Configurare Jamf Cloud Connector per l'integrazione con Microsoft Intune

Importante

Il supporto dei dispositivi MacOS jamf per l'accesso condizionale è deprecato.

A partire dal 1° settembre 2024, la piattaforma su cui è basata la funzionalità di accesso condizionale di Jamf Pro non sarà più supportata.

Se si usa l'integrazione dell'accesso condizionale di Jamf Pro per i dispositivi macOS, seguire le linee guida documentate di Jamf per eseguire la migrazione dei dispositivi all'integrazione di Conformità del dispositivo in Migrazione dall'accesso condizionale macOS alla conformità dei dispositivi macOS - Documentazione di Jamf Pro.

Per assistenza, contattare Jamf Customer Success. Per altre informazioni, vedere il post di blog all'indirizzo https://aka.ms/Intune/Jamf-Device-Compliance.

Questo articolo può essere utile per installare Jamf Cloud Connector al fine di integrare Jamf Pro con Microsoft Intune. Tramite l'integrazione, è possibile richiedere che i dispositivi macOS gestiti da Jamf Pro soddisfino i requisiti di conformità dei dispositivi Intune prima che tali dispositivi possano accedere alle risorse dell'organizzazione. L'accesso alle risorse viene controllato dai criteri di accesso condizionale Microsoft Entra allo stesso modo dei dispositivi gestiti tramite Intune.

È consigliabile usare Jamf Cloud Connector perché automatizza molti dei passaggi necessari quando si configura manualmente l'integrazione come illustrato in Integrare Jamf Pro con Intune per la conformità.

Quando si configura Cloud Connector:

• La configurazione crea automaticamente le applicazioni Jamf Pro in Azure, eliminando la necessità di configurarle manualmente.
• È possibile integrare più istanze di Jamf Pro con lo stesso tenant di Azure che ospita la sottoscrizione di Intune in uso.

La connessione di più istanze di Jamf Pro con un singolo tenant di Azure è supportata solo quando si usa Cloud Connector. Quando si usa una connessione configurata manualmente è possibile integrare una sola istanza di Jamf con un tenant di Azure.

L'uso del connettore cloud è facoltativo:

• Per i nuovi tenant che non si integrano ancora con Jamf, è possibile scegliere di configurare Cloud Connector come descritto in questo articolo. In alternativa è possibile configurare manualmente l'integrazione, come descritto in Integrare Jamf Pro con Intune per la conformità.
• Per i tenant che hanno già una configurazione manuale, è possibile scegliere di rimuovere l'integrazione e quindi configurare Cloud Connector. Sia la rimozione di un'integrazione esistente che la configurazione del connettore cloud sono descritte in questo articolo.

Se si prevede di sostituire l'integrazione precedente con Jamf Cloud Connector:

• Usare la procedura di rimozione della configurazione corrente, che include l'eliminazione delle app Enterprise per Jamf Pro e la disattivazione dell'integrazione manuale. Quindi è possibile usare la procedura di configurazione del connettore cloud.
• Non è necessario ripetere la registrazione dei dispositivi. I dispositivi già registrati possono usare Cloud Connector senza ulteriori configurazioni.
• Assicurarsi di configurare Cloud Connector entro 24 ore dalla rimozione dell'integrazione manuale, per garantire che i dispositivi registrati possano continuare a segnalare il proprio stato.

Per altre informazioni su Jamf Cloud Connector, vedere Configuring the macOS Intune Integration using the Cloud Connector (Configurare l'integrazione con Intune per macOS tramite Cloud Connector) in docs.Jamf.com.

Prerequisiti

Prodotti e servizi:

• Jamf Pro 10.18 o versione successiva
• Un account utente Jamf Pro con privilegi di accesso condizionale
• Microsoft Intune
• Microsoft Entra ID P1 o P2
• App Portale aziendale per macOS
• dispositivi macOS con OS X 10.12 Yosemite o versioni successive

Rete:
Le seguenti porte ed endpoint devono essere accessibili per garantire l'integrazione corretta di Jamf e Intune:

• Intune: porta 443

• Apple: porte 2195, 2196, e 5223 (notifiche push a Intune)

• Jamf: porte 80 e 5223

• Endpoint:

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

Per il corretto funzionamento di APNS in rete, è necessario abilitare anche le connessioni in uscita e i reindirizzamenti dalle porte seguenti:

• Blocco Apple 17.0.0.0/8 sulle porte TCP 5223 e 443 da tutte le reti client.
• Porte 2195 e 2196 dai server Jamf Pro.

