設定 Jamf 雲端連接器以與 Microsoft Intune 整合

本文可協助您安裝 Jamf 雲端連接器，以將 Jamf Pro 與 Microsoft Intune 整合。 透過整合，您可以要求由 Jamf Pro 管理的 macOS 裝置符合 Intune 裝置合規性需求，才能允許這些裝置存取組織的資源。 資源存取是由 Microsoft Entra 條件式存取原則控制，其方式與透過 Intune 管理的裝置相同。

我們建議使用 Jamf Cloud Connector，因為它會自動執行手動設定整合時所需的許多步驟，如 整合 Jamf Pro 與 Intune 中所述，以符合規範。

當您設定 Cloud Connector 時：

• 設定會自動在 Azure 中建立 Jamf Pro 應用程式，取代手動設定應用程式的需求。
• 您可以將 Jamf Pro 的多個實例與裝載 Intune 訂用帳戶的相同 Azure 租用戶整合。

只有在您使用雲端連接器時，才支援將多個 Jamf Pro 執行個體與單一 Azure 租用戶連線。 當您使用手動設定的連線時，只有單一 Jamf 執行個體可以與 Azure 租用戶整合。

雲端連接器的使用是選擇性的：

• 對於尚未與 Jamf 整合的新租用戶，您可以選擇設定雲端連接器，如本文所述。 或者，您可以手動設定整合，如整合 Jamf Pro 與 Intune 中所述，以符合規範
• 對於已進行手動設定的租用戶，您可以選擇移除該整合，然後設定 Cloud Connector。 本文說明移除現有的整合和雲端連接器的設定。

如果您打算取代先前與 Jamf Cloud Connector 的整合：

• 使用 程序來移除您目前的設定，包括刪除 Jamf Pro 的 Enterprise 應用程式和停用手動整合。 然後，您可以使用 該程序來設定 Cloud Connector。
• 您不需要重新註冊裝置。 已註冊的裝置可以使用雲端連接器，而無需進一步設定。
• 請務必在移除手動整合後的 24 小時內設定雲端連接器，以確保您註冊的裝置可以繼續報告其狀態。

如需 Jamf Cloud Connector 的詳細資訊，請參閱 使用 docs.jamf.com 上的 Cloud Connector 設定 macOS Intune 整合 。

必要條件

產品與服務：

• Jamf Pro 10.18 或更高版本
• 具有條件式存取權限的 Jamf Pro 使用者帳戶
• Microsoft Intune
• Microsoft Entra ID P1 或 P2
• 適用於 macOS 的公司入口網站應用程式
• 裝有 OS X 10.12 Yosemite 或以上版本的 macOS 裝置

網路：必須可存取下列連接埠和端點，Jamf 和 Intune 才能正確整合：

• Intune：埠 443

• Apple：埠 2195、2196 和 5223 (將通知推送至 Intune)

• Jamf：連接埠 80 和 5223

• 端點：

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

若要讓 APNS 在網路上正常運作，您必須啟用與下列連接埠的傳出連線，以及從下列連接埠重新導向：

• Apple 17.0.0.0/8 會封鎖來自所有用戶端網路的 TCP 連接埠 5223 和 443。
• 來自 Jamf Pro 伺服器的連接埠 2195 和 2196。

如需這些連接埠的詳細資訊，請參閱下列文章：

• Microsoft Intune 的網路端點。
• jamf.com 上 Jamf Pro 使用的網路連接埠。
• Apple 軟體產品在 support.apple.com 上使用的 TCP 和 UDP 連接埠

帳戶：本文中的程序需要使用具有下列權限的帳戶：

• Jamf Pro 控制台：具有管理 Jamf Pro 權限的帳戶
• Microsoft Intune 系統管理中心：全域管理員
• Azure 入口網站：全域系統管理員

