手動整合 Jamf Pro 與 Intune 以符合規範

重要事項

Jamf macOS 裝置對條件式存取的支援即將淘汰。

從 2024 年 9 月 1 日開始，將不再支援 Jamf Pro 的條件式存取功能所建置的平臺。

如果您針對 macOS 裝置使用 Jamf Pro 的條件式存取整合，請遵循 Jamf 記載的指導方針，從 macOS 條件式存取移轉至 macOS 裝置合規性 – Jamf Pro 檔，將裝置移轉至裝置合規性整合。

如果您需要協助，請連絡 Jamf Customer Success。 如需詳細資訊，請參閱 的部落格 https://aka.ms/Intune/Jamf-Device-Compliance文章。

提示

如需整合 Jamf Pro 與 Intune 和 Microsoft Entra 識別碼的指引，包括如何設定 Jamf Pro 將 Intune 公司入口網站 應用程式部署到您使用 Jamf Pro 管理的裝置，請參閱整合 Jamf Pro 與 Intune 以報告 Microsoft Entra 標識符的合規性。

Microsoft Intune 支援整合 Jamf Pro 部署，以將裝置合規性和條件式存取原則帶入 macOS 裝置。 透過整合，您可以要求 Jamf Pro 所管理的 macOS 裝置必須符合 Intune 裝置合規性需求，才能允許這些裝置存取貴組織的資源。 資源存取是由您的 Microsoft Entra 條件式存取原則所控制，其方式與透過 Intune 管理的裝置相同。

當 Jamf Pro 與 Intune 整合時，您可以透過 Microsoft Entra 標識碼，從 macOS 裝置與 Intune 同步清查數據。 Intune 的合規性引擎接著會分析清查數據以產生報告。 Intune 的分析結合了裝置使用者 Microsoft Entra 身分識別的相關情報，以透過條件式存取來強制執行。 符合條件式存取原則的裝置可以存取受保護的公司資源。

本文可協助您手動整合 Jamf Pro 與 Intune。

提示

建議您設定並使用 Jamf Cloud Connector 與 Microsoft Intune，而不是手動設定 Jamf Pro 與 Intune 整合。 當您手動設定整合時，Cloud Connector 會自動執行許多必要的步驟。

設定整合之後，您接著會設定 Jamf 和 Intune，以在 Jamf 管理的裝置上強制執行條件式存取的合規性 。

必要條件

產品和服務

您需要下列專案，才能使用 Jamf Pro 設定條件式存取：

• Jamf Pro 10.1.0 或更新版本
• Microsoft Intune 和 Microsoft Entra 識別碼 P1 授權 (建議的 Microsoft Enterprise Mobility + Security 授權套件組合)
• Microsoft Entra標識碼中的全域管理員角色。
• 在 Jamf Pro 中具有 Microsoft Intune 整合許可權的使用者
• 適用於 macOS 的 公司入口網站 應用程式
• 具有OS X 10.12 Yosemite 或更新版本的macOS裝置

網路連接埠

下列埠應該可供 Jamf 和 Intune 存取，才能正確整合：

• Intune：埠 443
• Apple：埠 2195、2196 和 5223 (推播通知至 Intune)
• Jamf：埠 80 和 5223

若要允許 APNS 在網路上正常運作，您也必須啟用連出連線，並從下列來源重新導向：

• Apple 17.0.0.0/8 封鎖來自所有用戶端網路的 TCP 連接埠 5223 和 443。
• 來自 Jamf Pro 伺服器的埠 2195 和 2196。

如需這些埠的詳細資訊，請參閱下列文章：

• Intune 網路設定需求和頻寬。
• Jamf Pro 在 jamf.com 上使用的網路 埠。
• Apple 軟體產品在 support.apple.com 上使用的 TCP 和 UDP 連接埠

