Jamf Managed Device Compliance with Microsoft Entra ID - Microsoft Intune (2024)

Table of Contents
In diesem Artikel Häufig gestellte Fragen zur Jamf Pro-Integration mit Microsoft Entra ID Administrative Jamf Pro-Konfigurationen Intelligente Computergruppen Computerrichtlinie Mac-App Microsoft Entra administrativer Konfigurationen Verbinden von Jamf Pro mit Intune Abschließen der administrativen Konfiguration Endbenutzerbenachrichtigungen Problembehandlung Problem Lösung Nächste Schritte
  • Artikel

Der Prozess zum Einrichten der Integration zwischen Jamf Pro und Microsoft Intune entwickelt sich weiter. Die Berichterstellung der Compliance-status verwalteter Jamf-Geräte ermöglicht es der Jamf Pro-Umgebung jetzt, die status der Konformität mit von Jamf verwalteten Richtlinien zu ermitteln und den Status der Gerätekonformität an Microsoft Entra-ID über einen Connector in Intune zu melden. Sobald die Konformitäts-status für geräte, die von Jamf verwaltet werden, an Microsoft Entra ID gemeldet werden, können diese Geräte die Zero-Trust Prinzipien erfüllen, die Microsoft Entra Richtlinien für bedingten Zugriff festlegen.

Wichtig

Jamf macOS-Geräteunterstützung für bedingten Zugriff ist veraltet.

Ab dem 1. September 2024 wird die Plattform, auf der das Feature für bedingten Zugriff von Jamf Pro basiert, nicht mehr unterstützt.

Wenn Sie die Integration des bedingten Zugriffs von Jamf Pro für macOS-Geräte verwenden, befolgen Sie die dokumentierten Richtlinien von Jamf, um Ihre Geräte zur Integration der Gerätekonformität zu migrieren. Informationen finden Sie unter Migrieren von bedingtem macOS-Zugriff zu macOS-Gerätekonformität – Jamf Pro-Dokumentation.

Wenn Sie Hilfe benötigen, wenden Sie sich an Jamf Customer Success. Weitere Informationen finden Sie im Blogbeitrag unter https://aka.ms/Intune/Jamf-Device-Compliance.

Dieser Artikel kann Ihnen bei den folgenden Aufgaben helfen:

  • Konfigurieren Sie die erforderlichen Komponenten und Konfigurationen in Jamf Pro.
  • Konfigurieren von Jamf Pro zur Bereitstellung der App „Intune-Unternehmensportal“ auf Geräten, die Sie mit Jamf verwalten.
  • Konfigurieren Sie eine Richtlinie für die Bereitstellung für Benutzer über die Jamf-Self-Service-Portal-App, um Geräte mit Microsoft Entra ID zu registrieren.
  • Konfigurieren Sie den Intune-Connector.
  • Bereiten Sie Microsoft Entra erforderlichen Komponenten vor.

Um die Verfahren in diesem Artikel ausführen zu können, muss Ihr Konto über die folgenden Berechtigungen verfügen:

  • Jamf Pro Administrator oder ein Jamf Pro-Benutzerkonto mit Gerätekonformitätsberechtigungen
  • Intune-Administrator
  • globaler Microsoft Entra-Administrator

Häufig gestellte Fragen zur Jamf Pro-Integration mit Microsoft Entra ID

Warum würde die Integration mit Microsoft Entra ID unseren verwalteten Jamf Pro-Geräten zugute kommen?

Microsoft Entra Richtlinien für bedingten Zugriff können festlegen, dass Geräte nicht nur die Konformitätsstandards erfüllen, sondern sich auch mit Microsoft Entra-ID registrieren. Organisationen versuchen, ihren Sicherheitsstatus kontinuierlich zu verbessern, indem sie Microsoft Entra Richtlinien für bedingten Zugriff verwenden, um die folgenden Beispielszenarien sicherzustellen:

  • Geräte werden mit Microsoft Entra ID registriert.
  • Geräte verwenden einen bekannten vertrauenswürdigen Standort oder IP-Adressbereich.
  • Geräte erfüllen die Compliancestandards, um über Microsoft 365-Desktopanwendungen und den Browser auf Unternehmensressourcen zuzugreifen.

Was unterscheidet sich bei Microsoft Entra Integration und der zuvor von Jamf angebotenen Methode für bedingten Zugriff?

