jamf Pro를 Microsoft Intune 통합하여 디바이스 준수를 Microsoft Entra ID에 보고

Jamf Pro와 Microsoft Intune 간의 통합을 설정하는 프로세스가 진화하고 있습니다. 이제 Jamf 관리 디바이스의 규정 준수 상태 보고하면 Jamf Pro 환경에서 Jamf 관리 정책을 준수하는 상태 확인하고 Intune의 커넥터를 통해 디바이스 준수 상태를 Microsoft Entra ID에 보고할 수 있습니다. Jamf에서 관리하는 디바이스에 대한 규정 준수 상태 Microsoft Entra ID로 보고되면 해당 디바이스는 조건부 액세스 정책을 Microsoft Entra Zero-Trust 원칙을 충족할 수 있습니다.

중요

조건부 액세스에 대한 Jamf macOS 디바이스 지원은 더 이상 사용되지 않습니다.

2024년 9월 1일부터 Jamf Pro의 조건부 액세스 기능이 빌드된 플랫폼은 더 이상 지원되지 않습니다.

macOS 디바이스에 Jamf Pro의 조건부 액세스 통합을 사용하는 경우 Jamf의 문서화된 지침에 따라 macOS 조건부 액세스에서 macOS 디바이스 준수로 마이그레이션 – Jamf Pro 설명서에서 디바이스를 디바이스 준수 통합으로 마이그레이션합니다.

도움이 필요한 경우 Jamf 고객 성공에 문의하세요. 자세한 내용은 의 블로그 게시물을 참조하세요 https://aka.ms/Intune/Jamf-Device-Compliance.

이 문서는 다음 작업을 수행하는 데 도움이 될 수 있습니다.

• Jamf Pro에서 필요한 구성 요소 및 구성을 구성합니다.
• Jamf를 사용하여 관리하는 디바이스에 Intune 회사 포털 앱을 배포하도록 Jamf Pro 구성
• Jamf 셀프 서비스 포털 앱을 통해 사용자에게 배포하여 디바이스를 Microsoft Entra ID로 등록하도록 정책을 구성합니다.
• Intune 커넥터를 구성합니다.
• Microsoft Entra ID 필수 구성 요소를 준비합니다.

이 문서의 절차를 완료하려면 계정에 다음 권한이 있어야 합니다.

• 디바이스 준수 권한이 있는 Jamf Pro 관리자 또는 Jamf Pro 사용자 계정
• Intune 관리자
• 전역 관리자 Microsoft Entra

Microsoft Entra ID와 Jamf Pro 통합에 대한 일반적인 질문

Microsoft Entra ID와의 통합이 Jamf Pro 관리 디바이스에 도움이 되는 이유는 무엇인가요?

Microsoft Entra 조건부 액세스 정책은 디바이스가 규정 준수 표준을 충족할 뿐만 아니라 Microsoft Entra ID에 등록하도록 요구할 수 있습니다. 조직은 다음과 같은 예제 시나리오를 보장하기 위해 Microsoft Entra 조건부 액세스 정책을 사용하여 보안 태세를 지속적으로 개선하고자 합니다.

• 디바이스는 Microsoft Entra ID로 등록됩니다.
• 디바이스는 알려진 신뢰할 수 있는 위치 또는 IP 주소 범위를 사용하고 있습니다.
• 디바이스는 Microsoft 365 데스크톱 애플리케이션 및 브라우저를 사용하여 회사 리소스에 액세스하기 위해 규정 준수 표준을 충족합니다.

Microsoft Entra 통합과 Jamf가 이전에 제공한 조건부 액세스 방법의 다른 점은 무엇인가요?

Jamf Pro를 활용하지만 Intune에 대한 연결을 아직 설정하지 않은 조직의 경우 Jamf Pro 포털의 설정 > 전역 > 조건부 액세스 경로에서 구성을 활용한 이전 메서드는 더 이상 새 구성을 수락할 수 없습니다.

새 통합에는 설정 > 글로벌 > 디바이스 규정 준수 의 구성이 필요하며 Intune에 대한 연결을 안내하는 마법사 기반 프로세스를 제공합니다. 마법사는 등록된 애플리케이션에 필요한 Microsoft Entra 만드는 메서드를 제공합니다. 이러한 등록된 애플리케이션은 이전과 같이 이 현재 디자인에서 미리 만들 수 없습니다.

