分享方式:

整合 Jamf Mobile Threat Protection 與 Intune

  • 文章

完成下列步驟,以整合 Jamf Mobile Threat Defense 解決方案與 Intune。

注意事項

在 2021 年 7 月,Jamf 已完成 Wandera 的收購,且最近開始重新命名和更新,以將 Wandera 移至 Jamf 組合。 更新 Intune 系統管理中心,以反映新的商標仍在進行中。 此內容會盡可能反映新的品牌 Jamf,但必要時會繼續反映 Wandera 商標,以保留系統管理中心中目前使用者介面的精確度。

開始之前

開始整合 Jamf 與 Intune 程式之前,請確定您已備妥下列必要條件:

  • Microsoft Intune方案 1 訂用帳戶

  • Microsoft Entra 能夠授與下列許可權的系統管理員認證和指派角色:

    • 登入並讀取使用者設定檔
    • 以登入的使用者身分存取目錄
    • 讀取目錄資料
    • 將裝置風險資訊傳送至 Intune

  • 有效的 Jamf Security Cloud 訂用帳戶

    • 具有超級系統管理員許可權的系統管理員帳戶

整合概觀

啟用 Jamf 與 Intune 之間的 Mobile Threat Defense 整合需要:

  • 啟用 Jamf 的 UEM Connect 服務,以與 Azure 和 Intune 同步處理資訊。 同步處理包括使用者和裝置生命週期管理 (LCM) 元數據,以及行動威脅防禦 (MTD) 裝置威脅等級。
  • 在 Jamf 中建立啟用配置檔,以定義裝置註冊行為。
  • 將 Jamf 信任應用程式部署至受控 iOS 和 Android 裝置。
  • 在 iOS 和 Android 裝置上使用 MAM 為終端使用者自助設定 Jamf。

設定 Jamf Mobile Threat Defense 整合

設定 Jamf 與 Intune 之間的整合不需要 Jamf 員工的任何支援,而且可以在幾分鐘內輕鬆完成。

在 Intune 中啟用 Jamf 支援

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [租用戶系統管理>連接器和令牌>Mobile Threat Defense>新增]

  3. 在 [ 新增連接器] 頁面上,使用下拉式清單並選取 [Wandera]。 然後選取 [ 建立]

  4. 在 [Mobile Threat Defense] 窗格上,從連接器清單中選取 Wandera MTD 連接器,以開啟 [ 編輯連接器 ] 窗格。 選 取 [開啟 Wandera 管理控制台 ] 以開啟 Jamf Security Cloud 入口網站,然後登入。

  5. 在 Jamf Security Cloud 入口網站中,移至 [整合 > UEM 整合],然後選取 [UEM 連線] 索引卷標。使用 [EMM 廠商] 下拉式清單,然後選取 [Microsoft Intune]

  6. 您會看到類似下圖的畫面,指出完成整合所需的許可權授與:

    Jamf 整合和許可權的螢幕快照。

  7. 在 [使用者和裝置同步 Microsoft Intune 旁,選取 [與] 按鈕以啟動程式,以同意 Jamf 使用 Azure 和 Intune 執行生命週期管理 (LCM) 函式。

  8. 出現提示時,請選取或輸入您的 Azure 系統管理員認證。 檢閱要求的許可權,然後選取 [代表貴組織同意] 複選框。 最後,選取 [接受] 以授權 LCM 整合。

    您接受之許可權的螢幕快照。

  9. 系統會自動將您傳回 Jamf Security Cloud 入口網站。 如果授權成功,[授與] 按鈕旁邊會有綠色刻度標記。

  10. 按兩下其餘列出整合的對應 [授與] 按鈕,以重複同意程式,直到每個專案旁邊都有綠色刻度標記為止。

  11. 返回 Intune 系統管理中心,然後繼續編輯 MTD 連接器。 將所有可用的切換設定為 [開啟],然後儲存組態。

    顯示已啟用 Jamf MTD 連接器的螢幕快照。

Intune 和 Jamf 現在已連線。

在 Jamf 中建立啟用設定檔

使用 Jamf 安全性雲端入口網站中定義的 Jamf 啟用配置檔,可協助 Intune 型部署。 每個啟用配置檔都會定義特定的組態選項,例如驗證需求、服務功能和初始群組成員資格。

在 Jamf 中建立啟用設定檔之後,您會將它指派給 Intune 中的使用者和裝置。 雖然啟用配置檔在裝置平臺和管理策略之間是通用的,但下列步驟會定義如何根據這些差異來設定 Intune。

此處的步驟假設您已在 Jamf 中建立要透過 Intune 部署至目標裝置的啟用設定檔。 如需建立和使用 Jamf 啟用設定檔的詳細資訊,請參閱 Jamf 安全性檔中的啟 用設定檔

注意事項

建立透過 Intune 部署的啟用配置檔時,請務必將 [由識別提供者>驗證的相關聯使用者] 設定 Microsoft Entra 選項,以獲得最大安全性、跨平臺相容性,以及簡化的用戶體驗。

將 Jamf 無線部署至 MDM 管理的裝置

針對您使用 Intune 管理的 iOS 和 Android 裝置,Jamf 可以透過無線部署以進行快速推送式啟用。 繼續進行本節之前,請確定您已建立所需的啟用配置檔。 將 Jamf 部署至受控裝置涉及:

  • 將 Jamf 組態配置檔新增至 Intune 並指派給目標裝置。
  • 將 Jamf 信任應用程式和個別的應用程式組態新增至 Intune 並指派給目標裝置。

