Vous devez configurer une connexion entre Jamf Pro et Microsoft Entra pour permettre à Jamf Pro d’envoyer le statut de conformité à Microsoft Entra ID (anciennement Azure AD) pour chaque ordinateur et appareil mobile inscrit auprès de Entra ID. Si vous avez plusieurs instances Jamf Pro, vous pouvez les connecter à un seul locataire Entra.
Cette intégration n’est pas disponible pour les ordinateurs personnels.
Pour les workflows de conformité iOS et iPadOS et d’appareils partagés, si vous utilisez déjà l’intégration de Accès contextuel avec Google pour les appareils iOS (ou vice versa), n’activez pas la plateforme iOS dans la conformité de l’appareil Microsoft Intune, car cela entraînera des problèmes de flux de données de conformité.
Si vous avez déjà activé une plateforme (p. ex. macOS) et que vous voulez en ajouter une autre (p. ex. iOS), assurez-vous que le type de plateforme est activé dans Entra avant de l’activer dans Jamf Pro.
- Dans Jamf Pro, utilisez les groupes intelligents pour créer un groupe applicable et un groupe de conformité pour chaque plateforme (macOS, iOS/iPadOS et appareils partagés) que vous voulez gérer avec Conformité de l’appareil.
Pour plus d’informations relatives à la création de groupes intelligents, consultez la section Groupes intelligents de la Documentation Jamf Pro.
- macOS
(Groupe applicable) Ce groupe doit contenir tous les ordinateurs, conformes ou non, qui ont besoin d’accéder aux ressources de l’entreprise.
- (Groupe de conformité) Ce groupe doit contenir les ordinateurs qui doivent répondre à des critères spécifiques pour être considérés comme conformes. Par exemple, les critères peuvent être le respect des exigences relatives à la version de macOS ou la présence d’une certaine application.Best Practice:Lors de la création du groupe de conformité, ajoutez les critères que vous souhaitez voir appliquer aux ordinateurs conformes. Par exemple, vous pouvez inclure les critères suivants :
Version du système d’exploitation
Dernière mise à jour de l’inventaire
Statut FileVault
Lors de la création du groupe de conformité, Jamf recommande de sélectionner l’option Envoyer une notification par courriel lorsque la composition du groupe change afin d’être averti lorsqu’un ordinateur n’est plus en conformité.
- iOS/iPadOS
(Groupe applicable) Ce groupe doit contenir tous les appareils mobiles, conformes ou non, qui ont besoin d’accéder aux ressources de l’entreprise. Une fois configuré dans Conformité de l’appareil, le bouton S’inscrire auprès de Microsoft est disponible dans Jamf Self Service pour iOS.
- (Groupe de conformité) Ce groupe doit contenir les appareils mobiles qui doivent répondre à des critères spécifiques pour être considérés comme conformes. Par exemple, les critères peuvent être le respect des exigences relatives à la version d’iOS ou la présence d’une certaine application.Best Practice:Lors de la création du groupe intelligent d’appareils, ajoutez les critères que vous voulez voir appliquer aux appareils conformes. Par exemple, vous pouvez inclure les critères suivants :
Version du système d’exploitation
Jailbreak détecté
Dernière sauvegarde
Statut du code
Lors de la création du groupe intelligent d’appareils, Jamf recommande de sélectionner l’option Envoyer une notification par courriel lorsque la composition du groupe change afin d’être averti lorsqu’un appareil n’est plus en conformité.
- Appareils partagés
(Groupe applicable) Ce groupe doit contenir tous les appareils mobiles, conformes ou non, qui ont besoin d’accéder aux ressources de l’entreprise.
(Groupe de conformité) Ce groupe doit contenir les appareils mobiles qui doivent répondre à des critères spécifiques pour être considérés comme conformes. Par exemple, les critères peuvent être le respect des exigences relatives à la version d’iOS ou la présence d’une certaine application.
Important:La conformité des appareils partagés peut être activée en même temps que la conformité des appareils pour iOS et iPadOS, mais le groupe applicable pour les appareils partagés ne doit pas contenir d’appareils inclus dans le groupe applicable pour iOS et iPadOS.
Si l’appareil d’un utilisateur final est inscrit dans le mauvais groupe applicable, la seule façon de le réinscrire est de l’effacer, de l’ajouter au bon groupe applicable, puis de le réinscrire auprès de Microsoft Entra. Pour plus d’informations sur l’effacement d’un appareil, consultez la section Suppression d’un appareil mobile inscrit auprès de Microsoft Entra ID et géré par Jamf Pro.
- (Configuration personnalisée pour l’extension avec authentification par signature unique) La conformité de l’appareil pour les appareils partagés utilise une entité prédéfinie de l’extension avec authentification par signature unique (SSOe) contenant les paires clés-valeur suivantes :
AppPrefixAllowListdéfini surcom.microsoft., com.apple., com.jamfsoftware.Enable_SSO_On_All_ManagedAppsdéfini sur1(true)
L’option Configuration personnalisée pour l’extension avec authentification par signature unique vous permet de téléverser un fichier PLIST afin de définir certaines paires clé-valeur d’extension SSO (SSOe), facilitant ainsi l’activation d’autres options de configuration pour les profiles d’extension SSO. Tenez compte des informations suivantes relatives au téléversement d’un ficher PLIST personnalisé :
Si un appareil utilise une entité Extension avec authentification par signature unique, l’appareil doit être effacé de manière à utiliser la nouvelle entité d’extension SSO (SSOe) personnalisée.
Si un fichier PLIST personnalisé comprend des valeurs qui entre en conflit avec les valeurs de l’entité d’extension SSO (SSOe) par défaut, Jamf Pro donne la priorité aux valeurs dans le fichier PLIST personnalisé.
Pour plus d’informations relatives aux clés configurables, consultez l’article Summary of keys (Résumé des clés) de Microsoft.