Für Organisationen, die Jamf Pro verwenden, aber noch keine Verbindung mit Intune hergestellt haben, kann die vorherige Methode, die die Konfiguration im Pfad "Einstellungen > Globaler > bedingter Zugriff " des Jamf Pro-Portals verwendet hat, keine neuen Konfigurationen mehr akzeptieren.

Neue Integrationen erfordern Konfigurationen unter Einstellungen > Globale > Gerätekonformität und stellen einen assistentenbasierten Prozess bereit, der Sie durch die Verbindung mit Intune führt. Der Assistent stellt eine Methode zum Erstellen der erforderlichen Microsoft Entra registrierten Anwendungen bereit. Diese registrierten Anwendungen können in diesem aktuellen Design nicht wie zuvor vorkonfiguriert werden.

Administrative Jamf Pro-Konfigurationen

Jamf Pro-Konfigurationen erfordern, dass die folgenden intelligenten Computergruppen und die Computerrichtlinie in der Jamf Pro-Konsole erstellt werden, bevor die Verbindung mit Intune hergestellt wird.

See Also
Zelfstudie: Eenmalige aanmelding van Microsoft Entra integreren met Jamf Pro - Microsoft Entra IDTutorial: Microsoft Entra single sign-on (SSO) integration with Jamf Pro - Microsoft Entra IDJamf Managed Device Compliance with Microsoft Entra ID - Microsoft IntuneDevice management workflows with Jamf and Entra ID Integration

Intelligente Computergruppen

Erstellen Sie zwei intelligente Computergruppen mithilfe der folgenden Beispiele:

Anwendbar: Erstellen Sie eine intelligente Computergruppe mit Kriterien, die die Geräte bestimmt, die Zugriff auf Unternehmensressourcen im Microsoft-Mandanten benötigen.

Beispiel: Wechseln Sie zu Jamf Pro>Computers>Smart Computer Gruppen erstellen sie eine neue Gruppe:

  • Anzeigename:
    • In diesem Artikel haben wir die Gruppe Jamf-Intune Anwendbare Gruppe benannt.
  • Kriterien:
    • Anwendungstitel, Operator = is, Wert = CompanyPortal.app

Compliance: Erstellen Sie eine zweite intelligente Computergruppe mit Kriterien, die bestimmt, ob Geräte in Jamf als konform eingestuft werden und die Sicherheitsstandards Ihrer organization erfüllen.

Beispiel: Wechseln Sie zu Jamf Pro>Computers>Smart Computer-Gruppen, und erstellen Sie eine weitere Gruppe:

  • Anzeigename:
    • In diesem Artikel haben wir die Gruppe Jamf-Intune Compliance Group benannt.
    • Option zum Aktivieren vonE-Mail-Benachrichtigungen bei Mitgliedschaftsänderung senden.
  • Kriterien:
    • Letzte Bestandsaktualisierung, Operator = Weniger als x Tage zurück, Wert = 2
    • und - Kriterien: Anwendungstitel, Operator = is, Wert = CompanyPortal.app
    • Und - File Vault 2, Operator = is, Value = All Partitions Encrypted

Computerrichtlinie

Erstellen Sie eine Computerrichtlinie, die die folgenden Konfigurationen enthält:

Beispiel: Wechseln Sie zu JamfPro-Computerrichtlinie>>, und erstellen Sie eine neue Richtlinie:

  • Registerkarte "Optionen":

    • Allgemein:
      • Anzeigename: Geben Sie der Richtlinie einen Namen. Beispiel: Registrieren mit Microsoft Entra ID(Microsoft Entra).
      • Aktiviert: Aktivieren Sie dieses Kontrollkästchen, um die Richtlinie zu aktivieren.
    • Microsoft-Gerätekonformität:
      • Aktivieren Sie Computer mit Microsoft Entra ID registrieren.

  • Registerkarte Bereich: Konfigurieren Sie ausgewählte Bereitstellungsziele, um die intelligente Gruppe Anwendbarer Computer hinzuzufügen, die als Teil der administrativen Konfigurationen von Jamf Pro erstellt wurde.

