将 Jamf Mobile Threat Protection 与 Intune 集成

完成以下步骤，将 Jamf 移动威胁防御解决方案与 Intune 集成。

开始之前

在开始将 Jamf 与 Intune 集成的过程之前，请确保满足以下先决条件：

• Microsoft Intune 计划 1 订阅

• Microsoft能够授予以下权限的 Entra 管理员凭据和分配的角色：

  • 登录并读取用户个人资料
  • 使用已登录用户的身份访问目录
  • 读取目录数据
  • 向 Intune 发送设备风险信息

• 有效的 Jamf Security Cloud 订阅

  • 具有超级管理员权限的管理员帐户

集成概述

在 Jamf 和 Intune 之间启用移动威胁防御集成需要：

• 启用 Jamf 的 UEM Connect 服务以将信息与 Azure 和 Intune 同步。 同步包括用户和设备生命周期管理 (LCM) 元数据，以及移动威胁防御 (MTD) 设备威胁级别。
• 在 Jamf 中创建激活配置文件以定义设备注册行为。
• 将 Jamf 信任应用部署到托管的 iOS 和 Android 设备。
• 在 iOS 和 Android 设备上使用 MAM 为最终用户自助服务配置 Jamf。

设置 Jamf Mobile Threat Defense 集成

在 Jamf 和 Intune 之间设置集成不需要 Jamf 员工的任何支持，只需几分钟即可轻松完成。

在 Intune 中启用对 Jamf 的支持

1. 登录到 Microsoft Intune 管理中心。

2. 选择“租户管理”>“连接器和令牌”>“移动威胁防御”>“添加”。

3. 在 “添加连接器 ”页上，使用下拉列表并选择“ Jamf”。 然后选择“创建”。

4. 在“移动威胁防御”窗格中，从连接器列表中选择 Jamf MTD 连接器以打开 “编辑连接器 ”窗格。 选择“ 打开 Jamf 管理控制台 ”以打开 Jamf Security Cloud 门户并登录。

5. 在 Jamf Security Cloud 门户中，转到 “集成 > UEM 集成”，然后选择“ UEM 连接 ”选项卡。使用“EMM 供应商”下拉列表，然后选择“ Microsoft Intune”。

6. 将显示类似于下图的屏幕，指示完成集成所需的权限授予：

   

7. 在“Microsoft Intune 用户和设备同步”旁边，选择“ 授予 ”按钮以启动允许 Jamf 通过 Azure 和 Intune 执行生命周期管理 (LCM) 函数的过程。

8. 当出现提示时，选择或输入 Azure 管理员凭据。 查看请求的权限，然后选择“代表组织同意”复选框。 最后，选择“接受”以授权 LCM 集成。

   

9. 你将自动返回到 Jamf 安全云门户。 如果授权成功，“授予”按钮旁边有一个绿色刻度线。

10. 通过单击相应的“授予”按钮，为其余列出的集成重复同意过程，直到每个集成旁边都有绿色勾选标记。

11. 返回到 Intune 管理中心，继续编辑 MTD 连接器。 将所有可用的开关设置为“开”，然后“保存”配置。

    

Intune 和 Jamf 现已连接。

在 Jamf 中创建激活配置文件

使用 Jamf 安全云门户中定义的 Jamf 激活配置文件促进基于 Intune 的部署。 每个激活配置文件定义特定的配置选项，如身份验证要求、服务功能和初始组成员身份。

在 Jamf 中创建激活配置文件后，将其分配给 Intune 中的用户和设备。 虽然激活配置文件跨设备平台和管理策略通用，但以下步骤定义如何基于这些差异配置 Intune。

此处的步骤假定你在 Jamf 中创建了一个激活配置文件，想要通过 Intune 部署到目标设备。 有关创建和使用 Jamf 激活配置文件的详细信息，请参阅 Jamf 安全文档中的 激活配置文件 。

注意

创建通过 Intune 进行部署的激活配置文件时，请务必将“关联用户”设置为“标识提供者 > Microsoft Entra”选项，以获得最大的安全性、跨平台兼容性和简化的最终用户体验。

将 Jamf 无线部署到 MDM 托管的设备

对于使用 Intune 管理的 iOS 和 Android 设备，Jamf 可以无线部署，以便快速进行基于推送的激活。 在继续执行本部分之前，请确保已创建所需的激活配置文件。 将 Jamf 部署到托管设备涉及：

• 将 Jamf 配置文件添加到 Intune 并分配给目标设备。
• 将 Jamf 信任应用和相应的应用配置添加到 Intune 并分配给目标设备。

配置和部署 iOS 配置文件

在本部分中，你将下载 所需的 iOS 设备配置文件，然后通过 MDM 以无线方式将其传送到 Intune 托管设备。

1. 在 Jamf Security Cloud 门户中，导航到要部署 (设备>激活) 的激活配置文件，然后选择“部署策略”选项卡“>Intune Microsoft托管设备>”。

