Konfigurace cloudového konektoru Jamf pro integraci s Microsoft Intune
Důležité
Podpora podmíněného přístupu pro zařízení s macOS v Jamf je zastaralá.
Od 1. září 2024 už nebude podporována platforma, na které je postavená funkce podmíněného přístupu Jamf Pro.
Pokud používáte integraci podmíněného přístupu jamf Pro pro zařízení s macOS, postupujte podle zdokumentovaných pokynů Jamf k migraci zařízení na integraci dodržování předpisů zařízením v tématu Migrace z podmíněného přístupu macOS na dodržování předpisů zařízením s macOS – Dokumentace k Jamf Pro.
Pokud potřebujete pomoc, kontaktujte Jamf Customer Success. Další informace najdete v blogovém příspěvku na adrese https://aka.ms/Intune/Jamf-Device-Compliance.
Tento článek vám pomůže s instalací konektoru Jamf Cloud Connector pro integraci Jamf Pro s Microsoft Intune. Díky integraci můžete vyžadovat, aby vaše zařízení s macOS spravovaná aplikací Jamf Pro splňovala požadavky na dodržování předpisů pro Intune zařízení předtím, než budou mít přístup k prostředkům vaší organizace. Přístup k prostředkům se řídí zásadami podmíněného přístupu Microsoft Entra stejným způsobem jako u zařízení spravovaných prostřednictvím Intune.
Doporučujeme používat konektor Jamf Cloud Connector, protože automatizuje řadu kroků, které jsou potřeba při ruční konfiguraci integrace, jak je popsáno v tématu Integrace Jamf Pro s Intune pro dodržování předpisů.
Při nastavování cloudového konektoru:
- Nastavení automaticky vytvoří aplikace Jamf Pro v Azure a nahradí nutnost jejich ruční konfigurace.
- Můžete integrovat několik instancí Jamf Pro se stejným tenantem Azure, který hostuje vaše předplatné Intune.
Propojení více instancí Jamf Pro s jedním tenantem Azure se podporuje jenom v případě, že používáte cloudový konektor. Pokud použijete ručně nakonfigurované připojení, může se s tenantem Azure integrovat jenom jedna instance Jamf.
Použití cloudového konektoru je volitelné:
- Pro nové tenanty, kteří se ještě neintegrují s Jamfem, můžete nakonfigurovat cloudový konektor, jak je popsáno v tomto článku. Nebo můžete integraci nakonfigurovat ručně, jak je popsáno v tématu Integrace Jamf Pro s Intune pro dodržování předpisů.
- U tenantů, kteří už mají ruční konfiguraci, můžete tuto integraci odebrat a pak nastavit Cloud Connector. Odebrání stávající integrace i nastavení cloudového konektoru jsou popsané v tomto článku.
Pokud plánujete nahradit předchozí integraci konektorem Jamf Cloud Connector:
- Pomocí postupu odeberte aktuální konfiguraci, což zahrnuje odstranění podnikových aplikací pro Jamf Pro a zakázání ruční integrace. Pak můžete pomocí postupu nakonfigurovat cloudový konektor.
- Zařízení nebudete muset znovu registrovat. Zařízení, která jsou už zaregistrovaná, můžou používat cloudový konektor bez další konfigurace.
- Nezapomeňte nakonfigurovat cloudový konektor do 24 hodin od odebrání ruční integrace, abyste zajistili, že zaregistrovaná zařízení budou moct dál hlásit svůj stav.
Další informace o cloudovém konektoru Jamf najdete v tématu Konfigurace integrace Intune macOS pomocí cloudového konektoru na docs.jamf.com.
Požadavky
Produkty a služby:
- Jamf Pro 10.18 nebo novější
- Uživatelský účet Jamf Pro s oprávněními podmíněného přístupu
- Microsoft Intune
- Microsoft Entra ID P1 nebo P2
- Portál společnosti aplikace pro macOS
- Zařízení s macOS s OS X 10.12 Yosemite nebo novějším
Síť:
Aby se jamf a Intune správně integrovali, musí být přístupné následující porty a koncové body:
Intune: Port 443
Apple: Porty 2195, 2196 a 5223 (nabízená oznámení Intune)
Jamf: Porty 80 a 5223
Koncové body:
- login.microsoftonline.com
- graph.windows.net
- *.manage.microsoft.com
Aby služba APNS fungovala v síti správně, musíte povolit odchozí připojení a přesměrování z následujících portů:
- Apple 17.0.0.0/8 blokuje porty TCP 5223 a 443 ze všech klientských sítí.
