共用方式為

手動整合 Jamf Pro 與 Intune 以符合規範

  • 發行項

重要事項

Jamf macOS 裝置對條件式存取的支援即將淘汰

從 2025 年 1 月 31 日開始,將不再支援 Jamf Pro 的條件式存取功能所建置的平臺。

如果您針對 macOS 裝置使用 Jamf Pro 的條件式存取整合,請遵循 Jamf 記載的指導方針,從 macOS 條件式存取移轉至 macOS 裝置合規性 – Jamf Pro 檔,將裝置移轉至裝置合規性整合。

如果您需要協助,請連絡 Jamf Customer Success。 如需詳細資訊,請參閱 的部落格 https://aka.ms/Intune/Jamf-Device-Compliance文章。

提示

如需整合 Jamf Pro 與 Intune 和 Microsoft Entra ID 的指引,包括如何設定 Jamf Pro 將 Intune 公司入口網站應用程式部署到您使用 Jamf Pro 管理的裝置,請參閱 整合 Jamf Pro 與 Intune 以回報對 Microsoft Entra ID 的合規性

Microsoft Intune 支援整合 Jamf Pro 部署,以將裝置合規性和條件式存取原則帶入 macOS 裝置。 透過整合,您可以要求 Jamf Pro 所管理的 macOS 裝置必須符合 Intune 裝置合規性需求,才能允許這些裝置存取貴組織的資源。 資源存取是由您的 Microsoft Entra 條件式存取原則所控制,其方式與透過 Intune 管理的裝置相同。

當 Jamf Pro 與 Intune 整合時,您可以透過 Microsoft Entra ID,從 macOS 裝置與 Intune 同步清查數據。 Intune 的合規性引擎接著會分析清查數據以產生報告。 Intune 的分析結合了裝置使用者Microsoft Entra 身分識別的相關情報,以透過條件式存取來強制執行。 符合條件式存取原則的裝置可以存取受保護的公司資源。

本文可協助您手動整合 Jamf Pro 與 Intune。

提示

建議您設定及使用 Jamf Cloud Connector 與 Microsoft Intune,而不是手動設定 Jamf Pro 與 Intune 整合。 當您手動設定整合時,Cloud Connector 會自動執行許多必要的步驟。

設定整合之後,您接著會設定 Jamf 和 Intune,以在 Jamf 管理的裝置上強制執行條件式存取的合規性

必要條件

產品和服務

您需要下列專案,才能使用 Jamf Pro 設定條件式存取:

  • Jamf Pro 10.1.0 或更新版本
  • Microsoft Enterprise Mobility + Security 授權套件組合 (建議Microsoft Intune 和 Microsoft Entra ID P1 授權)
  • Microsoft Entra ID 中的全域管理員角色。
  • 在 Jamf Pro 中具有Microsoft Intune 整合許可權的使用者
  • macOS 版公司入口網站應用程式
  • 具有OS X 10.12 Yosemite 或更新版本的macOS裝置

網路連接埠

下列埠應該可供 Jamf 和 Intune 存取,才能正確整合:

  • Intune:埠 443
  • Apple:埠 2195、2196 和 5223 (推播通知至 Intune)
  • Jamf:埠 80 和 5223

若要允許 APNS 在網路上正常運作,您也必須啟用連出連線,並從下列來源重新導向:

  • Apple 17.0.0.0/8 封鎖來自所有用戶端網路的 TCP 連接埠 5223 和 443。
  • 來自 Jamf Pro 伺服器的埠 2195 和 2196。

如需這些埠的詳細資訊,請參閱下列文章:

將 Intune 連線到 Jamf Pro

若要將 Intune 與 Jamf Pro 連線:

  1. 在 Azure 中建立新的應用程式。
  2. 讓 Intune 與 Jamf Pro 整合。
  3. 在 Jamf Pro 中設定條件式存取。

在 Microsoft Entra ID 中建立應用程式

  1. Azure 入口網站中,移至 [Microsoft Entra ID>應用程式註冊],然後選取 [ 新增註冊]

  2. 在 [ 註冊應用程式] 頁面上,指定下列詳細數據:

    • 在 [ 名稱] 區段中,輸入有意義的應用程式名稱,例如 Jamf 條件式存取
    • 在 [ 支持的帳戶類型] 區段中,選取 [任何組織目錄中的帳戶]
    • 針對 [重新導向 URI],保留 Web 的預設值,然後指定 Jamf Pro 實例的 URL。

  3. 選取 [註冊 ] 以建立應用程式,並開啟新應用程式的 [ 概觀 ] 頁面。

  4. 在 [應用程式 概觀] 頁面上,複製 [應用程式 (用戶端) 標識 符] 值,並加以記錄以供稍後使用。 您在後續程式中將需要此值。

  5. 管理底下,選取憑證與祕密。 選取新增用戶端密碼按鈕。 在 [ 描述] 中輸入值,選取 [ 到期 ] 的任何選項,然後選擇 [ 新增]

    重要事項

    離開此頁面之前,請複製客戶端密碼的值,並加以記錄以供稍後使用。 您在後續程式中將需要此值。 若未重新建立應用程式註冊,則無法再次使用此值。

  6. 在 [管理] 底下,選取 [API 權限]

  7. 在 [API 許可權] 頁面上,選取每個現有許可權旁邊的 ... 圖示,以移除此應用程式中的所有許可權。 這是必要的移除;如果此應用程式註冊中有任何非預期的額外許可權,整合將不會成功。

  8. 接下來,新增許可權以更新裝置屬性。 在 [API 許可權 ] 頁面左上方,選取 [ 新增許可權 ] 以新增許可權。

  9. 在 [ 要求 API 許可權 ] 頁面上,選取 [Intune],然後選取 [ 應用程式許可權]。 只選取 update_device_attributes 的複選框,並儲存新的許可權。

  10. [Microsoft Graph] 底下,選取 [ 應用程式許可權],然後選取 [ Application.Read.All]

  11. 選取 [新增許可權]

  12. 流覽至 我的組織使用的 API。 搜尋並選取 [Windows Azure Active Directory]。 選 取 [應用程式許可權],然後選取 [ Application.Read.All]

  13. 選取 [新增許可權]

  14. 接下來,選取 [API 許可權] 頁面左上方的 [<您的租>使用者授與系統管理員同意],以授與此應用程式的管理員同意。 您可能需要在新視窗中重新驗證您的帳戶,並遵循提示來授與應用程式存取權。

  15. 選取頁面頂端的 [ 重新 整理] 來重新整理頁面。 確認已授與系統管理員同意 update_device_attributes 許可權。

  16. 成功註冊應用程式之後,API 許可權應該只包含一個稱為 update_device_attributes 的許可權,而且應該如下所示:

成功的許可權

Microsoft Entra ID 中的應用程式註冊程式已完成。

注意事項

如果客戶端密碼過期,您必須在 Azure 中建立新的用戶端密碼,然後更新 Jamf Pro 中的條件式存取數據。 Azure 可讓您同時使用舊的秘密和新密鑰,以避免服務中斷。

啟用 Intune 與 Jamf Pro 整合

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [租用戶系統管理>連接器和令牌>合作夥伴裝置管理]

  3. 將您在上一個程式中儲存的應用程式標識碼貼到 [指定 Jamf 的 Microsoft Entra App 識別元] 字段,以啟用 Jamf 的合規性連接器

  4. 選取 [儲存]

在 Jamf Pro 中設定 Microsoft Intune 整合

  1. 在 Jamf Pro 控制台中啟用連線:

