手動將 Jamf Pro 與 Intune 整合以達到合規性

重要事項

Jamf macOS 裝置對條件存取的支援正在被棄用。

自 2025 年 1 月 31 日起，Jamf Pro 條件存取功能所建立的平台將不再支援。

如果您使用 Jamf Pro 的 Conditional Access 整合支援 macOS 裝置，請依照 Jamf 文件中的指引將您的裝置遷移至 Device Compliance 整合，詳見「 從 macOS 條件存取遷移至 macOS 裝置合規 – Jamf Pro 文件」。

如果你需要幫助，請聯絡 Jamf 客戶成功團隊。 欲了解更多資訊，請參閱部落格文章。https://aka.ms/Intune/Jamf-Device-Compliance

提示

關於如何將 Jamf Pro 與 Intune 及 Microsoft Entra ID 整合的指引，包括如何配置 Jamf Pro 以部署 Intune 公司入口網站應用程式到你管理的 Jamf Pro 裝置，請參閱「整合 Jamf Pro 與 Intune 以報告 Microsoft Entra ID 合規情況」。

Microsoft Intune 支援整合您的 Jamf Pro 部署，將裝置合規性及條件存取政策帶入您的 macOS 裝置。 透過整合，您可以要求由 Jamf Pro 管理的 macOS 裝置必須符合 Intune 裝置的合規要求，才能讓這些裝置存取組織的資源。 資源存取由您的 Microsoft Entra 條件存取政策控制，方式與透過 Intune 管理的裝置相同。

當 Jamf Pro 與 Intune 整合時，你可以透過 Microsoft Entra ID 同步 macOS 裝置的庫存資料與 Intune。 Intune 的合規引擎接著分析庫存資料以產生報告。 Intune 的分析結合了對裝置使用者 Microsoft Entra 身份的情報，透過條件存取推動執法。 符合條件存取政策的裝置可取得受保護的公司資源存取權。

這篇文章可以幫助你手動將 Jamf Pro 與 Intune 整合。

提示

我們建議與其手動設定 Jamf Pro 與 Intune 的整合，不如與 Microsoft Intune 一起設定並使用 Jamf Cloud Connector。 Cloud Connector 自動化了許多手動設定整合所需的步驟。

在設定整合後，接著你要設定 Jamf 和 Intune，強制 Jamf 管理的裝置遵守條件存取。

必要條件

產品與服務

你需要以下條件來設定 Jamf Pro 的條件存取：

• Jamf Pro 10.1.0 或更新版本
• Microsoft Intune 和 Microsoft Entra ID P1 授權 (Microsoft Enterprise Mobility + Security授權組合)
• Microsoft Entra ID 中的全域管理員角色。
• 擁有 Jamf Pro 中 Microsoft Intune 整合權限的使用者
• macOS 公司入口網站應用程式
• 搭載 OS X 10.12 Yosemite 或更新版本的 macOS 裝置

網路連接埠

以下埠口應可存取，以便 Jamf 與 Intune 正確整合：

• Intune：埠 443
• Apple：Ports 2195、2196 和 5223 (推送通知到 Intune)
• Jamf：80 和 5223 端口

為了讓 APNS 在網路上正常運作，你也必須啟用輸出連線至以下地點：

• Apple 17.0.0.0/8 區塊則透過 TCP 埠 5223 和 443 從所有用戶端網路傳輸。
• 來自 Jamf Pro 伺服器的 2195 與 2196 埠。

欲了解更多關於這些港口的資訊，請參閱以下文章：

• Microsoft Intune 的網路端點。
• Jamf Pro 在 jamf.com 上使用的網路埠 。
• 蘋果軟體產品使用的 TCP 與 UDP 埠 口 support.apple.com

將 Intune 連接到 Jamf Pro

要連接 Intune 與 Jamf Pro：

1. 在 Azure 建立一個新應用程式。
2. 啟用 Intune 與 Jamf Pro 整合。
3. 在 Jamf Pro 中設定條件存取。

在 Microsoft Entra ID 中建立應用程式

1. 在 Azure 入口網站，前往 Microsoft Entra IDApp>註冊，然後選擇新註冊。

2. 在 「註冊申請 」頁面，請指定以下細節：

   • 在 名稱 區塊輸入有意義的應用程式名稱，例如 Jamf Conditional Access。
   • 在支援帳號類型區塊中，請選擇任一組織目錄中的帳號。
   • 對於 Redirect URI，保留預設的 Web，然後指定你的 Jamf Pro 實例的網址。

3. 選擇 註冊 以建立應用程式並開啟新應用程式 的概覽 頁面。

4. 在應用程式 概覽 頁面，將 應用程式 (客戶端) ID 值複製並記錄下來以備後續使用。 這個數值在後續的手術中會需要。

5. 在管理底下，選取憑證與祕密。 選取新增用戶端密碼按鈕。 在描述中輸入數值，選擇任一「過期」選項，然後選擇新增。

   重要事項

   離開此頁面前，複製客戶端秘密的值並記錄以備後續使用。 這個數值在後續的手術中會需要。 這個數值無法再次使用，除非重新建立應用程式註冊。

6. 在 [管理] 底下，選取 [API 權限]。

7. 在 API 權限頁面，請選擇每個現有權限旁的 ... 圖示，移除此應用程式的所有權限。 此移除是必須的;如果這個應用程式註冊時有意外的額外權限，整合就無法成功。

8. 接著，新增更新裝置屬性的權限。 在 API 權限 頁面左上角，選擇 新增權限 以新增權限。

9. 在請求 API 權限頁面，選擇 Intune，然後選擇應用程式權限。 只勾選 update_device_attributes 的勾選框，並儲存新的權限。

10. 在 Microsoft Graph 中，選擇 應用程式權限，然後選擇 Application.Read.All。

11. 選擇 新增權限。

12. 瀏覽 我組織使用的 API。 搜尋並選擇 Windows Azure Active Directory。 選擇 應用程式權限，然後選擇 Application.Read.All。