2. 根据设备队列配置，展开“受 Apple iOS 监督”或“不受 Apple iOS 监督”部分。

3. 下载提供的配置文件，并准备在后面的步骤中上传它们。

4. Microsoft Intune 管理中心打开，并导航到“设备 > iOS/iPadOS > 配置文件”。 选择“ 创建新>策略”。

5. 在显示的面板中，对于 “平台 ”，选择“ iOS/iPadOS”，对于 “配置文件类型 ”，选择“ 模板 ”，然后选择“ 自定义”。 然后选择“创建”。

6. 在 “名称” 字段中，为配置提供描述性标题，理想情况下与在 Jamf 安全云门户中命名的激活配置文件匹配。 匹配的名称有助于简化将来的交叉引用。 或者，如果需要，请提供激活配置文件代码。 我们建议通过为名称添加后缀来指示配置是用于“受监督”设备还是“不受监督”设备。

7. （可选）提供可为其他管理员提供有关配置用途和使用的详细信息的“描述”。 选择“下一步”。

8. 在 “配置设置 ”页上，对于 “配置文件”，指定或浏览到与步骤 3 中下载的激活配置文件对应的已下载配置文件。 如果同时下载了“受监督”或“不受监督”配置文件，请谨慎选择相应的配置文件。 选择“下一步”。

9. 将配置文件分配给应安装 Jamf 的用户或设备的组。 我们建议从测试组开始，然后在验证激活正常工作后进行扩展。 选择“下一步”。

10. 根据需要查看配置的正确性编辑，然后选择“ 创建 ”以创建和部署配置文件。

注意

Jamf 为受监督的 iOS 设备提供增强的部署配置文件。 如果有包含受监督和不受监督的设备的混合队列，请根据需要对其他配置文件类型重复上述步骤。 对于通过 Intune 部署的任何未来激活配置文件，都需要遵循相同的步骤。 如果你有一组混合的受监督和非监督 iOS 设备，并且需要有关基于监督模式的策略分配的帮助，请联系 Jamf 支持人员。

使用 MAM 托管应用程序将 Jamf 部署到未注册的设备

对于具有 MAM 托管应用程序的未注册设备，Jamf 利用基于身份验证的集成载入体验来激活和保护 MAM 托管应用中的公司数据。

以下部分介绍如何配置 Jamf 和 Intune，使最终用户能够在访问公司数据之前无缝激活 Jamf。

在 Jamf 激活配置文件中配置 Azure 设备预配

与 MAM 一起使用的激活配置文件必须将“关联用户”设置为“标识提供者 > Microsoft Entra”选项。

1. 在 Jamf Security Cloud 门户中，选择现有的激活配置文件，或者创建一个新的激活配置文件，其中未注册的具有 MAM 托管应用程序的设备在“设备激活” > 中注册时使用。

2. 选择“ 基于标识的预配 ”选项卡，然后滚动到“Microsoft”部分。

3. 为要使用的 激活配置文件 选择切换，这将打开“ 向激活配置文件添加自动预配 ”窗口。

4. 选择确认“ 每个人 (任何组) 选项的当前选择，或选择” 特定组 “，然后添加 组 ID 以将用户激活限制为仅这些组。

   • 如果定义了一个或多个 组 ID ，则激活 MAM 的用户必须是至少一个指定组的成员才能使用此激活配置文件进行激活。
   • 可以为同一 Azure 租户 ID 设置多个激活配置文件，每个配置文件使用不同的组 ID。 使用不同的组 ID 可以基于 Azure 组成员身份将设备注册到 Jamf，从而在激活时按组启用差异化功能。
   • 可以配置未指定任何组 ID 的单个“默认”激活配置文件。 此组充当所有激活的捕获，其中经过身份验证的用户不是与另一个激活配置文件关联的组的成员。

5. 选择页面右上角的“ 保存 ”。

后续步骤

• 在 Jamf Security Cloud 门户中加载 Jamf 激活配置文件后，在 Intune 中创建客户端应用，将 Jamf 信任应用部署到 Android 和 iOS/iPadOS 设备。 Jamf 应用配置提供基本功能来补充推送到设备的设备配置文件，建议用于所有部署。 有关特定于 Jamf 应用的过程和自定义详细信息，请参阅 添加 MTD 应用。
• 将 Jamf 与 Intune 集成后，可以优化配置、查看报表，并在移动设备群中更广泛地部署。 有关详细的配置指南，请参阅 Jamf 文档中 的支持中心入门指南 。