  • Registerkarte "Self Service ":

    • Aktivieren Sie Die Richtlinie in Self Service verfügbar machen.
    • Legen Sie einen Anzeigenamen fest.
    • Legen Sie einen Schaltflächennamen fest.
    • Geben Sie eine Beschreibung an.
    • Aktivieren Sie Sicherstellen, dass Benutzer die Beschreibung anzeigen.
    • Aktivieren Sie optionale Kategorien nach Bedarf.

  • Wählen Sie Speichern aus.

Mac-App

Erstellen Sie eine App im Jamf-App-Katalog für Mac-Apps für die Microsoft Intune Unternehmensportal, die auf allen Geräten bereitgestellt wird. Die Verwendung der Jamf-App-Katalogversion erleichtert es Ihnen, die Anwendung auf dem neuesten Stand zu halten.

  • Wechseln Sie zu Computer>Mac-Apps, und wählen Sie +Neu aus.
  • Wählen Sie Jamf-App-Katalog und dann Weiter aus.
  • Suchen Sie nach Microsoft Intune Unternehmensportal, und wählen Sie neben der Anwendung hinzufügen aus.
  • Legen Sie Zielgruppe auf Alle verwalteten Clients fest.
  • Legen Sie die Verteilungsmethode auf Automatisch installieren fest.
  • Aktivieren Sie Unterstützende Konfigurationsprofile installieren.
  • Aktivieren Sie oben rechts den Schalter Bereitstellen , und wählen Sie dann Speichern aus.

Microsoft Entra administrativer Konfigurationen

Die Möglichkeit zum Registrieren von Geräten kann aufgrund der Richtlinienkonfigurationen für bedingten Zugriff blockiert werden, über die Ihr organization verfügt, um Unternehmensressourcen zu schützen.

Verwenden Sie folgendes, um eine Gruppe zu erstellen, die Benutzer von von Jamf verwalteten Geräten enthält, die in späteren Schritten zum Festlegen des Bereichs für den Intune-Connector verwendet wird.

  1. https://entra.microsoft.com Melden Sie sich bei mit einem Konto an, das über Berechtigungen zum Erstellen von Gruppen und zum Erstellen und Bearbeiten einer Richtlinie für bedingten Zugriff verfügt.

  2. Erweitern Sie Gruppen>Alle Gruppen> , und wählen Sie Neue Gruppe aus.

  3. Erstellen Sie eine dynamische Gruppe mit geeigneten Regeln, um die entsprechenden Benutzer einzuschließen, die ihre von Jamf verwalteten Geräte mit Microsoft Entra ID registrieren.

    See Also
    Jamf Managed Device Compliance met Microsoft Entra-id - Microsoft Intune

    Tipp

    Es wird empfohlen, eine dynamische Gruppe zu verwenden, aber Sie können auch eine statische Gruppe verwenden.

Verbinden von Jamf Pro mit Intune

Jamf Pro verwendet Connectors im Microsoft Intune Admin Center unter >Connectors und Token für die Mandantenverwaltung>. Der Prozess zum Verbinden von Jamf Pro mit Intune beginnt im Jamf Pro-Verwaltungsportal und verwendet einen Assistenten, der zur nächsten Schritte auffordert.

  1. Melden Sie sich beim Jamf-Admin-Portal an, Beispiel: https://tenantname.jamfcloud.com.

  2. Fahren Sie mit Einstellungen > Globale > Gerätekonformität fort.

  3. Wählen Sie Bearbeiten aus, und aktivieren Sie dann die Plattform macOS, indem Sie das Kontrollkästchen aktivieren.

  4. Wählen Sie in der Dropdownliste Compliancegruppe die intelligente Computergruppe aus, die Sie im vorherigen Abschnitt Computer-smart-groups dieses Artikels für Compliance erstellt haben.

  5. Wählen Sie in der Dropdownliste Anwendbare Gruppe die intelligente Computergruppe aus, die Sie im vorherigen Abschnitt Computer-smart-groups dieses Artikels für Anwendbar erstellt haben.

  6. Aktivieren Sie den Schieberegler oben rechts, und wählen Sie Speichern aus.

  7. Anschließend werden zwei Microsoft-Authentifizierungsaufforderungen angezeigt. Jeder erfordert einen globalen Microsoft 365-Administrator, um die Eingabeaufforderung zu authentifizieren:

    • Die erste Authentifizierungsaufforderung erstellt die Anwendung Cloud Connector for Device Compliance in Microsoft Entra ID.
    • Die zweite Authentifizierungsaufforderung erstellt die Benutzerregistrierungs-App für Gerätekonformität.