    1. 開啟 Jamf Pro 控制台,並流覽至 [ 全域管理>條件式存取]。 選取 [macOS Intune 整合] 索引標籤上的 [編輯]。
    2. 選取 [ 啟用 macOS 的 Intune 整合] 複選框。 啟用此設定時,Jamf Pro 會將清查更新傳送至 Microsoft Intune。 如果您想要停用連線,但要儲存您的組態,請清除選取範圍。
    3. 選取 [連線類型] 底下的 [手動]。
    4. 從 [ 主權雲 端] 彈出視窗功能表中,從 [Microsoft] 選取您的主權雲端位置。
    5. 取 [開啟系統管理員同意 URL] ,並遵循螢幕上的指示,允許將 Jamf Native macOS 連接器應用程式新增至您的 Microsoft Entra 租使用者。
    6. 從 Microsoft Azure 新增 Microsoft租用戶名稱
    7. 從 Microsoft Azure 新增先前稱為 Jamf Pro 應用程式之應用程式密鑰) 的應用程式識別碼和客戶端密碼 (。
    8. 選取 [儲存]。 Jamf Pro 會測試您的設定,並驗證您的成功。

    返回 Intune 中的 合作夥伴裝置管理 頁面以完成設定。

  2. 在 Intune 中,移至 合作夥伴裝置管理 頁面。 在 [ 連接器設定 ] 下,設定指派的群組:

    • 選取 [包含 ],並指定您要以 Jamf 註冊 macOS 為目標的使用者群組。
    • 使用 [排除 ] 來選取不會向 Jamf 註冊的使用者群組,並改為直接向 Intune 註冊其 Mac。

    排除 覆寫 Include,這表示這兩個群組中的任何裝置都會從 Jamf 中排除,並導向向 Intune 註冊。

    注意事項

    此包含和排除使用者群組的方法會影響用戶的註冊體驗。 任何具有已在 Jamf 或 Intune 中註冊的 macOS 裝置的使用者,若該用戶之後會以另一個 MDM 註冊為目標,則必須先取消註冊其裝置,然後再使用新的 MDM 重新註冊它,裝置管理才能正常運作。

  3. 取 [評估 ],根據您的群組組態,判斷將向 Jamf 註冊的裝置數目。

  4. 當您準備好套用設定時,請選取 [儲存]。

  5. 若要繼續,您接下來必須使用 Jamf 來部署 Mac 版公司入口網站 ,讓使用者可以將其裝置註冊到 Intune。

設定合規性政策並註冊裝置

設定 Intune 與 Jamf 之間的整合之後,您必須將 合規性原則套用至 Jamf 管理的裝置

中斷 Jamf Pro 和 Intune 的連線

如果您需要移除 Jamf Pro 與 Intune 的整合,請使用下列其中一種方法。 這兩種方法都適用於以手動方式或使用 Cloud Connector 設定的整合。

從 Microsoft Intune 系統管理中心取消布建 Jamf Pro

  1. Microsoft Intune 系統管理中心,移至 租用戶系統管理>連接器和令牌>合作夥伴裝置管理

  2. 選取 [ 終止] 選項。 Intune 會顯示動作的相關訊息。 檢閱訊息,並在準備就緒時,選取 [ 確定]。 只有當 Jamf 連線存在時,才會出現 [ 終止 整合] 選項。

終止整合之後,請重新整理系統管理中心的檢視以更新檢視。 貴組織的macOS裝置會在90天內從Intune中移除。

從 Jamf Pro 控制台取消布建 Jamf Pro

使用下列步驟,從 Jamf Pro 控制台內移除連線。

  1. 在 Jamf Pro 控制台中,移至 [ 全域管理>條件式存取]。 在 [macOS Intune 整合 ] 索引標籤上,選取 [ 編輯]

  2. 清除 [ 啟用 macOS 的 Intune 整合 ] 複選框。

  3. 選取 [儲存]。 Jamf Pro 會將您的設定傳送至 Intune,並終止整合。

  4. 登入 Microsoft Intune 系統管理中心

  5. 選取 [租用戶系統管理>連接器和令牌>合作夥伴裝置管理] ,以確認狀態現在已 終止

在您終止整合之後,組織的macOS裝置將會在控制台中顯示的日期移除,也就是三個月後。

後續步驟