設定及部署 iOS 組態配置檔

在本節中,您會下載必要的 iOS 裝置組態檔,然後透過 MDM 以無線方式將它們傳遞至 Intune 受控裝置。

  1. 在 Jamf Security Cloud 入口網站中,流覽至您想要部署的啟用設定檔 (> 裝置啟用) ,然後選取 [部署策略] 索引卷標 > [受管理的裝置>Microsoft Intune

  2. 根據您的裝置車隊設定,展開 [Apple iOS 受監督 ] 或 [Apple iOS 非監督 ] 區段。

  3. 下載提供的組態配置檔,並準備在稍後的步驟中上傳它們。

  4. Microsoft Intune 系統管理中心,然後流覽至 [裝置 > iOS/iPadOS > 組態配置檔]。 選 取 [建立>新原則]

  5. 在出現的面板中,針對 [ 平臺 ] 選取 [iOS/iPadOS],然後針對 [ 配置檔類型] 選取 [範本 ],然後選取 [ 自定義]。 然後,選取 [建立]

  6. 在 [ 名稱] 欄位 中,提供設定的描述性標題,最好符合您在 Jamf Security Cloud 入口網站中將啟用設定檔命名為的內容。 相符的名稱有助於日後簡化互動參照。 或者,視需要提供啟用配置檔程序代碼。 建議您藉由將名稱加上後綴,指出設定是否適用於受監督或不受監督的裝置。

  7. 選擇性地提供 描述 ,為其他系統管理員提供有關組態用途/用途的更多詳細數據。 選取 [下一步]

  8. 在 [ 組態設定] 頁面上,針對 [ 組態配置檔] 指定或流覽至與步驟 3 中下載的啟用設定檔對應的已下載組態設定檔。 如果您同時下載這兩個配置檔,請小心選取適當的受監督或非監督式配置檔。 選取 [下一步]

  9. 將組態配置檔指派給應安裝 Jamf 的使用者或裝置群組。 建議您從測試群組開始,然後在驗證啟用正常運作之後展開。 選取 [下一步]

  10. 視需要檢閱設定以進行正確性編輯,然後選取 [ 建立 ] 以建立和部署組態配置檔。

注意事項

Jamf 為受監督的 iOS 裝置提供增強的部署配置檔。 如果您有混合的受監督和不受監督裝置,請視需要針對其他配置檔類型重複上述步驟。 未來任何要透過 Intune 部署的啟用配置檔都必須遵循這些相同的步驟。 如果您有混合的受監督和不受監督 iOS 裝置,且需要受監督模式型原則指派的協助,請連絡 Jamf 支援。

使用 MAM 受控應用程式將 Jamf 部署至未註冊的裝置

對於具有 MAM 受控應用程式的未註冊裝置,Jamf 會利用以整合式驗證為基礎的上線體驗,來啟用和保護 MAM 受控應用程式內的公司數據。

下列各節說明如何設定 Jamf 和 Intune,讓用戶能夠順暢地啟用 Jamf,然後才能存取公司數據。

在 Jamf 啟用設定檔中設定 Azure 裝置佈建

要與 MAM 搭配使用的啟用設定檔必須將 [相關聯的使用者] 設定為 [由識別提供者>驗證 Microsoft Entra] 選項。

  1. 在 Jamf Security Cloud 入口網站中,選取現有的啟用設定檔,或建立新的啟用設定檔,以在裝置啟用中註冊期間使用 MAM 受控應用程式來取消註冊裝置 > 。

  2. 選取 [身 分識別型布建] 索引 標籤,然後捲動至 [Microsoft] 區段。

  3. 針對您想要使用的 啟用設定檔 選取切換,這會開啟 [ 將自動布建新增至啟用配置檔 ] 視窗。

  4. 選擇確認目前選取的 [ 所有人 (任何群組) ] 選項,或選取 [ 特定群組 ],然後新增 群組標識 符,將使用者啟用限制為僅限這些群組。

    • 如果定義了一或多個 群組標識 符,啟用 MAM 的用戶必須是至少一個指定群組的成員,才能使用此啟用設定檔來啟用。
    • 您可以為相同的 Azure 租使用者識別碼設定多個啟用配置檔,每個都使用不同的群組識別碼。 使用不同的群組標識碼可讓您根據 Azure 群組成員資格,將裝置註冊到 Jamf,以在啟用時依群組啟用區分功能。
    • 您可以設定未指定任何群組識別碼的單一「預設」啟用設定檔。 此群組可作為所有啟用的「攔截」,其中已驗證的使用者不是與另一個啟用配置檔關聯的群組成員。

  5. 選取頁面右上角的 [儲存]。

後續步驟

  • 在 Jamf Security Cloud 入口網站中載入 Jamf 啟用設定檔後,在 Intune 中建立用戶端應用程式,以將 Jamf 信任應用程式部署至 Android 和 iOS/iPadOS 裝置。 Jamf 應用程式設定提供基本功能來補充推送至裝置的裝置組態配置檔,建議用於所有部署。 如需 Jamf 應用程式特定的程式和自訂詳細資料,請參閱 新增 MTD 應用程式。
  • 透過與 Intune 整合的 Jamf,您可以調整設定、檢視報表,以及更廣泛地在行動裝置群中部署。 如需詳細的設定指南,請參閱 Jamf 檔中的支援中心 使用者入門 指南