Поделиться через

Интеграция Jamf Pro с Microsoft Intune для передачи сведений о соответствии устройств в Microsoft Entra ID

  • Статья

Процесс интеграции между Jamf Pro и Microsoft Intune развивается. Отчеты о состоянии соответствия управляемых устройств Jamf теперь могут позволить среде Jamf Pro определять состояние соответствия управляемым политикам Jamf и сообщать о состоянии соответствия устройств microsoft Entra ID через соединитель в Intune. Когда состояние соответствия для устройств, управляемых Jamf, будет сообщено в Microsoft Entra ID, эти устройства смогут соответствовать Zero-Trust принципам, установленным политиками условного доступа Microsoft Entra.

Важно!

Поддержка условного доступа для устройств Jamf macOS устарела.

Начиная с 31 января 2025 г. платформа, на которую основана функция условного доступа Jamf Pro, больше не будет поддерживаться.

Если вы используете интеграцию условного доступа Jamf Pro для устройств macOS, следуйте документированных рекомендациям Jamf по миграции устройств в интеграцию соответствия устройств в документации по переходу с условного доступа macOS на соответствие устройствам macOS — Jamf Pro.

Если вам нужна помощь, обратитесь к Jamf Customer Success. Дополнительные сведения см. в записи блога по адресу https://aka.ms/Intune/Jamf-Device-Compliance.

Эта статья поможет вам в выполнении следующих задач:

  • Настройте необходимые компоненты и конфигурации в Jamf Pro.
  • Настройка Jamf Pro для развертывания приложения "Корпоративный портал Intune" на устройствах, управляемых с помощью Jamf.
  • Настройте политику для развертывания для пользователей с помощью приложения портала самообслуживания Jamf для регистрации устройств с идентификатором Microsoft Entra.
  • Настройте соединитель Intune.
  • Подготовьте необходимые компоненты Microsoft Entra ID.

Разрешения учетной записи

Для выполнения процедур, описанных в этой статье, необходимо:

  • Учетная запись пользователя Jamf Pro с привилегиями соответствия устройств или учетная запись администратора Jamf Pro.

  • Учетная запись Microsoft Entra, назначенная роль с достаточными разрешениями. Доступные встроенные роли:

    • Администратор Intune. Эта роль может выполнять все действия, описанные в этой статье.

      Совет

      Администратор Intune — это привилегированная роль с полным доступом в Microsoft Intune. При делегировании ролей другим учетным записям рекомендуется назначить встроенную роль с меньшим количеством привилегий.

    • Администратор групп. Эта роль может создавать необходимые группы устройств.

    • Администратор условного доступа. Эта роль может создавать и обновлять политики условного доступа Microsoft Entra, которые разрешают регистрацию пользователей и устройств.

    • Администратор приложений. Эта роль может создавать приложения, которые взаимодействуют с JAMF о состоянии соответствия устройств.

    Дополнительные сведения об этих ролях см. в статье Встроенные роли Microsoft Entra.

Распространенные вопросы об интеграции Jamf Pro с Microsoft Entra ID

Почему интеграция с Microsoft Entra ID полезна для управляемых устройств Jamf Pro?

Политики условного доступа Microsoft Entra могут требовать, чтобы устройства не только соответствовали стандартам соответствия, но и регистрируются с помощью Идентификатора Microsoft Entra. Организации стремятся постоянно повышать уровень безопасности с помощью политик условного доступа Microsoft Entra, чтобы обеспечить следующие примеры сценариев:

  • Устройства регистрируются с идентификатором Microsoft Entra.
  • Устройства используют известное надежное расположение или диапазон IP-адресов.
  • Устройства соответствуют стандартам соответствия требованиям для доступа к корпоративным ресурсам с помощью классических приложений Microsoft 365 и браузера.

Чем отличается интеграция Microsoft Entra и метод условного доступа Jamf, предложенный ранее?

Для организаций, которые используют Jamf Pro, но еще не установили подключение к Intune, предыдущий метод, который использовал конфигурацию в пути глобального условного > доступа параметров > портала Jamf Pro, больше не может принимать новые конфигурации.

