Konfigurowanie łącznika chmury narzędzia Jamf w celu integracji z Microsoft Intune
Ważna
Obsługa urządzeń jamf z systemem macOS dla dostępu warunkowego jest przestarzała.
Począwszy od 1 września 2024 r., platforma, na której jest oparta funkcja dostępu warunkowego narzędzia Jamf Pro, nie będzie już obsługiwana.
Jeśli używasz integracji dostępu warunkowego narzędzia Jamf Pro dla urządzeń z systemem macOS, postępuj zgodnie z udokumentowanymi wytycznymi narzędzia Jamf, aby przeprowadzić migrację urządzeń do integracji zgodności urządzeń w sekcji Migrowanie z dostępu warunkowego systemu macOS do zgodności urządzeń z systemem macOS — dokumentacja narzędzia Jamf Pro.
Jeśli potrzebujesz pomocy, skontaktuj się z firmą Jamf Customer Success. Aby uzyskać więcej informacji, zobacz wpis w blogu pod adresem https://aka.ms/Intune/Jamf-Device-Compliance.
Ten artykuł może ułatwić zainstalowanie łącznika chmury narzędzia Jamf w celu zintegrowania narzędzia Jamf Pro z usługą Microsoft Intune. Dzięki integracji możesz wymagać, aby urządzenia z systemem macOS, które są zarządzane przez narzędzie Jamf Pro, spełniać Intune wymagania dotyczące zgodności urządzeń, zanim te urządzenia będą mogły uzyskiwać dostęp do zasobów organizacji. Dostęp do zasobów jest kontrolowany przez zasady dostępu warunkowego Microsoft Entra w taki sam sposób jak w przypadku urządzeń zarządzanych za pośrednictwem Intune.
Zalecamy użycie łącznika jamf Cloud Connector, ponieważ automatyzuje on wiele kroków wymaganych podczas ręcznej konfiguracji integracji zgodnie z opisem w artykule Integrowanie narzędzia Jamf Pro z Intune w celu zapewnienia zgodności.
Po skonfigurowaniu łącznika Cloud:
- Ustawienie automatycznie tworzy aplikacje narzędzia Jamf Pro na platformie Azure, zastępując potrzebę ręcznej konfiguracji.
- Możesz zintegrować wiele wystąpień narzędzia Jamf Pro z tą samą dzierżawą platformy Azure, która hostuje subskrypcję usługi Intune.
Łączenie wielu wystąpień narzędzia Jamf Pro z jedną dzierżawą platformy Azure jest obsługiwane tylko w przypadku korzystania z łącznika chmury. Jeśli używasz ręcznie skonfigurowanego połączenia, tylko pojedyncze wystąpienie narzędzia Jamf może zostać zintegrowane z dzierżawą platformy Azure.
Korzystanie z łącznika chmury jest opcjonalne:
- W przypadku nowych dzierżaw jeszcze nie zintegrowanych z narzędziem Jamf można skonfigurować łącznik chmury zgodnie z opisem w tym artykule. Można też ręcznie skonfigurować integrację zgodnie z opisem w artykule Integrowanie narzędzia Jamf Pro z usługą Intune w celu zachowania zgodności
- W przypadku dzierżaw, które już mają konfigurację ręczną, można usunąć tę integrację, a następnie skonfigurować łącznik chmury. W tym artykule opisano zarówno usunięcie istniejącej integracji, jak i konfigurację łącznika chmury.
Jeśli planujesz zastąpić poprzednią integrację z łącznikiem chmury narzędzia Jamf:
- Użyj procedury usuwania bieżącej konfiguracji, która obejmuje usunięcie aplikacji przedsiębiorstwa dla narzędzia Jamf Pro i wyłączenie integracji ręcznej. Następnie możesz wykonać kroki procedury konfigurowania łącznika chmury.
- Nie musisz ponownie rejestrować urządzeń. Urządzenia, które są już zarejestrowane, mogą korzystać z łącznika chmury bez dalszej konfiguracji.
- Należy pamiętać o skonfigurowaniu łącznika chmury w ciągu 24 godzin od usunięcia integracji ręcznej w celu upewnienia się, że zarejestrowane urządzenia będą mogły kontynuować raportowanie stanu.
Aby uzyskać więcej informacji na temat łącznika chmury narzędzia Jamf, zobacz Konfigurowanie integracji systemu macOS z usługą Intune przy użyciu łącznika chmury na stronie docs.jamf.com.
