Konfigurieren der Microsoft Entra Integration mit Jamf Pro

Anleitung: Gerätekonformität mit Microsoft Entra und Jamf Pro
Solution
Application
Content Type
Technische Dokumentation
Utilities & Services
ft:locale
de-DE

Sie müssen eine Verbindung zwischen Jamf Pro und Microsoft Entra konfigurieren, die es Jamf Pro erlaubt, den Konformitätsstatus für alle mit Entra ID registrierten Computer und Mobilgeräte an Microsoft Entra ID (früher Azure AD) zu senden. Wenn Sie mehrere Jamf Pro Instanzen nutzen, können Sie sie als einen einzigen Entra Mandanten anbinden.

Note:

Diese Integration ist für benutzereigene Computer nicht verfügbar.

Important:

Aktivieren Sie für Workflows für iOS oder iPadOS Konformität und geteilte Geräte nicht die iOS Plattform unter Microsoft Intune Gerätekonformität, wenn Sie bereits die Integration von Kontextabhängiger Zugriff mit Google für iOS Geräte verwenden (oder umgekehrt). Dies kann Probleme beim Konformitätsdatenfluss verursachen.

Requirements

Wenn bereits eine Plattform aktiviert ist (z. B. macOS) und Sie eine weitere hinzufügen möchten (z. B. iOS), aktivieren Sie den Plattformtyp zuerst in Entra, bevor Sie ihn in Jamf Pro aktivieren.

  1. Verwenden Sie in Jamf Pro dynamische Gruppen, um eine „Anwendbare Gruppe“ und eine „Konformitätsgruppe“ für jede Plattform (macOS, iOS/iPadOS und geteilte Geräte) zu erstellen, die Sie mit Gerätekonformität verwalten möchten.

    Weitere Informationen zum Erstellen dynamischer Gruppen finden Sie unter Dynamische Gruppen in der Jamf Pro Dokumentation.

    macOS

    • (Anwendbare Gruppe) Diese Gruppe sollte alle Computer enthalten, die Zugriff auf Unternehmensressourcen benötigen, unabhängig davon, ob sie konform sind oder nicht.

    • (Konformitätsgruppe) Diese Gruppe sollte die Computer enthalten, die bestimmte Kriterien erfüllen müssen, um als konform zu gelten. Das Kriterium könnte beispielsweise sein, dass die Anforderungen an die macOS Version erfüllt sind oder dass eine bestimmte App vorhanden ist.
      Best Practice:
      Fügen Sie beim Erstellen der Konformitätsgruppe die Kriterien hinzu, die konforme Computer erfüllen sollen. Zum Beispiel könnten Sie folgende Kriterien aufnehmen:

      • Version des Betriebssystems

      • Letzte Bestandsaktualisierung

      • FileVault Status

      Jamf empfiehlt, beim Erstellen der Konformitätsgruppe die Option E-Mail-Mitteilung bei Änderung der Mitgliedschaft senden auszuwählen, damit Sie benachrichtigt werden, wenn ein Computer nicht mehr konform ist.
      Beispiel für eine dynamische Computergruppe
    iOS/iPadOS

    • (Anwendbare Gruppe) Diese Gruppe sollte alle Mobilgeräte enthalten, die Zugriff auf Unternehmensressourcen benötigen, unabhängig davon, ob sie konform sind oder nicht. Nach der Konfiguration in Gerätekonformität ist die Option Mit Microsoft registrieren in Jamf Self Service für iOS verfügbar.

    • (Konformitätsgruppe) Diese Gruppe sollte die Mobilgeräte enthalten, die bestimmte Kriterien erfüllen müssen, um als konform zu gelten. Das Kriterium könnte beispielsweise sein, dass die Anforderungen an die iOS Version erfüllt sind oder dass eine bestimmte App vorhanden ist.
      Best Practice:
      Fügen Sie beim Erstellen der dynamischen Gerätegruppe die Kriterien hinzu, die die Geräte erfüllen müssen, um als konform zu gelten. Zum Beispiel könnten Sie folgende Kriterien aufnehmen:

      • OS-Version

      • Jailbreak erkannt

      • Letzte Sicherung

      • Passwortstatus

      Jamf empfiehlt, beim Erstellen der dynamischen Gerätegruppe die Option E-Mail-Mitteilung bei Änderung des Mitgliedsstatus auszuwählen, damit Sie benachrichtigt werden, wenn ein Gerät nicht mehr richtlinienkonform ist.

