整合 Jamf Pro 與 Microsoft Intune，以向 Microsoft Entra ID 報告裝置合規性

建立 Jamf Pro 與 Microsoft Intune 之間整合的程式正在演進。 Jamf 受管理裝置的合規性狀態報告現在能夠允許 Jamf Pro 環境判斷 Jamf 受管理原則的合規性狀態，並透過 Intune 中的連接器向 Microsoft Entra ID 報告裝置合規性狀態。 一旦向 Microsoft Entra ID 回報 Jamf 所管理裝置的合規性狀態，這些裝置就能夠符合Microsoft Entra 條件式存取原則所建立的 Zero-Trust 原則。

本文可協助您進行下列工作：

• 在 Jamf Pro 中設定必要的元件和元件和元件。
• 設定 Jamf Pro 將 Intune 公司入口網站應用程式部署到您使用 Jamf 管理的裝置。
• 設定原則，以透過 Jamf 自助入口網站應用程式部署至使用者，以使用 Microsoft Entra ID 註冊裝置。
• 設定 Intune 連接器。
• 準備Microsoft Entra ID 必要元件。

帳戶許可權

若要完成本文中的程式，您必須具備：

• 具有裝置合規性許可權或 Jamf Pro 系統管理員帳戶的 Jamf Pro 用戶帳戶。

• Microsoft Entra 帳戶，指派具有足夠許可權的角色。 可用的內建角色包括：

  • Intune 系統管理員 - 此角色可以執行本文中的所有步驟。

    提示

    Intune 系統管理員是具有 Intune Microsoft完整存取權的高許可權角色。 當您將角色委派給其他帳戶時，請考慮以較少的許可權指派內建角色。

  • 群組系統管理員 - 此角色可以建立必要的裝置群組。

  • 條件式存取系統管理員 - 此角色可以建立及更新啟用使用者裝置註冊Microsoft Entra 條件式存取原則。

  • 應用程式管理員 - 此角色可以建立與 JAMF 通訊的應用程式，以瞭解裝置合規性狀態。

  如需這些角色的詳細資訊，請參閱 Microsoft Entra 內建角色。

Jamf Pro 與 Microsoft Entra ID 整合的常見問題

為什麼與 Microsoft Entra ID 整合對 Jamf Pro 受控裝置有何好處？

Microsoft Entra 條件式存取原則不僅能夠要求裝置符合合規性標準，還能向 Microsoft Entra ID 註冊。 組織正尋求使用 Microsoft Entra 條件式存取原則來持續改善其安全性狀態，以確保下列範例案例：

• 裝置會向 Microsoft Entra ID 註冊。
• 裝置使用已知的信任位置或IP位址範圍。
• 裝置符合合規性標準，以便使用 Microsoft 365 傳統型應用程式和瀏覽器存取公司資源。

Microsoft整合與 Jamf 先前提供的條件式存取方法有何不同？

對於使用 Jamf Pro 但尚未建立 Intune 連線的組織而言，在 Jamf Pro 入口網站的 [ 設定 > 全域 > 條件 式存取] 路徑中使用設定的先前方法就無法再接受新的設定。

新的整合需要 [ 設定 > 全域 > 裝置合規性 ] 下的設定，並提供以精靈為基礎的程序來引導您完成與 Intune 的連線。 精靈提供方法來建立必要的Microsoft註冊的應用程式。 這些已註冊的應用程式無法在此目前的設計中預先建立，如先前所示。

Jamf Pro 系統管理設定

Jamf Pro 設定需要先在 Jamf Pro 控制台中建立下列 電腦智慧群組 和 計算機原則 ，才能建立與 Intune 的連線。

計算機智慧群組

使用下列範例建立兩個電腦智慧群組：

適用：建立包含準則的計算機智慧群組，以決定需要存取Microsoft租使用者中公司資源的裝置。

例：移至 Jamf Pro>電腦>智慧型手機群組建立新群組：

• 顯示名稱：
  • 在本文中，我們已將群組命名為 Jamf-Intune 適用群組。
• 標準：
  • 應用程式標題， 運算子 = is， Value = CompanyPortal.app

合規性：建立包含準則的第二個計算機智慧群組，以判斷裝置在 Jamf 內是否符合規範，並符合貴組織的安全性標準。

例： 移至 [Jamf Pro>計算機>智慧型手機電腦群組]，建立另一個群組：

• 顯示名稱：
  • 在本文中，我們已將群組命名為 Jamf-Intune 合規性群組。
  • 啟用成員資格變更時傳送電子郵件通知的選項。
• 標準：
  • 上次清查更新，運算子 = 小於 x 天前，值 = 2
  • 和 - 準則：應用程式標題、運算子 = is、Value = CompanyPortal.app
  • 和 - File Vault 2， Operator = is， Value = All Partitions Encrypted

