Jamfで管理されているマシンをIntuneへ連携させ、AzureADの条件付きアクセスをMacOSに対しても適用させることができます。
そのためには、JamfとIntuneの連携作業が必要になります
Jamfのバージョンアップによりとても簡単になりました。
Jamf Intune連携の設定(条件付きアクセス)
- 右上の歯車アイコンをクリックします
- 「一括管理」→【条件付きアクセス】をクリックします
- 「macOS Intune統合を有効にする」にチェックを入れます
接続タイプは「クラウドコネクター」を選択し、【保存】をクリックします
- Azureのページへリダイレクトされるので、画面の指示に従ってMicrosoftから要求された権限を付与します
- アプリケーションIDが表示されるので、【Copy and open Microsoft Endpoint Manager】をクリックします。
- 「JamfのAzure Active DirectoryアプリIDを指定します」欄へコピーしたアプリケーションIDを入力し保存します
- Jamfへ戻り、【Confirm】をクリックします
- 「登録リクエストが許可されました」と表示されます。
接続が確立するまでしばらく待ちます
- Jamf側の画面が下記のようになればOKです。
- Intune側は下記のように状態が変化します
- AzureADのアプリケーションに以下が追加されます
Jamf Native macOS Connector
Mac用ポータルサイトアプリをインストールするポリシーを作成する
Jamf Intune連携を利用するためには当然ですがIntuneエージェントが必要になります。
Mac版は、下記からダウンロードすることができます
https://go.microsoft.com/fwlink/?linkid=853070
手動インストールしてもいいのですが、JamfがあるのでJamfから配布するようにします。
ポータルサイトアプリもバージョンがあがるので、常に最新版を取得して新規インストールするようにしています。
ポータルサイトアプリインストール用スクリプトを作成する
- 歯車アイコン→「コンピュータ管理」→【スクリプト】をクリックします
- 【新規】をクリックします
- 以下のようなスクリプトを作成します
#/bin/sh pkgFile="companyPortal.pkg" url="https://go.microsoft.com/fwlink/?linkid=862280" echo "Creating working directory '$tempDirectory'" workDirectory=$( /usr/bin/basename $0 ) tempDirectory=$( /usr/bin/mktemp -d "/private/tmp/$workDirectory.XXXXXX" ) # change directory to temporary working directory echo "Changing directory to working directory '$tempDirectory'" cd "$tempDirectory" /usr/bin/curl -L $url --silent -o $pkgFile /usr/sbin/installer -pkg "$pkgFile" -target / # remove the temporary working directory when done /bin/rm -Rf "$tempDirectory" echo "Deleting working directory '$tempDirectory' and its contents" exit $?
ポータルサイトインストールJamfポリシーを作成する
- 「コンピュータ」→「ポリシー」→【新規】をクリックします
- 「スクリプト」→【Configure】をクリックします
- 先ほど登録したスクリプトを追加します
- 「Scope」タグを選択し、インストールさせる端末またはグループを定義します
※必要応じてSelfService等を設定します - 【保存】をクリックします
ポータルサイトがインストールされている端末のSmart Computer Groupsを作成する
ポータルサイトがインストールされていないと、Jamf Intune連携ができないため、ポータルサイトがインストールされている端末一覧のSmart Computer Groupsを作成します
- 「コンピュータ」→【Smart Computer Groups】をクリックします
- 【新規】をクリックします
- 表示名にわかり易い名前をつけておきます
Criteriaで以下の条件式を追加します
Application Title is Company Portal.app
- 【保存】をクリックします
- 【表示】をクリックし、対象デバイスが表示されることを確認します
Intune統合用ポリシーを作成する
デバイスをIntuneに登録するためのポリシーを作成していきます
- 「コンピュータ」→「ポリシー」→【新規】をクリックします
- Generalカテゴリの表示名にわかり易い名前を入力します。(ここではRegister Device for Complianceとしています)
- 「macOS Intune統合」カテゴリを選択します。
- 【Configure】をクリックします
- 「Azure Active Directory(Azure AD)コンピュータ登録」にチェックをつけます
- 「Scope」タブを選択します。
選択された展開ターゲットの【追加】ボタンをクリックします
- 「Computer Groups」を選択し、事前に作成したSmart Computer Groupsを選択します
- 「Self Service」タブを選択します
- 「Self Service」でポリシーを使用可能にするのチェックを入れます
- ボタンの名称もInstallだと違和感があるので、「Register Device」に変更しました
- 少し下にスクロールし、「カテゴリ」にある「デバイスコンプライアンスカテゴリにポリシーを含める」にチェックをつけます
- 【保存】をクリックします
Mac端末をIntuneへ登録する
ここまで設定してようやく、Mac端末をIntuneへ統合させることができるようになります。
- Self Serviceアプリを起動します
- 「デバイスコンプライアンス」カテゴリを選択します
- 【Register Device】をクリックします
- ポータルサイトアプリが起動してくるので、【サインイン】をクリックします
※ポータルサイトアプリを直接起動してサインインはしないでください。デバイスコンプライアンスのボタンから必ず起動します
- Mac端末を利用するユーザーのAzureAD情報を利用してサインインします
- サインイン完了後少したつと下記画面になるので、【完了】をクリックします
- 以下のようなダイアログが表示されたら【Continue】をクリックします
※Jamfのバージョンアップによりどうもここの挙動が変わったようです
- ブラウザが開き、再度AzureADのログインが求められるので、同様にログインします。
- 途中キーチェインへの保存のためにMacのローカルログインパスワードを聞かれますので、ローカルログインパスワードを入力し【常に許可】をクリックします
- 【続行】をクリックします
AzureAD側の登録を確認する
登録が完了するとAzureAD側にデバイスとして表示されてきます。
- Microsoft Endpoint Manager admin center へログインします
- 「デバイス」→【すべてのデバイス】をクリックします
- 登録したデバイス名で検索します。
- 以下のような形で登録されていることがわかります
- デバイス名をクリックすると詳細ページに遷移します
- コンプライアンスポリシーを定義している場合には、そのデバイスがポリシーに準拠しているかの確認をすることができます
ここで準拠していない端末の場合には条件付きアクセスで、アクセスを拒否させたりすることが可能になります
運用時の注意点
端末をリカバリする際には、Intune側からデバイスレコードの削除処理が必要になります。
これを忘れてて再度Intune連携させようとすると同じデバイス名のレコードが2つになったりして混乱するのと
デバイス準拠がうまく判定されなかったりすることがあるようです。
MDMでの運用はどれも似たような感じになるとは思いますが、MDM側から一度データを削除するまたはワイプして
アンマネージド状態にしてから再登録するのがいいかと思います。