13. 選擇 新增權限。

14. 接著，在 API 權限頁面左上角選擇「授予租戶>管理員授權<」來授予這個應用程式的管理員同意。 你可能需要在新視窗重新認證帳號，並依照指示授權應用程式存取權限。

15. 請在頁面頂端選擇 「重新整理 」來重新整理頁面。 確認 update_device_attributes 權限已獲得管理員同意。

16. 應用程式成功註冊後，API 權限中應僅包含一個稱為 update_device_attributes 的權限，並應呈現如下：

Microsoft Entra ID 的應用程式註冊流程已完成。

注意事項

如果用戶端秘密過期，你必須在 Azure 建立新的用戶端秘密，然後在 Jamf Pro 更新條件存取資料。 Azure 允許你同時啟用舊的秘密和新金鑰，以防止服務中斷。

啟用 Intune 與 Jamf Pro 整合

1. 登入 Microsoft Intune 系統管理中心。

2. 選擇租戶管理>連接器與令牌> 合作夥伴裝置管理。

3. 啟用 Jamf 合規連接器，方法是將你在前一個程序中儲存的應用程式 ID 貼上到「指定 Microsoft Entra 應用程式 ID for Jamf 欄位。」

4. 選取 [儲存]。

在 Jamf Pro 中配置 Microsoft Intune 整合

1. 在 Jamf Pro 控制台啟用連線：

   1. 打開 Jamf Pro 主控台，並導向 全域管理>條件存取。 在 macOS 的 Intune 整合標籤中選擇編輯。
   2. 勾選啟用 macOS Intune 整合的勾選框。 啟用此設定後，Jamf Pro 會向 Microsoft Intune 發送庫存更新。 如果你想停用連線，請清除選項，但保留你的設定。
   3. 在連接類型中選擇手程式。
   4. 從 Sovereign Cloud 彈出選單中，選擇你從 Microsoft 提供的 Sovereign Cloud 位置。
   5. 選擇「開啟管理員同意網址」，並依照螢幕指示，允許將 Jamf Native macOS Connector 應用程式加入您的 Microsoft Entra 租戶。
   6. Add the Microsoft Entra tenant Name from Microsoft Azure.
   7. 從 Azure Microsoft 加入應用程式 ID 和用戶端秘密， (先前稱為 Jamf Pro 應用程式的應用程式金鑰) 。
   8. 選取 [儲存]。 Jamf Pro 會測試你的設定並驗證你的成功。

   回到 Intune 的合作夥伴裝置管理頁面以完成設定。

2. 在 Intune 中，前往合作夥伴裝置管理頁面。 在 連接器設定 中設定分配群組：

   • 選擇 包含 ，並指定你想針對哪些使用者群組來使用 Jamf 註冊 macOS。
   • 使用排除功能來選擇不會註冊 Jamf、而是直接用 Intune 註冊 Mac 的使用者群組。

   排除覆蓋 包含，意即任何同時屬於兩個群組的裝置都會被排除在 Jamf 之外，並被引導向 Intune 註冊。

   注意事項

   這種包含或排除使用者群組的方法會影響使用者的註冊體驗。 任何已經註冊 Jamf 或 Intune 的 macOS 裝置使用者，若被指定要註冊到另一個 MDM，必須先取消註冊，然後再用新的 MDM 重新註冊，才能讓裝置管理正常運作。

3. 選擇 「評估」 以判斷根據您的群組配置將註冊多少裝置加入 Jamf。

4. 當你準備好套用設定時，選擇 儲存 。

5. 接下來，你需要使用 Jamf 部署 Mac 公司入口網站，讓使用者能將裝置註冊到 Intune。

建立合規政策並登錄裝置

在你設定 Intune 與 Jamf 之間的整合後，你需要對 Jamf 管理的裝置套用合規政策。

斷開 Jamf Pro 和 Intune

如果你需要移除 Jamf Pro 與 Intune 的整合，請使用以下其中一種方法。 這兩種方法都適用於手動設定或使用 Cloud Connector 設定的整合。

在 Microsoft Intune 管理中心內取消 Jamf Pro 的配置

1. 在 Microsoft Intune 管理中心，請前往租戶管理>連接器與令牌>，合作夥伴裝置管理。

2. 選擇「 終止」選項。 Intune 會顯示有關動作的訊息。 檢視訊息後，準備好後選擇 確定。 「 終止 整合」的選項只會在 Jamf 連線存在時出現。

結束整合後，重新整理管理中心的檢視以更新檢視。 貴組織的 macOS 裝置會在 90 天內從 Intune 移除。

在 Jamf Pro 主控台內取消 Jamf Pro 的配置

請使用以下步驟將連線從 Jamf Pro 控制台內移除。

1. 在 Jamf Pro 控制台，請前往 全域管理>條件存取。 在 macOS Intune 整合標籤中，選擇編輯。

2. 勾選啟用 Intune 整合 for macOS 的勾選框。

3. 選取 [儲存]。 Jamf Pro 會把你的設定傳送到 Intune，整合就會終止。

4. 登入 Microsoft Intune 系統管理中心。

5. 選擇租戶管理>連接器與令牌>，合作夥伴裝置管理以確認狀態為終止。

在你終止整合後，你組織的 macOS 裝置會在主控台顯示的日期被移除，也就是三個月後。

後續步驟

• 將合規政策套用於 Jamf 管理的裝置
• Jamf 傳送給 Intune 的資料