次の方法で共有

Jamf Mobile Threat Protection と Intune の統合

  • [アーティクル]

Jamf Mobile Threat Defense ソリューションをIntuneと統合するには、次の手順を実行します。

注:

2021 年 7 月、Jamf は Wandera の買収を完了し、最近では、Wandera を Jamf ポートフォリオに移行するためのブランド変更と更新を開始しました。 Intune管理センターを更新して、新しいブランド化が進行中の状態を反映するように作業します。 このコンテンツには、可能な限り新しいブランド Jamf が反映されますが、管理センターの現在のユーザー インターフェイスの精度を維持するために必要な場合は、Wandera のブランド化を反映し続けます。

はじめに

Jamf とIntuneを統合するプロセスを開始する前に、次の前提条件が満たされていることを確認してください。

  • プラン 1 サブスクリプションのMicrosoft Intune

  • Microsoft Entra管理者の資格情報と、次のアクセス許可を付与できる割り当てられたロール。

    • サインインおよびユーザー プロファイルの読み取り
    • サインインしているユーザーとしてのディレクトリへのアクセス
    • ディレクトリ データの読み取り
    • Intune にデバイスのリスク情報を送信する

  • 有効な Jamf Security Cloud サブスクリプション

    • スーパー管理者特権を持つ管理者アカウント

統合の概要

Jamf と Intuneの間で Mobile Threat Defense の統合を有効にするには、次の作業が必要です。

  • Jamf の UEM Connect サービスが Azure および Intune と情報を同期できるようにする。 同期には、ユーザーとデバイスのライフ サイクル管理 (LCM) メタデータとモバイル脅威防御 (MTD) デバイスの脅威レベルが含まれます。
  • Jamf でアクティブ化プロファイルを作成して、デバイス登録の動作を定義します。
  • 管理対象の iOS デバイスと Android デバイスに Jamf Trust アプリをデプロイします。
  • iOS および Android デバイスで MAM を使用してエンド ユーザーのセルフサービス用に Jamf を構成します。

Jamf Mobile Threat Defense の統合を設定する

Jamf と Intune の統合を設定する場合、Jamf スタッフのサポートは必要なく、数分で簡単に実行できます。

Intuneで Jamf のサポートを有効にする

  1. Microsoft Intune 管理センターにサインインします。

  2. [テナント管理]>[コネクタとトークン]>[Mobile Threat Defense]>[追加] を選択します。

  3. [コネクタの追加] ページで、ドロップダウンを使用して [Wandera] を選択します。 次いで [作成] を選択します。

  4. [Mobile Threat Defense] ウィンドウで、コネクタの一覧から [Wandera] MTD コネクタを選択し、[コネクタの編集] ウィンドウを開きます。 [ Wandera 管理コンソールを開く ] を選択して Jamf Security Cloud ポータルを開き、サインインします。

  5. Jamf Security Cloud ポータルで、[Integrations > UEM Integration]\(UEM 統合\) に移動し、[UEM 接続] タブを選択します。[EMM ベンダー] ドロップダウンを使用して、[Microsoft Intune] を選択します。

  6. 次の図のような画面が表示され、統合を完了するために必要なアクセス許可許可が示されます。

    Jamf の統合とアクセス許可のスクリーン ショット。

  7. [ユーザーとデバイスの同期Microsoft Intune横にある [許可] ボタンを選択してプロセスを開始し、Jamf が Azure とIntuneでライフ サイクル管理 (LCM) 機能を実行することに同意します。

  8. プロンプトが表示されたら、Azure 管理者の資格情報を選択または入力します。 要求されたアクセス許可を確認して、[組織の代理として同意する] チェックボックスをオンにします。 最後に、[同意する] を選択して LCM 統合を承認します。

    受け入れるアクセス許可のスクリーン ショット。

  9. Jamf Security Cloud ポータルに自動的に戻ります。 承認が成功した場合は、[許可] ボタンの横に緑色のチェックマークが表示されます。

  10. 一覧表示された残りの統合について、[Grant]\(許可\) ボタンをクリックして、それぞれの横に緑色のティックが表示されるまで同意プロセスを繰り返します。