Новые интеграции требуют настройки в разделе Параметры > Глобальное > соответствие устройств и предоставляют процесс на основе мастера, который поможет вам выполнить подключение к Intune. Мастер предоставляет метод для создания необходимых зарегистрированных приложений Microsoft Entra. Эти зарегистрированные приложения не могут быть предварительно созданы в этом текущем макете, как это было ранее.

Административные конфигурации Jamf Pro

Для конфигураций Jamf Pro необходимо создать следующие интеллектуальные группы компьютеров и политику компьютера в консоли Jamf Pro, прежде чем устанавливать подключение к Intune.

Интеллектуальные группы компьютеров

Создайте две интеллектуальные группы компьютеров, используя следующие примеры:

Применимо. Создайте интеллектуальную группу компьютеров, содержащую критерии, которые определяют устройства, которым требуется доступ к корпоративным ресурсам в клиенте Майкрософт.

Пример: Перейдите в раздел Jamf Pro ComputersSmart Computer Groups create a new group (Создание новой группыкомпьютеров>Jamf Pro>).

  • Отображаемое имя:
    • В этой статье мы назвали группу Jamf-Intune Applicable Group.
  • Критерии:
    • Заголовок приложения, Оператор = is, Value = CompanyPortal.app

Соответствие требованиям. Создайте вторую интеллектуальную группу компьютеров, содержащую критерии, которые определяют, соответствуют ли устройства в Jamf и соответствуют ли они стандартам безопасности вашей организации.

Пример: Перейдите в раздел Jamf Pro>Computers>Smart Computer Groups и создайте другую группу:

  • Отображаемое имя:
    • В этой статье мы назвали группу Jamf-Intune Compliance Group.
    • Параметр для включенияотправки уведомлений по электронной почте об изменении членства.
  • Критерии:
    • Последнее обновление инвентаризации, оператор = меньше x дней назад, значение = 2
    • и — критерии: Заголовок приложения, Оператор = есть, Значение = CompanyPortal.app
    • и - Хранилище файлов 2, оператор = is, value = All Partitions Encrypted

Политика компьютера

Создайте политику компьютера, которая включает следующие конфигурации:

Пример: Перейдите враздел Политикакомпьютеров>Jamf Pro> и создайте новую политику:

  • Вкладка "Параметры ":

    • Общие
      • Отображаемое имя— присвойте политике имя. Например, зарегистрируйтесь с помощью Microsoft Entra ID(Microsoft Entra).
      • Включено — установите этот флажок, чтобы включить политику.
    • Соответствие устройств Майкрософт:
      • Включение регистрации компьютеров с помощью Идентификатора Microsoft Entra.

  • Вкладка Область . Настройте выбранные целевые объекты развертывания , чтобы добавитьсоответствующую интеллектуальную группу компьютеров, созданную в составе административных конфигураций Jamf Pro.

  • Вкладка самообслуживания :

    • Включите параметр Сделать политику доступной в самообслуживании.
    • Задайте отображаемое имя.
    • Задайте имя кнопки.
    • Добавьте описание.
    • Включите Убедитесь, что пользователи просматривают описание.
    • При необходимости включите необязательные категории .

  • Выберите Сохранить.

Приложение Mac

Создайте приложение в каталоге приложений Jamf для Приложений Mac для корпоративного портала Microsoft Intune, которое развертывается на всех устройствах. Использование версии каталога приложений Jamf упрощает поддержание актуальности приложения.

  • Перейдите в раздел КомпьютерыMac Apps (Компьютеры>) и нажмите кнопку +Создать.
  • Выберите Каталог приложений Jamf, а затем нажмите кнопку Далее.
  • Найдите Корпоративный портал Microsoft Intune и нажмите добавить рядом с приложением.
  • Задайте для параметра Целевая группазначение Все управляемые клиенты.
  • Задайте для параметра Метод распространения значение Установить автоматически.
  • Включите параметр Установка вспомогательных профилей конфигурации.
  • Включите параметр Развернуть в правом верхнем углу и нажмите кнопку Сохранить.