  8. Eine neue Browserregisterkarte wird mit einer Jamf-Portalseite mit dem Dialogfeld Compliancepartner konfigurieren geöffnet, und wählen Sie dann die Schaltfläche Microsoft Endpoint Manager öffnen aus.

  9. Eine neue Browserregisterkarte öffnet das Microsoft Intune Admin Center.

  10. Fahren Sie mit Mandantenverwaltungsconnectors > und Token > für die Partnerkonformitätsverwaltung fort.

  11. Wählen Sie oben auf der Seite Partner compliance management die Option Add compliance partner (Compliancepartner hinzufügen) aus.

  12. Führen Sie im Assistenten zum Erstellen von Compliancepartnern folgendes aus:

    1. Wählen Sie in der Dropdownliste Compliancepartnerjamf Device Compliance aus.
    2. Verwenden Sie die Dropdownliste Plattform , um macOS auszuwählen, und wählen Sie dann Weiter aus.
    3. Wählen Sie unter Zuweisungen die Option Gruppen hinzufügen und dann die zuvor erstellte Microsoft Entra Benutzergruppe aus. Wählen Sie nichtAlle Benutzer hinzufügen aus, da dies die Verbindung verhindert.
    4. Wählen Sie Weiter und dann Erstellen aus.

  13. Öffnen Sie in Ihrem Browser die Registerkarte, die das Jamf-Portal mit dem Dialogfeld Compliancepartner konfigurieren enthält.

  14. Wählen Sie die Schaltfläche Bestätigen aus.

  15. Wechseln Sie zur Browserregisterkarte mit dem Dashboard für die Intune-Partnerkonformitätsverwaltung, und wählen Sie oben neben der Option Compliancepartner hinzufügen das Symbol Aktualisieren aus.

  16. Vergewissern Sie sich, dass der macOS Jamf-Gerätekonformitätsconnector den Partnerstatus Aktiv anzeigt.

Abschließen der administrativen Konfiguration

Um sicherzustellen, dass Benutzer Geräte registrieren können, müssen Sie die Microsoft Entra Richtlinien für bedingten Zugriff kennen, die sie möglicherweise blockieren. Die Benutzerregistrierungs-App für Gerätekonformität , die beim Verbinden von Jamf Pro mit Intune erstellt wurde, muss als Ausschluss in jeder Richtlinie hinzugefügt werden, die Benutzer daran hindern kann, ihre Geräte zu registrieren.

Betrachten Sie beispielsweise eine Microsoft Entra Richtlinie für bedingten Zugriff, die kompatible Geräte erfordert:

  • Zuweisungen : Weisen Sie diese Richtlinie allen Benutzern oder Gruppen von Benutzern zu, die über von Jamf verwaltete Geräte verfügen.
  • Zielressourcen : Legen Sie die folgenden Konfigurationen fest:
    • Gilt für alle Cloud-Apps.
    • Schließen Sie die Benutzerregistrierungs-App für die Gerätekonformitäts-App aus. Diese App wurde erstellt, als Sie Jamf Pro mit Intune verbunden haben.
  • Bedingungen umfassen die folgenden Optionen:
    • Erfordert Konformität
    • Erfordert ein registriertes Gerät

Endbenutzerbenachrichtigungen

Es wird empfohlen, dass Sie eine umfassende Benachrichtigung über die Endbenutzererfahrung bereitstellen, um sicherzustellen, dass Ihre Benutzer von Jamf verwalteten Geräten den Prozess, seine Funktionsweise und eine Zeitleiste kennen, in denen sie die Richtlinie einhalten müssen. Eine wichtige Erinnerung, die in diesen Benachrichtigungen enthalten sein sollte, ist, dass die Jamf-Self-Service-App die Richtlinie enthält, die sie zum Registrieren ihres Geräts verwenden. Benutzer dürfen die bereitgestellte Microsoft Unternehmensportal-App nicht verwenden, um zu versuchen, sich zu registrieren. Die Verwendung der Unternehmensportal App führt zu einem Fehler, der auf AccountNotOnboarded hinweist.

