重要事項
Jamf macOS 裝置對條件式存取的支援即將棄用。
從 2024 年 9 月 1 日開始,將不再支援 Jamf Pro 條件式存取功能所建置的平台。
如果您針對 macOS 裝置使用 Jamf Pro 的條件式存取整合,請遵循 Jamf 的記錄指南,將裝置移轉至裝置合規整合,請參閱從 macOS 條件式存取移轉至 macOS 裝置合規性 – Jamf Pro 文件。
如果您需要協助,請聯絡 Jamf 客戶成功。 有關更多信息,請參閱博客文章,網址爲 https://aka.ms/Intune/Jamf-Device-Compliance。
提示
如需將 Jamf Pro 與 Intune 和 Microsoft Entra ID 整合的指引,包括如何設定 Jamf Pro 以將 Intune 公司入口網站 應用程式部署至您使用 Jamf Pro 管理的裝置,請參閱 將 Jamf Pro 與 Intune 整合,以報告 Microsoft Entra ID 合規性。
將 Jamf Pro 與 Intune 整合之後,請設定 Intune 合規性原則和 Microsoft Entra 條件式存取原則,以強制執行 macOS 裝置符合組織需求的合規性。
本文可協助您完成下列工作:
- 建立條件式存取原則。
- 設定 Jamf Pro,將 Intune 公司入口網站應用程式部署至您使用 Jamf 管理的裝置。
- 設定裝置,當裝置使用者登入他們在 Jamf 自助服務應用程式內啟動的公司入口網站應用程式時,向 Microsoft Entra ID 註冊。 裝置註冊會在 Microsoft Entra ID 中建立身分識別,可讓條件式存取原則評估裝置,以存取公司資源。
本文中的程式需要同時存取 Intune 和 Jamf Pro 主控台。 Intune 支援兩種整合 Jamf Pro 的方法,您可以與本文中的程式分開設定:
設定整合之後,裝置使用者會透過 IT 部門關於如何註冊裝置的通訊,或探索您透過 Jamf Pro 自助服務部署的 Intune 公司入口網站 應用程式,來瞭解 Jamf Pro 和 Intune 整合。 裝置註冊完成後,Jamf Pro 會為該裝置收集的清查資料與 Intune 共用。 只有已完成的 Mac 裝置才會共用資訊。
在 Intune 中設定裝置合規性原則
移至 [裝置>合規性]。 如果您使用先前建立的原則,請選取該原則,然後移至此程式的下一個步驟。 若要建立新原則,請選取 [建立原則],然後指定具有 macOS平台的原則詳細資料。 設定不合規的設定和動作,以符合您的組織需求,然後選取 [建立] 以儲存原則。
選取 [內容]。
前往 「作業」>「編輯」。 使用可用的選項來設定哪些 Microsoft Entra 使用者和安全性群組會接收此原則。 Jamf 與 Intune 的整合不支援以裝置群組為目標的合規性原則。
注意事項
Jamf 與 Intune 的整合僅支援 Microsoft Entra 使用者群組。 以裝置群組為目標的裝置合規性原則將不適用。
當您選取 [儲存] 時,原則會部署至使用者。
您部署的原則會以指派的使用者所使用的裝置為目標。 這些裝置會評估合規性。 符合規範的裝置會標示為符合規範 Microsoft Entra ID 中 [需要裝置標示為符合規範] 設定。
注意事項
Intune 需要完整磁碟加密才能符合規範。
在 Jamf Pro 中部署適用於 macOS 的公司入口網站應用程式
在 Jamf Pro 中建立原則,以部署 Intune 公司入口網站。 此原則會部署公司入口網站應用程式,使其可在 Jamf 自助服務中使用。 在 Jamf Pro 中建立原則之前,請先建立此原則,讓使用者使用 Microsoft Entra ID 註冊裝置。
若要完成下列程序,您需要存取 macOS 裝置和 Jamf Pro 入口網站。
部署公司入口網站應用程式
在 macOS 裝置上,下載但不要安裝適用於 macOS 的公司入口網站應用程式目前版本。 您只需要一份應用程式副本,即可將應用程式上傳到 Jamf Pro。
開啟 Jamf Pro 並前往 電腦管理>套件。
使用適用於 macOS 的 公司入口網站 應用程式建立新套件,然後選取 [儲存]。
開啟 [電腦原則]>,然後選取[新增]。
使用 [一般 ] 承載來設定原則的設定。 這些設定應該是:
- 觸發器:選取 [註冊完成 ] 和 [週期性簽入]
- 執行頻率:選取 每部電腦一次
選取 [套件] 承載,然後選取 [設定]。
選取 [新增] 以選取具有公司入口網站應用程式的套件。
從「動作」彈出式功能表中選取「安裝」。
設定套件的設定。
選取 [範圍] 索引標籤,以指定公司入口網站應用程式應該安裝在哪些電腦上。 選取 [儲存]。 下次在電腦上發生選取的觸發程序,且符合 一般 承載中的準則時,原則會在限定範圍內的裝置上執行。
在 Jamf Pro 中建立原則,讓使用者使用 Microsoft Entra ID 註冊其裝置
透過 Jamf Pro 自助式部署適用於 macOS 的公司入口網站之後,您可以建立 Jamf Pro 原則,以向 Microsoft Entra ID 註冊使用者的裝置。
裝置註冊需要裝置使用者從 Jamf 自助服務內手動選取 Intune 公司入口網站 應用程式。 我們建議您透過電子郵件、Jamf Pro 通知或組織用來引導他們完成此動作以註冊其裝置的任何其他方法聯絡 您的最終使用者 。
警告
手動啟動公司入口網站應用程式 (例如從應用程式或下載資料夾) 不會註冊裝置。 如果裝置使用者手動啟動公司入口網站,他們會看到警告「AccountNotOnboarded」。
建立註冊原則
在 Jamf Pro 中,移至 電腦>原則,然後建立裝置註冊的新原則。
設定 Microsoft Intune 整合 承載,包括觸發程序和執行頻率。
選取 [範圍] 索引標籤,然後將原則的範圍限定為所有目標裝置。
選取 Self Service 索引標籤,讓原則在 Jamf Self Service 中可用。 將原則包含在 [裝置合規性 ] 類別中。 選取 [儲存]。
驗證 Intune 和 Jamf 整合
使用 Jamf Pro 主控台來確認 Jamf Pro 與 Microsoft Intune 之間的通訊成功。
- 在 Jamf Pro 中,移至 [設定>] [全域管理>] [Microsoft Intune 整合],然後選取 [測試]。
主控台會顯示連線成功或失敗的訊息。 如果來自 Jamf Pro 控制台的連線測試失敗,請檢閱 Jamf 設定。
從 Intune 移除 Jamf 受控裝置
若要移除 Jamf 受控裝置,請開啟 Microsoft Intune 系統管理中心,然後選取 [裝置>] [所有裝置],選取裝置,然後選取 [刪除]。 您可以透過選取多個裝置並按一下 刪除來啟用大量裝置刪除。
在 Jamf Pro 文件中取得有關如何移除 Jamf 管理裝置的資訊。您也可以向 Jamf 支援人員 提交支援票證以獲得更多協助。