Административные конфигурации Microsoft Entra

Возможность регистрации устройств может быть заблокирована из-за конфигураций политики условного доступа, которые ваша организация имеет для защиты корпоративных ресурсов.

Используйте следующую команду, чтобы создать группу, содержащую пользователей управляемых устройств Jamf, которая будет использоваться для области соединителя Intune на последующих шагах.

  1. Войдите в с https://entra.microsoft.com учетной записью, которая имеет разрешения на создание групп, а также на создание и изменение политики условного доступа.

  2. Разверните узел Группы>Все группы> и выберите Создать группу.

  3. Создайте динамическую группу с соответствующими правилами, включив в нее применимых пользователей, которые будут регистрировать свои управляемые устройства Jamf с идентификатором Microsoft Entra.

    Совет

    Рекомендуется использовать динамическую группу, но можно также использовать статическую группу.

Подключение Jamf Pro к Intune

Jamf pro использует соединители в Центре администрирования Microsoft Intune, см. в разделе >Соединители и маркерыадминистрирования> клиентов. Процесс подключения Jamf Pro к Intune начинается на портале администрирования Jamf Pro и использует мастер, который запрашивает дальнейшие действия.

  1. Войдите на портал администрирования Jamf, например: https://tenantname.jamfcloud.com.

  2. Перейдите к разделу Параметры > глобального > соответствия устройств.

  3. Выберите Изменить, а затем включите платформу macOS, установив флажок.

  4. В раскрывающемся списке Группа соответствия выберите интеллектуальную группу компьютеров, созданную для соответствия требованиям в предыдущем разделе Компьютерные интеллектуальные группы этой статьи.

  5. В раскрывающемся списке Применимая группа выберите интеллектуальную группу компьютеров, созданную для применимой в предыдущем разделе Компьютерные смарт-группы этой статьи.

  6. Включите ползунок в правом верхнем углу и нажмите кнопку Сохранить.

  7. Затем отображаются два запроса проверки подлинности Майкрософт. Для каждого запроса требуется глобальный администратор Microsoft 365:

    • Первый запрос проверки подлинности создает приложение Cloud Connector for Device Compliance в Microsoft Entra ID.
    • Второй запрос проверки подлинности создает приложение для регистрации пользователей для соответствия устройств требованиям.

    Изображение, показывающее запросы разрешений, запрошенных в зарегистрированных приложениях Microsoft Entra.

  8. Откроется новая вкладка браузера на странице Портала Jamf с диалоговым окном Настройка партнера по соответствию требованиям, а затем нажмите кнопку Открыть Microsoft Endpoint Manager.

    Изображение кнопки Jamf Configure Compliance Partner Open Microsoft Endpoint Manager.

  9. На новой вкладке браузера откроется Центр администрирования Microsoft Intune.

  10. Перейдите к разделе Администрирование > клиента Соединители и токены > Управление соответствием партнеров.

  11. В верхней части страницы "Управление соответствием требованиям партнеров" выберите Добавить партнера по соответствию требованиям.

  12. В мастере создания партнера по соответствию выполните следующие действия.

    1. В раскрывающемся списке Партнер по соответствию выберите Jamf Device Compliance (Соответствие устройству Jamf).
    2. В раскрывающемся списке Платформа выберите macOS, а затем нажмите кнопку Далее.
    3. В разделе Назначения выберите Добавить группы, а затем выберите созданную ранее группу пользователей Microsoft Entra. Не нажимайтекнопку Добавить всех пользователей , так как это будет препятствовать подключению.
    4. Нажмите кнопку Далее, а затем — Создать.

  13. В браузере откройте вкладку, содержащую портал Jamf, в диалоговом окне Настройка партнера по соответствию требованиям.

  14. Нажмите кнопку Подтвердить .

    Изображение кнопки Jamf Configure Compliance Partner Confirm (Подтверждение соответствия требованиям в Jamf Configure Partner Confirm).