Jamf Pro 관리 구성

Jamf Pro 구성에는 Intune에 대한 연결을 설정하기 전에 Jamf Pro 콘솔에서 다음 컴퓨터 스마트 그룹 및 컴퓨터 정책을 만들어야 합니다.

컴퓨터 스마트 그룹

다음 예제를 사용하여 두 개의 컴퓨터 스마트 그룹을 만듭니다.

적용 가능: Microsoft 테넌트에서 회사 리소스에 액세스해야 하는 디바이스를 결정하는 조건을 포함하는 컴퓨터 스마트 그룹을 만듭니다.

예제:Jamf Pro>컴퓨터>스마트 컴퓨터 그룹으로 이동하여 새 그룹을 만듭니다.

• 표시 이름:
  • 이 문서에서는 Jamf-Intune 적용 가능한 그룹이라는 이름을 지정했습니다.
• 기준:
  • 애플리케이션 제목, 연산자 = is, Value = CompanyPortal.app

준수: 조건이 포함된 두 번째 컴퓨터 스마트 그룹을 만듭니다. 이 그룹은 디바이스가 Jamf 내에서 규정을 준수하는 것으로 간주되고 organization 보안 표준을 충족하는지 여부를 결정합니다.

예제:Jamf Pro>Computers>스마트 컴퓨터 그룹으로 이동하여 다른 그룹을 만듭니다.

• 표시 이름:
  • 이 문서에서는 Jamf-Intune 준수 그룹이라는 이름을 지정했습니다.
  • 멤버 자격 변경 시 전자 메일 알림 보내기를사용하도록 설정하는 옵션입니다.
• 기준:
  • 마지막 인벤토리 업데이트, 연산자 = x일 전 미만, 값 = 2
  • 및 - 조건: 애플리케이션 제목, 연산자 = is, Value = CompanyPortal.app
  • 및 - File Vault 2, Operator = is, Value = All Partitions Encrypted

컴퓨터 정책

다음 구성을 포함하는 하나의 컴퓨터 정책을 만듭니다.

예제:Jamf Pro>Computers>정책으로 이동하여 새 정책을 만듭니다.

• 옵션 탭:

  • 일반:
    • 표시 이름 - 정책에 이름을 지정합니다. 예를 들어 Microsoft Entra ID(Microsoft Entra)에 등록합니다.
    • 사용 - 정책을 사용하도록 설정하려면 이 확인란을 선택합니다.
  • Microsoft 디바이스 준수:
    • Microsoft Entra ID를 사용하여 컴퓨터 등록을 사용하도록 설정합니다.

• 범위 탭: 선택한 배포 대상을 구성하여 Jamf Pro 관리 구성의 일부로 만든 적용 가능한 컴퓨터 스마트 그룹을 추가합니다.

• 셀프 서비스 탭:

  • 셀프 서비스에서 정책을 사용할 수 있도록 설정합니다.
  • 표시 이름을 설정합니다.
  • 단추 이름을 설정합니다.
  • 설명을 제공합니다.
  • 사용자가 설명을 볼 수 있는지 확인합니다.
  • 필요에 따라 선택적 범주 를 사용하도록 설정합니다.

• 저장을 선택합니다.

Mac 앱

모든 디바이스에 배포하는 Microsoft Intune 회사 포털 Mac Apps Jamf 앱 카탈로그에서 앱을 만듭니다. Jamf 앱 카탈로그 버전을 사용하면 애플리케이션을 최신 상태로 쉽게 유지할 수 있습니다.

• 컴퓨터>Mac 앱으로 이동하여 +새로 만들기를 선택합니다.
• Jamf 앱 카탈로그를 선택한 다음, 다음을 선택합니다.
• Microsoft Intune 회사 포털 검색하고 애플리케이션 옆에 있는 추가를 선택합니다.
• 대상 그룹을모든 관리되는 클라이언트로 설정합니다.
• 배포 방법을자동으로 설치하도록 설정합니다.
• 지원 구성 프로필 설치를 사용하도록 설정합니다.
• 오른쪽 위에서 배포 스위치를 사용하도록 설정한 다음 저장을 선택합니다.

