手动将 Jamf Pro 与 Intune 集成以确保合规性
重要
已弃用对条件访问的 Jamf macOS 设备支持。
从 2025 年 1 月 31 日开始,将不再支持 Jamf Pro 的条件访问功能所基于的平台。
如果将 Jamf Pro 的条件访问集成用于 macOS 设备,请按照从 macOS 条件访问迁移到 macOS 设备符合性 - Jamf Pro 文档中的 Jamf 记录的指南将设备迁移到设备符合性集成。
如果需要帮助,请联系 Jamf Customer Success。 有关详细信息,请参阅 上的 https://aka.ms/Intune/Jamf-Device-Compliance博客文章。
提示
有关将 Jamf Pro 与 Intune 集成以及Microsoft Entra ID 的指南,包括如何配置 Jamf Pro 以将 Intune 公司门户应用部署到使用 Jamf Pro 管理的设备,请参阅 将 Jamf Pro 与 Intune 集成以报告符合Microsoft Entra ID。
Microsoft Intune 支持集成 Jamf Pro 部署,以便将设备合规性和条件访问策略引入 macOS 设备。 通过集成,可以要求 Jamf Pro 管理的 macOS 设备满足 Intune 设备合规性要求,然后才能允许这些设备访问组织的资源。 资源访问由 Microsoft Entra 条件访问策略控制,其方式与通过 Intune 管理的设备相同。
Jamf Pro 与 Intune 集成后,可以通过 Microsoft Entra ID 将 macOS 设备的清单数据与 Intune 同步。 Intune 的合规性引擎随后会分析清单数据以生成报表。 Intune 的分析与有关设备用户Microsoft Entra 标识的智能相结合,通过条件访问来推动强制实施。 符合条件访问策略的设备可以访问受保护的公司资源。
本文可帮助你手动将 Jamf Pro 与 Intune 集成。
提示
与其手动配置 Jamf Pro 与 Intune 的集成,我们建议使用 Jamf 云连接器与 Microsoft Intune 进行配置。 云连接器自动执行手动配置集成时所需的多个步骤。
配置集成后,将在使用 Jamf 管理的设备上配置 Jamf 和 Intune 以使用条件访问强制实现符合性。
先决条件
产品和服务
需要满足以下要求才能通过 Jamf Pro 配置条件访问:
- Jamf Pro 10.1.0 或更高版本
- Microsoft Intune 和 Microsoft Entra ID P1 许可证 (建议Microsoft企业移动性 + 安全性许可证捆绑包)
- Microsoft Entra ID 中的全局管理员角色。
- 在 Jamf Pro 中具有 Microsoft Intune 集成特权的用户
- 适用于 macOS 的公司门户应用
- 带有 OS X 10.12 Yosemite 或更高版本的 macOS 设备
网络端口
要使 Jamf 和 Intune 正确集成,应可访问以下端口:
- Intune:端口 443
- Apple:端口 2195、2196 和 5223(向 Intune 推送通知)
- Jamf:端口 80 和 5223
若要允许 APNS 在网络上正常运行,还必须启用与以下位置的传出连接,以及来自以下位置的重定向:
- 通过所有客户端网络中的 TCP 端口 5223 和 443 的 Apple 17.0.0.0/8 块。
- Jamf Pro 服务器中的端口 2195 和 2196。
有关这些端口的详细信息,请参阅以下文章:
- Intune 网络配置要求和带宽。
- jamf.com 上的 Jamf Pro 使用的网络端口。
- support.apple.com 上的 Apple 软件产品使用的 TCP 和 UDP 端口
将 Intune 连接到 Jamf Pro
若要将 Intune 与 Jamf Pro 连接:
- 在 Azure 中创建新的应用程序。
- 启用 Intune 以与 Jamf Pro 集成。
- 在 Jamf Pro 中配置条件访问。
使用 Microsoft Entra ID 创建应用程序
在 Azure 门户中,转到 “Microsoft Entra ID>应用注册”,然后选择“ 新建注册”。
在“注册应用程序”页上,指定以下详细信息:
- 在“名称”部分中,输入一个有意义的应用程序名称,例如“Jamf 条件访问”。
- 对于“支持的帐户类型”部分,选择“任何组织目录中的帐户”。
- 对于“重定向 URI”,保留 Web 的默认值,然后指定 Jamf Pro 实例的 URL。
选择“注册”创建应用程序并打开新应用的“概述”页。
在应用的“概述”页上,复制“应用程序(客户端)ID”值并记录该值以供将来使用。 后续过程中将需要此值。
选择“管理”下的“证书和密码”。 选择“新客户端密码”按钮。 输入“说明”中的值,选择“截止期限”的任何选项,然后选择“添加”。
重要
在离开此页面之前,复制客户端密码的值并记录该值以供将来使用。 后续过程中将需要此值。 此值不再可用,无需重新创建应用注册。
在“管理”下选择 “API 权限”。
在“API 权限”页上,通过选择每个现有权限旁边的“...”图标来删除此应用的所有权限。 此删除是必需的;如果此应用注册中有任何意外的额外权限,则集成不会成功。