移除先前設定的租用戶的 Jamf Pro 整合

使用下列程序，先從 Azure 租用戶移除手動設定的 Jamf Pro 整合， 然後 才能設定雲端連接器。

如果您先前尚未在 Jamf Pro 與 Intune 之間設定連線，或您有一或多個已使用 Cloud Connector 的連線，請略過此程序，並從 為新租用戶設定 Cloud Connector 開始。

移除手動設定的 Jamf Pro 整合

1. 登入 Jamf Pro 控制台。

2. 選取 [ 設定 ] (右上角的齒輪圖示) ，然後移至 [ 全域管理>條件式存取]。

   

3. 選取 [編輯]。

4. 取消選取 [啟用適用於 macOS 的 Intune 整合] 複選框。

   當您取消選取此設定時，您會停用連線，但會儲存您的組態。

5. 登入 Microsoft Intune 系統管理中心，然後移至 租用戶管理> 合作夥伴裝置管理。

   在 [合作夥伴裝置管理] 節點上，刪除 [指定 Jamf 的 Microsoft Entra 應用程式識別碼] 欄位中的應用程式識別碼，然後選取 [儲存]。

   應用程式識別碼是當您設定手動整合 （如果 Jamf Pro） 時，在 Azure 中建立的 Azure 企業應用程式識別碼。

6. 使用具有全域管理員權限的帳戶登入 Azure 入口網站，然後移至 Microsoft Entra ID>Enterprise 應用程式。

   找到兩個 Jamf 應用程式並將其刪除。 當您在下一個程序中設定 Jamf Cloud Connector 時，會自動建立新的應用程式。

   

   在 Jamf Pro 中停用整合並刪除企業應用程式後， 合作夥伴裝置管理 節點會顯示 已終止的連線狀態。

   

現在您已成功移除 Jamf Pro 整合的手動設定，您可以使用 Cloud Connector 設定整合。 若要這樣做，請參閱本文中的為 新租用戶設定雲端連接器 。

設定新租用戶的 Cloud Connector

在下列情況下，請使用下列程序來設定 Jamf 雲端連接器，以整合 Jamf Pro 和 Microsoft Intune：

• 您沒有針對 Azure 租使用者設定 Jamf Pro 與 Intune 之間的任何整合。
• 您已經在 Azure 租用戶的 Jamf Pro 和 Intune 之間設定了雲端連接器，並且想要將另一個 Jamf 實例與您的訂用帳戶整合。

如果您目前在 Intune 與 Jamf Pro 之間手動設定整合，請參閱本文中移除 先前設定租用戶的 Jamf Pro 整合， 以移除該整合，再繼續。 您必須先移除手動設定的整合，才能成功設定 Jamf the Cloud Connector。

建立新連線

1. 登入 Jamf Pro 控制台。

2. 選取 [ 設定 ] (右上角的齒輪圖示0，然後移至 [全域管理>條件式存取]。

   

3. 選取 [編輯]。

4. 選取 [啟用適用於 macOS 的 Intune 整合] 複選框。

   • 選取此設定，讓 Jamf Pro 將清查更新傳送至 Microsoft Intune。
   • 您可以取消選取此設定以停用連線，但儲存您的組態。

   重要事項

   如果已選取 [啟用適用於 macOS 的 Intune 整合 ]，且 [連線類型] 設定為 [手動]，您必須先移除該整合，才能繼續。 在繼續之前，請參閱本文中 移除先前設定租戶的 Jamf Pro 整合 。

5. 在 [連線類型] 底下，選取 [雲端連接器]。

   

6. 從 Sovereign Cloud 彈出式功能表中，選取 Sovereign Cloud from Microsoft 的位置。 如果您要取代先前與 Jamf Cloud Connector 的整合，如果已指定位置，則可以略過此步驟。

7. 針對 Microsoft Azure 無法辨識的電腦選取下列其中一個登陸頁面選項：

   • 預設 Jamf Pro 裝置註冊頁面 - 根據 macOS 裝置的狀態，此選項會將使用者重新導向至 Jamf Pro 裝置註冊入口網站 (以註冊 Jamf Pro) ，或 (向 Microsoft Entra ID) 註冊的 Intune 公司入口網站 應用程式。
   • [拒絕存取] 頁面
   • 自訂網址