관리 구성 Microsoft Entra

회사 리소스를 보호하기 위해 organization 있는 조건부 액세스 정책 구성으로 인해 디바이스를 등록하는 기능이 차단될 수 있습니다.

다음을 사용하여 이후 단계에서 Intune 커넥터를 scope 데 사용할 Jamf 관리 디바이스의 사용자를 포함하는 그룹을 만듭니다.

1. https://entra.microsoft.com 그룹을 만들고 조건부 액세스 정책을 만들고 편집할 수 있는 권한이 있는 계정으로 로그인합니다.

2. 그룹>모든 그룹을> 확장하고 새 그룹을 선택합니다.

3. 해당 Jamf 관리 디바이스를 Microsoft Entra ID로 등록할 해당 사용자를 포함하는 적절한 규칙을 사용하여 동적 그룹을 만듭니다.

   팁

   동적 그룹을 사용하는 것이 좋지만 정적 그룹을 사용할 수도 있습니다.

Jamf Pro를 Intune에 연결

Jamf pro는 테넌트 관리커넥터 및 토큰에 있는 >Microsoft Intune 관리> 센터의커넥터를 활용합니다. Jamf Pro를 Intune에 연결하는 프로세스는 Jamf Pro 관리 포털에서 시작되며 다음 단계를 묻는 마법사를 활용합니다.

1. Jamf 관리 포털에 로그인합니다(예: https://tenantname.jamfcloud.com).

2. 설정 > 전역 > 디바이스 준수로 진행합니다.

3. 편집을 선택한 다음, 확인란을 선택하여 플랫폼 macOS를 사용하도록 설정합니다.

4. 준수 그룹 드롭다운에서 이 문서의 이전 섹션인 Computer-smart-groups에서 준수를 위해 만든 컴퓨터 스마트 그룹을 선택합니다.

5. 적용 가능한 그룹 드롭다운에서 이 문서의 이전 섹션인 Computer-smart-groups에서 적용 가능으로 만든 컴퓨터 스마트 그룹을 선택합니다.

6. 오른쪽 위에서 슬라이더를 사용하도록 설정하고 저장을 선택합니다.

7. 그런 다음 두 개의 Microsoft 인증 프롬프트가 표시됩니다. 각각 프롬프트를 인증하려면 Microsoft 365 전역 관리자가 필요합니다.

   • 첫 번째 인증 프롬프트는 Microsoft Entra ID로 디바이스 규정 준수용 클라우드 커넥터 애플리케이션을 만듭니다.
   • 두 번째 인증 프롬프트는 디바이스 준수를 위한 사용자 등록 앱을 만듭니다.

   

8. 준수 파트너 구성 대화 상자가 있는 Jamf 포털 페이지로 새 브라우저 탭이 열리고 Microsoft Endpoint Manager 열기라는 레이블이 지정된 단추를 선택합니다.

   

9. 새 브라우저 탭이 Microsoft Intune 관리 센터를 엽니다.

10. 테넌트 관리 > 커넥터 및 토큰 파트너 규정 준수 관리로 진행합니다>.

11. 파트너 규정 준수 관리 페이지의 맨 위에서 규정 준수 파트너 추가를 선택합니다.

12. 준수 파트너 만들기 마법사에서 다음을 수행합니다.

    1. 준수 파트너 드롭다운을 사용하여 Jamf 디바이스 준수를 선택합니다.
    2. 플랫폼 드롭다운을 사용하여 macOS를 선택한 다음, 다음을 선택합니다.
    3. 할당에서 그룹 추가를 선택한 다음 이전에 만든 Microsoft Entra 사용자 그룹을 선택합니다. 연결이 금지되므로 모든 사용자 추가를 선택하지 마세요.
    4. 다음을 선택한 다음 만들기를 선택합니다.

13. 브라우저에서 준수 파트너 구성 대화 상자가 있는 Jamf 포털이 포함된 탭을 엽니다.

14. 확인 단추를 선택합니다.

    

15. Intune 파트너 규정 준수 관리 dashboard 표시된 브라우저 탭으로 전환하고, 준수 파트너 추가 옵션 옆에 있는 새로 고침 아이콘을 선택합니다.

16. macOS Jamf 디바이스 준수 커넥터에 활성 파트너 상태가 표시되는지 확인 합니다.

