共用方式為

手動將 Jamf Pro 與 Intune 整合以符合規範

重要事項

Jamf macOS 裝置對條件式存取的支援即將棄用

從 2025 年 1 月 31 日開始,將不再支援 Jamf Pro 條件式存取功能所建置的平台。

如果您針對 macOS 裝置使用 Jamf Pro 的條件式存取整合,請遵循 Jamf 的記錄指南,將裝置移轉至裝置合規整合,請參閱從 macOS 條件式存取移轉至 macOS 裝置合規性 – Jamf Pro 文件

如果您需要協助,請聯絡 Jamf 客戶成功。 有關更多信息,請參閱博客文章,網址爲 https://aka.ms/Intune/Jamf-Device-Compliance

提示

如需將 Jamf Pro 與 Intune 和 Microsoft Entra ID 整合的指引,包括如何設定 Jamf Pro 以將 Intune 公司入口網站 應用程式部署至您使用 Jamf Pro 管理的裝置,請參閱 將 Jamf Pro 與 Intune 整合,以報告 Microsoft Entra ID 合規性

Microsoft Intune 支援整合 Jamf Pro 部署,以將裝置合規性和條件式存取原則帶入 macOS 裝置。 透過整合,您可以要求由 Jamf Pro 管理的 macOS 裝置符合 Intune 裝置合規性需求,才能允許這些裝置存取組織的資源。 資源存取是由 Microsoft Entra 條件式存取原則控制,其方式與透過 Intune 管理的裝置相同。

當 Jamf Pro 與 Intune 整合時,您可以透過 Microsoft Entra ID 將 macOS 裝置的清查資料與 Intune 同步處理。 然後,Intune 的合規性引擎會分析清查數據以產生報告。 Intune 的分析會與裝置使用者 Microsoft Entra 身分識別的智慧結合,以透過條件式存取來推動強制執行。 符合條件式存取原則的裝置可以取得受保護公司資源的存取權。

本文可協助您手動將 Jamf Pro 與 Intune 整合。

提示

建議您不要手動設定 Jamf Pro 與 Intune 的整合,而是將 Jamf 雲端連接器與 Microsoft Intune 搭配使用。 Cloud Connector 可自動執行手動設定整合時所需的許多步驟。

設定整合之後,您將設定 Jamf 和 Intune,以在 Jamf 所管理的裝置上 強制執行條件式存取的合規性

必要條件

產品與服務

您需要下列專案才能使用 Jamf Pro 設定條件式存取:

  • Jamf Pro 10.1.0 或更新版本
  • Microsoft Intune 和 Microsoft Entra ID P1 授權 (建議Microsoft Enterprise Mobility + Security授權套件組合)
  • Microsoft Entra ID 中的全域系統管理員角色。
  • 在 Jamf Pro 中具有 Microsoft Intune 整合許可權的使用者
  • 適用於 macOS 的公司入口網站應用程式
  • 裝有 OS X 10.12 Yosemite 或以上版本的 macOS 裝置

網路連接埠

Jamf 和 Intune 應該可以存取下列連接埠,才能正確整合:

  • Intune:埠 443
  • Apple:埠 2195、2196 和 5223 (將通知推送至 Intune)
  • Jamf:連接埠 80 和 5223

若要讓 APNS 在網路上正常運作,您也必須啟用與以下項目的傳出連線,以及從以下位置重新導向:

  • Apple 17.0.0.0/8 通過來自所有客戶端網絡的 TCP 端口 5223 和 443 塊。
  • 來自 Jamf Pro 伺服器的連接埠 2195 和 2196。

如需這些連接埠的詳細資訊,請參閱下列文章:

將 Intune 連線到 Jamf Pro

若要將 Intune 與 Jamf Pro 連線:

  1. 在 Azure 中建立新的應用程式。
  2. 啟用 Intune 以與 Jamf Pro 整合。
  3. 在 Jamf Pro 中設定條件式存取。

在 Microsoft Entra ID 中建立應用程式

  1. Azure 入口網站 中,移至 [Microsoft Entra ID>應用程式註冊],然後選取 [新增註冊]。

  2. 在註冊 應用程式 頁面上,指定下列詳細資料:

    • 「名稱 」區段中,輸入有意義的應用程式名稱,例如 Jamf 條件式存取
    • 針對 [支援的帳戶類型] 區段,選取 [任何組織目錄中的帳戶]。
    • 針對 [重新導向 URI],保留預設值 Web,然後指定 Jamf Pro 執行個體的 URL。

  3. 選取 [註冊] 以建立應用程式,並開啟新應用程式的 [ 概觀 ] 頁面。

  4. 在應用程式 概觀 頁面上,複製 應用程式 (用戶端) 識別碼 值並記錄以供稍後使用。 您將在稍後的程序中需要此值。

  5. 管理底下,選取憑證與祕密。 選取新增用戶端密碼按鈕。 在 [描述] 中輸入值,選取 [到期] 的任何選項,然後選擇 [新增]。

    重要事項

    離開此頁面之前,請複製用戶端密碼的值並記錄下來以供日後使用。 您將在稍後的程序中需要此值。 此值無法再次使用,除非重新建立應用程式註冊。

  6. 在 [管理] 底下,選取 [API 權限]

  7. 在 [API 權限] 頁面上,選取每個現有權限旁邊的 ... 圖示,從此應用程式移除所有權限。 此刪除是必要的;如果此應用程式註冊中有任何非預期的額外權限,整合將不會成功。

  8. 接下來,新增更新裝置屬性的權限。 在 API 權限 頁面的左上方,選取新增 權限 以新增權限。

  9. [ 要求 API 許可權 ] 頁面上,選取 [Intune],然後選取 [ 應用程式許可權]。 只選取 update_device_attributes 核取方塊,然後儲存新的權限。

  10. Microsoft Graph 底下,選取 [ 應用程式許可權],然後選取 [Application.Read.All]。

  11. 選取 [新增許可權]。

  12. 導覽至 我的組織使用的 API。 搜尋並選取 Windows Azure Active Directory。 選取 [應用程式許可權],然後選取 [Application.Read.All]。

  13. 選取 [新增許可權]。

  14. 接下來,選取 [API 許可權] 頁面左上方的 [授租使用者>的<系統管理員同意],以授與此應用程式的系統管理員同意。 您可能需要在新視窗中重新驗證您的帳戶,並按照提示授予應用程式存取權限。

  15. 選取頁面頂端的 [重新整理] 來重新整理頁面。 確認已授與 update_device_attributes 許可權的管理員同意。

  16. 應用程式註冊成功之後,API 權限應該只包含一個名為 update_device_attributes 的權限,而且應該顯示如下:

成功的權限

Microsoft Entra ID 中的應用程式註冊程式已完成。

注意事項

如果用戶端密碼過期,您必須在 Azure 中建立新的用戶端密碼,然後更新 Jamf Pro 中的條件式存取資料。 Azure 可讓您同時啟用舊秘密和新金鑰,以防止服務中斷。

啟用 Intune 以與 Jamf Pro 整合

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [租用戶管理>] [連接器和權杖] [>合作夥伴裝置管理]。

  3. 將您在上一個程序期間儲存的應用程式識別碼貼到指定 Jamf 的 Microsoft Entra 應用程式識別碼欄位中,以啟用 Jamf 的合規性連接器

  4. 選取 [儲存]

在 Jamf Pro 中設定 Microsoft Intune 整合

  1. 在 Jamf Pro 主控台中啟動連線:

    1. 開啟 Jamf Pro 主控台,然後導覽至全域管理>條件式存取。 選取 [macOS Intune 整合] 索引標籤上的 [編輯]。
    2. 選取 [啟用適用於 macOS 的 Intune 整合] 複選框。 啟用此設定時,Jamf Pro 會將清查更新傳送至 Microsoft Intune。 如果您想要停用連線,請清除選取項目,但請儲存您的設定。
    3. 選取 [連線類型] 底下的 [手動]。
    4. Sovereign Cloud 彈出式功能表中,選取 Sovereign Cloud from Microsoft 的位置。
    5. 選取 [開啟系統管理員同意 URL],然後依照畫面上的指示,允許將 Jamf 原生 macOS 連接器應用程式新增至您的 Microsoft Entra 租用戶。
    6. 從 Microsoft Azure 新增 Microsoft Entra 租用戶名稱
    7. 從 Azure 新增先前稱為 Jamf Pro 應用程式金鑰) 的 應用程式識別碼用戶端密碼 (從 Microsoft Azure 新增。
    8. 選取 [儲存]。 Jamf Pro 會測試您的設定並驗證您的成功。

    返回 Intune 中的 [合作夥伴裝置管理 ] 頁面以完成設定。

  2. 在 Intune 中,移至 [合作夥伴裝置管理] 頁面。 在 連接器設定 下,設定要指派的群組:

    • 選取 [包含] ,然後指定您要在 Jamf 註冊 macOS 時設定哪些使用者群組。
    • 使用 [ 排除 ] 來選取不會向 Jamf 註冊的使用者群組,而是直接向 Intune 註冊其 Mac。

    排除覆Include,這表示這兩個群組中的任何裝置都會從 Jamf 中排除,並指示向 Intune 註冊。

    注意事項

    這種包含和排除使用者群組的方法會影響使用者的註冊體驗。 任何具有已在 Jamf 或 Intune 中註冊 macOS 裝置的使用者,然後以註冊其他 MDM 為目標,都必須取消註冊其裝置,然後使用新的 MDM 重新註冊,裝置的管理才能正常運作。

  3. 選取 [評估] 以根據您的群組設定來決定將向 Jamf 註冊多少裝置。

  4. 當您準備好套用設定時,選取 [儲存]。

  5. 若要繼續,您接下來必須使用 Jamf 來部署適用於 Mac 的公司入口網站,讓使用者可以將其裝置註冊至 Intune。

設定合規性原則並註冊裝置

設定 Intune 與 Jamf 之間的整合之後,您必須 將合規性原則套用至 Jamf 受控裝置

中斷 Jamf Pro 和 Intune 的連線

如果您需要移除 Jamf Pro 與 Intune 的整合,請使用下列其中一種方法。 這兩種方法都適用於手動或使用雲端連接器設定的整合。

從 Microsoft Intune 系統管理中心內取消佈建 Jamf Pro

  1. Microsoft Intune 系統管理中心中,移至 租用戶管理>連接器和權杖>合作夥伴裝置管理

  2. 選取選項 終止。 Intune 會顯示動作的相關訊息。 檢閱訊息,準備就緒時,選取 [確定]。 終止整合 選項僅在 Jamf 連線存在時才會出現。

終止整合之後,請重新整理系統管理中心的檢視以更新檢視。 貴組織的 macOS 裝置會在 90 天內從 Intune 移除。

從 Jamf Pro 控制台中取消佈建 Jamf Pro

使用下列步驟從 Jamf Pro 主控台內移除連線。

  1. 在 Jamf Pro 主控台中,移至 [全域管理>條件式存取]。 在 [macOS Intune 整合] 索引標籤上,選取 [編輯]。

  2. 清除 [啟用適用於 macOS 的 Intune 整合 ] 核取方塊。

  3. 選取 [儲存]。 Jamf Pro 會將您的設定傳送至 Intune,整合將會終止。

  4. 登入 Microsoft Intune 系統管理中心

  5. 選取 [租用戶管理>] [連接器和權杖]>[合作夥伴裝置管理 ] ,以確認狀態現在為 [已終止]。

終止整合後,您組織的 macOS 裝置將在控制台中顯示的日期移除,即三個月後。

後續步驟

  • Last updated on