Per altre informazioni su queste porte, vedere i seguenti articoli:

• Endpoint di rete per Microsoft Intune.
• Network Ports Used by Jamf Pro (Porte di rete usate da Jamf Pro) su jamf.com.
• Porte TCP e UDP usate dai prodotti software Apple su support.apple.com

Account:
Le procedure descritte in questo articolo richiedono l'uso di account con le autorizzazioni seguenti:

• Console Jamf Pro: un account con autorizzazioni per gestire Jamf Pro
• interfaccia di amministrazione Microsoft Intune: Amministratore globale
• Portale di Azure: amministratore globale

Rimuovere l'integrazione di Jamf Pro per un tenant configurato in precedenza

Usare la procedura seguente per rimuovere un'integrazione di Jamf Pro configurata manualmente dal tenant di Azure prima di poter configurare il connettore Cloud.

Se in precedenza non è stata configurata una connessione tra Jamf Pro e Intune o se sono già presenti una o più connessioni che usano il connettore cloud, ignorare questa procedura e iniziare con Configurare il connettore cloud per un nuovo tenant.

Rimuovere un'integrazione Jamf Pro configurata manualmente

1. Accedere alla console di Jamf Pro.

2. Selezionare Settings (Impostazioni, l'icona a forma di ingranaggio nell'angolo superiore destro) e quindi selezionare Global Management (Gestione globale)>Conditional Access (Accesso condizionale).

   

3. Selezionare Modifica.

4. Deselezionare la casella di controllo Enable Intune Integration for macOS (Abilita integrazione con Intune per macOS).

   Quando si deseleziona questa impostazione, si disabilita la connessione ma si salva la configurazione.

5. Accedere all'interfaccia di amministrazione Microsoft Intune e passare a Amministrazione> tenantGestione dei dispositivi partner.

   Nel nodo Gestione dispositivi partner eliminare l'ID applicazione nel campo Specificare il Microsoft Entra ID app per Jamf e quindi selezionare Salva.

   L'ID applicazione è l'ID dell'app Azure Enterprise creata in Azure quando si configura un'integrazione manuale se Jamf Pro.

6. Accedere al portale di Azure con un account con autorizzazioni di Amministrazione globali e passare a Microsoft Entra ID>Applicazioni aziendali.

   Trovare le due app Jamf ed eliminarle. Le nuove applicazioni verranno create automaticamente quando si configura Jamf Cloud Connector nella procedura seguente.

   

   Dopo la disattivazione dell'integrazione in Jamf Pro e l'eliminazione delle applicazioni Enterprise, il nodo Gestione dispositivi partner visualizza come stato della connessione Terminata.

   

Dopo aver rimosso correttamente la configurazione manuale per l'integrazione di Jamf Pro, è possibile configurare l'integrazione usando Cloud Connector. A tale scopo, vedere Configurare Cloud Connector per un nuovo tenant in questo articolo.

Configurare Cloud Connector per un nuovo tenant

Usare la procedura seguente per configurare Jamf Cloud Connector al fine di integrare Jamf Pro e Microsoft Intune se:

• Non è presente nessuna integrazione tra Jamf Pro e Intune configurata per il tenant Azure.
• È già stato configurato un connettore cloud tra Jamf Pro e Intune nel tenant di Azure e si vuole integrare un'altra istanza di Jamf con la sottoscrizione.

Se attualmente è presente un'integrazione configurata manualmente tra Intune e Jamf Pro, prima di procedere vedere Rimuovere l'integrazione di Jamf Pro per un tenant configurato in precedenza in questo articolo per rimuovere l'integrazione. La rimozione di un'integrazione configurata manualmente è necessaria per poter configurare correttamente Jamf Cloud Connector.

Creare una nuova connessione

1. Accedere alla console di Jamf Pro.

2. Selezionare Settings (Impostazioni, l'icona a forma di ingranaggio nell'angolo superiore destro) e quindi selezionare Global Management (Gestione globale)>Conditional Access (Accesso condizionale).

   

3. Selezionare Modifica.

4. Selezionare la casella di controllo Enable Intune Integration for macOS (Abilita integrazione con Intune per macOS).

   • Selezionare questa impostazione per fare in modo che Jamf Pro invii gli aggiornamenti dell'inventario a Microsoft Intune.
   • È possibile deselezionare questa impostazione per disabilitare la connessione ma salvare la configurazione.

   Importante

   Se Enable Intune Integration for macOS (Abilita integrazione con Intune per macOS) è già selezionata e Connection Type (Tipo di connessione) è impostato su Manual (Manuale), è necessario rimuovere questa integrazione prima di continuare. Vedere Rimuovere l'integrazione di Jamf Pro per un tenant configurato in precedenza in questo articolo prima di continuare.

5. In Connection Type (Tipo di connessione) selezionare Cloud Connector.

   

6. Nel menu a comparsa Sovereign Cloud (cloud sovrano) selezionare la posizione del cloud sovrano da Microsoft. Se si sta sostituendo l'integrazione precedente con Jamf Cloud Connector, è possibile ignorare questo passaggio se è stata specificata la posizione.

