分享方式:


設定 Jamf Cloud Connector 以與 Microsoft Intune 整合

重要事項

Jamf macOS 裝置對條件式存取的支援即將淘汰

從 2024 年 9 月 1 日開始,將不再支援 Jamf Pro 的條件式存取功能所建置的平臺。

如果您針對 macOS 裝置使用 Jamf Pro 的條件式存取整合,請遵循 Jamf 記載的指導方針,從 macOS 條件式存取移轉至 macOS 裝置合規性 – Jamf Pro 檔,將裝置移轉至裝置合規性整合。

如果您需要協助,請連絡 Jamf Customer Success。 如需詳細資訊,請參閱 的部落格 https://aka.ms/Intune/Jamf-Device-Compliance文章。

本文可協助您安裝 Jamf Cloud Connector,以整合 Jamf Pro 與 Microsoft Intune。 透過整合,您可以要求 Jamf Pro 所管理的 macOS 裝置必須符合 Intune 裝置合規性需求,才能允許這些裝置存取貴組織的資源。 資源存取是由您的 Microsoft Entra 條件式存取原則所控制,其方式與透過 Intune 管理的裝置相同。

建議您使用 Jamf Cloud Connector,因為它會自動執行您手動設定整合時所需的許多步驟,如 整合 Jamf Pro 與 Intune 以符合規範中所述。

當您設定 Cloud Connector 時:

  • 設定會自動在 Azure 中建立 Jamf Pro 應用程式,取代手動設定它們的需求。
  • 您可以將多個 Jamf Pro 實例與裝載 Intune 訂用帳戶的相同 Azure 租使用者整合。

只有當您使用 Cloud Connector 時,才支援將 Jamf Pro 的多個實例與單一 Azure 租使用者連線。 當您使用手動設定的連線時,只有單一 Jamf 實例可以與 Azure 租使用者整合。

使用 Cloud Connector 是選擇性的:

  • 對於尚未與 Jamf 整合的新租使用者,您可以選擇設定 Cloud Connector,如本文所述。 或者,您可以手動設定整合,如整合 Jamf Pro 與 Intune 以符合規範中所述
  • 對於已經有手動設定的租使用者,您可以選擇移除該整合,然後設定 Cloud Connector。 本文將說明移除現有的整合和設定 Cloud Connector。

如果您打算將先前的整合取代為 Jamf Cloud Connector:

  • 使用 此程式來移除目前的設定,包括刪除 Jamf Pro 的企業應用程式,以及停用手動整合。 然後,您可以使用 程式來設定 Cloud Connector
  • 您不需要重新註冊裝置。 已註冊的裝置可以使用雲端連接器,而不需要進一步設定。
  • 請務必在移除手動整合的 24 小時內設定 Cloud Connector,以確保已註冊的裝置可以繼續報告其狀態。

如需 Jamf Cloud Connector 的詳細資訊,請參閱在 docs.jamf.com 上 使用 Cloud Connector 設定 macOS Intune 整合

先決條件

產品和服務

  • Jamf Pro 10.18 或更新版本
  • 具有條件式存取權的 Jamf Pro 用戶帳戶
  • Microsoft Intune
  • Microsoft Entra ID P1 或 P2
  • macOS 版公司入口網站應用程式
  • 具有OS X 10.12 Yosemite 或更新版本的macOS裝置

網路
下列埠和端點必須可供 Jamf 和 Intune 存取,才能正確整合:

  • Intune:埠 443

  • Apple:埠 2195、2196 和 5223 (推播通知至 Intune)

  • Jamf:埠 80 和 5223

  • 端點:

    • login.microsoftonline.com
    • graph.windows.net
    • *.manage.microsoft.com

若要讓 APNS 在網路上正常運作,您必須啟用連出連線,並從下列埠重新導向:

  • Apple 17.0.0.0/8 會封鎖來自所有用戶端網路的 TCP 連接埠 5223 和 443。
  • 來自 Jamf Pro 伺服器的埠 2195 和 2196。

如需這些埠的詳細資訊,請參閱下列文章:

帳戶
本文中的程式需要使用具有下列許可權的帳戶:

