将 Jamf Pro 与 Microsoft Intune 集成,将设备符合性报告为 Entra ID Microsoft
在 Jamf Pro 与 Microsoft Intune 之间建立集成的过程正在不断发展。 Jamf 托管设备的符合性状态报告现在能够允许 Jamf Pro 环境确定 Jamf 托管策略的符合性状态,并通过 Intune 中的连接器向 Microsoft Entra ID 报告设备符合性状态。 将 Jamf 管理的设备的符合性状态报告Microsoft Entra ID 后,这些设备就能够满足Microsoft Entra 条件访问策略建立 Zero-Trust 原则。
重要
已弃用对条件访问的 Jamf macOS 设备支持。
从 2025 年 1 月 31 日开始,将不再支持 Jamf Pro 的条件访问功能所基于的平台。
如果将 Jamf Pro 的条件访问集成用于 macOS 设备,请按照从 macOS 条件访问迁移到 macOS 设备符合性 - Jamf Pro 文档中的 Jamf 记录的指南将设备迁移到设备符合性集成。
如果需要帮助,请联系 Jamf Customer Success。 有关详细信息,请参阅 上的 https://aka.ms/Intune/Jamf-Device-Compliance博客文章。
本文可帮助你完成以下任务:
- 在 Jamf Pro 中配置所需的组件和配置。
- 配置 Jamf Pro 以将 Intune 公司门户应用部署到使用 Jamf 管理的设备。
- 配置策略,以便通过 Jamf 自助服务门户应用部署到用户,以便向 Microsoft Entra ID 注册设备。
- 配置 Intune 连接器。
- 准备Microsoft Entra ID 所需的组件。
帐户权限
若要完成本文中的过程,必须具备:
具有设备符合性权限的 Jamf Pro 用户帐户或 Jamf Pro 管理员帐户。
Microsoft Entra 帐户,分配了具有足够权限的角色。 可用的内置角色包括:
Intune 管理员 - 此角色可以执行本文中的所有步骤。
提示
Intune 管理员是一个高度特权角色,在 Microsoft Intune 中具有完全访问权限。 将角色委托给其他帐户时,请考虑分配具有较少权限的内置角色。
组管理员 - 此角色可以创建所需的设备组。
条件访问管理员 - 此角色可以创建和更新启用用户设备注册的 Microsoft Entra 条件访问策略。
应用程序管理员 - 此角色可以创建与 JAMF 就设备符合性状态进行通信的应用。
有关这些角色的详细信息,请参阅 Microsoft Entra 内置角色。
有关 Jamf Pro 与 Microsoft Entra ID 集成的常见问题
为什么与 Microsoft Entra ID 的集成会有利于我们的 Jamf Pro 托管设备?
Microsoft Entra 条件访问策略能够要求设备不仅满足合规性标准,而且还需要注册到 Microsoft Entra ID。 组织正寻求通过使用Microsoft Entra 条件访问策略来持续改善其安全状况,以确保以下示例方案:
- 设备注册Microsoft Entra ID。
- 设备使用已知的受信任位置或 IP 地址范围。
- 设备符合合规性标准,以便使用 Microsoft 365 桌面应用程序和浏览器访问公司资源。
Microsoft Entra 集成与以前提供的条件访问方法 Jamf 有何不同?