計算機原則

建立包含下列設定的電腦原則：

例： 移至 [Jamf Pro>計算機>原則]，建立新原則：

• 選項索引 標籤：

  • 一般：
    • 顯示名稱 - 為原則命名。 例如， 使用 Microsoft Entra ID (Microsoft Entra) 註冊。
    • 已啟用 - 核取此方塊以啟用原則。
  • Microsoft裝置合規性：
    • 啟用使用 Microsoft Entra ID 註冊電腦。

• 範圍索引標籤：設定選取的部署目標，以新增在 Jamf Pro 系統管理設定中建立的適用電腦智慧群組。

• 自助式索引 標籤：

  • 啟 用 [讓原則可在自助服務中使用]。
  • 設定顯示名稱。
  • 設定按鈕名稱。
  • 提供描述。
  • 啟用 確定用戶檢視描述。
  • 視需要啟用選擇性 類別 。

• 選取 [儲存]。

Mac 應用程式

針對部署至所有裝置的 Microsoft Intune 公司入口網站，在 Mac Apps Jamf 應用程式類別目錄中建立應用程式。 使用 Jamf 應用程式目錄版本可讓您輕鬆地將應用程式保持在最新狀態。

• 移至 [計算機>] [Mac 應用程式]，然後選取 [ +新增]。
• 選取 [Jamf 應用程式目錄]，然後選取 [ 下一步]。
• 搜尋 Microsoft Intune 公司入口網站 ，然後選取應用程式旁邊的 [新增 ]。
• 將 [目標群組 ] 設定為 [所有受管理的用戶端]。
• 將 散發方法 設定為 自動安裝。
• 啟用 [安裝支援組態配置檔]。
• 啟用右上方的 [部署] 參數，然後選取 [ 儲存]。

Microsoft管理設定

註冊裝置的能力可能會遭到封鎖，因為您的組織已備妥條件式存取原則設定來保護公司資源。

使用下列命令來建立群組，其中包含 Jamf 受控裝置的使用者，其將在後續步驟中用來設定 Intune 連接器的範圍。

1. https://entra.microsoft.com使用有權建立群組以及建立和編輯條件式存取原則的帳戶登入 。

2. 展開 [群組>][所有群組]> ，然後選取 [ 新增群組]。

3. 建立具有適當規則的動態群組，以包含將使用 Microsoft Entra ID 註冊其 Jamf 受控裝置的適用使用者。

   提示

   我們建議使用動態群組，但您也可以使用靜態群組。

將 Jamf Pro 連線到 Intune

Jamf pro 會利用 Microsoft Intune 系統管理中心的連接器，位於 >租使用者管理>連接器和令牌。 將 Jamf Pro 連線到 Intune 的程式會從 Jamf Pro 系統管理入口網站開始，並利用提示進行後續步驟的精靈。

1. 登入您的 Jamf 管理入口網站，例如： https://tenantname.jamfcloud.com。

2. 繼續進行 [全域>>裝置合規性設定]。

3. 選取 [編輯]，然後核取方塊以啟用平臺 macOS。

4. 在 [合規性群組] 下拉式清單中，選取您在本文上一節的計算機智慧群組中為合規性建立的計算機智慧群組。

5. 在 [ 適用群組 ] 下拉式清單中，選取您在本文上一節的計算機智慧群組中為 [適用 ] 建立的計算機 智慧群組 。

6. 啟用右上方的滑桿，然後選取 [ 儲存]。

7. 接著會顯示兩個Microsoft驗證提示。 每個系統管理員都需要Microsoft 365 全域管理員來驗證提示：

   • 第一個驗證提示會在 Microsoft Entra ID 中建立 Cloud Connector for Device Compliance 應用程式。
   • 第二個驗證提示會建立 裝置合規性的用戶註冊應用程式。

   

8. 新的瀏覽器索引標籤會開啟至具有 [設定 合規性合作夥伴 ] 對話框的 Jamf 入口網站頁面，然後選取標示為 [ 開啟Microsoft端點管理員] 的按鈕。

   