將 Intune 連線到 Jamf Pro

若要將 Intune 與 Jamf Pro 連線：

1. 在 Azure 中建立新的應用程式。
2. 讓 Intune 與 Jamf Pro 整合。
3. 在 Jamf Pro 中設定條件式存取。

以 Microsoft Entra識別碼建立應用程式

1. 在 Azure 入口網站 中，移至 [Microsoft Entra 標識>符應用程式註冊]，然後選取 [新增註冊]。

2. 在 [ 註冊應用程式] 頁面上，指定下列詳細數據：

   • 在 [ 名稱] 區段中，輸入有意義的應用程式名稱，例如 Jamf 條件式存取。
   • 在 [ 支持的帳戶類型] 區段中，選取 [任何組織目錄中的帳戶]。
   • 針對 [重新導向 URI]，保留 Web 的預設值，然後指定 Jamf Pro 實例的 URL。

3. 選取 [註冊 ] 以建立應用程式，並開啟新應用程式的 [ 概觀 ] 頁面。

4. 在 [應用程式 概觀] 頁面上，複製 [應用程式 (用戶端) 標識 符] 值，並加以記錄以供稍後使用。 您在後續程式中將需要此值。

5. 在管理底下，選取憑證與祕密。 選取新增用戶端密碼按鈕。 在 [ 描述] 中輸入值，選取 [ 到期 ] 的任何選項，然後選擇 [ 新增]。

   重要事項

   離開此頁面之前，請複製客戶端密碼的值，並加以記錄以供稍後使用。 您在後續程式中將需要此值。 若未重新建立應用程式註冊，則無法再次使用此值。

6. 在 [管理] 底下，選取 [API 權限]。

7. 在 [API 許可權] 頁面上，選取每個現有許可權旁邊的 ... 圖示，以移除此應用程式中的所有許可權。 這是必要的移除;如果此應用程式註冊中有任何非預期的額外許可權，整合將不會成功。

8. 接下來，新增許可權以更新裝置屬性。 在 [API 許可權 ] 頁面左上方，選取 [ 新增許可權 ] 以新增許可權。

9. 在 [ 要求 API 許可權 ] 頁面上，選取 [Intune]，然後選取 [ 應用程式許可權]。 只選取 update_device_attributes 的複選框，並儲存新的許可權。

10. 在 [Microsoft Graph] 底下，選取 [ 應用程式許可權]，然後選取 [ Application.Read.All]。

11. 選取 [新增許可權]。

12. 流覽至 我的組織使用的 API。 搜尋並選取 [Windows Azure Active Directory]。 選 取 [應用程式許可權]，然後選取 [ Application.Read.All]。

13. 選取 [新增許可權]。

14. 接下來，選取 [API 許可權] 頁面左上方的 [為<您的租>使用者授與系統管理員同意]，以授與此應用程式的管理員同意。 您可能需要在新視窗中重新驗證您的帳戶，並遵循提示來授與應用程式存取權。

15. 選取頁面頂端的 [ 重新 整理] 來重新整理頁面。 確認已授與系統管理員同意 update_device_attributes 許可權。

16. 成功註冊應用程式之後，API 許可權應該只包含一個稱為 update_device_attributes 的許可權，而且應該如下所示：

Microsoft Entra識別碼中的應用程式註冊程式已完成。

注意事項

如果客戶端密碼過期，您必須在 Azure 中建立新的用戶端密碼，然後更新 Jamf Pro 中的條件式存取數據。 Azure 可讓您同時使用舊的秘密和新密鑰，以避免服務中斷。

啟用 Intune 與 Jamf Pro 整合

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [租用戶系統管理>連接器和令牌>合作夥伴裝置管理]。

3. 將您在上一個程式中儲存的應用程式識別碼貼到 [指定 Jamf 的 Microsoft Entra 應用程式識別符] 字段，以啟用 Jamf 的合規性連接器。

