Bedingter Zugriff

Mit Microsoft Intune in Kombination mit dem bedingten Zugriff können Organisationen sicherstellen, dass ausschließlich vertrauenswürdige Benutzer mit genehmigten Anwendungen auf richtlinienkonformen macOS Computern auf Ressourcen der Organisation zugreifen.

Durch die Integration von Jamf Pro in Microsoft Intune können Sie:

  • Bestandsinformationen von Computern in Jamf Pro für Microsoft Intune freigeben

  • Die in Microsoft Intune festgelegten Richtlinien auf mit Jamf Pro verwalteten Computern durchsetzen

  • Den Zugriff auf Anwendungen einschränken, für die die Authentifizierung mit Azure Active Directory (Azure AD) aktiviert wurde (z. B. Office 365)

  • Benutzern Richtlinien in der Kategorie „Compliance (Konformität)“ in Jamf Self Service für macOS vorstellen

  • Eine Richtlinie erstellen, mit der Computer von Benutzern bei Azure AD registriert werden

  • Bestandsstatus eines Computers mit bedingtem Zugriff in Jamf Pro anzeigen

Jamf Pro kann wie folgt an Microsoft Intune angebunden werden:

  • Cloud-Connector – (Nur in Jamf Cloud gehostete Umgebungen) Mit dem Cloud-Connector wird die Jamf Pro Anwendung in Azure automatisch erstellt und so die Konfiguration der Einstellungen für die Kommunikation zwischen Jamf Pro und Microsoft Azure vereinfacht. Darüber hinaus können Sie mit dem Cloud-Connector mehrere Jamf Pro Instanzen an einen Azure AD Mandanten anbinden.

  • Manuelle Verbindung

In der folgenden Anleitung erfahren Sie zudem Schritt für Schritt, wie Sie die Integration in Microsoft Intune durchführen, und erhalten weitere Informationen zu den oben genannten Workflows:
Integrating with Microsoft Intune to Enforce Compliance on Macs Managed by Jamf Pro (Integration in Microsoft Intune zum Durchsetzen der Richtlinienkonformität auf mit Jamf Pro verwalteten Mac Computern)

Allgemeine Anforderungen

Um die Integration in Intune zu konfigurieren, wird Folgendes benötigt:

  • (Nur bei manueller Verbindung) Eine in Microsoft Intune integrierte Jamf Pro Anwendung (weitere Informationen finden Sie in der Anleitung Integrating with Microsoft Intune to Enforce Compliance on Macs Managed by Jamf Pro [Integration in Microsoft Intune zum Durchsetzen der Richtlinienkonformität auf mit Jamf Pro verwalteten Mac Computern])

  • (Nur bei Verwendung des Cloud-Connectors) Eine in Jamf Cloud gehostete Jamf Pro Instanz

  • Einen Jamf Pro Benutzeraccount mit Berechtigungen für bedingten Zugriff

  • Microsoft Enterprise Mobility + Security (insbesondere Microsoft AAD Premium und Microsoft Intune)

  • Microsoft Intune Unternehmensportal App für macOS 1.1 oder neuer

Für die Integration von macOS in Intune sind außerdem Computer mit macOS ab Version 10.11 erforderlich, auf denen ein lokaler oder mobiler Account angelegt ist. Netzwerkaccounts werden für die Integration von macOS in Intune nicht unterstützt.

Hinweis: Die Einstellungen für die Verbindung zwischen Jamf Pro und Microsoft Intune können nicht mit der Desktop-Anwendung des Microsoft Azure Portals, sondern nur auf der Microsoft Azure Website konfiguriert werden.

Manuelles Konfigurieren der Integration von macOS in Intune

Mit den Einstellungen für bedingten Zugriff können Sie eine Verbindung zwischen Microsoft Intune und Jamf Pro herstellen. Nachdem die Verbindungseinstellungen gespeichert wurden, werden von Jamf Pro Bestandsinformationen von Computern an Microsoft Intune übermittelt und die in Microsoft Intune festgelegten Richtlinien auf Computern durchgesetzt.

  1. Melden Sie sich bei Jamf Pro an.

  2. Klicken Sie in der oberen rechten Ecke der Seite auf Einstellungen images/download/thumbnails/85399696/Icon_Settings_Hover.png .

  3. Klicken Sie auf Globale Verwaltung.

  4. Klicken Sie auf Bedingter Zugriff images/download/thumbnails/85399696/conditional_access.png .

  5. Navigieren Sie zum Tab Integration von macOS in Intune und klicken Sie auf Bearbeiten images/download/thumbnails/81532686/edit.png .

  6. Aktivieren Sie das Markierungsfeld Integration von macOS in Intune aktivieren.

    Hinweis: Wenn diese Einstellung aktiviert ist, werden von Jamf Pro Bestandsinformationen an Microsoft Intune übermittelt. Deaktivieren Sie das Markierungsfeld, wenn Sie die Verbindung zwar deaktivieren, Ihre Konfiguration aber speichern möchten.

  7. (Nur bei in der Cloud gehosteten Instanzen) Wählen Sie unter „Verbindungstyp“ die Option „Manuell“ aus.