      Beispiel für eine dynamische Mobilgerätegruppe
    Geteilte Geräte

    • (Anwendbare Gruppe) Diese Gruppe sollte alle Mobilgeräte enthalten, die Zugriff auf Unternehmensressourcen benötigen, unabhängig davon, ob sie konform sind oder nicht.

    • (Konformitätsgruppe) Diese Gruppe sollte die Mobilgeräte enthalten, die bestimmte Kriterien erfüllen müssen, um als konform zu gelten. Das Kriterium könnte beispielsweise sein, dass die Anforderungen an die iOS Version erfüllt sind oder dass eine bestimmte App vorhanden ist.

      Important:

      Die Gerätekonformität für geteilte Geräte kann zeitgleich mit der Gerätekonformität für iOS und iPadOS aktiviert werden. Die anwendbare Gruppe für geteilte Geräte darf jedoch keine Geräte enthalten, die in der anwendbaren Gruppe für iOS und iPadOS enthalten sind.

      Wenn ein Endbenutzergerät in der falschen anwendbaren Gruppe registriert ist, kann das Gerät nur neu registriert werden, indem es gelöscht, der richtigen anwendbaren Gruppe hinzugefügt und dann erneut bei Microsoft Entra registriert wird. Weitere Informationen zum Löschen eines Geräts finden Sie unter Entfernen von Mobilgeräten, die bei Microsoft Entra ID registriert sind und mit Jamf Pro verwaltet werden.

    • (Benutzerdefinierte Konfiguration für die Single Sign-On-Erweiterung) Die Gerätekonformität für geteilte Geräte verwendet eine vordefinierte Payload für Single Sign-On-Erweiterung (SSOe), die die folgenden Schlüssel-Wert-Paare enthält:

      • AppPrefixAllowList festlegen auf com.microsoft., com.apple., com.jamfsoftware.

      • Enable_SSO_On_All_ManagedApps festlegen auf 1 (true)

      Mit der Option Benutzerdefinierte Konfiguration für die Single Sign-On-Erweiterung können Sie eine PLIST-Datei hochladen, um bestimmte SSOe-Schlüssel-Wert-Paare zu definieren und so zusätzliche Konfigurationsoptionen für SSOe-Profile zu ermöglichen. Beachten Sie beim Hochladen einer benutzerdefinierten PLIST-Datei die folgenden Punkte:

      • Wenn ein Gerät bereits über eine Payload Single Sign-On-Erweiterung- verfügt, muss das Gerät gelöscht werden, um die neue, benutzerdefinierte SSOe-Payload zu verwenden.

      • Wenn die benutzerdefinierte PLIST-Datei Werte enthält, die mit den Werten in der Standard-SSOe-Payload in Konflikt stehen, werden die Werte in der benutzerdefinierten PLIST-Datei Jamf Pro priorisiert.

      • Weitere Informationen über konfigurierbare Schlüssel finden Sie unter Zusammenfassung der Schlüssel von Microsoft.

  2. Klicken Sie in Jamf Pro auf Einstellungen in der Seitenleiste.
  3. Klicken Sie im Abschnitt Global auf Gerätekonformität .
  4. Klicken Sie auf Bearbeiten .
  5. Mit dem Schalter können Sie die Integration aktivieren.
  6. Wählen Sie den Plattform-Typ.
  7. Wählen Sie die Konformitätsgruppe, die Jamf Pro zur Berechnung der Gerätekonformität verwenden soll.
  8. Wählen Sie den Standort Sovereign Cloud, der Ihre Umgebung am besten abbildet.
  9. Wählen Sie die Anwendbare Gruppe aus, die Jamf zum Senden des Konformitätsstatus an Microsoft Entra verwenden soll.
  10. Wählen Sie eine der folgenden Optionen für die Zielseite, die auf Geräte angezeigt wird, die von Microsoft Entra ID nicht erkannt werden:

    • Standardseite für die Geräteregistrierung von Jamf Pro

    • Seite „Zugriff verweigert“

    • Eine benutzerdefinierte Webseite

  11. Klicken Sie auf Speichern .
Die Integration mit Microsoft Entra wird in Jamf Pro konfiguriert. Sie werden zur Microsoft Entra Webseite weitergeleitet, um einen Konformitätspartner zu erstellen.