Configurer le connecteur cloud Jamf pour l’intégrer à Microsoft Intune
Importante
La prise en charge des appareils MacOS Jamf pour l’accès conditionnel est déconseillée.
À compter du 1er septembre 2024, la plateforme sur laquelle repose la fonctionnalité d’accès conditionnel de Jamf Pro ne sera plus prise en charge.
Si vous utilisez l’intégration de l’accès conditionnel de Jamf Pro pour les appareils macOS, suivez les instructions documentées de Jamf pour migrer vos appareils vers l’intégration de conformité des appareils dans Migration de l’accès conditionnel macOS vers la conformité des appareils macOS – Documentation Jamf Pro.
Si vous avez besoin d’aide, contactez Jamf Customer Success. Pour plus d’informations, consultez le billet de blog à l’adresse https://aka.ms/Intune/Jamf-Device-Compliance.
Cet article peut vous aider à installer le connecteur cloud Jamf pour intégrer Jamf Pro avec Microsoft Intune. Grâce à l’intégration, vous pouvez exiger que vos appareils macOS gérés par Jamf Pro répondent aux exigences de conformité de vos appareils Intune avant qu’ils soient autorisés à accéder aux ressources de votre organisation. L’accès aux ressources est contrôlé par vos stratégies d’accès conditionnel Microsoft Entra de la même façon que pour les appareils gérés via Intune.
Nous vous recommandons d’utiliser le connecteur cloud Jamf, car il automatise bon nombre des étapes requises lorsque vous configurez manuellement l’intégration en procédant de la manière décrite dans Intégrer Jamf Pro à Intune pour la conformité.
Quand vous configurez le connecteur cloud :
- La configuration crée automatiquement les applications Jamf Pro dans Azure, évitant ainsi la nécessité de les configurer manuellement.
- Vous pouvez intégrer plusieurs instances de Jamf Pro avec le locataire Azure qui héberge votre abonnement Intune.
La connexion de plusieurs instances de Jamf Pro avec un seul locataire Azure n’est prise en charge que si vous utilisez le connecteur cloud. Lorsque vous utilisez une connexion configurée manuellement, une seule instance de Jamf peut s’intégrer à un locataire Azure.
L’utilisation du connecteur cloud est facultative :
- Pour les nouveaux locataires qui ne s’intègrent pas encore avec Jamf, vous configurer le connecteur cloud en procédant de la manière décrite dans cet article. Vous pouvez aussi configurer manuellement l’intégration en procédant de la manière décrite dans Intégrer Jamf Pro à Intune pour des raisons de conformité
- Pour les locataires qui ont déjà une configuration manuelle, vous pouvez supprimer cette intégration, puis configurer le connecteur cloud. La suppression d’une intégration existante et la configuration du connecteur cloud sont décrites dans cet article.
Si vous envisagez de remplacer votre intégration précédente par le connecteur cloud Jamf :
- Suivez la procédure de suppression de votre de configuration actuelle, notamment la suppression des applications d’entreprise pour Jamf Pro et la désactivation de l’intégration manuelle. Vous pouvez ensuite suivre la procédure de configuration du connecteur cloud.
- Vous n’avez pas besoin de réinscrire les appareils. Les appareils déjà inscrits peuvent utiliser Cloud Connector sans autre configuration.
- Veillez à configurer le connecteur cloud dans les 24 heures suivant la suppression de votre intégration manuelle pour être certain que vos appareils inscrits puissent continuer à signaler leur état.
Pour plus d’informations sur le connecteur cloud Jamf, consultez l’article concernant la configuration de l’intégration d’Intune pour macOS à l’aide du connecteur cloud sur docs.jamf.com.
Configuration requise
Produits et services :
- Jamf Pro 10.18 ou version ultérieure
- Compte d’utilisateur Jamf Pro avec des privilèges d’accès conditionnel
- Microsoft Intune
- Microsoft Entra ID P1 ou P2
- l’application Portail d’entreprise pour macOS ;
- des appareils macOS équipés d’OS X 10.12 Yosemite ou une version ultérieure
Réseau :
Les ports suivants et points de terminaison suivants devraient être accessibles pour que Jamf et Intune s’intègrent correctement :
Intune :port 443
Apple: Ports 2195, 2196 et 5223 (envoi de notifications push à Intune)
Jamf: Ports 80 et 5223
Points de terminaison :
- login.microsoftonline.com
- graph.windows.net
- *.manage.microsoft.com
Pour qu’APNS fonctionne correctement sur le réseau, vous devez activer les connexions sortantes ainsi que les redirections à partir des ports suivants :
- le bloc 17.0.0.0/8 d’Apple via les ports TCP 5223 et 443 à partir de tous les réseaux clients ;
- les ports 2195 et 2196 à partir des serveurs Jamf Pro.