- Porty 2195 a 2196 ze serverů Jamf Pro.
Další informace o těchto portech najdete v následujících článcích:
- Intune požadavky na konfiguraci sítě a šířku pásma.
- Síťové porty používané jamfem Pro na jamf.com.
- Porty TCP a UDP používané softwarovými produkty Apple na support.apple.com
Účty:
Postupy v tomto článku vyžadují použití účtů s následujícími oprávněními:
- Konzola Jamf Pro: Účet s oprávněními ke správě Jamf Pro
- centrum pro správu Microsoft Intune: Globální správce
- Azure Portal: Globální správce
Odebrání integrace Jamf Pro pro dříve nakonfigurovaného tenanta
Před konfigurací cloudového konektoru odeberte z tenanta Azure ručně nakonfigurovanou integraci Jamf Pro pomocí následujícího postupu.
Pokud jste ještě nenastavili připojení mezi Jamf Pro a Intune nebo pokud máte jedno nebo více připojení, která už používají cloudový konektor, přeskočte tento postup a začněte konfigurací cloudového konektoru pro nového tenanta.
Odebrání ručně nakonfigurované integrace Jamf Pro
Přihlaste se ke konzole Jamf Pro.
Vyberte Nastavení (ikona ozubeného kola v pravém horním rohu) a pak přejděte naPodmíněný přístupglobální správy>.
Vyberte Upravit.
Zrušte zaškrtnutí políčka Povolit integraci Intune pro macOS.
Když zrušíte výběr tohoto nastavení, zakážete připojení, ale uložíte konfiguraci.
Přihlaste se do Centra pro správu Microsoft Intune a přejděte na Správa> tenantaSpráva partnerských zařízení.
Na uzlu Správa partnerských zařízení odstraňte ID aplikace v poli Zadejte ID aplikace Microsoft Entra pro Jamf a pak vyberte Uložit.
ID aplikace je ID aplikace Azure Enterprise, které se vytvoří v Azure při nastavování ruční integrace v případě Jamf Pro.
Přihlaste se k Azure Portal pomocí účtu, který má oprávnění Globální Správa, a přejděte na Microsoft Entra ID>Enterprise aplikací.
Vyhledejte dvě aplikace Jamf a odstraňte je. Nové aplikace se automaticky vytvoří při konfiguraci konektoru Jamf Cloud Connector v dalším postupu.
Po zakázání integrace v Jamf Pro a odstranění podnikových aplikací se na partnerském uzlu správy zařízení zobrazí stav připojení Ukončeno.
Teď, když jste úspěšně odebrali ruční konfiguraci integrace Jamf Pro, můžete nastavit integraci pomocí cloudového konektoru. Postup najdete v části Konfigurace cloudového konektoru pro nového tenanta v tomto článku.
Konfigurace cloudového konektoru pro nového tenanta
Pomocí následujícího postupu nakonfigurujte konektor Jamf Cloud Connector pro integraci Jamf Pro a Microsoft Intune, když:
- Nemáte žádnou integraci mezi Jamf Pro a Intune nakonfigurovanou pro vašeho tenanta Azure.
- Ve svém tenantovi Azure už máte nastavený cloudový konektor mezi Jamf Pro a Intune a chcete se svým předplatným integrovat další instanci Jamf.
Pokud máte aktuálně ručně nakonfigurovanou integraci mezi Intune a Jamf Pro, přečtěte si téma Odebrání integrace Jamf Pro pro dříve nakonfigurovaného tenanta v tomto článku a před pokračováním tuto integraci odeberte. Před úspěšným nastavením konektoru Jamf the Cloud Je potřeba odebrat ručně nakonfigurovanou integraci.
Vytvoření nového připojení
Přihlaste se ke konzole Jamf Pro.
Vyberte Nastavení (ikona ozubeného kola v pravém horním rohu0) a pak přejděte naPodmíněný přístupglobální správy>.
Vyberte Upravit.
Zaškrtněte políčko Povolit integraci Intune pro macOS.
- Toto nastavení vyberte, pokud chcete, aby Jamf Pro odesílala aktualizace inventáře do Microsoft Intune.
- Výběrem tohoto nastavení můžete zakázat připojení, ale konfiguraci uložit.
Důležité
Pokud je možnost Povolit integraci Intune pro macOS už vybraná a Typ připojení je nastavená na Ručně, musíte tuto integraci před pokračováním odebrat. Než budete pokračovat, přečtěte si téma Odebrání integrace Jamf Pro pro dříve nakonfigurovaného tenanta v tomto článku.
V části Typ připojení vyberte Cloud Connector.