7. Selezionare una delle opzioni della pagina di destinazione seguenti per i computer non riconosciuti da Microsoft Azure:

   • Pagina Registrazione dispositivo Jamf Pro predefinita: a seconda dello stato del dispositivo macOS, questa opzione reindirizza gli utenti al portale di registrazione del dispositivo Jamf Pro (per la registrazione con Jamf Pro) o all'app Portale aziendale Intune (per registrarsi con Microsoft Entra ID).
   • Pagina Accesso negato
   • URL personalizzato

   Se si sta sostituendo l'integrazione precedente con Jamf Cloud Connector, è possibile ignorare questo passaggio se è stata specificata la pagina di destinazione.

8. Selezionare Connetti. Si viene reindirizzati per registrare le applicazioni Jamf Pro in Azure.

   Quando richiesto, specificare le credenziali di Microsoft Azure e seguire le istruzioni visualizzate per concedere le autorizzazioni richieste. Si concederanno autorizzazioni per Cloud Connector e poi di nuovo per l'app di registrazione utenti Cloud Connector. Entrambe le app sono registrate in Azure come applicazioni aziendali.

   Dopo la concessione delle autorizzazioni a entrambe le app viene visualizzata la pagina Application ID (ID applicazione).

9. Nella pagina Application ID (ID applicazione) selezionare Copy and open Intune (Copia e apri Intune).

   

   L'ID applicazione viene copiato negli Appunti di sistema per l'uso nel passaggio successivo e viene aperto il nodo Gestione dei dispositivi partnernell'interfaccia di amministrazione Microsoft Intune. (Amministrazione del tenant>Gestione dei dispositivi partner).

10. Nel nodo Gestione dispositivi partnerincollarel'ID applicazione nel campo Specificare l'ID app Microsoft Entra per Jamf e quindi selezionare Salva.

    

11. Tornare alla pagina dell'ID applicazione in Jamf Pro e selezionare Confirm (Conferma).

12. Jamf Pro completa la configurazione ed esegue il testing, quindi visualizza l'esito positivo o negativo della connessione nella pagina delle impostazioni Conditional Access (Accesso condizionale). L'immagine seguente è un esempio di connessione riuscita:

    

13. Nell'interfaccia di amministrazione Microsoft Intune aggiornare il nodo Di gestione dei dispositivi partner. La connessione ora viene visualizzata come Attiva:

    

Quando la connessione tra Jamf Pro e Microsoft Intune viene stabilita correttamente, Jamf Pro invia informazioni di inventario a Microsoft Intune per ogni computer registrato con Microsoft Entra ID (la registrazione con Microsoft Entra ID è un flusso di lavoro dell'utente finale). È possibile visualizzare Conditional Access Inventory State (Stato di inventario per l'accesso condizionale) per un utente e un computer nella categoria Local User Account (Account utente locale) delle informazioni di inventario di un computer in Jamf Pro.

Dopo aver integrato un'istanza di Jamf Pro usando Jamf Cloud Connector, è possibile usare questa stessa procedura per configurare più istanze di Jamf Pro con la stessa sottoscrizione Intune nel tenant di Azure.

Impostare i criteri di conformità e registrare i dispositivi

Dopo aver configurato l'integrazione tra Intune e Jamf, è necessario applicare i criteri di conformità per i dispositivi gestiti da Jamf.

Disconnettere Jamf Pro e Intune

Per rimuovere l'integrazione di Jamf Pro con Intune, seguire questa procedura per rimuovere la connessione dalla console di Jamf Pro. Queste informazioni si applicano sia al connettore cloud che per un'integrazione configurata manualmente.

Deprovision Jamf Pro dall'interfaccia di amministrazione Microsoft Intune

1. Nell'interfaccia di amministrazione Microsoft Intune passare a Connettori di amministrazione> tenante token Gestione dei>dispositivi partner.

2. Selezionare l'opzione Termina. Intune visualizza un messaggio relativo all'azione. Esaminare il messaggio e, quando è pronto, selezionare OK. L'opzione Termina integrazione viene visualizzata solo quando esiste la connessione Jamf.

Dopo aver terminato l'integrazione, aggiornare la visualizzazione dell'interfaccia di amministrazione per aggiornare la visualizzazione. I dispositivi macOS dell'organizzazione vengono rimossi da Intune in 90 giorni.

Deprovision Jamf Pro dall'interno della console di Jamf Pro

Seguire questa procedura per rimuovere la connessione dalla console di Jamf Pro.

1. Nella console di Jamf Pro passareall'accesso condizionale di gestione> globale. Nella scheda macOS Intune Integration (Integrazione con Intune per macOS) selezionare Edit (Modifica).

2. Deselezionare la casella di controllo Enable Intune Integration for macOS (Abilita integrazione con Intune per macOS).