对于使用 Jamf Pro 但尚未与 Intune 建立连接的组织,以前在 Jamf Pro 门户的“设置全局>条件访问路径”>中利用配置的方法不再能够接受新配置。
新的集成需要在“设置全局>设备符合性”>下进行配置,并提供基于向导的过程来引导你完成与 Intune 的连接。 向导提供了一种创建所需的 Microsoft Entra 注册应用程序的方法。 这些已注册的应用程序不能像以前那样在当前设计中预先创建。
Jamf Pro 管理配置
Jamf Pro 配置要求在与 Intune 建立连接之前,在 Jamf Pro 控制台中创建以下计算机 智能组 和 计算机策略 。
计算机智能组
使用以下示例创建两个计算机智能组:
适用:创建包含条件的计算机智能组,该条件确定需要访问Microsoft租户中的公司资源的设备。
例: 转到 Jamf Pro>计算机>智能计算机组 创建新组:
- 显示名称:
- 在本文中,我们已将 “Jamf-Intune 适用组”命名为“适用组”。
- 标准:
- 应用程序标题,运算符 = is,Value = CompanyPortal.app
符合性:创建包含条件的第二个计算机智能组,用于确定设备在 Jamf 中是否合规并满足组织的安全标准。
例: 转到 Jamf Pro>计算机>智能计算机组,创建另一个组:
- 显示名称:
- 在本文中,我们将 Jamf-Intune 合规性组命名为组。
- 启用成员身份更改时发送电子邮件通知的选项。
- 标准:
- 上次清单更新,操作员 = 小于 x 天,值 = 2
- 和 - 条件:应用程序标题,运算符 = is,值 = CompanyPortal.app
- 和 - 文件保管库 2,运算符 = is,值 = 所有分区加密
计算机策略
创建包含以下配置的计算机策略:
例: 转到 Jamf Pro>计算机>策略,创建新策略:
“选项 ”选项卡:
- 常规:
- 显示名称 - 为策略指定名称。 例如, 使用 Microsoft Entra ID 注册 (Microsoft Entra) 。
- 已启用 - 选中此框以启用策略。
- Microsoft设备符合性:
- 启用 “使用 Microsoft Entra ID 注册计算机”。
“范围”选项卡:“配置所选部署目标”,以添加作为 Jamf Pro 管理配置的一部分创建的适用计算机智能组。
“自助服务 ”选项卡:
- 启用 “使策略在自助服务中可用”。
- 设置显示名称。
- 设置按钮名称。
- 输入说明。
- 启用 “确保用户查看说明”。
- 根据需要启用可选 类别 。
选择“保存”。
Mac 应用
在 Mac 应用 Jamf 应用目录中为部署到所有设备的 Microsoft Intune 公司门户创建应用。 使用 Jamf 应用目录版本可以轻松使应用程序保持最新状态。
- 转到 “计算机>Mac 应用”,然后选择“ +新建”。
- 选择“ Jamf 应用目录”,然后选择“ 下一步”。
- 搜索 Microsoft Intune 公司门户 ,然后选择应用程序旁边的 “添加 ”。
- 将 “目标组” 设置为 “所有托管客户端”。
- 将 “分发方法 ”设置为 “自动安装”。
- 启用 “安装支持配置文件”。
- 启用右上角的 “部署” 开关,然后选择“ 保存”。
Microsoft Entra 管理配置
由于组织已设置用于保护公司资源的条件访问策略配置,因此可能会阻止注册设备的功能。
使用以下命令创建一个组,其中包含 Jamf 托管设备的用户,该组将用于在后续步骤中限定 Intune 连接器的范围。
https://entra.microsoft.com使用有权创建组以及创建和编辑条件访问策略的帐户登录。
展开 “组>”“所有组> ”,然后选择“ 新建组”。
创建具有相应规则的动态组,以包括将向其 Jamf 托管设备注册Microsoft Entra ID 的适用用户。
提示
建议使用动态组,但也可以使用静态组。
将 Jamf Pro 连接到 Intune
Jamf pro 利用 Microsoft Intune 管理中心中的连接器,位于租户管理>连接器和令牌中>。 将 Jamf Pro 连接到 Intune 的过程在 Jamf Pro 管理门户中启动,并利用提示后续步骤的向导。
登录到 Jamf 管理门户,例如: https://tenantname.jamfcloud.com。
转到 “设置 > 全局 > 设备符合性”。
选择“ 编辑”,然后通过选中框启用“平台 macOS”。
在“符合性组”下拉列表中,选择本文上一节“计算机智能组”中为“符合性”创建的“计算机智能组”。