    Hinweis: Diese Option wird für lokal gehostete Instanzen nicht angezeigt.

  8. Wählen Sie den Standort Ihrer Sovereign Cloud bei Microsoft aus.

  9. Klicken Sie auf URL für Einwilligung des Administrators öffnen und befolgen Sie die Anweisungen auf dem Bildschirm, um Ihrem Azure AD Mandanten die Jamf Native macOS Connector App hinzuzufügen.

  10. Geben Sie den Namen des Azure AD Mandaten aus Microsoft Azure an.

  11. Geben Sie die App-ID und das Client-Geheimnis (ehemals App-Schlüssel) der Jamf Pro Anwendung aus Microsoft Azure an.

  12. Wählen Sie eine der folgenden Optionen für die Zielseite, die auf Computern angezeigt wird, die von Microsoft Azure nicht erkannt werden:

    • Standardseite für die Geräteregistrierung von Jamf Pro

      Hinweis: Je nach Status des Computers wird der Benutzer mit dieser Option entweder zum Portal von Jamf Pro für die Geräteregistrierung (für eine Registrierung bei Jamf Pro) oder zur Unternehmensportal-App (für eine Registrierung bei Azure AD) weitergeleitet.

    • Seite „Zugriff verweigert“

    • Eine benutzerdefinierte Webseite

  13. Legen Sie die Anzahl von Tagen nach dem letzten Check-In des Computers bei Jamf Pro fest, nach deren Ablauf ein Deaktivierungsstatus gesendet und das Gerät in Microsoft Intune als „nicht konform“ markiert wird. Standardmäßig liegt die zulässige Anzahl von Tagen bei 120.

  14. Klicken Sie auf Speichern images/download/thumbnails/81531754/floppy-disk.png . Die Konfiguration wird von Jamf Pro getestet. Zudem wird angezeigt, ob die Verbindung erfolgreich hergestellt wurde.

Wenn die Verbindung zwischen Jamf Pro und Microsoft Intune erfolgreich hergestellt wurde, werden von Jamf Pro zu jedem bei Azure AD registrierten Computer Bestandsinformationen an Microsoft Intune übermittelt (die Registrierung bei Azure AD muss durch die Endbenutzer erfolgen und es ist Safari, Edge 92 oder neuer oder Chrome 92 oder neuer erforderlich). In den Bestandsinformationen zu einem Computer in Jamf Pro können Sie in der Kategorie „Lokaler Benutzeraccount“ den Status von Benutzern oder Computern mit bedingtem Zugriff (zuvor bezeichnet mit „Azure Active Directory ID“) anzeigen. Ausführliche Informationen zum Registrieren von Geräten bei Azure AD und über die an Microsoft Intune gesendeten Informationen finden Sie in der Anleitung Integrating with Microsoft Intune to Enforce Compliance on Macs Managed by Jamf Pro (Integration in Microsoft Intune zum Durchsetzen der Richtlinienkonformität auf mit Jamf Pro verwalteten Mac Computern).

Konfigurieren der Integration von macOS in Intune mithilfe des Cloud-Connectors

Mit dem Cloud-Connector können in der Cloud gehostete Jamf Pro Instanzen einfach an Microsoft Intune angebunden werden, indem viele der Schritte, die für die Konfiguration der Integration von macOS in Intune erforderlich sind, automatisch durchgeführt werden. Nachdem die Verbindungseinstellungen gespeichert wurden, werden von Jamf Pro von Computern erfasste Bestandsinformationen an Microsoft Intune übermittelt und die festgelegten Richtlinien auf Computern durchgesetzt.

Darüber hinaus können Sie mit dem Cloud-Connector mehrere Jamf Pro Instanzen an einen Azure AD Mandanten anbinden.

  1. Melden Sie sich bei Jamf Pro an.

  2. Klicken Sie in der oberen rechten Ecke der Seite auf Einstellungen images/download/thumbnails/85399696/Icon_Settings_Hover.png .

  3. Klicken Sie auf Globale Verwaltung.

  4. Klicken Sie auf Bedingter Zugriff images/download/attachments/85399696/ConditionalAccess_small.png .

  5. Navigieren Sie zum Tab Integration von macOS in Intune und klicken Sie auf Bearbeiten images/download/thumbnails/81532686/edit.png .

  6. Aktivieren Sie das Markierungsfeld Integration von macOS in Intune aktivieren.

    Hinweis: Wenn diese Einstellung aktiviert ist, werden von Jamf Pro Bestandsinformationen an Microsoft Intune übermittelt. Deaktivieren Sie das Markierungsfeld, wenn Sie die Verbindung zwar deaktivieren, Ihre Konfiguration aber speichern möchten.

  7. (Nur bei in der Cloud gehosteten Instanzen) Wählen Sie unter „Verbindungstyp“ die Option „Cloud Connector (Cloud-Connector)“ aus.

    Hinweis: Diese Option wird für lokal gehostete Instanzen nicht angezeigt.

