługi Microsoft Entra z wcześniej oferowaną metodą dostępu warunkowego?

W przypadku organizacji korzystających z narzędzia Jamf Pro, które nie nawiązały jeszcze połączenia z usługą Intune, poprzednia metoda, która wykorzystała konfigurację w ścieżce Globalnego > dostępu warunkowego ustawień > portalu Jamf Pro, nie może już akceptować nowych konfiguracji.

Nowe integracje wymagają konfiguracji w obszarze Ustawienia > Globalna > zgodność urządzeń i zapewniają proces oparty na kreatorze, który przeprowadzi Cię przez połączenie z usługą Intune. Kreator udostępnia metodę tworzenia wymaganych aplikacji zarejestrowanych w usłudze Microsoft Entra. Tych zarejestrowanych aplikacji nie można wstępnie utworzyć w tym bieżącym projekcie, tak jak wcześniej.

Konfiguracje administracyjne narzędzia Jamf Pro

Konfiguracje narzędzia Jamf Pro wymagają utworzenia następujących grup inteligentnych komputerów i zasad komputera w konsoli narzędzia Jamf Pro przed nawiązaniem połączenia z usługą Intune.

Grupy inteligentne komputerów

Utwórz dwie grupy inteligentne komputerów, korzystając z następujących przykładów:

Dotyczy: utwórz grupę inteligentną komputera zawierającą kryteria określające urządzenia, które wymagają dostępu do zasobów firmy w dzierżawie firmy Microsoft.

Przykład: Przejdź do obszaruGrupy komputerów inteligentnychjamf>Pro>, aby utworzyć nową grupę:

  • Nazwa wyświetlana:
    • W tym artykule nazwaliśmy grupę Jamf-Intune Applicable Group.
  • Kryteria:
    • Tytuł aplikacji, Operator = is, Value = CompanyPortal.app

Zgodność: utwórz drugą grupę inteligentną komputerów zawierającą kryteria określające, czy urządzenia są uważane za zgodne w narzędziu Jamf i spełniają standardy zabezpieczeń organizacji.

Przykład: Przejdź do obszaruGrupy komputerów inteligentnychjamf>Pro>, utwórz kolejną grupę:

  • Nazwa wyświetlana:
    • W tym artykule nazwaliśmy grupę Jamf-Intune Compliance Group.
    • Opcja włączenia opcjiWyślij powiadomienie e-mail w przypadku zmiany członkostwa.
  • Kryteria:
    • Ostatnia aktualizacja spisu, operator = mniej niż x dni temu, wartość = 2
    • i — kryteria: Tytuł aplikacji, Operator = is, Value = CompanyPortal.app
    • i - File Vault 2, Operator = is, Value = All Partitions Encrypted

Zasady komputera

Utwórz jedną zasadę komputera, która obejmuje następujące konfiguracje:

Przykład: Przejdź dopozycji Jamf Pro Computers Policy (Zasadykomputerów>Jamf Pro>), utwórz nowe zasady:

  • Karta Opcje :

    • Ogólne:
      • Nazwa wyświetlana — nadaj zasadom nazwę. Na przykład zarejestruj się w usłudze Microsoft Entra ID (Microsoft Entra).
      • Włączone — zaznacz to pole wyboru, aby włączyć zasady.
    • Zgodność urządzeń firmy Microsoft:
      • Włącz opcję Rejestrowanie komputerów przy użyciu identyfikatora Microsoft Entra.

  • Karta Zakres: skonfiguruj wybrane cele wdrażania, aby dodać grupę inteligentną odpowiednich komputerów utworzoną w ramach konfiguracji administracyjnych narzędzia Jamf Pro.

  • Karta Samoobsługowe:

    • Włącz opcję Udostępnij zasady w samoobsługowej usłudze.
    • Ustaw nazwę wyświetlaną.
    • Ustaw nazwę przycisku.
    • Podaj opis.
    • Włącz opcję Upewnij się, że użytkownicy wyświetlają opis.
    • Włącz opcjonalne kategorie zgodnie z potrzebami .

  • Wybierz Zapisz.

Aplikacja dla komputerów Mac

Utwórz aplikację w katalogu aplikacji Jamf aplikacji dla aplikacji Jamf dla portalu firmy usługi Microsoft Intune, która jest wdrażana na wszystkich urządzeniach. Korzystanie z wersji katalogu aplikacji Jamf ułatwia aktualizowanie aplikacji.

  • Przejdź do pozycji Komputery>Mac Apps i wybierz pozycję +Nowy.
  • Wybierz pozycję Jamf App Catalog, a następnie wybierz pozycję Dalej.
  • Wyszukaj pozycję Portal firmy usługi Microsoft Intune i wybierz pozycję Dodaj obok aplikacji.
  • Ustaw grupę docelową na wszystkich zarządzanych klientów.
  • Ustaw metodę dystrybucji , aby zainstalować automatycznie.
  • Włącz opcję Zainstaluj obsługujące profile konfiguracji.
  • Włącz przełącznik Wdróż w prawym górnym rogu, a następnie wybierz pozycję Zapisz.