3. Selezionare Salva. Jamf Pro invia la configurazione a Intune e l'integrazione verrà terminata.

4. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

5. Selezionare Amministrazione del tenant>Connettori e token>Gestione dei dispositivi partner per verificare che lo stato ora sia Terminato.

Dopo aver terminato l'integrazione, i dispositivi macOS dell'organizzazione verranno rimossi alla data visualizzata nella console, ovvero dopo tre mesi.

Supporto tecnico per Cloud Connector

Poiché Cloud Connector crea automaticamente le app Azure Enterprise necessarie per l'integrazione, il primo punto di contatto per il supporto è Jamf. Le opzioni disponibili sono:

• Invio di un messaggio di posta elettronica a support@jamf.com
• Uso del portale di supporto Jamf Nation: https://www.jamf.com/support/

Prima di contattare il supporto tecnico:

• Esaminare i prerequisiti, ad esempio le porte e la versione del prodotto in uso.

• Verificare che le autorizzazioni per le due app Jamf Pro seguenti create in Azure non siano state modificate. Le modifiche alle autorizzazioni dell'app non sono supportate da Intune e possono causare errori di integrazione.

  App di registrazione utenti Cloud Connector:

  • Nome API: Microsoft Graph
    • Autorizzazione: accedere e leggere il profilo utente
    • Tipo: Delegato
    • Concesso tramite: consenso dell'amministratore
    • Concesso da: un amministratore

  App Cloud Connector:

  • Nome API: Microsoft Graph (istanza 1)

    • Autorizzazione: accedere e leggere il profilo utente
    • Tipo: Delegato
    • Concesso tramite: consenso dell'amministratore
    • Concesso da: un amministratore

  • Nome API: Microsoft Graph (istanza 2)

    • Autorizzazione: lettura dei dati della directory
    • Tipo: applicazione
    • Concesso tramite: consenso dell'amministratore
    • Concesso da: un amministratore

  • Nome API: Intune API

    • Autorizzazione: inviare attributo dispositivo a Microsoft Intune
    • Tipo: applicazione
    • Concesso tramite: consenso dell'amministratore
    • Concesso da: un amministratore

Domande frequenti su Jamf Cloud Connector

Quali dati vengono condivisi tramite Cloud Connector?

Cloud Connector esegue l'autenticazione con Microsoft Azure e invia dati di inventario del dispositivo da Jamf Pro ad Azure. Cloud Connector gestisce anche l'individuazione dei servizi in Azure, lo scambio di token, gli errori di comunicazione e il ripristino di emergenza.

Dove vengono archiviati i dati di inventario dei dispositivi?

I dati di inventario dei dispositivi vengono archiviati nel database Jamf Pro.

Quali credenziali vengono archiviate?

Non viene archiviata nessuna credenziale. Quando si configura Cloud Connector, è necessario fornire il consenso all'aggiunta dell'app multi-tenant Jamf e dell'app connettore macOS nativa al tenant Microsoft Entra. Dopo l'aggiunta dell'applicazione multi-tenant, Cloud Connector richiede token di accesso per interagire con l'API di Azure. L'accesso alle applicazioni può essere revocato in qualsiasi momento in Microsoft Azure.

In che modo vengono crittografati i dati?

Cloud Connector usa Transport Layer Security (TLS) per i dati scambiati tra Jamf Pro e Microsoft Azure.

In che modo Jamf rileva quale dispositivo è associato a quale istanza di Jamf Pro?

Jamf Pro usa i microservizi in AWS per indirizzare correttamente le informazioni del dispositivo all'istanza appropriata.

È possibile passare dall'uso di Cloud Connector al tipo di connessione manuale?

Sì. È possibile ripristinare il tipo di connessione manuale e seguire i passaggi per la configurazione manuale. In caso di domande, rivolgersi a Jamf per assistenza.

Le autorizzazioni sono state modificate in una o entrambe le app necessarie (Cloud Connector e App di registrazione utente Cloud Connector) e la registrazione non funziona. La modifica delle autorizzazioni è supportata?

La modifica delle autorizzazioni per le app non è supportata.

In Jamf Pro è presente un file di log che indica se il tipo di connessione è stato modificato?

Sì, le modifiche vengono registrate nel file JAMFChangeManagement.log. Per visualizzare i log di Gestione modifiche, accedere a Jamf Pro, passare a Impostazioni> Loggestione> modificheimpostazioni> di sistema, cercareTipo di oggetto per l'accesso condizionale e quindi selezionare Dettagli per visualizzare le modifiche.

Passaggi successivi

• Applicare criteri di conformità a dispositivi gestiti da Jamf
• Dati inviati da Jamf a Intune
• Integrare Jamf Pro con Intune per segnalare la conformità a Microsoft Entra ID.