Обеспечение соответствия требованиям на компьютерах Mac, управляемых с помощью Jamf Pro

Важно!

Поддержка условного доступа для устройств Jamf macOS устарела.

Начиная с 1 сентября 2024 г. платформа, на которую основана функция условного доступа Jamf Pro, больше не будет поддерживаться.

Если вы используете интеграцию условного доступа Jamf Pro для устройств macOS, следуйте документированных рекомендациям Jamf по миграции устройств в интеграцию соответствия устройств в документации по переходу с условного доступа macOS на соответствие устройствам macOS — Jamf Pro.

Если вам нужна помощь, обратитесь к Jamf Customer Success. Дополнительные сведения см. в записи блога по адресу https://aka.ms/Intune/Jamf-Device-Compliance.

Совет

Инструкции по интеграции Jamf Pro с Intune и Microsoft Entra ID, включая настройку Jamf Pro для развертывания приложения корпоративного портала Intune на устройствах, которыми вы управляете с помощью Jamf Pro, см. в статье Интеграция Jamf Pro с Intune, чтобы сообщить о соответствии идентификатору Microsoft Entra ID.

После интеграции Jamf Pro с Intune настройте политики соответствия Intune и политики условного доступа Microsoft Entra, чтобы обеспечить соответствие устройств macOS требованиям организации.

Эта статья поможет вам при выполнении указанных ниже задач.

• Создание политик условного доступа.
• Настройка Jamf Pro для развертывания приложения "Корпоративный портал Intune" на устройствах, управляемых с помощью Jamf.
• Настройте устройства для регистрации с помощью Microsoft Entra ID, когда пользователь устройства входит в приложение корпоративного портала, из приложения самообслуживания Jamf . Регистрация устройства устанавливает удостоверение в идентификаторе Microsoft Entra, которое позволяет устройству оцениваться политиками условного доступа для доступа к ресурсам компании.

Для процедур, описанных в этой статье, требуется доступ к консолям Intune и Jamf Pro. Intune поддерживает два метода интеграции Jamf Pro, которые настраиваются отдельно от процедур, описанных в этой статье:

• Рекомендуется - Использование соединителя Jamf Cloud для интеграции Jamf Pro с Intune
• Настройка интеграции Jamf Pro с Intune вручную

После настройки интеграции пользователи устройств узнают об интеграции Jamf Pro и Intune либо из сообщения вашего ИТ-отдела о том, как зарегистрировать устройство, либо благодаря обнаружению приложения "Корпоративный портал Intune", которое вы развертываете с помощью Jamf Pro Self Service. После завершения регистрации устройства данные инвентаризации, собранные Jamf Pro для этого устройства, совместно используются в Intune. Эти сведения совместно используются только теми устройствами Mac, регистрация которых была завершена.

Настройка политик соответствия требованиям устройств в Intune

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в раздел Соответствие устройств>. Если вы используете ранее созданную политику, выберите ее и перейдите к следующему шагу этой процедуры. Чтобы создать новую политику выберите Создать политику, а затем укажите сведения для политики платформы для macOS. Настройте параметры и действия при несоответствии в соответствии с требованиями организации, а затем нажмите Создать, чтобы сохранить политику.

3. Выберите пункт Свойства.

4. Перейдите в раздел Изменение назначений>. Используйте доступные параметры, чтобы настроить, какие пользователи и группы безопасности Microsoft Entra получают эту политику. Интеграция Jamf с Intune не поддерживает политику соответствия требованиям, ориентированную на группы устройств.

   Примечание.

   Интеграция Jamf с Intune поддерживает только группы пользователей Microsoft Entra. Политики соответствия устройств, предназначенные для групп устройств, не будут применяться.

5. При нажатии Сохранить политика развертывается для пользователей.

Развертываемые политики предназначены для устройств, используемых назначенными пользователями. Эти устройства оцениваются на соответствие требованиям. Совместимые устройства помечаются как совместимые для параметра "Требовать, чтобы устройство было отмечено как соответствующее" в идентификаторе Microsoft Entra.

Примечание.

Intune требуется полное шифрование диска для соответствия.

Развертывание приложения "Корпоративный портал" для macOS в Jamf Pro

Создайте политику в Jamf Pro, чтобы развернуть Корпоративный портал Intune. Эта политика развертывает приложение корпоративного портала, чтобы оно было доступно в Jamf Self Service. Создайте эту политику перед созданием политики в Jamf Pro, чтобы пользователи регистрируют устройства с идентификатором Microsoft Entra.

