配置 Jamf 云连接器以与 Microsoft Intune 集成

重要

已弃用对条件访问的 Jamf macOS 设备支持。

从 2024 年 9 月 1 日起，将不再支持 Jamf Pro 的条件访问功能所基于的平台。

如果将 Jamf Pro 的条件访问集成用于 macOS 设备，请按照从 macOS 条件访问迁移到 macOS 设备符合性 - Jamf Pro 文档中的 Jamf 记录的指南将设备迁移到设备符合性集成。

如果需要帮助，请联系 Jamf Customer Success。 有关详细信息，请参阅 上的 https://aka.ms/Intune/Jamf-Device-Compliance博客文章。

本文可指导你安装 Jamf 云连接器，从而集成 Jamf Pro 与 Microsoft Intune。 通过集成，可以要求 Jamf Pro 管理的 macOS 设备满足 Intune 设备合规性要求，然后才能允许这些设备访问组织的资源。 资源访问由Microsoft Entra条件访问策略控制，其方式与通过 Intune 管理的设备相同。

建议使用 Jamf 云连接器，因为它可自动执行手动配置集成时所需的许多步骤，如 集成 Jamf Pro 与 Intune 以满足合规性 中所述。

安装云连接器时：

• 安装程序自动在 Azure 中创建 Jamf Pro 应用程序，而无需手动配置它们。
• 你可以将多个 Jamf Pro 实例与托管 Intune 订阅的同一 Azure 租户集成。

只有在使用云连接器时，才支持将多个 Jamf Pro 实例与一个 Azure 租户连接。 如果你使用手动配置的连接，只有一个 Jamf 实例可以与 Azure 租户集成。

视需要选择使用云连接器：

• 对于尚未与 Jamf 集成的新租户，可以选择按照本文中所述来配置云连接器。 也可以按照集成 Jamf Pro 与 Intune 以满足符合性要求中所述来手动配置集成
• 对于已有手动配置的租户，可以选择删除相应集成，然后安装云连接器。 本文介绍了如何删除现有集成和安装云连接器。

如果打算替换先前与 Jamf 云连接器的集成：

• 遵循删除当前配置的过程，包括删除 Jamf Pro 的 Enterprise 应用程序，并禁用手动集成。 然后，可以遵循配置云连接器的过程。
• 无需重新注册设备。 已注册的设备无需进一步配置即可使用云连接器。
• 请务必在禁用手动集成后的 24 小时内配置云连接器，以确保已注册的设备可以继续报告自己的状态。

若要详细了解 Jamf 云连接器，请参阅 docs.jamf.com 上的使用云连接器配置 macOS Intune 集成。

先决条件

产品和服务：

• Jamf Pro 10.18 或更高版本
• 拥有条件访问特权的 Jamf Pro 用户帐户
• Microsoft Intune
• Microsoft Entra ID P1 或 P2
• 适用于 macOS 的公司门户应用
• 带有 OS X 10.12 Yosemite 或更高版本的 macOS 设备

网络：
为了能够正确集成 Jamf 和 Intune，以下端口和终结点必须是可以访问的：

• Intune：端口 443

• Apple：端口 2195、2196 和 5223（向 Intune 推送通知）

• Jamf：端口 80 和 5223

• 终结点：

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

为了让 APNS 在网络上正常运行，必须启用流向以下端口的传出连接，以及来自以下端口的重定向：

• 通过所有客户端网络中的 TCP 端口 5223 和 443 的 Apple 17.0.0.0/8 块。
• Jamf Pro 服务器中的端口 2195 和 2196。

有关这些端口的详细信息，请参阅以下文章：

• Intune 网络配置要求和带宽。
• jamf.com 上的 Jamf Pro 使用的网络端口。
• support.apple.com 上的 Apple 软件产品使用的 TCP 和 UDP 端口

帐户：
若要遵循本文中的过程，必须使用拥有以下权限的帐户：

• Jamf Pro 控制台：有权管理 Jamf Pro
• Microsoft Intune管理中心：全局管理员
• Azure 门户：全局管理员

删除以前配置的租户的 Jamf Pro 集成

请先遵循以下过程从 Azure 租户中删除手动配置的 Jamf Pro 集成，然后才能配置云连接器。

如果以前未在 Jamf Pro 和 Intune 之间设置连接，或者如果你有一个或多个已使用云连接器的连接，请跳过此过程，开始 为新租户配置云连接器。

删除手动配置的 Jamf Pro 集成

1. 登录 Jamf Pro 控制台。

2. 选择“设置”（右上角的齿轮图标），然后依次转到“全局管理”>“条件访问”。

   