4. 選取 [儲存]。

在 Jamf Pro 中設定 Microsoft Intune 整合

1. 在 Jamf Pro 控制台中啟用連線：

   1. 開啟 Jamf Pro 控制台，並流覽至 [ 全域管理>條件式存取]。 選取 [macOS Intune 整合] 索引標籤上的 [編輯]。
   2. 選取 [ 啟用 macOS 的 Intune 整合] 複選框。 啟用此設定時，Jamf Pro 會將清查更新傳送至 Microsoft Intune。 如果您想要停用連線，但要儲存您的組態，請清除選取範圍。
   3. 選取 [連線類型] 底下的 [手動]。
   4. 從 [ 主權雲 端] 快捷功能表中，從 Microsoft 選取您的主權雲端位置。
   5. 選取 [開啟系統管理員同意 URL]，並遵循螢幕上的指示，允許將 Jamf Native macOS 連接器應用程式新增至您的 Microsoft Entra 租使用者。
   6. 從 Microsoft Azure 新增 Microsoft Entra 租用戶名稱。
   7. 從 Microsoft Azure 新增先前稱為 Jamf Pro 應用程式之應用程式密鑰) 的應用程式 識別 碼和 用戶端密碼 (。
   8. 選取 [儲存]。 Jamf Pro 會測試您的設定，並驗證您的成功。

   返回 Intune 中的 合作夥伴裝置管理 頁面以完成設定。

2. 在 Intune 中，移至 合作夥伴裝置管理 頁面。 在 [ 連接器設定 ] 下，設定指派的群組：

   • 選取 [包含 ]，並指定您要以 Jamf 註冊 macOS 為目標的使用者群組。
   • 使用 [排除 ] 來選取不會向 Jamf 註冊的使用者群組，並改為直接向 Intune 註冊其 Mac。

   排除 覆寫 Include，這表示這兩個群組中的任何裝置都會從 Jamf 中排除，並導向向 Intune 註冊。

   注意事項

   此包含和排除使用者群組的方法會影響用戶的註冊體驗。 任何具有已在 Jamf 或 Intune 中註冊的 macOS 裝置的使用者，若該用戶之後會以另一個 MDM 註冊為目標，則必須先取消註冊其裝置，然後再使用新的 MDM 重新註冊它，裝置管理才能正常運作。

3. 選 取 [評估 ]，根據您的群組組態，判斷將向 Jamf 註冊的裝置數目。

4. 當您準備好套用設定時，請選取 [儲存]。

5. 若要繼續，您接下來必須使用 Jamf 來部署適用於 Mac 的 公司入口網站，讓使用者可以將其裝置註冊到 Intune。

設定合規性政策並註冊裝置

設定 Intune 與 Jamf 之間的整合之後，您必須將 合規性原則套用至 Jamf 管理的裝置。

中斷 Jamf Pro 和 Intune 的連線

如果您需要移除 Jamf Pro 與 Intune 的整合，請使用下列其中一種方法。 這兩種方法都適用於以手動方式或使用 Cloud Connector 設定的整合。

從 Microsoft Intune 系統管理中心取消布建 Jamf Pro

1. 在 Microsoft Intune 系統管理中心，移至租用戶系統管理>連接器和令牌>合作夥伴裝置管理。

2. 選取 [ 終止] 選項。 Intune 會顯示動作的相關訊息。 檢閱訊息，並在準備就緒時，選取 [ 確定]。 只有當 Jamf 連線存在時，才會出現 [ 終止 整合] 選項。

終止整合之後，請重新整理系統管理中心的檢視以更新檢視。 貴組織的macOS裝置會在90天內從Intune中移除。

從 Jamf Pro 控制台取消布建 Jamf Pro

使用下列步驟，從 Jamf Pro 控制台內移除連線。

1. 在 Jamf Pro 控制台中，移至 [ 全域管理>條件式存取]。 在 [macOS Intune 整合 ] 索引標籤上，選取 [ 編輯]。

2. 清除 [ 啟用 macOS 的 Intune 整合 ] 複選框。

3. 選取 [儲存]。 Jamf Pro 會將您的設定傳送至 Intune，並終止整合。

4. 登入 Microsoft Intune 系統管理中心。

5. 選取 [租用戶系統管理>連接器和令牌>合作夥伴裝置管理] ，以確認狀態現在已 終止。

在您終止整合之後，組織的macOS裝置將會在控制台中顯示的日期移除，也就是三個月後。

後續步驟

• 將合規性原則套用至 Jamf 管理的裝置
• Jamf 傳送至 Intune 的數據