V místní nabídce Suverénní cloud vyberte umístění vašeho suverénního cloudu od Microsoftu. Pokud nahrazujete předchozí integraci konektorem Jamf Cloud Connector, můžete tento krok přeskočit, pokud jste zadali umístění.
Vyberte jednu z následujících možností cílové stránky pro počítače, které Microsoft Azure nerozpozná:
- Stránka Výchozí registrace zařízení Jamf Pro – V závislosti na stavu zařízení s macOS tato možnost přesměruje uživatele na portál pro registraci zařízení Jamf Pro (pro registraci pomocí Jamf Pro) nebo na aplikaci Portál společnosti Intune (pro registraci v Microsoft Entra ID).
- Stránka Odepření přístupu
- Vlastní adresa URL
Pokud nahrazujete předchozí integraci konektorem Jamf Cloud Connector, můžete tento krok přeskočit, pokud jste zadali cílovou stránku.
Vyberte Připojit. Budete přesměrováni k registraci aplikací Jamf Pro v Azure.
Po zobrazení výzvy zadejte přihlašovací údaje Microsoft Azure a podle pokynů na obrazovce udělte požadovaná oprávnění. Udělíte oprávnění pro cloudový konektor a pak znovu pro aplikaci pro registraci uživatelů cloudového konektoru. Obě aplikace jsou v Azure zaregistrované jako podnikové aplikace.
Po udělení oprávnění pro obě aplikace se otevře stránka ID aplikace .
Na stránce ID aplikace vyberte Kopírovat a otevřete Intune.
ID aplikace se zkopíruje do systémové schránky pro použití v dalším kroku a otevře se uzel Správa partnerských zařízení v Centru pro správu Microsoft Intune. (Správa> tenantaSpráva partnerských zařízení).
Na uzlu Správa partnerských zařízenívložteID aplikace do pole Zadejte ID aplikace Microsoft Entra pro Jamf a pak vyberte Uložit.
Vraťte se na stránku ID aplikace v Jamf Pro a vyberte Potvrdit.
Jamf Pro dokončí a otestuje konfiguraci a zobrazí úspěch nebo selhání připojení na stránce nastavení podmíněného přístupu. Následující obrázek je příkladem úspěchu:
V Centru pro správu Microsoft Intune aktualizujte uzel Partner správa zařízení. Připojení by se teď mělo zobrazovat jako Aktivní:
Po úspěšném navázání spojení mezi Jamf Pro a Microsoft Intune jamf Pro odešle informace o inventáři do Microsoft Intune pro každý počítač, který je zaregistrovaný v Microsoft Entra ID (registrace u Microsoft Entra ID je pracovní postup koncového uživatele). Stav inventáře podmíněného přístupu pro uživatele a počítač můžete zobrazit v kategorii Místní uživatelský účet v informacích o inventáři počítače v Jamf Pro.
Po integraci jedné instance Jamf Pro pomocí konektoru Jamf Cloud můžete stejným postupem nakonfigurovat více instancí Jamf Pro se stejným Intune předplatným ve vašem tenantovi Azure.
Nastavení zásad dodržování předpisů a registrace zařízení
Po nakonfigurování integrace mezi Intune a Jamf musíte použít zásady dodržování předpisů na zařízení spravovaná pomocí Jamf.
Odpojení Jamf Pro a Intune
Pokud chcete odebrat integraci Jamf Pro s Intune, pomocí následujícího postupu odeberte připojení z konzoly Jamf Pro. Tyto informace platí pro cloudový konektor i pro ručně nakonfigurovanou integraci.
Zrušení zřízení Jamf Pro z centra pro správu Microsoft Intune
V Centru pro správu Microsoft Intune přejděte na Správa>tenantů Konektory a tokeny>Partner správa zařízení.
Vyberte možnost Ukončit. Intune zobrazí zprávu o akci. Zkontrolujte zprávu a až bude připravená, vyberte OK. Možnost Ukončit integraci se zobrazí pouze v případě, že existuje připojení Jamf.
Po ukončení integrace aktualizujte zobrazení Centra pro správu a aktualizujte zobrazení. Zařízení s macOS vaší organizace se z Intune odeberou za 90 dnů.
Zrušení zřízení Jamf Pro z konzoly Jamf Pro
Pomocí následujícího postupu odeberte připojení z konzoly Jamf Pro.
V konzole Jamf Pro přejděte naPodmíněný přístupglobální správy>. Na kartě integrace Intune macOS vyberte Upravit.
Zrušte zaškrtnutí políčka Povolit integraci Intune pro macOS.
