macを初期化せずにIntuneからJamfProに移行して条件付きアクセスも連携させる

弊社はmacOSをMicrosoft Intuneで管理していましたが色々あってこのたびJamfProを導入しました！ただ使用中PCすべてを新品と入替え（または初期化）するのは無理なので初期化せずにMDMを入替えてみました。

旧環境：Intune ＋ 条件付きアクセス
新環境：JamfPro ＋ 条件付きアクセス

単純な入替えであればそこまで複雑ではないんですがIntuneの条件付きアクセスを継続利用しようとすると一気に複雑になります。

なのでこの作業は非推奨です（笑）素直に初期化してやったほうがいいです

事前準備

事前に以下実施して下さい
- JamfPro
　①「条件付きアクセス」の設定（公式マニュアル参照）
　②「mac OS Intune統合」ポリシー作成してSelfServiceに表示させておく
　③  以下Githubのスクリプト(jamf-wpj-clean-up)を実行するようポリシーを設定してSelfServiceに表示させておく

条件付きアクセス - Jamf Pro 管理者ガイド | Jamf

jamfAAD-and-WPJ-scripts/jamf-wpj-clean-up at 8464642ba0e959f3572ca83de3b6faf41081e6bc 揃 macbuddy-howto/jamfAAD-and-WPJ-scripts

- Intune
　①Jamf登録者用のグループを作っておく（ここではJamf-Grを用意）
　②テナント管理▶コネクタとトークン▶パートナーデバイスの管理を開く　

　③組み込まれたグループの設定を変更
　　- すべてのユーザー　→　Jamf-Gr

手順

1.Intune準備
　①管理画面から対象ユーザをグループ(Jamf-Gr)に追加
　②管理画面から対象デバイスを選択して「リタイヤ」をクリック

　③該当PCのシステム環境設定にてプロファイル削除されたことを確認

　④管理画面から対象デバイスを削除

- ハマりポイント① -
Intune上からデバイスを完全に削除しないと条件付きアクセスを設定する時にエラーになります。ただしIntuneは削除しても即時反映されません。必ずデバイスの一覧からデバイスが削除されたことを確認した上で以下行って下さい

2.JamfPro登録
　①エンロール用のURLにアクセス
　　https://hogehoge.jamfcloud.com/enroll
　②認証実施後「Enroll」クリック
　③MDMのプロファイルインストールを求められるので[Continue]クリック
　④ダウンロード実行するよう表示されるので「保存」クリック
   　(以下警告画面は表示されることがありますが問題ありません)

　⑤「システム環境設定」＞「プロファイル」を開く
　⑥”MDM Profile”をが表示されているので「インストール」クリック

　⑦パスワードを求められたらmacのパスワード入力
　⑧いくつかプロファイルがインストールされるので待つ

3.Intune登録情報クリア
　①アプリ(Self Service)が自動インストールされていることを確認
　②Self Serviceを起動
　③事前設定で準備したポリシー(jamf-wpj-clean-up)を実行
　④PCを再起動

4.Intune登録
　①Self Service を起動
　②Intune登録ボタンクリック
　③事前設定で準備したポリシー(mac OS Intune統合)を実行
　④自動でポータルサイトアプリが起動するので「サインイン」クリックしてAzureADアカウントでログイン

⑤登録が無事に終わると以下ポップアップが自動表示されるので「Continue」クリックして認証処理を実行

5.動作確認
　①Chromeにて「新しいシークレットウィンドウ」を開く
　②条件付きアクセスに設定しているアプリにログイン出来ることを確認

- ハマりポイント② -
Intune統合を行っても「デバイスのポリシー準拠」は即時反映されません。必ずIntune上のデバイス一覧にてデバイスが準拠したことを確認した上で動作確認を行って下さい。（早いと5分〜遅いと30分以上）

- ハマりポイント③ -
Intune統合を行っても「プライマリーユーザー」は即時反映されません。待ってれば勝手に表示されるので気長に待ってて下さい。
（早いと5分〜遅いと12時間以上）

Intuneさんが気まぐれすぎて色々ハマるのでやる際は気をつけて下さい！
指摘事項や疑問点があればTwitter等でお気軽にご連絡下さい。宜しくおねがいします！（多分やる人あまりいないと思いますが・・・❗）