  • Jamf Pro 控制台:具有管理 Jamf Pro 許可權的帳戶
  • Microsoft Intune 系統管理中心:全域管理員
  • Azure 入口網站:全域管理員

拿掉先前設定租使用者的 Jamf Pro 整合

使用下列程式,從 Azure 租使用者移除手動設定的 Jamf Pro 整合, 然後 才可以設定 Cloud Connector。

如果您先前尚未設定 Jamf Pro 與 Intune 之間的連線,或如果您有一或多個已使用 Cloud Connector 的連線,請略過此程式,並從 設定新租使用者的 Cloud Connector 開始。

拿掉手動設定的 Jamf Pro 整合

  1. 登入 Jamf Pro 控制台。

  2. (右上角) 齒輪圖示的 [設定],然後移至 [ 全域管理>條件式存取]

    流覽至條件式存取

  3. 選取 [編輯]

  4. 取消選取 [啟用 macOS 的 Intune 整合] 複選框。

    當您取消選取此設定時,您會停用連線,但會儲存您的組態。

  5. 登入 Microsoft Intune 系統管理中心 ,然後移至 租使用者管理>合作夥伴裝置管理

    [合作夥伴裝置管理] 節點上,刪除 [為 Jamf 指定Microsoft應用程式識別符] 欄位中的 [應用程式識別符],然後選取 [儲存]

    應用程式標識碼是當您設定 Jamf Pro 手動整合時,在 Azure 中建立的 Azure 企業應用程式識別碼。

  6. 使用具有全域管理員許可權的帳戶登入 Azure 入口網站,然後移至 Microsoft Entra ID>Enterprise 應用程式]

    找出這兩個 Jamf 應用程式並加以刪除。 當您在下一個程式中設定 Jamf Cloud Connector 時,將會自動建立新的應用程式。

    選取要刪除的 Jamf 應用程式

    在 Jamf Pro 中停用整合並刪除企業應用程式之後, 合作夥伴裝置管理 節點會顯示 [ 已終止] 的連線狀態。

    已終止的連線狀態

既然您已成功移除 Jamf Pro 整合的手動設定,您可以使用 Cloud Connector 來設定整合。 若要這樣做,請參閱本文中的 設定新租用戶的雲端連接器

設定新租用戶的雲端連接器

使用下列程式來設定 Jamf Cloud Connector,以在下列情況下整合 Jamf Pro 和 Microsoft Intune:

  • 您在針對 Azure 租使用者設定的 Jamf Pro 與 Intune 之間沒有任何整合。
  • 您已在 Azure 租使用者中的 Jamf Pro 與 Intune 之間設定 Cloud Connector,並想要整合另一個 Jamf 實例與您的訂用帳戶。

如果您目前已手動設定 Intune 與 Jamf Pro 之間的整合,請參閱本文中 移除先前設定租使用者的 Jamf Pro 整合 ,以在繼續之前移除該整合。 您必須先移除手動設定的整合,才能成功設定 Jamf the Cloud Connector。

建立新連線

  1. 登入 Jamf Pro 控制台。

  2. 取 [設定 (右上角的齒輪圖示0,然後移至 [ 全域管理>條件式存取]

    流覽至條件式存取

  3. 選取 [編輯]

  4. 選取 [ 啟用 macOS 的 Intune 整合] 複選框。

    • 選取此設定,讓 Jamf Pro 將清查更新傳送至 Microsoft Intune。
    • 您可以取消選取此設定來停用連線,但儲存您的組態。

    重要事項

    如果已選取 [啟用 macOS 的 Intune 整合 ],且 [ 連線類型 ] 設定為 [ 手動],您必須先移除該整合,才能繼續。 繼續之前,請參閱本文中的 移除先前設定租使用者的 Jamf Pro 整合

  5. 在 [ 連線類型] 底下,選取 [雲端連接器]

    在 Jamf Pro 控制台中選取 [雲端連接器]

  6. 從 [ 主權雲 端] 彈出視窗功能表中,從 [Microsoft] 選取您的主權雲端位置。 如果您要取代先前與 Jamf Cloud Connector 的整合,如果已指定位置,則可以略過此步驟。