Wymagania wstępne
Produkty i usługi:
- Narzędzie Jamf Pro 10.18 lub nowsza wersja
- Konto użytkownika narzędzia Jamf Pro z uprawnieniami dostępu warunkowego
- Microsoft Intune
- Tożsamość Microsoft Entra P1 lub P2
- Aplikacja Portal firmy dla systemu macOS
- urządzenia z systemem macOS (OS X 10.12 Yosemite lub nowszym)
Sieć:
Aby umożliwić poprawną integrację, następujące porty i punkty końcowe muszą być dostępne dla narzędzia Jamf i usługi Intune:
Intune: port 443
Apple: porty 2195, 2196 i 5223 (powiadomienia wypychane do usługi Intune)
Jamf: porty 80 i 5223
Punkty końcowe:
- login.microsoftonline.com
- graph.windows.net
- *.manage.microsoft.com
Aby usługa APNS działała prawidłowo w sieci, należy włączyć połączenia wychodzące do i przekierowania z następujących portów:
- bloku Apple 17.0.0.0/8 przez porty TCP 5223 i 443 ze wszystkich sieci klienta,
- portów 2195 i 2196 z serwerów Jamf Pro.
Aby uzyskać więcej informacji o tych portach, zobacz następujące artykuły:
- Przepustowość i wymagania dotyczące konfiguracji sieci usługi Intune.
- Network Ports Used by Jamf Pro (Porty sieciowe używane przez Jamf Pro) w witrynie jamf.com.
- Porty TCP i UDP używane przez produkty Apple w witrynie support.apple.com
Konta:
Procedury opisane w tym artykule wymagają korzystania z kont z następującymi uprawnieniami:
- Konsola narzędzia Jamf Pro: konto z uprawnieniami do zarządzania narzędziem Jamf Pro
- centrum administracyjne Microsoft Intune: administrator globalny
- Azure Portal: administrator globalny
Usuwanie integracji narzędzia Jamf Pro dla wcześniej skonfigurowanej dzierżawy
Poniższa procedura umożliwia usunięcie ręcznie skonfigurowanej integracji narzędzia Jamf Pro z dzierżawy platformy Azure przed skonfigurowaniem łącznika chmury.
Jeśli wcześniej nie skonfigurowano połączenia między narzędziem Jamf Pro i Intune lub jeśli masz co najmniej jedno połączenie, które już korzysta z łącznika chmury, pomiń tę procedurę i zacznij od konfigurowania łącznika chmury dla nowej dzierżawy.
Usuwanie ręcznie skonfigurowanej integracji z narzędziem Jamf Pro
Zaloguj się do konsoli narzędzia Jamf Pro.
Wybierz pozycję Ustawienia (ikona koła zębatego w prawym górnym rogu), a następnie przejdź do pozycji Zarządzanie globalne>Dostęp warunkowy.
Wybierz pozycję Edytuj.
Usuń zaznaczenie pola wyboru opcji Włącz integrację z usługą Intune dla systemu macOS.
Usunięcie zaznaczenia tego ustawienia powoduje dezaktywację połączenia, ale konfiguracja jest zapisywana.
Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do pozycji Zarządzanieurządzeniami partnerówadministracji> dzierżawczej.
W węźle Zarządzanie urządzeniami partnerskimi usuń identyfikator aplikacji w polu Określ identyfikator aplikacji Microsoft Entra dla narzędzia Jamf, a następnie wybierz pozycję Zapisz.
Identyfikator aplikacji to identyfikator aplikacji Azure Enterprise, która jest tworzona na platformie Azure podczas konfigurowania integracji ręcznej w przypadku narzędzia Jamf Pro.
Zaloguj się do Azure Portal przy użyciu konta z uprawnieniami Administracja globalnego i przejdź do obszaru Tożsamość Microsoft Entra>Ustawienia aplikacji.
Znajdź dwie aplikacje narzędzia Jamf i usuń je. Nowe aplikacje zostaną automatycznie utworzone po skonfigurowaniu łącznika chmury narzędzia Jamf w następnej procedurze.
Po wyłączeniu integracji w narzędziu Jamf Pro i usunięciu aplikacji dla przedsiębiorstw w węźle Zarządzanie urządzeniami partnerskimi, w węźle wyświetlany jest stan połączenia Zakończone.
Teraz, po pomyślnym usunięciu konfiguracji ręcznej dla integracji z narzędziem Jamf Pro, możesz skonfigurować integrację przy użyciu łącznika chmury. Aby to zrobić, zobacz sekcję Konfigurowanie łącznika chmury dla nowej dzierżawy w tym artykule.