   如果您要取代先前與 Jamf Cloud Connector 的整合，如果已指定登陸頁面，則可以略過此步驟。

8. 選取 [連線]。 系統會重新導向您，以在 Azure 中註冊 Jamf Pro 應用程式。

   出現提示時，請指定您的 Microsoft Azure 認證，並依照螢幕上的指示授予所要求的權限。 您將授與 雲端連接器的權限，然後再次授與 雲端連接器使用者註冊應用程式的權限。 這兩個應用程式都會在 Azure 中註冊為企業應用程式。

   授與這兩個應用程式的權限後，應用程式 ID 頁面隨即開啟。

9. 在 [ 應用程式識別碼 ] 頁面上，選取 [複製] 並開啟 Intune。

   

   應用程式識別碼會複製到您的系統剪貼簿，以用於下一個步驟，而且 Microsoft Intune 系統管理中心中的合作夥伴裝置管理節點會開啟。 (租用戶管理>合作夥伴裝置管理) 。

10. 在合作夥伴裝置管理節點上，將應用程式識別碼貼到[指定 Jamf 的 Microsoft Entra 應用程式識別碼] 欄位，然後選取 [儲存]。

    

11. 返回 Jamf Pro 中的應用程式 ID 頁面，然後選取 確認。

12. Jamf Pro 會完成並測試組態，並在條件式存取設定頁面上顯示連線的成功或失敗。 下圖是成功的範例：

    

13. 在 Microsoft Intune 系統管理中心中，重新整理 合作夥伴裝置管理 節點。 連線現在應顯示為 作用中：

    

成功建立 Jamf Pro 與 Microsoft Intune 之間的連線時，Jamf Pro 會針對每部使用 Microsoft Entra ID 註冊的電腦傳送清查資訊至 Microsoft Intune， (使用 Microsoft Entra ID 註冊是使用者工作流程) 。 您可以在 Jamf Pro 中電腦庫存資訊的「本機使用者帳戶」類別中檢視使用者和電腦的「條件式存取庫存狀態」。

使用 Jamf Cloud Connector 整合一個 Jamf Pro 實例之後，您可以使用相同的程式，在 Azure 租用戶中設定具有相同 Intune 訂用帳戶的更多 Jamf Pro 實例。

設定合規性原則並註冊裝置

設定 Intune 與 Jamf 之間的整合之後，您必須 將合規性原則套用至 Jamf 受控裝置。

中斷 Jamf Pro 和 Intune 的連線

若要移除 Jamf Pro 與 Intune 的整合，請使用下列步驟從 Jamf Pro 控制台內移除連線。 此資訊適用於 Cloud Connector 和手動設定的整合。

從 Microsoft Intune 系統管理中心內取消佈建 Jamf Pro

1. 在 Microsoft Intune 系統管理中心中，移至 租用戶管理>連接器和權杖>合作夥伴裝置管理。

2. 選取選項 終止。 Intune 會顯示動作的相關訊息。 檢閱訊息，準備就緒時，選取 [確定]。 終止整合 的 選項僅在 Jamf 連線存在時才會出現。

終止整合之後，請重新整理系統管理中心的檢視以更新檢視。 貴組織的 macOS 裝置會在 90 天內從 Intune 移除。

從 Jamf Pro 控制台中取消佈建 Jamf Pro

使用下列步驟從 Jamf Pro 主控台內移除連線。

1. 在 Jamf Pro 主控台中，移至 [全域管理>條件式存取]。 在 [macOS Intune 整合] 索引標籤上，選取 [編輯]。

2. 清除 [啟用適用於 macOS 的 Intune 整合 ] 核取方塊。

3. 選取 [儲存]。 Jamf Pro 會將您的設定傳送至 Intune，整合將會終止。

4. 登入 Microsoft Intune 系統管理中心。

5. 選取 [租用戶管理>] [連接器和權杖]>[合作夥伴裝置管理 ] ，以確認狀態現在為 [已終止]。

終止整合後，您組織的 macOS 裝置將在控制台中顯示的日期移除，即三個月後。

取得雲端連接器的支援

由於雲端連接器會自動建立整合所需的 Azure 企業應用程式，因此您的第一個支援聯絡點應該是 Jamf。 選項包括：

• Email 支援support@jamf.com
• 使用 Jamf Nation 的支援入口網站： https://www.jamf.com/support/