  15. Перейдите на вкладку браузера с информационной панелью управления соответствием для партнеров Intune и щелкните значок Обновить в верхней части рядом с параметром Добавить партнера по соответствию.

  16. Убедитесь, что в соединителе соответствия устройств Jamf для macOS отображается состояние партнера Активно.

    Изображение активного подключения Партнера по соответствию устройств Intune для macOS.

Завершение административной конфигурации

Чтобы пользователи могли регистрировать устройства, необходимо знать о политиках условного доступа Microsoft Entra, которые могут блокировать их. Приложение регистрации пользователей для соответствия устройств, созданное при подключении Jamf Pro к Intune, должно быть добавлено в качестве исключения в любой политике, которая может запретить пользователям регистрировать свои устройства.

Например, рассмотрим политику условного доступа Microsoft Entra, которая требует устройств, соответствующих требованиям:

  • Назначения . Назначьте эту политику всем пользователям или включите группы пользователей с управляемыми устройствами Jamf.
  • Целевые ресурсы . Задайте следующие конфигурации:
    • Применяется ко всем облачным приложениям.
    • Исключите приложение регистрации пользователей для приложения соответствия устройств . Это приложение было создано при подключении Jamf Pro к Intune.
  • Условия включают следующие варианты:
    • Требуется соответствие требованиям
    • Требуется зарегистрированное устройство

Изображение исключения политики условного доступа Microsoft Entra для пользовательского приложения

Уведомления конечных пользователей

Рекомендуется предоставлять достаточно уведомлений о взаимодействии с конечными пользователями, чтобы пользователи управляемых устройств Jamf знали о процессе, его работе и временной шкале, в которой они должны соответствовать политике. Важное напоминание, которое должно быть включено в эти уведомления, заключается в том, что приложение Jamf Self-Service содержит политику, используемую для регистрации устройства. Пользователи не должны использовать развернутые приложения Корпоративного портала Майкрософт для попытки регистрации. Использование приложения корпоративного портала приводит к ошибке с указанием AccountNotOnboarded.

Устройства, управляемые с помощью платформы Jamf, не отображаются в списке устройств Intune в следующем процессе. После того как пользователи зарегистрировали свои устройства в Microsoft Entra ID, начальное состояние устройства отображается как Не соответствует требованиям. После обновления интеллектуальной группы компьютеров Jamf Pro, настроенной для соответствия требованиям , состояние отправляется через соединитель Intune в Идентификатор Microsoft Entra для обновления состояния соответствия устройств. Частота обновлений сведений об устройстве Microsoft Entra зависит от интеллектуальной группы компьютеров соответствия в Jamf частота изменений.

Устранение неполадок

Проблема

После запуска политики из приложения Jamf Self-Service на устройстве macOS, как указано, запрос проверки подлинности Майкрософт работает нормально. Однако состояние устройства, отображаемое в идентификаторе Microsoft Entra, не было обновлено с N/A до состояния "Соответствует" , как ожидалось, даже после ожидания один час или более.

В этом случае запись устройства в идентификаторе Microsoft Entra была неполной.

Решение

Сначала проверьте следующее:

  • Устройство отображается как член интеллектуальной группы компьютеров Jamf для соответствия требованиям. Это членство указывает, что устройство соответствует требованиям.
  • Пользователь, проверяющий подлинность, является членом группы Microsoft Entra, которая ограничена соединителем Jamf Intune.

Во-вторых, на затронутом устройстве:

  • Откройте приложение Терминала и выполните следующую команду:

    /usr/local/jamf/bin/jamfaad gatherAADInfo

    • Если команда не приводит к выводу запроса и вместо этого возвращает идентификатор Microsoft Entra, полученный для $USER пользователя macOS, регистрация была хорошей.
    • Если команда создает запрос на вход и пользователь может завершить вход без ошибок, возможно, во время первоначальной попытки регистрации произошла ошибка пользователя.
    • Если команда создает запрос на вход, но при входе пользователя возникает ошибка, требуется дальнейшее устранение неполадок с помощью обращения в службу поддержки.

Дальнейшие действия