Konfigurowanie łącznika chmury dla nowej dzierżawy
Poniższa procedura umożliwia skonfigurowanie łącznika chmury narzędzia Jamf w celu integracji narzędzia Jamf Pro i usługi Microsoft Intune w przypadku, gdy:
- Dla dzierżawy platformy Azure nie została skonfigurowana żadna integracja między narzędziem Jamf Pro i usługą Intune.
- Masz już skonfigurowany łącznik chmury między narzędziem Jamf Pro i Intune w dzierżawie platformy Azure i chcesz zintegrować inne wystąpienie narzędzia Jamf z subskrypcją.
Jeśli obecnie masz ręcznie skonfigurowaną integrację usługi Intune z narzędziem Jamf Pro, wykonaj kroki procedury Usuwanie integracji narzędzia Jamf Pro dla wcześniej skonfigurowanej dzierżawy w tym artykule, aby usunąć tę integrację przed kontynuowaniem. Aby móc pomyślnie skonfigurować łącznik chmury narzędzia Jamf, należy najpierw usunąć ręcznie skonfigurowaną integrację.
Tworzenie nowego połączenia
Zaloguj się do konsoli narzędzia Jamf Pro.
Wybierz pozycję Ustawienia (ikona koła zębatego w prawym górnym rogu), a następnie przejdź do pozycji Zarządzanie globalne>Dostęp warunkowy.
Wybierz pozycję Edytuj.
Zaznacz pole wyboru opcji Włącz integrację z usługą Intune dla systemu macOS.
- Wybierz to ustawienie, aby narzędzie Jamf Pro wysyłało aktualizacje spisu do usługi Microsoft Intune.
- Możesz usunąć zaznaczenie tego ustawienia, aby wyłączyć połączenie, ale zapisać konfigurację.
Ważna
Jeśli opcja Włącz integrację z usługą Intune dla systemu macOS jest już zaznaczona, a Typ połączenia jest ustawiony na Ręczne, należy usunąć tę integrację przed kontynuowaniem. Przed kontynuowaniem zapoznaj się z procedurą Usuwanie integracji narzędzia Jamf Pro dla wcześniej skonfigurowanej dzierżawy w tym artykule.
W obszarze Typ połączenia wybierz pozycję Łącznik chmury.
Z menu podręcznego Suwerenna chmura wybierz lokalizację swojej suwerennej chmury od firmy Microsoft. Jeśli zamierzasz zastąpić poprzednią integrację z łącznikiem chmury narzędzia Jamf, możesz pominąć ten krok, jeśli określono lokalizację.
Wybierz jedną z następujących opcji strony docelowej dla komputerów, które nie są rozpoznawane przez platformę Microsoft Azure:
- Domyślna strona Rejestrowanie urządzeń Jamf Pro — w zależności od stanu urządzenia z systemem macOS ta opcja przekierowuje użytkowników do portalu rejestracji urządzeń Jamf Pro (w celu zarejestrowania w narzędziu Jamf Pro) lub aplikacji Intune — Portal firmy (w celu zarejestrowania się w Tożsamość Microsoft Entra).
- Strona odmowy dostępu
- Niestandardowy adres URL
Jeśli zamierzasz zastąpić poprzednią integrację z łącznikiem chmury narzędzia Jamf, możesz pominąć ten krok, jeśli określono stronę docelową.
Wybierz pozycję Połącz. Nastąpi przekierowanie w celu zarejestrowania aplikacji narzędzia Jamf Pro na platformie Azure.
Po wyświetleniu monitu podaj poświadczenia platformy Microsoft Azure i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby udzielić żądanych uprawnień. Przyznasz uprawnienia do łącznika chmury, a następnie ponownie do aplikacji rejestracji użytkownika łącznika chmury. Obie aplikacje są zarejestrowane na platformie Azure jako aplikacje dla przedsiębiorstw.
Po udzieleniu uprawnień dla obu aplikacji zostanie otwarta strona Identyfikator aplikacji.
Na stronie Identyfikator aplikacji wybierz pozycję Kopiowanie i otwieranie usługi Intune.
Identyfikator aplikacji jest kopiowany do schowka systemowego do użycia w następnym kroku, a węzeł Zarządzanie urządzeniami partnerskimi w centrum administracyjnym Microsoft Intune zostanie otwarty. (Administracja dzierżawy>Zarządzanie urządzeniami partnerskimi).