    

관리 구성 완료

사용자가 디바이스를 등록할 수 있도록 하려면 디바이스를 차단할 수 있는 Microsoft Entra 조건부 액세스 정책을 알고 있어야 합니다. Jamf Pro를 Intune에 연결할 때 만든 디바이스 준수에 대한 사용자 등록 앱은 사용자가 디바이스를 등록하지 못하게 할 수 있는 정책에서 제외로 추가되어야 합니다.

예를 들어 규격 디바이스가 필요한 Microsoft Entra 조건부 액세스 정책을 고려합니다.

• 할당 - 모든 사용자에게 이 정책을 할당하거나 Jamf 관리 디바이스가 있는 사용자 그룹을 포함합니다.
• 대상 리소스 - 다음 구성을 설정합니다.
  • 모든 클라우드 앱에 적용합니다.
  • 디바이스 준수 앱에 대한 사용자 등록 앱을 제외합니다. 이 앱은 Jamf Pro를 Intune에 연결할 때 만들어졌습니다.
• 조건에 는 다음 옵션이 포함됩니다.
  • 규정 준수 필요
  • 등록된 디바이스 필요

최종 사용자 알림

Jamf 관리 디바이스의 사용자가 프로세스, 작동 방식 및 정책을 준수해야 하는 타임라인 인식할 수 있도록 최종 사용자 환경에 대한 충분한 알림을 제공하는 것이 좋습니다. 이러한 알림에 포함되어야 하는 중요한 알림은 Jamf Self-Service 앱에 디바이스를 등록하는 데 사용하는 정책이 포함되어 있다는 것입니다. 사용자는 배포된 Microsoft 회사 포털 앱을 사용하여 등록을 시도해서는 안됩니다. 회사 포털 앱을 사용하면 AccountNotOnboarded를 나타내는 오류가 발생합니다.

Jamf 플랫폼으로 관리되는 디바이스는 다음 프로세스에서 Intune의 디바이스 목록에 표시되지 않습니다. 사용자가 Microsoft Entra ID로 디바이스를 등록하면 디바이스의 초기 상태가 비준수로 표시됩니다. 준수를 위해 구성된 Jamf Pro 컴퓨터 스마트 그룹이 업데이트되면 상태 Intune 커넥터를 통해 에 전송되어 디바이스 규정 준수 상태 업데이트하는 ID를 Microsoft Entra. Microsoft Entra 디바이스 정보에 대한 업데이트 빈도는 Jamf 변경 빈도의 준수 컴퓨터 스마트 그룹을 기반으로 합니다.

문제 해결

문제

지침에 따라 macOS 디바이스의 Jamf Self-Service 앱에서 정책이 시작된 후 Microsoft 인증 프롬프트가 정상적으로 작동하는 것처럼 보였습니다. 그러나 Microsoft Entra ID에 표시된 디바이스의 상태 1시간 이상 기다린 후에도 예상대로 N/A에서 준수 상태로 업데이트되지 않았습니다.

이 경우 Microsoft Entra ID의 디바이스 레코드가 불완전했습니다.

해결 방법

먼저 다음을 확인합니다.

• 디바이스는 준수를 위해 Jamf 컴퓨터 스마트 그룹의 구성원으로 표시됩니다. 이 멤버 자격은 디바이스가 규격임을 나타냅니다.
• 인증 사용자는 Jamf Intune 커넥터로 범위가 지정된 Microsoft Entra 그룹의 구성원입니다.

둘째, 영향을 받는 디바이스에서:

• 터미널 애플리케이션을 열고 다음 명령을 실행합니다.

  /usr/local/jamf/bin/jamfaad gatherAADInfo

  • 명령이 프롬프트를 생성하지 않고 대신 macOS 사용자 $USER 대해 획득한 Microsoft Entra ID를 반환하는 경우 등록이 좋았습니다.
  • 명령이 로그인 프롬프트를 만들고 사용자가 오류 없이 로그인을 완료할 수 있는 경우 초기 등록 시도 중에 사용자 오류가 있을 수 있습니다.
  • 명령이 로그인 프롬프트를 만들지만 사용자가 로그인할 때 오류가 발생하는 경우 지원 사례를 통해 추가 문제 해결이 필요합니다.

다음 단계

• 준수 정책을 Jamf에서 관리되는 디바이스에 적용
• Intune에 보내는 데이터 Jamf