  8. Wählen Sie den Standort Ihrer Sovereign Cloud bei Microsoft aus.

  9. Wählen Sie eine der folgenden Optionen für die Zielseite, die auf Computern angezeigt wird, die von Microsoft Azure nicht erkannt werden:

    • Standardseite für die Geräteregistrierung von Jamf Pro

      Hinweis: Je nach Status des Computers wird der Benutzer mit dieser Option entweder zum Portal von Jamf Pro für die Geräteregistrierung (für eine Registrierung bei Jamf Pro) oder zur Unternehmensportal-App (für eine Registrierung bei Azure AD) weitergeleitet.

    • Seite „Zugriff verweigert“

    • Eine benutzerdefinierte Webseite

  10. Legen Sie die Anzahl von Tagen nach dem letzten Check-In des Computers bei Jamf Pro fest, nach deren Ablauf ein Deaktivierungsstatus gesendet und das Gerät in Microsoft Intune als „nicht konform“ markiert wird. Standardmäßig liegt die zulässige Anzahl von Tagen bei 120.

  11. Klicken Sie auf Verbinden. Sie werden zur Seite für die Registrierung einer Anwendung bei Microsoft weitergeleitet.

  12. Geben Sie Ihre Anmeldedaten für Microsoft Azure ein und befolgen Sie die Anweisungen auf dem Bildschirm, um die von Microsoft benötigten Berechtigungen zu erteilen.
    Nachdem Sie dem Cloud-Connector und der Cloud-Connector-App für die Benutzerregistrierung die benötigten Berechtigungen zugewiesen haben, werden Sie zur Seite für die Eingabe der App-ID weitergeleitet.

  13. Klicken Sie auf Kopieren und Intune öffnen. Auf einem neuen Tab wird der Bereich Verwaltung von Partnergeräten in Microsoft Azure geöffnet.

  14. Fügen Sie in das Feld Azure Active Directory App-ID für Jamf angeben die App-ID ein.

  15. Klicken Sie auf Speichern images/download/thumbnails/81531754/floppy-disk.png .

  16. Kehren Sie zum ursprünglichen Tab zurück und klicken Sie auf Bestätigen. Sie werden wieder zu Jamf Pro weitergeleitet.
    Die Konfiguration wird von Jamf Pro abgeschlossen und getestet. Auf der Seite mit dem Einstellungen für bedingten Zugriff wird angezeigt, ob die Verbindung erfolgreich hergestellt werden konnte.

  17. (Optional) Wiederholen Sie ggf. dieses Verfahren, um weitere Jamf Pro Instanzen an denselben Azure AD Mandanten anzubinden.

Wenn die Verbindung zwischen Jamf Pro und Microsoft Intune erfolgreich hergestellt wurde, werden von Jamf Pro zu jedem bei Azure AD registrierten Computer Bestandsinformationen an Microsoft Intune übermittelt (die Registrierung bei Azure AD muss durch die Endbenutzer erfolgen. Es ist Safari, Edge 92 oder neuer oder Chrome 92 oder neuer erforderlich). In den Bestandsinformationen zu einem Computer in Jamf Pro können Sie in der Kategorie „Lokaler Benutzeraccount“ den Status von Benutzern oder Computern mit bedingtem Zugriff (zuvor bezeichnet mit „Azure Active Directory ID“) anzeigen. Ausführliche Informationen zum Registrieren von Geräten bei Azure AD und über die an Microsoft Intune gesendeten Informationen finden Sie in der Anleitung Integrating with Microsoft Intune to Enforce Compliance on Macs Managed by Jamf Pro (Integration in Microsoft Intune zum Durchsetzen der Richtlinienkonformität auf mit Jamf Pro verwalteten Mac Computern).

Testen der Integration von macOS in Intune

Wenn Sie die Verbindung zwischen Jamf Pro und Microsoft Intune manuell hergestellt haben, können Sie sie jederzeit testen.

Hinweis: Diese Option wird nicht angezeigt, wenn die Verbindung zwischen Jamf Pro und Microsoft Intune mithilfe des Cloud-Connectors hergestellt wurde.

  1. Melden Sie sich bei Jamf Pro an.

  2. Klicken Sie in der oberen rechten Ecke der Seite auf Einstellungen images/download/thumbnails/85399696/Icon_Settings_Hover.png .

  3. Klicken Sie auf Globale Verwaltung.

  4. Klicken Sie auf Bedingter Zugriff images/download/attachments/85399696/ConditionalAccess_small.png .

  5. Navigieren Sie zum Tab Integration von macOS in Intune und klicken Sie auf Test ausführen.

In einer Meldung wird angegeben, ob die Verbindung hergestellt werden konnte oder nicht.

Weiterführende Informationen

Weiterführende Informationen finden Sie in den folgenden Abschnitten dieses Leitfadens:

  • Bestandsinformationen von Computern
    Hier erfahren Sie mehr über den Bestandsstatus für bedingten Zugriff, der in den Bestandsinformationen zu einem Computer in der Kategorie „Lokaler Benutzeraccount“ angezeigt wird.

  • Verlaufsinformationen von Computern
    Hier erfahren Sie, wie Sie für jeden mit einem Computer verknüpften Benutzernamen die an Microsoft Intune übermittelten Bestandsinformationen anzeigen.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2021 Jamf. Alle Rechte vorbehalten.