JamfからIntune(すべてのデバイス)への登録がうまくいかないときには・・・
macOSが多いと管理はJamf一択だとよく言われます。
実際に色々なソフトを試してみてやはり便利だったのでJamfを選択しました。(稟議通ってよかった(笑))
情シス界隈ではJamfが導入されているかで転職を決める人もいるそうです(笑)
Jamf + Intuneは黄金パターンのようです多分(2019/12現在)
Jamfのインベントリ情報をIntuneへ渡し、AzureADの条件付きアクセスを利用するということまで見越して連携をさせました。
が、下記のような状態になりはまってしまったので備忘録も兼ねて残します。
現象
- JamfインベントリからAzureADデバイスには表示される
- Azure側のすべてのデバイスには表示されない
- AzureADデバイスから見ると「管理」ボタンが押せない
絵でみるとこんな感じ
ここにはいる↓ちゃんとMacOSってでてる AzureAD Registerdになっている
しかしこっちには同じマシンが表示されてこない
なのでデバイス準拠ポリシーが確認できない(?)
JamfのSelf Serviceから登録をやり直してもらってもうまくいかない状況でしばらく悩んでいたのですが、
すべてのデバイスに表示されていない端末上で下記コマンドを実行してもらい、AzureADへのログインを実施してもらうことで改善しました
sudo /usr/local/jamf/bin/jamfAAD gatherAADInfo -verbose
このコマンドを実行すると下記の画面が表示されるので、AADのIDとパスワードでログインしてもらいます。
その後しばらくすると「すべてのデバイス」に対象端末名が表示されコンプライアンスポリシーの確認ができるようになります
ここまでくれば条件付きアクセスが使えるようになるので、ポリシーにあわせて定義しましょう!
これでも表示されてこない場合には、JamfとIntune統合の途中手順の「管理者が承認しているURLを開く」を押し、アクセス許可を承認してみてください
App has been addedとなったことを確認します
まとめ
JamfとIntuneを導入したからといってすぐに何かがよくなるわけでもないですし、ツール入れて満足したら意味がなく宝の持ち腐れです。
認証認可の話しがよくでてきますが、企業文化、会社ポリシーとして認証認可をどうするべきなのかを考えツール選定もしていくべきと思います
Jamf + Intuneはいいぞ!
