通过

手动将 Jamf Pro 与 Intune 集成以确保合规性

  • 项目

重要

已弃用对条件访问的 Jamf macOS 设备支持

从 2024 年 9 月 1 日起,将不再支持 Jamf Pro 的条件访问功能所基于的平台。

如果将 Jamf Pro 的条件访问集成用于 macOS 设备,请按照从 macOS 条件访问迁移到 macOS 设备符合性 - Jamf Pro 文档中的 Jamf 记录的指南将设备迁移到设备符合性集成

如果需要帮助,请联系 Jamf Customer Success。 有关详细信息,请参阅 上的 https://aka.ms/Intune/Jamf-Device-Compliance博客文章。

提示

有关将 Jamf Pro 与 Intune 和 Microsoft Entra ID 集成的指导,包括如何配置 Jamf Pro 以将Intune 公司门户应用部署到使用 Jamf Pro 管理的设备,请参阅将 Jamf Pro 与 Intune 集成以报告Microsoft Entra ID 的合规性

Microsoft Intune支持集成 Jamf Pro 部署,以便将设备合规性和条件访问策略引入 macOS 设备。 通过集成,可以要求 Jamf Pro 管理的 macOS 设备满足 Intune 设备合规性要求,然后才能允许这些设备访问组织的资源。 资源访问由Microsoft Entra条件访问策略控制,其方式与通过 Intune 管理的设备相同。

Jamf Pro 与 Intune 集成后,可以通过 Microsoft Entra ID 将 macOS 设备的清单数据与 Intune 同步。 Intune 的合规性引擎随后会分析清单数据以生成报表。 Intune 的分析与有关设备用户Microsoft Entra标识的智能相结合,通过条件访问来推动强制实施。 符合条件访问策略的设备可以访问受保护的公司资源。

本文可帮助你手动将 Jamf Pro 与 Intune 集成。

提示

与其手动配置 Jamf Pro 与 Intune 的集成,我们建议使用 Jamf 云连接器与 Microsoft Intune 进行配置。 云连接器自动执行手动配置集成时所需的多个步骤。

配置集成后,将在使用 Jamf 管理的设备上配置 Jamf 和 Intune 以使用条件访问强制实现符合性

先决条件

产品和服务

需要满足以下要求才能通过 Jamf Pro 配置条件访问:

  • Jamf Pro 10.1.0 或更高版本
  • Microsoft Intune和Microsoft Entra ID P1 许可证 (建议的 Microsoft 企业移动性 + 安全性 许可证捆绑包)
  • Microsoft Entra ID 中的全局管理员角色。
  • 在 Jamf Pro 中具有 Microsoft Intune 集成特权的用户
  • 适用于 macOS 的公司门户应用
  • 带有 OS X 10.12 Yosemite 或更高版本的 macOS 设备

网络端口

要使 Jamf 和 Intune 正确集成,应可访问以下端口:

  • Intune:端口 443
  • Apple:端口 2195、2196 和 5223(向 Intune 推送通知)
  • Jamf:端口 80 和 5223

若要允许 APNS 在网络上正常运行,还必须启用与以下位置的传出连接,以及来自以下位置的重定向:

  • 通过所有客户端网络中的 TCP 端口 5223 和 443 的 Apple 17.0.0.0/8 块。
  • Jamf Pro 服务器中的端口 2195 和 2196。

有关这些端口的详细信息,请参阅以下文章:

将 Intune 连接到 Jamf Pro

若要将 Intune 与 Jamf Pro 连接:

  1. 在 Azure 中创建新的应用程序。
  2. 启用 Intune 以与 Jamf Pro 集成。
  3. 在 Jamf Pro 中配置条件访问。

使用Microsoft Entra ID 创建应用程序

  1. Azure 门户中,转到“Microsoft Entra ID>应用注册”,然后选择“新建注册”。

  2. 在“注册应用程序”页上,指定以下详细信息:

    • 在“名称”部分中,输入一个有意义的应用程序名称,例如“Jamf 条件访问”
    • 对于“支持的帐户类型”部分,选择“任何组织目录中的帐户”。
    • 对于“重定向 URI”,保留 Web 的默认值,然后指定 Jamf Pro 实例的 URL。

  3. 选择“注册”创建应用程序并打开新应用的“概述”页

  4. 在应用的“概述”页上,复制“应用程序(客户端)ID”值并记录该值以供将来使用。 后续过程中将需要此值。

  5. 选择“管理”下的“证书和密码”。 选择“新客户端密码”按钮。 输入“说明”中的值,选择“截止期限”的任何选项,然后选择“添加”

    重要

    在离开此页面之前,复制客户端密码的值并记录该值以供将来使用。 后续过程中将需要此值。 此值不再可用,无需重新创建应用注册。

  6. 在“管理”下选择 “API 权限”。

  7. 在“API 权限”页上,通过选择每个现有权限旁边的“...”图标来删除此应用的所有权限。 此删除是必需的;如果此应用注册中有任何意外的额外权限,则集成不会成功。

  8. 接下来,添加更新设备属性的权限。 在“API 权限”页的左上角,选择“添加权限”以添加新的权限

  9. 在“请求获取 API 权限”页上,选择“Intune”,然后选择“应用程序权限”。 仅选中 update_device_attributes 对应的复选框,然后保存新权限。