Чтобы выполнить следующую процедуру, требуется доступ к устройству macOS и порталу Jamf Pro.

Развертывание приложения корпоративного портала

1. На устройстве macOS скачайте (но не устанавливайте) последнюю версию приложения "Корпоративный портал" для macOS. Вам нужна только копия приложения, чтобы вы могли отправить приложение в Jamf Pro.

2. Откройте Jamf Pro и выберите Computer management (Управление компьютером) >Packages (Пакеты).

3. Создайте пакет с помощью приложения "Корпоративный портал" для macOS, а затем нажмите кнопку Save (Сохранить).

4. Выберите Компьютеры>Политики и нажмите Создать.

5. С помощью полезных данных Общие настройте параметры политики. В их число входят следующие:

   • Триггер: выберите Регистрация завершена и Recurring Check-in (Повторный возврат).
   • Периодичность выполнения: выберите Один раз на компьютере.

6. Выберите полезные данные пакетов и нажмите кнопку Настроить.

7. Нажмите Добавить, чтобы выбрать пакет с помощью приложения "Корпоративный портал".

8. В контекстном меню Действие выберите Установить.

9. Настройте параметры пакета.

10. Перейдите на вкладку Scope (Область), чтобы указать, на каких компьютерах требуется установить приложение "Корпоративный портал". Нажмите Сохранить. Политика запустит заданные в области устройства при следующей активации выбранного триггера на компьютере и установке параметров, указанных в универсальных полезных данных.

Создание политики в Jamf Pro, чтобы пользователи регистрировали свои устройства с помощью Идентификатора Microsoft Entra

После развертывания корпоративного портала для macOS с помощью jamf Pro Self-Service можно создать политику Jamf Pro, которая регистрирует устройство пользователя с идентификатором Microsoft Entra.

Для регистрации устройства пользователю устройства необходимо вручную выбрать приложение "Корпоративный портал Intune" в Jamf Self Service. Мы рекомендуем вам отправить пользователям сообщения по электронной почте, оповещения Jamf Pro или воспользоваться любым другим способом, который ваша организация использует для выполнения этого действия, чтобы зарегистрировать устройства.

Предупреждение

При запуске приложения "Корпоративный портал" вручную (например, из папки Applications или Downloads) процесс регистрации будет невозможен. Если пользователь устройства запустит Корпоративный портал вручную, он увидит предупреждение AccountNotOnboarded.

Создание политики регистрации

1. В Jamf Pro выберите Computers (Компьютеры)>Policies (Политики), а затем создайте политику регистрации устройств.

2. Настройте полезные данные Интеграция Microsoft Intune, в том числе триггер и периодичность выполнения.

3. Перейдите на вкладку Scope (Область) и привяжите к политике все целевые устройства.

4. Перейдите на вкладку Self Service (Самообслуживание), чтобы предоставить доступ к политике на портале самообслуживания Jamf. Включите политику в категорию Соответствие устройства. Нажмите Сохранить.

Проверка интеграции Intune и Jamf

Используйте консоль Jamf Pro, чтобы убедиться в успешном взаимодействии между Jamf Pro и Microsoft Intune.

• В Jamf Pro последовательно выберите Settings (Параметры)>Global Management (Глобальное управление)>Microsoft Intune Integration (Интеграция Microsoft Intune), а затем нажмите кнопку Test (Тестировать).

В консоли отобразится сообщение об успешном или неудачном подключении. Если проверка подключения из консоли Jamf Pro завершится сбоем, проверьте конфигурацию Jamf.

Удаление устройства под управлением Jamf из Intune

Чтобы удалить устройство, управляемое Jamf, откройте Центр администрирования Microsoft Intune и выберите Устройства>Все устройства, выберите устройство и нажмите кнопку Удалить. Чтобы выполнить массовое удаление устройств, выберите несколько устройств и нажмите Удалить.

Сведения об удалении устройства под управлением Jamf см. в документации Jamf Pro. Чтобы получить дополнительную помощь, вы можете также отправить запрос в службу поддержки Jamf.

Дальнейшие действия

• Условный доступ в идентификаторе Microsoft Entra
• Начало работы с условным доступом в Microsoft Entra ID