Pour plus d’informations sur ces ports, consultez les articles suivants :
- Configuration requise pour le réseau Intune et bande passante.
- Ports réseau utilisés par Jamf Pro sur jamf.com.
- Ports TCP et UDP utilisés par les logiciels Apple sur support.apple.com
Comptes :
Les procédures de cet article requièrent l’utilisation de comptes disposant des autorisations suivantes :
- Jamf Pro console: un compte avec des autorisations pour gérer Jamf Pro
- centre d’administration Microsoft Intune : Administrateur général
- Portail Azure :administrateur général
Supprimer l’intégration de Jamf Pro pour un locataire précédemment configuré
Procédez comme suit pour supprimer une intégration de Jamf Pro configurée manuellement de votre locataire Azure avant de pouvoir configurer le connecteur cloud.
Si vous n’avez pas encore configuré de connexion entre Jamf Pro et Intune, ou si vous avez une ou plusieurs connexions qui utilisent déjà Cloud Connector, ignorez cette procédure et commencez par Configurer le connecteur cloud pour un nouveau locataire.
Supprimer une intégration de Jamf Pro configurée manuellement
Connectez-vous à la console Jamf Pro.
Sélectionnez Paramètres (l’icône de roue dentée dans l’angle supérieur droit), puis accédez à Gestion globale>Accès conditionnel.
Sélectionnez Modifier.
Désactivez la case à cocher Activer l’intégration d’Intune pour macOS.
En désactivant ce paramètre, vous désactivez la connexion mais vous enregistrez votre configuration.
Connectez-vous au Centre d’administration Microsoft Intune et accédez à Administration> du locataireGestion des appareils partenaires.
Sur le nœud Gestion des appareils partenaires, supprimez l’ID d’application dans le champ Spécifier l’ID d’application Microsoft Entra pour Jamf, puis sélectionnez Enregistrer.
L’ID d’application est l’ID de l’application Azure Enterprise créée dans Azure lorsque vous configurez une intégration manuelle avec Jamf Pro.
Connectez-vous à l’Portail Azure avec un compte disposant d’autorisations Administration globales, puis accédez à Microsoft Entra ID>Applications d’entreprise.
Recherchez les deux applications Jamf et supprimez-les. De nouvelles applications sont automatiquement créées lorsque vous configurez le connecteur cloud Jamf dans la procédure suivante.
Une fois que vous avez désactivé l’intégration dans Jamf Pro et supprimé les applications d’entreprise, le nœud Gestion des appareils partenaires affiche l’état de connexion Terminée.
Maintenant que vous avez supprimé la configuration manuelle de l’intégration de Jamf Pro, vous pouvez configurer l’intégration à l’aide du connecteur cloud. Pour ce faire, consultez la section Configurer le connecteur cloud pour un nouveau locataire dans cet article.
Configurer le connecteur cloud pour un nouveau locataire
Procédez comme suit pour configurer le connecteur cloud Jamf afin d’intégrer Jamf Pro et Microsoft Intune dans les cas suivants :
- Vous n’avez aucun intégration entre Jamf Pro et Intune configurée pour votre locataire Azure.
- Vous disposez déjà d’un connecteur cloud configuré entre Jamf Pro et Intune dans votre locataire Azure et souhaitez intégrer une instance Jamf supplémentaire avec votre abonnement.
Si vous disposez actuellement d’une intégration configurée manuellement entre Intune et Jamf Pro, consultez la section Supprimer l’intégration de Jamf Pro pour un locataire précédemment configuré dans cet article afin de supprimer cette intégration avant de continuer. La suppression d’une intégration configurée manuellement est nécessaire pour pouvoir configurer correctement le connecteur cloud Jamf.
Créer une connexion
Connectez-vous à la console Jamf Pro.
Sélectionnez Paramètres (l’icône de roue dentée dans l’angle supérieur droit), puis accédez à Gestion globale>Accès conditionnel.
Sélectionnez Modifier.
Activez la case à cocher Activer l’intégration d’Intune pour macOS.
- Sélectionnez ce paramètre pour que Jamf Pro envoie les mises à jour de l’inventaire à Microsoft Intune.
- Vous pouvez désélectionner ce paramètre pour désactiver la connexion, mais enregistrer votre configuration.
Importante
Si l’option Activer l’intégration d’Intune pour macOS est déjà sélectionnée et si le Type de connexion est défini sur Manuelle, vous devez supprimer cette intégration avant de continuer. Avant de continuer, consultez la section Supprimer l’intégration de Jamf Pro pour un locataire précédemment configuré dans cet article.
Sous Type de connexion, sélectionnez Connecteur cloud.