Vyberte Uložit. Jamf Pro odešle vaši konfiguraci do Intune a integrace se ukončí.
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Správa>tenanta Konektory a tokeny>Správa partnerských zařízení a ověřte, že je teď stav Ukončeno.
Po ukončení integrace se zařízení s macOS vaší organizace odeberou k datu zobrazenému v konzole, což je po třech měsících.
Získání podpory pro cloudový konektor
Vzhledem k tomu, že cloudový konektor automaticky vytváří aplikace Azure Enterprise nezbytné pro integraci, vaším prvním kontaktním bodem pro podporu by měl být Jamf. Mezi možnosti patří:
- podpora Email na adrese
support@jamf.com
- Použijte portál podpory v Jamf Nation: https://www.jamf.com/support/
Než kontaktujete podporu:
Projděte si požadavky, jako jsou porty a verze produktu, které používáte.
Ověřte, že se nezměnila oprávnění pro následující dvě aplikace Jamf Pro vytvořené v Azure. Změny oprávnění aplikace nejsou podporovány Intune a můžou způsobit selhání integrace.
Aplikace pro registraci uživatelů cloudového konektoru:
- Název rozhraní API: Microsoft Graph
- Oprávnění: Přihlášení a čtení profilu uživatele
- Typ: Delegováno
- Uděleno prostřednictvím: Správa souhlas
- Uděleno: Správce
Aplikace Cloud Connector:
Název rozhraní API: Microsoft Graph (instance 1)
- Oprávnění: Přihlášení a čtení profilu uživatele
- Typ: Delegováno
- Uděleno prostřednictvím: Správa souhlas
- Uděleno: Správce
Název rozhraní API: Microsoft Graph (instance 2)
- Oprávnění: Čtení dat adresáře
- Typ: Aplikace
- Uděleno prostřednictvím: Správa souhlas
- Uděleno: Správce
Název rozhraní API: Intune API
- Oprávnění: Odeslání atributu zařízení do Microsoft Intune
- Typ: Aplikace
- Uděleno prostřednictvím: Správa souhlas
- Uděleno: Správce
- Název rozhraní API: Microsoft Graph
Běžné dotazy týkající se konektoru Jamf Cloud Connector
Jaká data se sdílí prostřednictvím cloudového konektoru?
Cloud Connector se ověřuje v Microsoft Azure a odesílá data inventáře zařízení z Jamf Pro do Azure. Cloud Connector navíc spravuje zjišťování služeb v Azure, výměnu tokenů, chyby komunikace a zotavení po havárii.
Kde se ukládají data inventáře zařízení?
Data inventáře zařízení se ukládají do databáze Jamf Pro.
Jaké přihlašovací údaje se ukládají?
Neukládají se žádné přihlašovací údaje. Když konfigurujete cloudový konektor, musíte vyjádřit souhlas s přidáním víceklientských aplikací Jamf a nativní aplikace konektoru macOS do Microsoft Entra tenanta. Po přidání víceklientské aplikace si cloudový konektor vyžádá přístupové tokeny pro interakci s rozhraním Api Azure. Přístup k aplikacím je možné v Microsoft Azure kdykoli odvolat, aby se omezil přístup.
Jak se data šifrují?
CloudOvý konektor používá pro data odesílaná mezi Jamf Pro a Microsoft Azure protokol TLS (Transport Layer Security).
Jak Jamf pozná, které zařízení je přidružené ke které instanci Jamf Pro?
Jamf Pro používá mikroslužby v AWS ke správnému směrování informací o zařízení do správné instance.
Můžu přejít z používání cloudového konektoru na typ ručního připojení?
Ano. Typ připojení můžete změnit zpět na ruční a postupujte podle pokynů pro ruční nastavení. Pokud máte nějaké otázky, měli byste je požádat o pomoc na Jamf.
Oprávnění se změnila u jedné nebo obou požadovaných aplikací (cloudový konektor a aplikace registrace uživatelů cloudového konektoru) a registrace nefunguje. Podporuje se změna oprávnění?
Úpravy oprávnění v aplikacích se nepodporují.
Je v Jamf Pro soubor protokolu, který ukazuje, jestli se změnil typ připojení?
Ano, změny se zaprotokolují do souboru JAMFChangeManagement.log. Pokud chcete zobrazit protokoly správy změn, přihlaste se k Jamf Pro, přejděte na Nastavení>Nastavení Nastavení Protokoly>změn,> vyhledejteTyp objektupodmíněný přístup a pak vyberte Podrobnosti, abyste zobrazili změny.