在聯絡支援人員之前：

• 檢閱 [先決條件]，例如您使用的連接埠和產品版本。

• 確認下列兩個在 Azure 中建立的 Jamf Pro 應用程式的權限尚未修改。 Intune 不支援應用程式許可權的變更，而且可能會導致整合失敗。

  Cloud Connector 使用者註冊應用程式：

  • API 名稱：Microsoft Graph
    • 權限：登錄並讀取用戶配置文件
    • 類型：委派
    • 授與方式：管理員同意
    • 授予者：管理員

  雲端連接器應用程式：

  • API 名稱：Microsoft Graph (執行個體 1)

    • 權限：登錄並讀取用戶配置文件
    • 類型：委派
    • 授與方式：管理員同意
    • 授予者：管理員

  • API 名稱：Microsoft Graph (執行個體 2)

    • 權限：讀取目錄資料
    • 類型： 應用
    • 授與方式：管理員同意
    • 授予者：管理員

  • API 名稱：Intune API

    • 許可權：將裝置屬性傳送至 Microsoft Intune
    • 類型： 應用
    • 授與方式：管理員同意
    • 授予者：管理員

關於 Jamf Cloud Connector 的常見問題

透過雲端連接器共用哪些資料？

雲端連接器會向 Microsoft Azure 進行驗證，並將裝置清單資料從 Jamf Pro 傳送至 Azure。 此外，雲端連接器還管理 Azure 中的服務探索、權杖交換、通訊錯誤和災難復原。

裝置清查資料儲存在哪裡？

裝置庫存資料儲存在 Jamf Pro 資料庫中。

會儲存哪些認證？

不會儲存任何認證。 當您設定雲端連接器時，您必須同意將 Jamf 多租用戶應用程式和原生 macOS 連接器應用程式新增至其 Microsoft Entra 租用戶。 新增多租用戶應用程式之後，雲端連接器會要求存取權杖與 Azure API 互動。 您可以隨時在 Microsoft Azure 中撤銷應用程式存取權，以限制存取權。

資料如何加密？

雲端連接器使用傳輸層安全性 (TLS) 來處理 Jamf Pro 和 Microsoft Azure 之間傳送的資料。

Jamf 如何知道哪個裝置與哪個 Jamf Pro 實例相關聯？

Jamf Pro 使用 AWS 中的微服務將裝置資訊正確路由到正確的執行個體。

我可以從使用雲端連接器切換為手動連線類型嗎？

是。 您可以將連線類型變更回手動，並依照手動設定的步驟進行操作。 如果您有任何疑問，應將其引導至 Jamf 尋求協助。

雲端 連接器 和 雲端連接器使用者註冊應用程式 (一個或兩個必要應用程式的權限已修改，) 且註冊無法運作。 是否支援權限變更？

不支援修改應用程式的權限。

Jamf Pro 中是否有記錄檔顯示連線類型是否已變更？

是，變更會記錄到JAMFChangeManagement.log檔案中。 若要檢視變更管理記錄，請登入 Jamf Pro，移至 [設定]> [系統設定>] [變更管理>記錄]，搜尋 [物件類型] 以取得 [條件式存取]，然後選取 [詳細資料] 以檢視變更。

後續步驟

• 將合規性原則套用至 Jamf 管理的裝置
• Jamf 傳送至 Intune 的資料
• 將 Jamf Pro 與 Intune 整合，以向 Microsoft Entra ID 報告合規性。