Dans le menu contextuel Cloud souverain, sélectionnez l’emplacement de votre cloud Souverain auprès de Microsoft. Si vous remplacez votre intégration précédente par le connecteur Jamf Cloud, vous pouvez ignorer cette étape si l’emplacement a été spécifié.
Sélectionnez l’une des options de page d’accueil suivantes pour les ordinateurs qui ne sont pas reconnus par Microsoft Azure :
- Page d’inscription d’appareil Jamf Pro par défaut : selon l’état de l’appareil macOS, cette option redirige les utilisateurs vers le portail d’inscription des appareils Jamf Pro (pour s’inscrire auprès de Jamf Pro) ou vers l’application Portail d'entreprise Intune (pour s’inscrire auprès de Microsoft Entra ID).
- Page Accès refusé
- URL personnalisée
Si vous remplacez votre intégration précédente par le connecteur Jamf Cloud, vous pouvez ignorer cette étape si la page d’atterrissage a été spécifiée.
Sélectionnez Connexion. Vous êtes redirigé pour inscrire les applications Jamf Pro dans Azure.
Lorsque vous y êtes invité, spécifiez vos informations d’identification Microsoft Azure et suivez les instructions à l’écran pour accorder les autorisations demandées. Vous accordez des autorisations pour le connecteur cloud, puis de nouveau pour l’application d’inscription d’utilisateur du connecteur cloud. Les deux applications sont inscrites dans Azure en tant qu’applications d’entreprise.
Une fois les autorisations accordées pour les deux applications, la page ID de l’application s’ouvre.
Dans la page ID de l’application, sélectionnez Copier et ouvrir Intune.
L’ID d’application est copié dans le Presse-papiers système pour l’utiliser à l’étape suivante, et le nœud Gestion des appareils partenaires dans le Centre d’administration Microsoft Intune s’ouvre. (Administration de locataire>Gestion des appareils partenaires).
Sur le nœud Gestion des appareils partenaires, collezl’ID d’application dans le champ Spécifier l’ID d’application Microsoft Entra pour Jamf, puis sélectionnez Enregistrer.
Revenez à la page ID de l’application dans Jamf Pro, puis sélectionnez Confirmer.
Jamf Pro achève et teste la configuration, puis indique la réussite ou l’échec de la connexion dans la page des paramètres d’accès conditionnel. L’image suivante est un exemple de réussite :
Dans le Centre d’administration Microsoft Intune, actualisez le nœud Gestion des appareils partenaires. La connexion doit maintenant apparaître Active :
Lorsque la connexion entre Jamf Pro et Microsoft Intune est établie avec succès, Jamf Pro envoie des informations d’inventaire à Microsoft Intune pour chaque ordinateur inscrit auprès de Microsoft Entra ID (l’inscription auprès de Microsoft Entra ID est un flux de travail de l’utilisateur final). Vous pouvez afficher l’état d’inventaire de l’accès conditionnel pour un utilisateur et un ordinateur dans la catégorie Compte d’utilisateur local des informations d’inventaire d’un ordinateur dans Jamf Pro.
Après que vous aillez intégré une instance de Jamf Pro à l’aide du connecteur cloud Jamf, vous pouvez suivre cette même procédure pour configurer des instances supplémentaires de Jamf Pro avec le même abonnement Intune dans votre locataire Azure.
Configurer des stratégies de conformité et inscrire des appareils
Une fois que vous avez configuré l’intégration entre Intune et Jamf, vous devez appliquer des stratégies de conformité aux appareils gérés par Jamf.
Déconnecter Jamf Pro et Intune
Pour supprimer l’intégration de Jamf Pro à Intune, procédez comme suit pour supprimer la connexion à partir de la console Jamf Pro. Ces informations s’appliquent à Cloud Connector et à une intégration configurée manuellement.
Déprovisionner Jamf Pro à partir du centre d’administration Microsoft Intune
Dans le centre d’administration Microsoft Intune, accédez à Administration> du locataireConnecteurs et jetons>Gestion des appareils partenaires.
Sélectionnez l’option Terminer. Intune affiche un message sur l’action. Passez en revue le message et, lorsque vous êtes prêt, sélectionnez OK. L’option Arrêter l’intégration s’affiche uniquement lorsque la connexion Jamf existe.
Une fois l’intégration terminée, actualisez la vue du Centre d’administration pour mettre à jour la vue. Les appareils macOS de votre organization sont supprimés de Intune dans les 90 jours.
Déprovisionner Jamf Pro à partir de la console Jamf Pro
Procédez comme suit pour supprimer la connexion à partir de la console Jamf Pro.
Dans la console Jamf Pro, accédez àAccès conditionnelgestion> globale. Dans l’onglet Intégration macOS Intune, sélectionnez Modifier.