  7. 針對 Azure Microsoft 無法辨識的電腦,選取下列其中一個登陸頁面選項:

    • 默認 Jamf Pro 裝置註冊頁面 - 視 macOS 裝置的狀態而定,此選項會將使用者重新導向至 Jamf Pro 裝置註冊入口網站 (向 Jamf Pro) 註冊,或將 Intune 公司入口網站應用程式 (向 Microsoft Entra ID) 註冊。
    • 拒絕存取頁面
    • 自訂 URL

    如果您要取代先前與 Jamf Cloud Connector 的整合,如果已指定登陸頁面,則可以略過此步驟。

  8. 選取 [連線]。 系統會將您重新導向以在 Azure 中註冊 Jamf Pro 應用程式。

    出現提示時,請指定您的Microsoft Azure 認證,並遵循螢幕上的指示來授與要求的許可權。 您將授與 Cloud Connector 的許可權,然後再次授與 Cloud Connector 用戶註冊應用程式的許可權。 這兩個應用程式都會在 Azure 中註冊為企業應用程式。

    授與這兩個應用程式的許可權之後,[ 應用程式標識符 ] 頁面隨即開啟。

  9. 在 [ 應用程式識別符] 頁面上,選取 [複製],然後開啟 [Intune]

    應用程式識別碼

    應用程式標識碼會複製到您的系統剪貼簿,以便在下一個步驟中使用,並開啟 Microsoft Intune 系統管理中心的合作夥伴裝置管理節點。 (租使用者管理>合作夥伴裝置管理) 。

  10. [合作夥伴裝置管理] 節點上,將 [應用程式標識符] 到 [指定 Jamf 的 Microsoft Entra App 識別符] 字段,然後選取 [儲存]

    設定合作夥伴裝置管理

  11. 返回 Jamf Pro 中的 [應用程式識別符] 頁面,然後選取 [ 確認]

  12. Jamf Pro 會完成並測試設定,並在 [條件式存取設定] 頁面上顯示連線成功或失敗。 下圖是成功的範例:

    Jamf Pro 已確認設定成功

  13. 在 Microsoft Intune 系統管理中心,重新整理 合作夥伴裝置管理 節點。 線上現在應該會顯示為 作用中

    聯機狀態為作用中

成功建立 Jamf Pro 與 Microsoft Intune 之間的連線時,Jamf Pro 會針對使用 Microsoft Entra ID 註冊的每部計算機,將清查資訊傳送至 Microsoft Intune, (向 Microsoft Entra ID 註冊是使用者工作流程) 。 您可以在 Jamf Pro 中,在電腦清查資訊的 [本機用戶帳戶] 類別中,檢視使用者和計算機的條件式存取清查狀態。

使用 Jamf Cloud Connector 整合一個 Jamf Pro 實例之後,您可以使用這個相同的程式,在 Azure 租使用者中使用相同的 Intune 訂用帳戶設定更多 Jamf Pro 實例。

設定合規性政策並註冊裝置

設定 Intune 與 Jamf 之間的整合之後,您必須將 合規性原則套用至 Jamf 管理的裝置

中斷 Jamf Pro 和 Intune 的連線

若要移除 Jamf Pro 與 Intune 的整合,請使用下列步驟從 Jamf Pro 控制台內移除連線。 這項資訊同時適用於雲端連接器和手動設定的整合。

從 Microsoft Intune 系統管理中心取消布建 Jamf Pro

  1. Microsoft Intune 系統管理中心,移至 租用戶系統管理>連接器和令牌>合作夥伴裝置管理

  2. 選取 [ 終止] 選項。 Intune 會顯示動作的相關訊息。 檢閱訊息,並在準備就緒時,選取 [ 確定]。 只有當 Jamf 連線存在時,才會出現 [ 終止 整合] 選項。

終止整合之後,請重新整理系統管理中心的檢視以更新檢視。 貴組織的macOS裝置會在90天內從Intune中移除。

從 Jamf Pro 控制台取消布建 Jamf Pro

使用下列步驟,從 Jamf Pro 控制台內移除連線。

  1. 在 Jamf Pro 控制台中,移至 [ 全域管理>條件式存取]。 在 [macOS Intune 整合 ] 索引標籤上,選取 [ 編輯]

