在通过 Jamf Pro 管理的 Mac 上强制实施合规性

  • 项目

重要

已弃用对条件访问的 Jamf macOS 设备支持

从 2024 年 9 月 1 日起,将不再支持 Jamf Pro 的条件访问功能所基于的平台。

如果将 Jamf Pro 的条件访问集成用于 macOS 设备,请按照从 macOS 条件访问迁移到 macOS 设备符合性 - Jamf Pro 文档中的 Jamf 记录的指南将设备迁移到设备符合性集成

如果需要帮助,请联系 Jamf Customer Success。 有关详细信息,请参阅 上的 https://aka.ms/Intune/Jamf-Device-Compliance博客文章。

提示

有关将 Jamf Pro 与 Intune 集成以及Microsoft Entra ID 的指南,包括如何配置 Jamf Pro 以将 Intune 公司门户应用部署到使用 Jamf Pro 管理的设备,请参阅 将 Jamf Pro 与 Intune 集成以报告符合Microsoft Entra ID

将 Jamf Pro 与 Intune 集成后,配置 Intune 合规性策略并Microsoft Entra 条件访问策略,以强制符合组织要求的 macOS 设备。

本文将帮助你完成以下任务:

  • 创建条件访问策略。
  • 配置 Jamf Pro 以将 Intune 公司门户应用部署到使用 Jamf 管理的设备。
  • 将设备配置为在设备用户从 Jamf 自助服务 应用中登录到公司门户应用时,使用 Microsoft Entra ID 进行注册。 设备注册在 Microsoft Entra ID 中建立标识,允许条件访问策略评估设备以访问公司资源。

本文中的过程需要访问 Intune 和 Jamf Pro 控制台。 Intune 支持以下两种集成 Jamf Pro 的方法,你可以将它们与本文中的过程分开配置:

配置集成后,设备用户可以通过来自 IT 部门的有关如何注册设备的通信或通过由 Jamf Pro 自助服务部署的Intune 公司门户应用来了解 Jamf Pro 和 Intune 集成。 设备注册完成后,Jamf Pro 为该设备收集的清单数据将与 Intune 共享。 仅对那些已完成的 Mac 设备共享信息。

在 Intune 中设置设备合规性策略

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “设备>符合性”。 如果使用的是以前创建的策略,请选择该策略,然后转到此过程的下一步。 若要创建新策略,请选择“创建策略”,然后使用 macOS 的平台指定策略的详细信息。 配置“设置”和“对不合规项的操作”以满足组织要求,然后选择“创建”以保存策略。

  3. 选择“属性”

  4. 转到 “作业>编辑”。 使用可用选项配置哪些Microsoft Entra 用户和安全组接收此策略。 amf 与 Intune 的集成不支持定目标到设备组的合规性策略。

    注意

    Jamf 与 Intune 的集成仅支持 Microsoft Entra 用户组。 针对设备组的设备合规性策略将不适用。

  5. 选择“保存”后,策略将部署到用户。

部署的策略针对已分配用户使用的设备。 将对这些设备进行符合性评估。 符合的设备在 Entra ID Microsoft“要求设备标记为合规”设置时标记为合规。

注意

Intune 要求全磁盘加密,以符合要求。

在 Jamf Pro 中部署适用于 macOS 的公司门户应用

在 Jamf Pro 中创建策略以部署 Intune 公司门户。 此策略部署公司门户应用,使其在 Jamf 自助服务中可用。 在 Jamf Pro 中创建策略之前,请先创建此策略,以便用户使用Microsoft Entra ID 注册设备。

若要完成以下过程,需要访问 macOS 设备和 Jamf Pro 门户。

部署公司门户应用

  1. 在 macOS 设备上,下载适用于 macOS 的公司门户应用的当前版本,但不安装。 只需应用的副本即可将应用上传到 Jamf Pro。

  2. 打开 Jamf Pro,然后转到“计算机管理”>“程序包”

  3. 在适用于 macOS 的公司门户应用中创建新的程序包,然后选择“保存”

  4. 打开“计算机”>“策略”,然后选择“新建”。

  5. 使用常规有效负载为策略配置设置。 这些设置应为:

    • 触发器:选择“注册完成”和“定期签入”
    • 执行频率:选择“每台计算机一次

  6. 选择“程序包”有效负载,然后选择“配置”

  7. 选择“添加”以选择公司门户应用中的程序包。

  8. 选择“操作”弹出菜单中的“安装”。

  9. 配置程序包的设置。

  10. 选择“作用域”选项卡以指定应在哪些计算机上安装公司门户应用。 选择“保存”。 下次,当计算机上出现所选的触发器并符合“常规”负载中的条件时,策略将运行作用域内的设备。

在 Jamf Pro 中创建策略,让用户使用 Microsoft Entra ID 注册其设备

通过 Jamf Pro 自助服务部署适用于 macOS 的公司门户 后,可以创建 Jamf Pro 策略,该策略使用 Microsoft Entra ID 注册用户设备。

设备注册要求设备用户从 Jamf 自助服务中手动选择 Intune 公司门户应用。 建议你通过电子邮件、Jamf Pro 通知或组织用来指导他们完成此操作的任何其他方法联系最终用户以注册其设备。

警告

手动启动公司门户应用(例如,从“应用程序”或“下载”文件夹)不会注册设备。 如果设备用户手动启动公司门户,他们会看到一条警告“AccountNotOnboarded”

创建注册策略

  1. 在 Jamf Pro 中,转到“计算机”>“策略”,然后为设备注册创建新策略。

  2. 配置“Microsoft Intune 集成”有效负载,其中包括触发器和执行频率。

  3. 选择“作用域”选项卡,然后将策略的作用域设置为所有目标设备。

  4. 选择“自助服务”选项卡以将策略应用到 Jamf 自助服务中。 将策略添加到“设备合规性”类别中。 选择“保存”。

验证 Intune 和 Jamf 集成

使用 Jamf Pro 控制台确认 Jamf Pro 与 Microsoft Intune 之间的通信是否成功。

  • 在 Jamf Pro 中,转到“设置”>“全局管理”>“Microsoft Intune 集成”,然后选择“测试”

控制台将显示一条消息,指示连接成功或失败。 如果从 Jamf Pro 控制台进行的连接测试失败,请查看 Jamf 配置。

从 Intune 删除 Jamf 托管设备

若要删除 Jamf 托管的设备,请打开 Microsoft Intune 管理中心,依次选择“ 设备>所有设备”、“设备”、“ 删除”。 通过选择多个设备并单击“删除”,可启用批量设备删除。

获取有关如何在 Jamf Pro 文档中删除受 Jamf 管理的设备的信息。还可以向 Jamf 支持提交支持票证,以获取更多帮助。

后续步骤