Geräte, die mit der Jamf-Plattform verwaltet werden, werden im folgenden Prozess nicht in der Geräteliste von Intune angezeigt. Nachdem Benutzer ihre Geräte in Microsoft Entra ID registriert haben, wird der anfängliche Zustand des Geräts als Nicht konform angezeigt. Sobald die für Konformität konfigurierte intelligente Jamf Pro-Computergruppe aktualisiert wurde, wird die status über den Intune-Connector an Microsoft Entra ID gesendet, um die Gerätekonformität status zu aktualisieren. Die Häufigkeit der Aktualisierungen der Microsoft Entra Geräteinformationen basiert auf der intelligenten Gruppe Konformitätscomputer in Jamf Häufigkeit der Änderung.

Problembehandlung

Problem

Nachdem die Richtlinie wie angewiesen über die Jamf Self-Service App auf dem macOS-Gerät gestartet wurde, schien die Microsoft-Authentifizierungsaufforderung normal zu funktionieren. Die in Microsoft Entra ID angezeigte status des Geräts wurde jedoch nicht wie erwartet von "N/V" auf den Status "Konform" aktualisiert, auch wenn mindestens eine Stunde gewartet wurde.

In diesem Fall war der Gerätedatensatz in Microsoft Entra ID unvollständig.

Lösung

Überprüfen Sie zunächst Folgendes:

  • Das Gerät wird als Mitglied der intelligenten Jamf-Computergruppe für Compliance angezeigt. Diese Mitgliedschaft gibt an, dass das Gerät kompatibel ist.
  • Der authentifizierende Benutzer ist Mitglied der Microsoft Entra Gruppe, die auf den Jamf Intune-Connector ausgerichtet ist.

Zweitens: Auf dem betroffenen Gerät:

  • Öffnen Sie die Terminalanwendung, und führen Sie den folgenden Befehl aus:

    /usr/local/jamf/bin/jamfaad gatherAADInfo

    • Wenn der Befehl nicht zu einer Eingabeaufforderung führt und stattdessen Microsoft Entra ID zurückgibt, die für den macOS-Benutzer $USER abgerufen wurde, war die Registrierung gut.
    • Wenn der Befehl eine Anmeldeaufforderung erstellt und der Benutzer die Anmeldung ohne Fehler abschließen kann, ist möglicherweise während des ersten Registrierungsversuchs ein Benutzerfehler aufgetreten.
    • Wenn der Befehl eine Anmeldeaufforderung erstellt, aber ein Fehler auftritt, wenn sich der Benutzer anmeldet, ist eine weitere Problembehandlung über eine Supportanfrage erforderlich.

Nächste Schritte

  • Anwenden von Konformitätsrichtlinien auf mit Jamf verwaltete Geräte
  • Von Jamf Pro an Intune gesendete Daten
Jamf Managed Device Compliance with Microsoft Entra ID - Microsoft Intune (2024)
Top Articles
El Syzanee Plsyboy
Angry Earth Exterminator
Superstition | Description & Examples
Right & Left Finger and Hand Twitching Superstition: Decoding the Signs - Wisdom Of The Spirit
Exuberant Dye Kit
Associate Movement Operations Officer
Dedicated Dye Kit
Jessica Oldwyn Carroll Update
Construction Health and Wellbeing LTD on LinkedIn: #constructionhealthandwellbeing #webinar #manualhandling #safetyfirst…
Uraraka MHA Guide: Class 1-A’s Uravity Explained - Manga Insider
Curtis sliwa Age, Net worth, Height, Wife, Career
Who is Curtis Sliwa? Net worth, Wife, Age, Height, Salary, Family, Wiki, Everyting about his Biography - LatestCelebArticles
Latest Posts
All Inclusive Key West Resorts and Key West Luxury Resort Vacations
Lyric Poem - Poem Analysis
Article information

Author: Edmund Hettinger DC

Last Updated:

Views: 6275

Rating: 4.8 / 5 (78 voted)

Reviews: 93% of readers found this page helpful

Author information

Name: Edmund Hettinger DC

Birthday: 1994-08-17

Address: 2033 Gerhold Pine, Port Jocelyn, VA 12101-5654

Phone: +8524399971620

Job: Central Manufacturing Supervisor

Hobby: Jogging, Metalworking, Tai chi, Shopping, Puzzles, Rock climbing, Crocheting

Introduction: My name is Edmund Hettinger DC, I am a adventurous, colorful, gifted, determined, precious, open, colorful person who loves writing and wants to share my knowledge and understanding with you.