  11. Intune管理センターに戻り、MTD コネクタの編集を再開します。 使用可能な切り替えを [オン] に設定して、構成を [保存] します。

    Jamf の MTD コネクタが有効になっていることを示すスクリーン ショット。

Intuneと Jamf が接続されました。

Jamf でアクティブ化プロファイルを作成する

Intuneベースのデプロイは、Jamf Security Cloud ポータルで定義されている Jamf ライセンス認証プロファイルを使用して容易になります。 各アクティブ化プロファイルでは、認証要件、サービス機能、初期のグループ メンバーシップなどの特定の構成オプションを定義します。

Jamf でアクティブ化プロファイルを作成した後、Intuneのユーザーとデバイスに割り当てます。 ライセンス認証プロファイルは、デバイス プラットフォームと管理戦略全体に共通ですが、次の手順では、これらの違いに基づいてIntuneを構成する方法を定義します。

この手順では、ターゲット デバイスにIntune経由でデプロイするライセンス認証プロファイルを Jamf に作成していることを前提としています。 Jamf ライセンス認証プロファイルの作成と使用の詳細については、Jamf セキュリティ ドキュメントの 「ライセンス認証プロファイル 」を参照してください。

注:

Intuneを使用して展開するためのアクティブ化プロファイルを作成する場合は、セキュリティ、クロスプラットフォームの互換性、合理化されたエンド ユーザー エクスペリエンスを最大限に高めるために、[関連付けられたユーザー] を [Identity Provider > Microsoft Entra 認証済み] オプションに設定してください。

MDM で管理されるデバイスへの Jamf Over-the-Air の展開

Intuneで管理する iOS および Android デバイスの場合、Jamf はプッシュベースのアクティブ化を迅速に行うことができます。 このセクションに進む前に、必要なアクティブ化プロファイルが既に作成されていることを確認してください。 管理対象デバイスへの Jamf のデプロイには、次のことが含まれます。

  • Jamf 構成プロファイルをIntuneに追加し、ターゲット デバイスに割り当てる。
  • Jamf 信頼アプリとそれぞれのアプリ構成をIntuneに追加し、ターゲット デバイスに割り当てます。

iOS 構成プロファイルの構成とデプロイ

このセクションでは、必要な iOS デバイス構成ファイルをダウンロードし、MDM 経由で Intune マネージド デバイスに配信します。

  1. Jamf Security Cloud ポータルで、デプロイするアクティブ化プロファイル (デバイス>のライセンス認証) に移動し、[展開戦略] タブ [マネージド デバイス>Microsoft Intune] を選択します>。

  2. ご使用のデバイス フリーと構成に基づいて、[Apple iOS Supervised]\(監視下の Apple iOS \) セクションまたは [Apple iOS Unsupervised]\(監視されていない Apple iOS\) セクションを展開します。

  3. 指定した構成プロファイルをダウンロードし、後の手順でアップロードする準備をします。

  4. 管理センター Microsoft Intune開き、[デバイス>] [iOS/iPadOS > 構成プロファイル] に移動します。 [新しいポリシーの作成>] を選択します。

  5. 表示されるパネルで、[ プラットフォーム ] で [ iOS/iPadOS] を選択し、[ プロファイルの種類 ] で [ テンプレート ] を選択し、[ カスタム] を選択します。 その後、[作成] を選択します。

  6. [ 名前 ] フィールドに構成のわかりやすいタイトルを指定します。Jamf Security Cloud ポータルでライセンス認証プロファイルに名前を付けた内容と理想的に一致します。 一致する名前は、将来的にクロスリファレンスを容易にするのに役立ちます。 または、必要に応じて、アクティブ化プロファイル コードを指定します。 名前にサフィックスを付けて、監視下のデバイスまたは監視されていないデバイスのどちらの構成であるかを示すことをお勧めします。

  7. 必要に応じて、[説明] を入力して、構成の目的または用途について他の管理者に詳細を提供します。 [次へ] を選択します。

  8. [ 構成設定 ] ページの [ 構成プロファイル ファイル] で、手順 3 でダウンロードしたアクティブ化プロファイルに対応するダウンロードした構成プロファイルを指定または参照します。 監視下のプロファイルと監視されていないプロファイルの両方をダウンロードした場合は、適切なプロファイルを選択するようにしてください。 [次へ] を選択します。