3. 选择“编辑”。

4. 取消选中“为 macOS 启用 Intune 集成”复选框。

   在取消选中此设置后，连接会被禁用，但会保存配置。

5. 登录到 Microsoft Intune 管理中心，然后转到租户管理>合作伙伴设备管理。

   在“合作伙伴设备管理”节点上，删除“指定 Jamf Microsoft Entra应用 ID”字段中的应用程序 ID，然后选择“保存”。

   应用程序 ID 是指，在设置 Jamf Pro 的手动集成时，在 Azure 中创建的 Azure Enterprise 应用程序的 ID。

6. 使用具有全局管理员权限的帐户登录到 Azure 门户，然后转到 Microsoft Entra ID>企业应用程序。

   找到两个 Jamf 应用程序，并删除它们。 当你在下一个过程中配置 Jamf 云连接器时，新的应用程序会自动创建。

   

   当你在 Jamf Pro 中禁用集成并删除 Enterprise 应用程序后，“合作伙伴设备管理”节点显示“已终止”连接状态。

   

至此，你已成功删除手动配置的 Jamf Pro 集成，现在可以使用云连接器来设置集成了。 为此，请参阅本文中的为新租户配置云连接器。

为新租户配置云连接器

在以下情况下，请遵循下面的过程来配置 Jamf 云连接器，以集成 Jamf Pro 和 Microsoft Intune：

• 你没有为 Azure 租户配置 Jamf Pro 和 Intune 之间的任何集成。
• 你已在 Azure 租户中设置了 Jamf Pro 和 Intune 之间的云连接器，并且想要将其他 Jamf 实例与订阅集成。

如果当前已手动配置 Intune 和 Jamf Pro 之间的集成，请先参阅本文中的删除以前配置的租户的 Jamf Pro 集成来删除此类集成，再继续操作。 必须先删除手动配置的集成，然后才能成功设置 Jamf 云连接器。

创建新连接

1. 登录 Jamf Pro 控制台。

2. 选择“设置”（右上角的齿轮图标），然后依次转到“全局管理”>“条件访问”。

   

3. 选择“编辑”。

4. 选中“为 macOS 启用 Intune 集成”复选框。

   • 选中此设置可以让 Jamf Pro 将清单更新发送到 Microsoft Intune。
   • 可以取消选中此设置来禁用连接，但会保存配置。

   重要

   如果“为 macOS 启用 Intune 集成”已选中，且“连接类型”设置为“手动”，那么必须先删除此类集成，然后才能继续操作。 请先参阅本文中的删除以前配置的租户的 Jamf Pro 集成，再继续操作。

5. 在“连接类型”下，选择“云连接器”。

   

6. 在“主权云”弹出菜单中，选择 Microsoft 提供的主权云的位置。 如果要将以前的集成替换为 Jamf 云连接器，则可以跳过此步骤（如果已指定位置）。

7. 对于 Microsoft Azure 无法识别的计算机，选择以下登陆页面选项之一：

   • “默认 Jamf Pro 设备注册”页 - 根据 macOS 设备的状态，此选项会将用户重定向到 Jamf Pro 设备注册门户 (注册到 Jamf Pro) ，或者 () 注册 Microsoft Entra ID Intune 公司门户 应用。
   • “拒绝访问”页
   • 自定义 URL

   如果要将以前的集成替换为 Jamf 云连接器，则可以跳过此步骤（如果已指定登陆页面）。

8. 选择“连接”。 系统会重定向到在 Azure 中注册 Jamf Pro 应用程序。

   当出现提示时，指定 Microsoft Azure 凭据，然后按照屏幕上的说明操作来授予所请求的权限。 你将为云连接器授予权限，然后再次为云连接器用户注册应用程序授予权限。 这两个应用程序在 Azure 中都注册为 Enterprise 应用程序。

   在你为这两个应用程序授予权限后，“应用程序 ID”页打开。

9. 在“应用程序 ID”页上，选择“复制并打开 Intune”。

   

   应用程序 ID 将复制到系统剪贴板以供下一步使用，Microsoft Intune管理中心中的合作伙伴设备管理节点将打开。 （依次转到“租户管理”>“合作伙伴设备管理”）。

10. 在“合作伙伴设备管理”节点上，将“应用程序 ID”粘贴到“为 Jamf 指定Microsoft Entra应用 ID”字段，然后选择“保存”。

    

11. 返回到 Jamf Pro 中的“应用程序 ID”页，然后选择“确认”。

12. Jamf Pro 完成并测试配置，然后在“条件访问设置”页上指明连接是否成功。 下图展示了成功示例：

    

13. 在Microsoft Intune管理中心中，刷新合作伙伴设备管理节点。 连接现在应该显示为“活动”：

    

成功建立 Jamf Pro 与 Microsoft Intune 之间的连接后，Jamf Pro 会将使用 Microsoft Entra ID 注册的每台计算机的清单信息发送到Microsoft Intune， (注册Microsoft Entra ID 是最终用户工作流) 。 在 Jamf Pro 中，可以在计算机清单信息的“本地用户帐户”类别中查看用户和计算机的条件访问清单状态。

使用 Jamf 云连接器集成一个 Jamf Pro 实例后，可以遵循与此相同的过程，为 Azure 租户中的同一 Intune 订阅配置其他 Jamf Pro 实例。