接下来,添加更新设备属性的权限。 在“API 权限”页的左上角,选择“添加权限”以添加新的权限。
在“请求获取 API 权限”页上,选择“Intune”,然后选择“应用程序权限”。 仅选中 update_device_attributes 对应的复选框,然后保存新权限。
在“Microsoft Graph”下,选择“应用程序权限”,然后选择“Application.Read.All”。
选择 添加权限。
导航到“我的组织使用的 API”。 搜索并选择“Windows Azure Active Directory”。 选择“应用程序权限”,然后选择“Application.Read.All”。
选择 添加权限。
接下来,通过选择“API 权限”页左上角的“为租户>授予管理员同意”来<授予此应用的管理员同意。 你可能需要在新窗口中对你的帐户重新进行身份验证,并按照提示授予应用程序访问权限。
通过选择页面顶部的“刷新”来刷新页面。 确认是否针对 update_device_attributes 权限授予了管理员同意。
成功注册应用后,API 权限应仅包含一个名为 update_device_attributes 的权限,并且应如下所示:
Microsoft Entra ID 中的应用注册过程已完成。
注意
如果客户端密码过期,则必须在 Azure 中创建一个新的客户端密码,然后更新 Jamf Pro 中的条件访问数据。 Azure 允许同时具有旧密钥和新密钥,以防止服务中断。
启用 Intune 以与 Jamf Pro 集成
选择“租户管理”>“连接器和令牌”>“合作伙伴设备管理”。
通过将在上一过程中保存的应用程序 ID 粘贴到“为 Jamf 指定Microsoft Entra 应用 ID”字段,启用适用于 Jamf 的合规性连接器。
选择“保存”。
在 Jamf Pro 中配置 Microsoft Intune 集成
在 Jamf Pro 控制台中激活连接:
- 打开 Jamf Pro 控制台并导航到“全局管理”>“条件访问”。 在“macOS Intune 集成”选项卡上选择“编辑”。
- 选中“启用适用于 macOS 的 Intune 集成”复选框。 启用此设置后,Jamf Pro 会将清单更新发送到 Microsoft Intune。 如果要禁用连接但保存配置,请清除所选内容。
- 在“连接类型”下选择“手动”。
- 在“主权云”弹出菜单中,选择 Microsoft 提供的主权云的位置。
- 选择“ 打开管理员同意 URL ”,并按照屏幕上的说明,允许将 Jamf Native macOS 连接器应用添加到 Microsoft Entra 租户。
- 从 Azure Microsoft 添加Microsoft Entra 租户名称 。
- 从 Microsoft Azure 中为 Jamf Pro 应用程序添加 应用程序 ID 和 客户端密码 (以前称为应用程序密钥)。
- 选择“保存”。 Jamf Pro 将测试设置并验证是否成功。
返回到 Intune 中的“合作伙伴设备管理”页完成配置。
在 Intune 中,转到“合作伙伴设备管理”页。 在“连接器设置”下,为分配配置组:
- 选择“包括”,并指定要向 Jamf 注册 macOS 的目标用户组。
- 使用“排除”以选择不会向 Jamf 注册而是将其 Mac 直接注册到 Intune 的用户组。
“排除”覆盖“包括”,这意味着在两个组中的任何设备都将从 Jamf 中排除,并直接注册到 Intune。
注意
此包括和排除用户组的方法将影响用户的注册体验。 已在 Jamf 或 Intune 中注册的 macOS 设备的任何用户(随后被定向注册到其他 MDM)必须取消注册其设备,然后在设备管理正常工作之前,将其重新注册到新的 MDM。
选择“评估”,以根据组配置确定将向 Jamf 注册的设备数。
准备好应用配置时,选择“保存”。
若要继续,接下来需要使用 Jamf 部署适用于 Mac 的公司门户,以便用户可以将其设备注册到 Intune。
设置符合性策略并注册设备
配置 Intune 和 Jamf 之间的集成后,需要将合规性策略应用到 Jamf 托管的设备。
断开 Jamf Pro 和 Intune 的连接
如果需要删除 Jamf Pro 与 Intune 的集成,请使用以下方法之一。 这两种方法都适用于手动或使用云连接器配置的集成。
从 Microsoft Intune 管理中心内取消预配 Jamf Pro
在 Microsoft Intune 管理中心,转到 租户管理>连接器和令牌>合作伙伴设备管理。
选择“ 终止”选项。 Intune 显示有关操作的消息。 查看邮件,准备就绪后,选择“ 确定”。 仅当 Jamf 连接存在时,才会显示 “终止 集成”选项。
终止集成后,刷新管理中心的视图以更新视图。 组织的 macOS 设备在 90 天内将从 Intune 中删除。
从 Jamf Pro 控制台中取消预配 Jamf Pro
使用以下步骤从 Jamf Pro 控制台中删除连接。
在 Jamf Pro 控制台中,转到 “全局管理>条件访问”。 在“macOS Intune 集成”选项卡上,选择“编辑”。
清除“启用适用于 macOS 的 Intune 集成”复选框。
选择“保存”。 Jamf Pro 将配置发送到 Intune,并且将终止集成。
选择“租户管理”>“连接器和令牌”>“合作伙伴设备管理”,以验证状态现在是否为“已终止”。
终止集成后,组织的 macOS 设备将在主机中显示的日期(即三个月后)被删除。