  9. Jamf がインストールされているユーザーまたはデバイスのグループに構成プロファイルを割り当てます。 テスト グループから開始し、アクティブ化が正常に機能していることを検証した後に展開することをお勧めします。 [次へ] を選択します。

  10. 必要に応じて構成の正確性の編集を確認し、[ 作成 ] を選択して構成プロファイルを作成して展開します。

注:

Jamf は、監視対象の iOS デバイス用の拡張デプロイ プロファイルを提供します。 監視下のデバイスと監視されていないデバイスが混在するフリートを使用している場合は、必要に応じて、他方のプロファイルの種類に対して上記の手順を繰り返します。 Intune を介して展開される将来のすべてのアクティブ化プロファイルについても、これらの同じ手順に従う必要があります。 監視対象の iOS デバイスと教師なし iOS デバイスが混在しており、監視モードベースのポリシー割り当てのサポートが必要な場合は、Jamf サポートにお問い合わせください。

MAM マネージド アプリケーションを使用して登録解除されたデバイスに Jamf をデプロイする

MAM マネージド アプリケーションを使用して登録解除されたデバイスの場合、Jamf は統合された認証ベースのオンボード エクスペリエンスを利用して、MAM マネージド アプリ内の会社のデータをアクティブ化して保護します。

以降のセクションでは、会社のデータにアクセスする前にエンド ユーザーが Jamf をシームレスにアクティブ化できるように Jamf とIntuneを構成する方法について説明します。

Jamf ライセンス認証プロファイルで Azure Device Provisioning を構成する

MAM で使用するアクティブ化プロファイルには、関連付けられたユーザーが [Identity Provider > Microsoft Entra オプションによって認証される] に設定されている必要があります。

  1. Jamf Security Cloud ポータルで、既存のアクティブ化プロファイルを選択するか、MAM マネージド アプリケーションを使用して登録解除されたデバイスがデバイスのライセンス認証で > 登録中に使用する新しいアクティブ化プロファイルを作成します。

  2. [ Id ベースのプロビジョニング ] タブを選択し、[Microsoft] セクションまでスクロールします。

  3. 使用する アクティブ化プロファイル のトグルを選択します。これにより、[ アクティブ化プロファイルへの自動プロビジョニングの追加] ウィンドウが開きます。

  4. [ すべてのユーザー (任意のグループ)] オプションの現在の選択を確認するか、[ 特定のグループ ] を選択し、 グループ ID を追加して、ユーザーのアクティブ化をそれらのグループのみに制限します。

    • 1 つ以上の グループ ID が 定義されている場合、MAM をアクティブ化するユーザーは、このアクティブ化プロファイルを使用してアクティブ化するために、指定したグループの少なくとも 1 つのメンバーである必要があります。
    • 同じ Azure テナント ID に対して、それぞれ異なるグループ ID を使用して、複数のアクティブ化プロファイルを設定できます。 さまざまなグループ ID を使用すると、Azure グループ メンバーシップに基づいてデバイスを Jamf に登録し、アクティブ化時にグループごとに差別化された機能を有効にできます。
    • グループ ID を指定しない 1 つの "既定" アクティブ化プロファイルを構成できます。 このグループは、認証されたユーザーが別のアクティブ化プロファイルとの関連付けを持つグループのメンバーではない、すべてのアクティブ化のキャッチオールとして機能します。

  5. ページの右上隅にある [ 保存] を選択します

次の手順

  • Jamf Security Cloud ポータルに Jamf ライセンス認証プロファイルが読み込まれた状態で、Intuneにクライアント アプリを作成して、Jamf Trust アプリを Android および iOS/iPadOS デバイスにデプロイします。 Jamf アプリ構成は、デバイスにプッシュされるデバイス構成プロファイルを補完するための重要な機能を提供し、すべてのデプロイに推奨されます。 Jamf アプリに固有の手順とカスタムの詳細については、「 MTD アプリの追加」を参照してください。
  • Jamf を Intune と統合すると、構成の調整、レポートの表示、モバイル デバイスのフリート全体への展開をより広範に行うことができます。 詳細な構成ガイドについては、Jamf ドキュメントのサポート センター はじめに ガイドを参照してください。