Konfiguracje administracyjne usługi Microsoft Entra

Możliwość rejestrowania urządzeń może zostać zablokowana ze względu na konfiguracje zasad dostępu warunkowego, które organizacja ma w celu zabezpieczenia zasobów firmowych.

Aby utworzyć grupę zawierającą użytkowników urządzeń zarządzanych przez platformę Jamf, która będzie używana do określania zakresu łącznika usługi Intune w kolejnych krokach, użyj następujących elementów.

  1. Zaloguj się do https://entra.microsoft.com konta z uprawnieniami do tworzenia grup oraz tworzenia i edytowania zasad dostępu warunkowego.

  2. Rozwiń węzeł Grupy>Wszystkie grupy> i wybierz pozycję Nowa grupa.

  3. Utwórz grupę dynamiczną z odpowiednimi regułami, aby uwzględnić odpowiednich użytkowników, którzy zarejestrują swoje urządzenia zarządzane przez narzędzie Jamf przy użyciu identyfikatora Entra firmy Microsoft.

    Porada

    Zalecamy użycie grupy dynamicznej, ale można również użyć grupy statycznej.

Łączenie narzędzia Jamf Pro z usługą Intune

Narzędzie Jamf pro korzysta z łączników w centrum administracyjnym usługi Microsoft Intune, które można znaleźć w temacie >Łączniki i tokenyadministracji> dzierżawy. Proces łączenia narzędzia Jamf Pro z usługą Intune rozpoczyna się w portalu administracyjnym narzędzia Jamf Pro i korzysta z kreatora, który monituje o kolejne kroki.

  1. Zaloguj się do portalu administracyjnego narzędzia Jamf, na przykład: https://tenantname.jamfcloud.com.

  2. Przejdź do pozycji Ustawienia > globalnej > zgodności urządzeń.

  3. Wybierz pozycję Edytuj, a następnie włącz platformę macOS, zaznaczając to pole wyboru.

  4. Na liście rozwijanej Grupa zgodności wybierz grupę inteligentną komputera utworzoną dla pozycji Zgodność w poprzedniej sekcji Computer-smart-groups tego artykułu.

  5. Na liście rozwijanej Odpowiednia grupa wybierz grupę inteligentną komputera utworzoną dla aplikacji Applicable w poprzedniej sekcji Computer-smart-groups tego artykułu.

  6. Włącz suwak w prawym górnym rogu, a następnie wybierz pozycję Zapisz.

  7. Następnie zostaną wyświetlone dwa monity uwierzytelniania firmy Microsoft. Każdy z nich wymaga, aby administrator globalny platformy Microsoft 365 uwierzytelnił monit:

    • Pierwszy monit o uwierzytelnianie tworzy aplikację Cloud Connector for Device Compliance w identyfikatorze Microsoft Entra.
    • Drugi monit o uwierzytelnianie tworzy aplikację rejestracji użytkownika na potrzeby zgodności urządzeń.

    Obraz przedstawiający monity o uprawnienia żądane w aplikacjach zarejestrowanych w usłudze Microsoft Entra.

  8. Zostanie otwarta nowa karta przeglądarki na stronie Portal narzędzia Jamf z oknie dialogowym Konfigurowanie partnera zgodności , a następnie wybierz przycisk z etykietą Otwórz program Microsoft Endpoint Manager.

    Obraz przedstawiający przycisk Narzędzia Jamf Configure Compliance Partner Otwórz program Microsoft Endpoint Manager.

  9. Nowa karta przeglądarki otwiera centrum administracyjne usługi Microsoft Intune.

  10. Przejdź do sekcji Łączniki administracji > dzierżawy i tokeny Zarządzanie zgodnością partnerów>.

  11. W górnej części strony Zarządzanie zgodnością partnerów wybierz pozycję Dodaj partnera zgodności.

  12. W kreatorze Tworzenie partnera zgodności :

    1. Użyj listy rozwijanej Partner zgodności , aby wybrać pozycję Zgodność urządzeń jamf.
    2. Użyj listy rozwijanej Platforma , aby wybrać system macOS, a następnie wybierz pozycję Dalej.
    3. W obszarze Przypisania wybierz pozycję Dodaj grupy, a następnie wybierz utworzoną wcześniej grupę użytkowników Microsoft Entra. Niewybieraj pozycji Dodaj wszystkich użytkowników , ponieważ spowoduje to zablokowanie połączenia.
    4. Wybierz pozycję Dalej, a następnie pozycję Utwórz.

  13. W przeglądarce otwórz kartę zawierającą portal narzędzia Jamf w oknie dialogowym Konfigurowanie partnera zgodności .

  14. Wybierz przycisk Potwierdź .

    Obraz przedstawiający przycisk Potwierdź partnera zgodności narzędzia Jamf Configure Compliance Partner.