  10. 在“Microsoft Graph”下,选择“应用程序权限”,然后选择“Application.Read.All”。

  11. 选择 添加权限

  12. 导航到“我的组织使用的 API”。 搜索并选择“Windows Azure Active Directory”。 选择“应用程序权限”,然后选择“Application.Read.All”。

  13. 选择 添加权限

  14. 接下来,通过选择“API 权限”页左上角的“租户>授予管理员同意”来<授予此应用的管理员同意。 你可能需要在新窗口中对你的帐户重新进行身份验证,并按照提示授予应用程序访问权限。

  15. 通过选择页面顶部的“刷新”来刷新页面。 确认是否针对 update_device_attributes 权限授予了管理员同意。

  16. 成功注册应用后,API 权限应仅包含一个名为 update_device_attributes 的权限,并且应如下所示:

成功的权限

Microsoft Entra ID 中的应用注册过程已完成。

注意

如果客户端密码过期,则必须在 Azure 中创建一个新的客户端密码,然后更新 Jamf Pro 中的条件访问数据。 Azure 允许同时具有旧密钥和新密钥,以防止服务中断。

启用 Intune 以与 Jamf Pro 集成

  1. 登录到Microsoft Intune管理中心

  2. 选择“租户管理”>“连接器和令牌”>“合作伙伴设备管理”。

  3. 通过将在上一过程中保存的应用程序 ID 粘贴到指定 Jamf Microsoft Entra应用 ID 字段,启用适用于 Jamf 的合规性连接器

  4. 选择“保存”。

在 Jamf Pro 中配置 Microsoft Intune 集成

  1. 在 Jamf Pro 控制台中激活连接:

    1. 打开 Jamf Pro 控制台并导航到“全局管理”>“条件访问”。 在“macOS Intune 集成”选项卡上选择“编辑”。
    2. 选中“启用适用于 macOS 的 Intune 集成”复选框。 启用此设置后,Jamf Pro 会将清单更新发送到 Microsoft Intune。 如果要禁用连接但保存配置,请清除所选内容。
    3. 在“连接类型”下选择“手动”。
    4. 在“主权云”弹出菜单中,选择 Microsoft 提供的主权云的位置。
    5. 选择“打开管理员同意 URL”并按照屏幕上的说明操作,以允许将 Jamf Native macOS 连接器应用添加到Microsoft Entra租户。
    6. 从 Microsoft Azure 添加Microsoft Entra租户名称
    7. 从 Microsoft Azure 中为 Jamf Pro 应用程序添加 应用程序 ID客户端密码 (以前称为应用程序密钥)。
    8. 选择“保存”。 Jamf Pro 将测试设置并验证是否成功。

    返回到 Intune 中的“合作伙伴设备管理”页完成配置。

  2. 在 Intune 中,转到“合作伙伴设备管理”页。 在“连接器设置”下,为分配配置组:

    • 选择“包括”,并指定要向 Jamf 注册 macOS 的目标用户组。
    • 使用“排除”以选择不会向 Jamf 注册而是将其 Mac 直接注册到 Intune 的用户组

    排除”覆盖“包括”,这意味着在两个组中的任何设备都将从 Jamf 中排除,并直接注册到 Intune。

    注意

    此包括和排除用户组的方法将影响用户的注册体验。 已在 Jamf 或 Intune 中注册的 macOS 设备的任何用户(随后被定向注册到其他 MDM)必须取消注册其设备,然后在设备管理正常工作之前,将其重新注册到新的 MDM。

  3. 选择“评估”,以根据组配置确定将向 Jamf 注册的设备数。

  4. 准备好应用配置时,选择“保存”

  5. 若要继续,接下来需要使用 Jamf 部署适用于 Mac 的公司门户,以便用户可以将其设备注册到 Intune。

设置符合性策略并注册设备

配置 Intune 和 Jamf 之间的集成后,需要将合规性策略应用到 Jamf 托管的设备

断开 Jamf Pro 和 Intune 的连接

如果需要删除 Jamf Pro 与 Intune 的集成,请使用以下方法之一。 这两种方法都适用于手动或使用云连接器配置的集成。

从 Microsoft Intune 管理中心内取消预配 Jamf Pro

  1. Microsoft Intune管理中心,转到租户管理>连接器和令牌>合作伙伴设备管理

  2. 选择“ 终止”选项。 Intune 显示有关操作的消息。 查看邮件,准备就绪后,选择“ 确定”。 仅当 Jamf 连接存在时,才会显示 “终止 集成”选项。

终止集成后,刷新管理中心的视图以更新视图。 组织的 macOS 设备在 90 天内将从 Intune 中删除。

从 Jamf Pro 控制台中取消预配 Jamf Pro

使用以下步骤从 Jamf Pro 控制台中删除连接。

  1. 在 Jamf Pro 控制台中,转到 “全局管理>条件访问”。 在“macOS Intune 集成”选项卡上,选择“编辑”

  2. 清除“启用适用于 macOS 的 Intune 集成”复选框。

  3. 选择“保存”。 Jamf Pro 将配置发送到 Intune,并且将终止集成。

  4. 登录到Microsoft Intune管理中心

  5. 选择“租户管理”>“连接器和令牌”>“合作伙伴设备管理”,以验证状态现在是否为“已终止”。

终止集成后,组织的 macOS 设备将在主机中显示的日期(即三个月后)被删除。

后续步骤