Jamf Pro で管理されている Mac のコンプライアンスを強化する

Jamf Pro と Intune を統合したら、組織の要件に従って macOS デバイスのコンプライアンスを適用するように、Intune コンプライアンス ポリシーと Microsoft Entra 条件付きアクセス ポリシーを構成します。

この記事は、次のタスクに役立ちます。

• 条件付きアクセス ポリシーを作成する。
• Jamf Pro を構成して、Jamf で管理するデバイスに Intune ポータル サイト アプリを展開します。
• デバイス ユーザーが Jamf セルフサービス アプリ内から開始するポータル サイト アプリにサインインするときに、Microsoft Entra ID に登録するようにデバイスを構成します。 デバイスの登録は、Microsoft Entra ID で ID を確立し、会社のリソースへのアクセスに関する条件付きアクセス ポリシーによってデバイスを評価できるようにします。

この記事の手順では、Intune と Jamf Pro の両方のコンソールにアクセスする必要があります。 Intune では Jamf Pro を統合する 2 つの方法がサポートされており、それらの方法は、この記事の手順とは別に構成します。

• 推奨 - Jamf Cloud コネクタを使用して Jamf Pro を Intune と統合する
• Jamf Pro と Intune の統合を手動で構成する

統合が構成された後、デバイス ユーザーは、デバイスを登録する方法について IT 部門からの通信によって、または Jamf Pro Self Service で展開する Intune ポータル サイト アプリを検出することによって、Jamf Pro と Intune の統合について学習します。 デバイスの登録が完了すると、そのデバイス用に Jamf Pro によって収集されたインベントリ データが Intune と共有されます。 情報は、完了した Mac デバイスに対してのみ共有されます。

Intune のデバイス コンプライアンス ポリシーを設定する

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス>コンプライアンス] に移動します。 以前に作成したポリシーを使用している場合は、そのポリシーを選択し、この手順の次の手順に進みます。 新しいポリシーを作成する場合は、[ポリシーの作成] を選択してから、macOS の [プラットフォーム] を含むポリシーの詳細を指定します。 組織の要件を満たすように [設定] と [コンプライアンス非対応に対するアクション] を構成してから、[作成] を選択してポリシーを保存します。

3. [プロパティ] をクリックします。

4. [割り当て>編集] に移動します。 使用可能なオプションを使用して、このポリシーを受け取る Microsoft Entra ユーザーとセキュリティ グループを構成します。 Jamf と Intune の統合では、デバイス グループを対象とするコンプライアンス ポリシーがサポートされていません。

   注:

   Jamf と Intune の統合では、Microsoft Entra ユーザー グループのみがサポートされます。 デバイス グループを対象とするデバイス コンプライアンス ポリシーは適用されません。

5. [保存] を選択すると、ポリシーがユーザーに展開されます。

展開するポリシーは、割り当てられたユーザーによって使用されるデバイスを対象とします。 これらのデバイスのコンプライアンスが評価されます。 準拠しているデバイスは、Microsoft Entra ID の設定 "デバイスを準拠としてマークする必要があります" に対して準拠としてマークされます。

macOS 用ポータル サイト アプリを Jamf Pro に展開する

Jamf Pro でポリシーを作成して Intune ポータル サイトを展開します。 このポリシーではポータル サイト アプリが展開され、Jamf Self Service で使用できるようになります。 ユーザーが Microsoft Entra ID でデバイスを登録するためのポリシーを Jamf Pro で作成する前に、このポリシーを作成します。

次の手順を完了するには、macOS デバイスと Jamf Pro ポータルにアクセスする必要があります。

ポータル サイト アプリを展開するには

1. macOS デバイスに、最新バージョンの macOS 用ポータル サイト アプリをダウンロードします (ただし、インストールしません)。 アプリを Jamf Pro にアップロードできるようにするために必要なものは、アプリのコピーのみです。

2. Jamf Pro を開き、[Computer management]\(コンピューターの管理\)>[Packages]\(パッケージ\) に移動します。

3. macOS 用のポータル サイト アプリで新しいパッケージを作成し、[保存] を選択します。

4. [コンピューター]>[ポリシー] を開き、[新規] を選択します。

5. [全般] ペイロードを使用して、ポリシーの設定を構成します。 これらの設定は次のとおりです。

   • トリガー: [登録完了] と [Recurring Check-in]\(定期的なチェックイン\) を選択します。
   • 実行の頻度: [Once per computer]\(コンピューターにつき 1 回\) を選択します。

6. [パッケージ] ペイロードを選択し、[構成] を選択します。

7. [追加] を選択し、ポータル サイト アプリでパッケージを選択します。

8. [アクション] ポップアップ メニューから [インストール] を選択します。

9. パッケージの設定を構成します。

10. [スコープ] タブを選択し、ポータル サイト アプリをインストールするコンピューターを指定します。 [保存] を選択します。 ポリシーは、次回、選択したトリガーがコンピューターで発生し、[全般] ペイロードの条件を満たしている場合にスコープのデバイスで実行されます。

Jamf Pro でポリシーを作成して、ユーザーがデバイスを Microsoft Entra ID に登録できるようにする

Jamf Pro セルフサービスを使用して macOS 用 ポータル サイトを展開 した後、ユーザーのデバイスを Microsoft Entra ID に登録する Jamf Pro ポリシーを作成できます。

デバイス登録を行うには、デバイス ユーザーが Jamf Self Service 内から手動で Intune ポータル サイト アプリを選択する必要があります。 メール、Jamf Pro の通知、または組織が使用しているその他の方法でエンド ユーザーに連絡し、この操作を完了してデバイスを登録するように指示することをお勧めします。

登録ポリシーを作成するには

1. Jamf Pro で [Computers]\(コンピューター\)>[Policies]\(ポリシー\) に移動し、デバイス登録用の新しいポリシーを作成します。

2. トリガーや実行の頻度など、[Microsoft Intune 統合] ペイロードを構成します。

3. [スコープ] タブを選択し、ポリシーのスコープをすべての対象デバイスに限定します。

4. [セルフ サービス] タブを選択し、Jamf Self Service でポリシーを利用可能にします。 ポリシーを [デバイスのポリシー準拠] カテゴリに含めます。 [保存] を選択します。

Intune と Jamf の統合を検証する

Jamf Pro コンソールを使用して、Jamf Pro と Microsoft Intune 間の通信が成功していることを確認します。

• Jamf Pro で、[Settings]\(設定\)>[Global Management]\(グローバル管理\)>[Microsoft Intune Integration]\(Microsoft Intune の統合\) に移動し、[Test]\(テスト\) を選択します。

コンソールには、接続が成功したか失敗したかを示すメッセージが表示されます。 Jamf Pro コンソールからの接続テストが失敗する場合は、Jamf の構成を確認します。

Intune から Jamf で管理されたデバイスを削除する

Jamf で管理されているデバイスを削除するには、Microsoft Intune 管理センターを開き、[ デバイス>すべてのデバイス] を選択し、デバイスを選択して、[削除] を選択 します。 複数のデバイスを選択し、[削除] をクリックすることで、デバイスの一括削除を有効にすることができます。

Jamf Pro のドキュメントで、Jamf で管理されるデバイスを削除する方法について説明します。さらにヘルプが必要な場合は、Jamf サポートにサポート チケットを提出することもできます。

次の手順

• Microsoft Entra ID の条件付きアクセス
• Microsoft Entra ID での条件付きアクセスの概要