  15. Przejdź do karty przeglądarki z pulpitem nawigacyjnym zarządzania zgodnością partnerów usługi Intune i wybierz ikonę Odśwież u góry obok opcji Dodaj partnera zgodności .

  16. Sprawdź, czy łącznik zgodności urządzeń jamf dla systemu macOS zawiera stan partnera Aktywny.

    Obraz przedstawiający aktywne połączenie programu Intune Connectors for Device Compliance Partner z systemem macOS.

Ukończ konfigurację administracyjną

Aby zapewnić użytkownikom możliwość rejestrowania urządzeń, należy pamiętać o zasadach dostępu warunkowego usługi Microsoft Entra, które mogą je blokować. Aplikacja rejestracji użytkowników na potrzeby zgodności urządzeń utworzona podczas nawiązywania połączenia narzędzia Jamf Pro z usługą Intune musi zostać dodana jako wykluczenie w zasadach, które mogą uniemożliwić użytkownikom rejestrowanie urządzeń.

Rozważmy na przykład zasady dostępu warunkowego Entra firmy Microsoft, które wymagają zgodnych urządzeń:

  • Przypisania — przypisz te zasady do wszystkich użytkowników lub dołącz grupy użytkowników, którzy mają urządzenia zarządzane przez narzędzie Jamf.
  • Zasoby docelowe — ustaw następujące konfiguracje:
  • Warunki obejmują następujące opcje:
    • Wymaga zgodności
    • Wymaga zarejestrowanego urządzenia

Obraz przedstawiający wyjątek zasad dostępu warunkowego w usłudze Microsoft Entra dla aplikacji użytkownika

Powiadomienia użytkowników końcowych

Zalecamy dostarczenie obszernego powiadomienia o środowisku użytkownika końcowego, aby upewnić się, że użytkownicy urządzeń zarządzanych przez narzędzie Jamf są świadomi tego procesu, sposobu jego działania i osi czasu, w której muszą przestrzegać zasad. Ważnym przypomnieniem, które powinno zostać uwzględnione w tych powiadomieniach, jest to, że aplikacja Jamf Self-Service zawiera zasady używane do rejestrowania urządzenia. Użytkownicy nie mogą używać wdrożonej aplikacji Portal firmy microsoft do próby zarejestrowania się. Użycie aplikacji Portal firmy powoduje błąd wskazujący pozycję AccountNotOnboarded.

Urządzenia zarządzane przy użyciu platformy Jamf nie są wyświetlane na liście urządzeń usługi Intune w poniższym procesie. Po zarejestrowaniu urządzeń przez użytkowników w usłudze Microsoft Entra ID początkowy stan urządzenia jest wyświetlany jako Niezgodne. Po zaktualizowaniu grupy inteligentnej komputera Jamf Pro skonfigurowanej pod kątem zgodności stan jest wysyłany za pośrednictwem łącznika usługi Intune do identyfikatora Entra firmy Microsoft w celu zaktualizowania stanu zgodności urządzeń. Częstotliwość aktualizacji informacji o urządzeniu Microsoft Entra jest oparta na grupie inteligentnej Komputera zgodności w częstotliwości zmian narzędzia Jamf.

Rozwiązywanie problemów

Problem

Po uruchomieniu zasad z aplikacji Jamf Self-Service na urządzeniu z systemem macOS zgodnie z instrukcjami monit o uwierzytelnianie firmy Microsoft wydawał się działać normalnie. Jednak stan urządzenia wyświetlanego w identyfikatorze Microsoft Entra nie został zaktualizowany z N/A do stanu Zgodne zgodnie z oczekiwaniami, nawet po odczekaniu co najmniej jednej godziny.

W tym przypadku rekord urządzenia w identyfikatorze Microsoft Entra był niekompletny.

Rozwiązanie

Najpierw sprawdź następujące elementy:

  • Urządzenie jest wyświetlane jako członek grupy inteligentnej komputerów Jamf na potrzeby zgodności. To członkostwo wskazuje, że urządzenie jest zgodne.
  • Użytkownik uwierzytelniający jest członkiem grupy Microsoft Entra, która ma zakres do łącznika usługi Jamf Intune.

Po drugie, na urządzeniu, którego dotyczy problem:

  • Otwórz aplikację Terminal i wykonaj następujące polecenie:

    /usr/local/jamf/bin/jamfaad gatherAADInfo

    • Jeśli polecenie nie powoduje wyświetlenie monitu, a zamiast tego zwraca identyfikator Entra firmy Microsoft uzyskany dla użytkownika systemu macOS $USER, rejestracja była dobra.
    • Jeśli polecenie tworzy monit o zalogowanie, a użytkownik może ukończyć logowanie bez błędu, podczas początkowej próby rejestracji mógł wystąpić błąd użytkownika.
    • Jeśli polecenie tworzy monit o logowanie, ale występuje błąd podczas logowania użytkownika, dalsze rozwiązywanie problemów jest wymagane za pośrednictwem zgłoszenia pomocy technicznej.

Następne kroki