  2. 清除 [ 啟用 macOS 的 Intune 整合 ] 複選框。

  3. 選取 [儲存]。 Jamf Pro 會將您的設定傳送至 Intune,並終止整合。

  4. 登入 Microsoft Intune 系統管理中心

  5. 選取 [租用戶系統管理>連接器和令牌>合作夥伴裝置管理] ,以確認狀態現在已 終止

在您終止整合之後,組織的macOS裝置將會在控制台中顯示的日期移除,也就是三個月後。

取得 Cloud Connector 的支援

由於雲端連接器會自動建立整合所需的 Azure 企業應用程式,因此您的第一個支援連絡點應該是 Jamf。 選項包括:

在連絡支援人員之前:

  • 檢閱必要條件,例如您使用的埠和產品版本。

  • 確認尚未修改在 Azure 中建立的下列兩個 Jamf Pro 應用程式的許可權。 Intune 不支援應用程式許可權的變更,而且可能會導致整合失敗。

    Cloud Connector 用戶註冊應用程式

    • API 名稱:Microsoft Graph
      • 許可權:登入和讀取使用者配置檔
      • 類型:委派
      • 授出席者:管理員同意
      • 授出席者:系統管理員

    雲端連接器應用程式

    • API 名稱:Microsoft Graph (實例 1)

      • 許可權:登入和讀取使用者配置檔
      • 類型:委派
      • 授出席者:管理員同意
      • 授出席者:系統管理員
    • API 名稱:Microsoft Graph (實例 2)

      • 許可權:讀取目錄數據
      • 類型:應用程式
      • 授出席者:管理員同意
      • 授出席者:系統管理員
    • API 名稱:Intune API

      • 許可權:將裝置屬性傳送至 Microsoft Intune
      • 類型:應用程式
      • 授出席者:管理員同意
      • 授出席者:系統管理員

Jamf Cloud Connector 的常見問題

哪些數據是透過雲端連接器共用?

Cloud Connector 會向 Microsoft Azure 進行驗證,並將裝置清查數據從 Jamf Pro 傳送至 Azure。 此外,Cloud Connector 會管理 Azure 中的服務探索、令牌交換、通訊錯誤和災害復原。

裝置清查數據儲存在哪裡?

裝置清查數據會儲存在 Jamf Pro 資料庫中。

儲存哪些認證?

不會儲存任何認證。 當您設定 Cloud Connector 時,您必須同意將 Jamf 多租使用者應用程式和原生 macOS 連接器應用程式新增至其Microsoft Entra 租使用者。 新增多租使用者應用程式之後,Cloud Connector 會要求存取令牌與 Azure API 互動。 應用程式存取權可以隨時在 Azure Microsoft 撤銷,以限制存取。

如何加密數據?

雲端連接器會針對 Jamf Pro 與 Microsoft Azure 之間傳送的數據,使用傳輸層安全性 (TLS) 。

Jamf 如何知道哪個裝置與 Jamf Pro 的哪個實例相關聯?

Jamf Pro 會使用 AWS 中的微服務,將裝置資訊正確地路由傳送至正確的實例。

我可以從使用雲端連接器切換為手動連線類型嗎?

是。 您可以將連線類型變更回手動,並遵循手動設定的步驟。 如果您有任何問題,則應該將他們導向 Jamf 以尋求協助。

在雲端 連接器和雲連接器用戶註冊應用程式 (,一或兩個必要應用程式的許可權已修改) 且註冊無法運作。 是否支援許可權變更?

不支援修改應用程式的許可權。

Jamf Pro 中是否有記錄檔顯示連線類型是否已變更?

是,變更會記錄到JAMFChangeManagement.log檔案。 若要檢視變更管理記錄,請登入 Jamf Pro,移至 [設定>系統設定>] [變更管理>記錄],搜尋 [條件式存取物件類型],然後選取 [詳細數據] 以檢視變更。

後續步驟