设置符合性策略并注册设备

配置 Intune 和 Jamf 之间的集成后，需要将合规性策略应用到 Jamf 托管的设备。

断开 Jamf Pro 和 Intune 的连接

若要删除 Jamf Pro 与 Intune 的集成，请使用以下步骤从 Jamf Pro 控制台中删除连接。 此信息适用于云连接器和手动配置的集成。

从 Microsoft Intune 管理中心内取消预配 Jamf Pro

1. 在Microsoft Intune管理中心，转到租户管理>连接器和令牌>合作伙伴设备管理。

2. 选择“ 终止”选项。 Intune 显示有关操作的消息。 查看邮件，准备就绪后，选择“ 确定”。 仅当 Jamf 连接存在时，才会显示 “终止 集成”选项。

终止集成后，刷新管理中心的视图以更新视图。 组织的 macOS 设备在 90 天内将从 Intune 中删除。

从 Jamf Pro 控制台中取消预配 Jamf Pro

使用以下步骤从 Jamf Pro 控制台中删除连接。

1. 在 Jamf Pro 控制台中，转到 “全局管理>条件访问”。 在“macOS Intune 集成”选项卡上，选择“编辑”。

2. 清除“启用适用于 macOS 的 Intune 集成”复选框。

3. 选择“保存”。 Jamf Pro 将配置发送到 Intune，并且将终止集成。

4. 登录到Microsoft Intune管理中心。

5. 选择“租户管理”>“连接器和令牌”>“合作伙伴设备管理”，以验证状态现在是否为“已终止”。

终止集成后，组织的 macOS 设备将在主机中显示的日期（即三个月后）被删除。

获取云连接器方面的支持

由于云连接器会自动创建集成所需的 Azure Enterprise 应用程序，因此你的第一个支持联系点应为 Jamf。 选项包括：

• support@jamf.com 处的电子邮件支持
• 使用 Jamf Nation 处的支持门户：https://www.jamf.com/support/

在联系支持人员前，请先执行以下操作：

• 审阅先决条件（如所使用的端口和产品版本）。

• 确认以下两个在 Azure 中创建的 Jamf Pro 应用程序的权限是否未遭修改。 Intune 不支持更改应用程序权限，这可能会导致集成失败。

  云连接器用户注册应用程序：

  • API 名称：Microsoft Graph
    • 权限：登录和读取用户配置文件
    • 类型：委派
    • 授权方式：管理员同意
    • 授予者：管理员

  云连接器应用程序：

  • API 名称：Microsoft Graph（实例 1）

    • 权限：登录和读取用户配置文件
    • 类型：委派
    • 授权方式：管理员同意
    • 授予者：管理员

  • API 名称：Microsoft Graph（实例 2）

    • 权限：读取目录数据
    • 类型：应用程序
    • 授权方式：管理员同意
    • 授予者：管理员

  • API 名称：Intune API

    • 权限：将设备属性发送到 Microsoft Intune
    • 类型：应用程序
    • 授权方式：管理员同意
    • 授予者：管理员

Jamf 云连接器的常见问题解答

通过云连接器共享什么数据？

云连接器向 Microsoft Azure 进行身份验证，并将设备清单数据从 Jamf Pro 发送到 Azure。 此外，云连接器还管理 Azure 中的服务发现、令牌交换、通信错误和灾难恢复。

设备清单数据存储在哪里？

设备清单数据存储在 Jamf Pro 数据库中。

存储什么凭据？

未存储任何凭据。 配置云连接器时，必须同意将 Jamf 多租户应用和本机 macOS 连接器应用添加到其Microsoft Entra租户。 在多租户应用程序添加后，云连接器便会请求获取访问令牌，用来与 Azure API 交互。 随时都可以在 Microsoft Azure 中撤销应用程序访问权限，以限制访问。

如何加密数据？

云连接器对在 Jamf Pro 和 Microsoft Azure 之间发送的数据使用传输层安全性 (TLS)。

Jamf 如何确定哪台设备与哪个 Jamf Pro 实例关联？

Jamf Pro 使用 AWS 中的微服务将设备信息正确路由到正确的实例。

能否将“连接类型”从“云连接器”切换为“手动”？

是。 可以将“连接类型”更改回“手动”，然后按照手动设置步骤操作。 如有疑问，应向 Jamf 寻求帮助。

在云连接器和云连接器用户注册应用 (一个或两个所需应用上修改了权限，) 注册不起作用。 是否支持权限更改？

不支持修改应用程序的权限。

Jamf Pro 中是否有显示连接类型是否已更改的日志文件？

是的，所做的更改将记录到 JAMFChangeManagement.log 文件中。 若要查看更改管理日志，请登录到 Jamf Pro，转到“设置>”“系统设置”“更改管理>日志”>，搜索“条件访问”的“对象类型”，然后选择“详细信息”以查看更改。

后续步骤

• 将合规性策略应用到 Jamf 管理的设备
• Jamf 向 Intune 发送的数据
• 将 Jamf Pro 与 Intune 集成，以向Microsoft Entra ID 报告符合性。