Décochez la case Activer l’intégration d’Intune pour macOS.
Sélectionnez Enregistrer. Jamf Pro envoie votre configuration à Intune et l’intégration sera interrompue.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Administration client>Connecteurs et jetons>Gestion des appareils des partenaires pour vérifier que l’état est maintenant Terminé.
Une fois l’intégration terminée, les appareils macOS de votre organization sont supprimés à la date indiquée dans votre console, c’est-à-dire après trois mois.
Obtenir un support pour le connecteur cloud
Étant donné que le connecteur cloud crée automatiquement les applications Azure Enterprise nécessaires pour l’intégration, votre premier point de contact pour le support doit être Jamf. Les options suivantes sont disponibles :
- Envoyer un e-mail au support à l’adresse
support@jamf.com
- Utiliser le portail de support technique de Jamf nation : https://www.jamf.com/support/
Avant de contacter le support technique :
Examinez les conditions préalables, telles que les ports et la version du produit que vous utilisez.
Confirmez que les autorisations pour les deux applications Jamf Pro suivantes créées dans Azure n’ont pas été modifiées. Les modifications apportées aux autorisations d’application ne sont pas prises en charge par Intune et peuvent entraîner l’échec de l’intégration.
Application d’inscription de l’utilisateur du connecteur cloud :
- Nom de l’API : Microsoft Graph
- Autorisation : se connectez et lisez le profil utilisateur
- Type : Délégué
- Accordé par le biais du consentement de l’administrateur
- Accordé par : un administrateur
Application de connecteur cloud :
Nom de l’API : Microsoft Graph (instance 1)
- Autorisation : se connectez et lisez le profil utilisateur
- Type : Délégué
- Accordé par le biais du consentement de l’administrateur
- Accordé par : un administrateur
Nom de l’API : Microsoft Graph (instance 2)
- Autorisation : lire les données d’annuaire
- Type : Application
- Accordé par le biais du consentement de l’administrateur
- Accordé par : un administrateur
Nom de l’API : API Intune
- Autorisation : envoyer l’attribut d’appareil à Microsoft Intune
- Type : Application
- Accordé par le biais du consentement de l’administrateur
- Accordé par : un administrateur
- Nom de l’API : Microsoft Graph
Questions courantes sur le connecteur cloud Jamf
Quelles sont les données partagées via le connecteur cloud ?
Le connecteur cloud s’authentifie auprès de Microsoft Azure et envoie les données d’inventaire des appareils de Jamf Pro à Azure. En outre, le connecteur cloud gère la découverte des services dans Azure, l’échange de jetons, les erreurs de communication et la récupération d’urgence.
Où sont stockées les données d’inventaire des appareils ?
Les données d’inventaire des appareils sont stockées dans la base de données Jamf Pro.
Quelles informations d’identification sont stockées ?
Aucune des informations d’identification n’est stockée. Lorsque vous configurez Cloud Connector, vous devez accepter l’ajout de l’application multilocataire Jamf et de l’application de connecteur macOS native à leur locataire Microsoft Entra. Une fois l’application mutualisée ajoutée, le connecteur cloud demande des jetons d’accès pour interagir avec l’API Azure. L’accès à l’application peut être révoqué dans Microsoft Azure à tout moment pour limiter l’accès.
Comment les données sont-elles chiffrées ?
Le connecteur cloud utilise le protocole TLS (Transport Layer Security) pour les données échangées entre Jamf Pro et Microsoft Azure.
Comment Jamf sait-t-il quel appareil est associé à quelle instance de Jamf Pro ?
Jamf Pro utilise des microservices dans AWS pour acheminer correctement les informations de l’appareil vers l’instance correcte.
Puis-je passer de l’utilisation du connecteur cloud au type de connexion manuel ?
Oui. Vous pouvez revenir au type de connexion manuel et suivre les étapes de configuration manuelle. Si vous avez des questions, adressez-les à Jamf pour obtenir de l’aide.
Les autorisations ont été modifiées sur une ou les deux applications requises (Cloud Connector et application d’inscription d’utilisateur Cloud Connector) et l’inscription ne fonctionne pas. La modification des autorisations est-elle prise en charge ?
La modification des autorisations sur les applications n’est pas prise en charge.
Existe-t-il un fichier journal dans Jamf Pro qui indique si le type de connexion a été modifié ?
Oui, les modifications sont enregistrées dans le fichier JAMFChangeManagement.log. Pour afficher les journaux de gestion des modifications, connectez-vous à Jamf Pro, accédez à Paramètres>Système Paramètres>Journaux degestion des> modifications, recherchez Accès conditionnel type d’objet, puis sélectionnez Détails pour afficher les modifications.