9. 新的瀏覽器索引標籤會開啟 Microsoft Intune 系統管理中心。

10. 繼續進行 租使用者管理 > 連接器和令牌 > 合作夥伴合規性管理。

11. 在 [ 合作夥伴合規性管理 ] 頁面頂端，選取 [ 新增合規性合作夥伴]。

12. 在 [ 建立合規性合作夥伴精靈] 中：

    1. 使用 [ 合規性合作夥伴 ] 下拉式清單來選取 [Jamf 裝置合規性]。
    2. 使用 [ 平臺] 下拉式清單來選取 macOS，然後選取 [ 下一步]。
    3. 在 [ 指派] 中，選取 [ 新增群組]，然後選取稍早建立的 Microsoft Entra 使用者群組。 請勿 選取 [新增所有使用者 ]，因為這會禁止連線。
    4. 選取 [下一步]，然後選取 [ 建立]。

13. 在瀏覽器中，使用 [ 設定合規性合作夥伴 ] 對話框開啟包含 Jamf 入口網站的索引卷標。

14. 選取 [ 確認] 按鈕。

    

15. 切換至顯示 Intune 合作夥伴合規性管理儀錶板的瀏覽器索引標籤，然後選取 [新增合規性合作夥伴] 選項旁頂端的 [重新整理] 圖示。

16. 確認 macOS Jamf 裝置合規性 連接器顯示 [合作夥伴狀態] 為 [ 作用中]。

    

完成系統管理設定

若要確保用戶能夠註冊裝置，您必須留意可能封鎖裝置的Microsoft內部條件式存取原則。 在您將 Jamf Pro 連線至 Intune 時所建立的裝置合規性使用者註冊應用程式，必須在任何可能會防止使用者註冊其裝置的原則中新增為排除專案。

例如，請考慮Microsoft需要相容裝置的 Entra 條件式存取原則：

• 指派 - 將此原則指派給所有使用者，或包含具有 Jamf 受控裝置的使用者群組。
• 目標資源 - 設定下列設定：
  • 套用至所有 雲端應用程式。
  • 排除 裝置合規性應用程式的用戶註冊 應用程式。 此應用程式是在您 將 Jamf Pro 連線到 Intune 時建立的。
• 條件 包括下列選項：
  • 需要合規性
  • 需要已註冊的裝置

終端使用者通知

建議您提供終端用戶體驗的大量通知，以確保 Jamf 受控裝置的使用者知道程式、運作方式，以及其必須遵守原則的時間軸。 這些通知中應包含的重要提醒是 Jamf Self-Service 應用程式包含用來註冊其裝置的原則。 使用者 不得 使用已部署Microsoft公司入口網站應用程式來嘗試註冊。 使用公司入口網站應用程式會導致指出 AccountNotOnboarded 的錯誤。

在下列程式中，使用 Jamf 平臺管理的裝置不會顯示在 Intune 的裝置清單中。 在使用者以 Microsoft Entra ID 註冊其裝置之後，裝置的初始狀態會顯示為 [不符合規範]。 一旦針對合規 性 設定的 Jamf Pro 計算機智慧群組更新之後，狀態會透過 Intune 連接器傳送至 ，以Microsoft Entra ID 來更新裝置合規性狀態。 Microsoft Entra 裝置資訊的更新頻率是以 Jamf 變更頻率中的合規性計算機智慧群組為基礎。

疑難排解

問題

依照指示從macOS裝置上的 Jamf Self-Service App 啟動原則之後，Microsoft驗證提示似乎正常運作。 不過，在 Microsoft Entra ID 中顯示的裝置狀態並未如預期般從 N/A 更新為 符合 規範狀態，即使在等候一小時以上之後也一樣。

在此情況下，Microsoft Entra ID 中的裝置記錄不完整。

解決方案

首先，請確認下列事項：

• 裝置會顯示為 Jamf 計算機合規性智慧群組的成員。 此成員資格表示裝置符合規範。
• 驗證使用者是 Microsoft Entra 群組的成員，其範圍為 Jamf Intune 連接器。

第二，在受影響的裝置上：

• 開啟終端機應用程式並執行下列命令：

  /usr/local/jamf/bin/jamfaad gatherAADInfo

  • 如果命令未產生提示，而是傳回為macOS使用者$USER取得的 Microsoft Entra ID，則註冊是不錯的。
  • 如果命令建立登入提示字元，且用戶能夠完成登入而不會發生錯誤，則在初始註冊嘗試期間可能會發生使用者錯誤。
  • 如果命令建立登入提示，但使用者登入時發生錯誤，則需要透過支援案例進行進一步的疑難解答。

後續步驟

• 將合規性原則套用至 Jamf 管理的裝置
• Jamf 傳送至 Intune 的數據