共用方式為

在使用 Jamf Pro 管理的 Mac 上強制執行合規性

  • 發行項

重要事項

Jamf macOS 裝置對條件式存取的支援即將淘汰

從 2024 年 9 月 1 日開始,將不再支援 Jamf Pro 的條件式存取功能所建置的平臺。

如果您針對 macOS 裝置使用 Jamf Pro 的條件式存取整合,請遵循 Jamf 記載的指導方針,從 macOS 條件式存取移轉至 macOS 裝置合規性 – Jamf Pro 檔,將裝置移轉至裝置合規性整合。

如果您需要協助,請連絡 Jamf Customer Success。 如需詳細資訊,請參閱 的部落格 https://aka.ms/Intune/Jamf-Device-Compliance文章。

提示

如需將 Jamf Pro 與 Intune 和 Microsoft Entra ID 整合的指引,包括如何設定 Jamf Pro 將 Intune 公司入口網站 應用程式部署到您使用 Jamf Pro 管理的裝置,請參閱整合 Jamf Pro 與 Intune,以向 Microsoft Entra ID 報告合規性

在整合 Jamf Pro 與 Intune 之後,請設定 Intune 合規性原則和 Microsoft Entra 條件式存取原則,以強制符合組織需求的 macOS 裝置。

本文可協助您進行下列工作:

  • 建立條件式存取原則。
  • 設定 Jamf Pro 將 Intune 公司入口網站 應用程式部署到您使用 Jamf 管理的裝置。
  • 當裝置使用者登入從 Jamf 自助應用程式啟動的 公司入口網站 應用程式時,將裝置設定為向 Microsoft Entra ID 註冊。 裝置註冊會在 Microsoft Entra ID 中建立身分識別,讓條件式存取原則評估裝置以存取公司資源。

本文中的程式需要存取 Intune 和 Jamf Pro 控制台。 Intune 支援兩種方法來整合 Jamf Pro,您會與本文中的程式分開設定:

設定整合之後,裝置使用者會透過IT部門關於如何註冊裝置的通訊,或探索您透過 Jamf Pro 自助服務部署的 Intune 公司入口網站 應用程式,來瞭解 Jamf Pro 和 Intune 整合。 裝置註冊完成之後,Jamf Pro 針對該裝置所收集的清查數據會與 Intune 共用。 只有已完成的 Mac 裝置會共享資訊。

在 Intune 中設定裝置合規性政策

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [裝置>合規性]。 如果您使用先前建立的原則,請選取該原則,然後移至此程式的下一個步驟。 若要建立新原則,請選取 [建立原則],然後使用macOS平臺指定原則的詳細數據。 設定不符合規範 的設定動作 以符合組織需求,然後選取 [ 建立 ] 以儲存原則。

  3. 選取 [內容]

  4. 移至 [ 指派>編輯]。 使用可用的選項來設定哪些 Microsoft Entra 使用者和安全組接收此原則。 Jamf 與 Intune整合不支援以裝置群組為目標的合規性政策。

    注意事項

    Jamf 與 Intune 整合僅支援 Microsoft Entra 使用者群組。 將不會套用以裝置群組為目標的裝置合規性原則。

  5. 當您選取 [ 儲存] 時,原則會部署至使用者。

您部署的原則會以指派的使用者所使用的裝置為目標。 系統會評估這些裝置的合規性。 符合規範的裝置會標示為符合 Microsoft Entra ID 中的 [需要將裝置標示為符合規範] 設定。

注意事項

Intune 需要完整磁碟加密才能符合規範。

在 Jamf Pro 中部署適用於 macOS 的 公司入口網站 應用程式

在 Jamf Pro 中建立原則以部署 Intune 公司入口網站。 此原則會部署公司入口網站應用程式,使其可在 Jamf 自助服務中使用。 在 Jamf Pro 中建立原則之前,請先建立此原則,讓使用者向 Microsoft Entra ID 註冊裝置。

若要完成下列程式,您需要存取macOS裝置和 Jamf Pro 入口網站。

部署公司入口網站應用程式

  1. 在macOS裝置上,下載但不要安裝目前版本的macOS公司入口網站 應用程式。 您只需要一份應用程式複本,即可將應用程式上傳至 Jamf Pro。

  2. 開啟 Jamf Pro 並移至 [計算機管理>套件]

  3. 使用 macOS 的 公司入口網站 應用程式建立新的套件,然後選取 [儲存]

  4. 啟 [計算機>原則],然後選取 [ 新增]

  5. 使用一 承載來設定原則的設定。 這些設定應該是:

    • 觸發程式:選取 [註冊完成 ] 和 [週期性簽入]
    • 執行頻率: 選取每部計算機一次

  6. 選取 [套件 ] 承載,然後選取 [ 設定]

  7. 選取 [新增] 以選取具有 公司入口網站 應用程式的套件。

  8. 從 [動作] 快捷功能表中選取 [安裝]。

  9. 設定封裝的設定。

  10. 選取 [範圍] 索引標籤,以指定 公司入口網站 應用程式應該安裝的計算機。 選取 [儲存]。 下次計算機上發生選取的觸發程式,且符合一 承載中的準則時,原則就會在限域裝置上執行。

在 Jamf Pro 中建立原則,讓使用者向 Microsoft Entra ID 註冊其裝置

透過 Jamf Pro 自助部署 macOS 的 公司入口網站 之後,您可以建立 Jamf Pro 原則,向 Microsoft Entra ID 註冊使用者的裝置。

裝置註冊需要裝置使用者從 Jamf 自助服務內手動選取 Intune 公司入口網站 應用程式。 建議 您透過 電子郵件、Jamf Pro 通知,或貴組織用來引導使用者完成此動作以註冊其裝置的任何其他方法,連絡使用者。

警告

手動啟動 公司入口網站 應用程式 (例如從應用程式或下載資料夾) 將不會註冊裝置。 如果裝置使用者手動啟動 公司入口網站,他們會看到警告 『AccountNotOnboarded』

若要建立註冊原則

  1. 在 Jamf Pro 中,移至 [計算機>原則],然後建立裝置註冊的新原則。

  2. 設定 Microsoft Intune整合承載,包括觸發程式和執行頻率。

  3. 選取 [ 範圍] 索 引標籤,然後將原則範圍設定為所有目標裝置。

  4. 選取 [自助服務] 索 引卷標,讓原則可在 Jamf 自助服務中使用。 將原則包含在 [裝置合規性 ] 類別中。 選取 [儲存]

驗證 Intune 與 Jamf 整合

使用 Jamf Pro 控制台確認 Jamf Pro 與 Microsoft Intune 之間的通訊成功。

  • 在 Jamf Pro 中,移至 [設定>全域管理>Microsoft Intune 整合],然後選取 [測試]

主控台會顯示連線成功或失敗的訊息。 如果 Jamf Pro 控制台的連線測試失敗,請檢閱 Jamf 設定。

從 Intune 移除 Jamf 管理的裝置

若要移除 Jamf 管理的裝置,請開啟 Microsoft Intune 系統管理中心,然後選取 [所有>裝置],選取裝置,然後選取 [刪除]。 選取多個裝置並按兩下 [刪除],即可啟用大量裝置 刪除

取得有關如何 在 Jamf Pro 檔中移除 Jamf 受控裝置的資訊。您也可以向 Jamf 支援 提出支援票證,以取得更多協助。

後續步驟