在“适用组”下拉列表中,选择在本文上一节“计算机智能组”中为“适用”创建的“计算机智能组”。
启用右上角的滑块,然后选择“ 保存”。
然后会显示两个Microsoft身份验证提示。 每个都需要Microsoft 365 全局管理员对提示进行身份验证:
- 第一个身份验证提示使用 Entra ID Microsoft创建 适用于设备合规性的云连接器 应用程序。
- 第二个身份验证提示创建 设备符合性的用户注册应用。
新的浏览器选项卡将打开一个带有 “配置合规性合作伙伴 ”对话框的 Jamf 门户页,然后选择标记为“ 打开Microsoft终结点管理器”的按钮。
新的浏览器选项卡将打开 intune 管理中心Microsoft。
继续执行 租户管理 > 连接器和令牌 > 合作伙伴合规性管理。
在 “合作伙伴合规性管理 ”页顶部,选择“ 添加合规性合作伙伴”。
在 “创建合规性合作伙伴 ”向导中:
- 使用 “合规性合作伙伴 ”下拉列表选择“ Jamf 设备符合性”。
- 使用 “平台 ”下拉列表选择 macOS,然后选择“ 下一步”。
- 在 “分配”中,选择“ 添加组”,然后选择之前创建的Microsoft Entra 用户组。 不要 选择“ 添加所有用户 ”,因为这样会阻止连接。
- 选择“ 下一步”,然后选择 “创建”。
在浏览器中,打开包含 Jamf 门户的选项卡,其中包含“ 配置合规性合作伙伴 ”对话框。
选择“ 确认 ”按钮。
切换到显示 Intune 合作伙伴合规性管理仪表板的浏览器选项卡,然后选择“添加合规性合作伙伴”选项旁边的顶部的“刷新”图标。
验证 macOS Jamf 设备符合性 连接器是否显示“合作伙伴状态 ”为“活动”。
完成管理配置
若要确保用户能够注册设备,必须了解可能阻止设备的 Entra 条件访问策略Microsoft。 在将 Jamf Pro 连接到 Intune 时创建的“设备符合性的用户注册”应用必须在任何可能阻止用户注册其设备的策略中添加为排除项。
例如,请考虑一个需要合规设备的Microsoft Entra 条件访问策略:
- 分配 - 将此策略分配给所有用户或包括具有 Jamf 托管设备的用户组。
- 目标资源 - 设置以下配置:
- 应用于所有 云应用。
- 排除 设备合规性应用的用户注册 应用。 此应用是在 将 Jamf Pro 连接到 Intune 时创建的。
- 条件 包括以下选项:
- 要求符合性
- 需要已注册的设备
最终用户通知
我们建议你提供有关最终用户体验的充分通知,以确保 Jamf 托管设备的用户了解流程、工作原理以及他们需要遵守策略的时间线。 应包含在这些通知中的一个重要提醒是,Jamf Self-Service 应用包含用于注册其设备的策略。 用户 不得 使用部署的 Microsoft 公司门户应用来尝试注册。 使用公司门户应用会导致指示 AccountNotOnboarded 的错误。
在以下过程中,使用 Jamf 平台管理的设备不会显示在 Intune 的设备列表中。 用户在 entra ID Microsoft 注册其设备后,设备的初始状态将显示为 “不符合”。 为 符合性 配置的 Jamf Pro 计算机智能组更新后,状态将通过 Intune 连接器发送到 ,以Microsoft Entra ID 来更新设备符合性状态。 更新Microsoft Entra 设备信息的频率基于 Jamf 更改频率中的合规性计算机智能组。
疑难解答
问题
按照指示从 macOS 设备上的 Jamf Self-Service 应用启动策略后,Microsoft身份验证提示似乎正常工作。 但是,Microsoft Entra ID 中显示的设备状态并未从 N/A 更新为 符合 预期状态,即使在等待一小时或更晚之后也是如此。
在这种情况下,Microsoft Entra ID 中的设备记录不完整。
解决方案
首先,验证以下内容:
- 设备显示为符合性的 Jamf 计算机智能组的成员。 此成员身份表示设备符合要求。
- 身份验证用户是范围限定为 Jamf Intune 连接器的 Microsoft Entra 组的成员。
其次,在受影响的设备上:
打开终端应用程序并执行以下命令:
/usr/local/jamf/bin/jamfaad gatherAADInfo
- 如果命令未导致提示,而是返回为 macOS 用户$USER获取的Microsoft Entra ID,则注册正常。
- 如果命令创建登录提示,并且用户能够无错误地完成登录,则初始注册尝试期间可能存在用户错误。
- 如果命令创建了登录提示,但在用户登录时出现错误,则需要通过支持案例进行进一步的故障排除。