W węźle Zarządzanie urządzeniami partnerskimiwklejidentyfikator aplikacji w polu Określ identyfikator aplikacji Microsoft Entra dla narzędzia Jamf, a następnie wybierz pozycję Zapisz.
Wróć do strony Identyfikator aplikacji w narzędziu Jamf Pro i wybierz pozycję Potwierdź.
Narzędzie Jamf Pro ukończy i przetestuje konfigurację, a następnie wyświetli komunikat o powodzeniu lub niepowodzeniu połączenia na stronie ustawień dostępu warunkowego. Poniższy obraz przedstawia przykład powodzenia:
W centrum administracyjnym Microsoft Intune odśwież węzeł Zarządzanie urządzeniami partnerów. Połączenie powinno teraz być widoczne jako Aktywne:
Po pomyślnym nawiązaniu połączenia między narzędziem Jamf Pro i Microsoft Intune narzędzie Jamf Pro wysyła informacje o spisie do Microsoft Intune dla każdego komputera zarejestrowanego w Tożsamość Microsoft Entra (rejestracja w Tożsamość Microsoft Entra jest przepływ pracy użytkownika końcowego). Stan spisu dla dostępu warunkowego dla użytkownika i komputera można wyświetlić w kategorii Konto użytkownika lokalnego informacji o spisie komputera w narzędziu Jamf Pro.
Po zintegrowaniu jednego wystąpienia narzędzia Jamf Pro przy użyciu łącznika chmury narzędzia Jamf możesz użyć tej samej procedury, aby skonfigurować więcej wystąpień narzędzia Jamf Pro z tą samą subskrypcją Intune w dzierżawie platformy Azure.
Konfigurowanie zasad zgodności i rejestrowanie urządzeń
Po skonfigurowaniu integracji między usługą Intune i narzędziem Jamf musisz zastosować zasady zgodności do urządzeń zarządzanych za pomocą narzędzia Jamf.
Rozłączanie narzędzia Jamf Pro i usługi Intune
Aby usunąć integrację narzędzia Jamf Pro z aplikacją Intune, wykonaj następujące kroki, aby usunąć połączenie z konsoli narzędzia Jamf Pro. Te informacje dotyczą zarówno łącznika chmury, jak i ręcznie skonfigurowanej integracji.
Anulowanie aprowizacji narzędzia Jamf Pro z poziomu centrum administracyjnego Microsoft Intune
W centrum administracyjnym Microsoft Intune przejdź do pozycji Łączniki administracji>dzierżawy i tokenyZarządzanie urządzeniami partnerskimi>.
Wybierz opcję Zakończ. Intune wyświetla komunikat o akcji. Przejrzyj komunikat i gdy wszystko będzie gotowe, wybierz przycisk OK. Opcja Zakończenia integracji jest wyświetlana tylko wtedy, gdy istnieje połączenie narzędzia Jamf.
Po zakończeniu integracji odśwież widok centrum administracyjnego, aby zaktualizować widok. Urządzenia z systemem macOS w organizacji zostaną usunięte z Intune w ciągu 90 dni.
Anulowanie aprowizacji narzędzia Jamf Pro z poziomu konsoli narzędzia Jamf Pro
Wykonaj poniższe kroki, aby usunąć połączenie z konsoli narzędzia Jamf Pro.
W konsoli narzędzia Jamf Pro przejdź do pozycjiDostęp warunkowyzarządzania> globalnego. Na karcie Integracja systemu macOS z usługą Intune kliknij przycisk Edytuj.
Wyczyść pole wyboru przy opcji Włącz integrację z usługą Intune dla systemu macOS.
Wybierz Zapisz. Narzędzie Jamf Pro wysyła konfigurację do Intune i integracja zostanie zakończona.
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Wybierz kolejno pozycje Administracja dzierżawą>Łączniki i tokeny>Zarządzanie urządzeniem partnera, aby sprawdzić, czy aktualny stan to Zakończono.
Po zakończeniu integracji urządzenia z systemem macOS w organizacji zostaną usunięte w dniu pokazanym w konsoli, czyli po trzech miesiącach.
Uzyskaj pomoc techniczną dotyczącą łącznika chmury
Ponieważ łącznik chmury automatycznie tworzy aplikacje dla przedsiębiorstw platformy Azure niezbędne do integracji, pierwszym punktem kontaktu ws. pomocy technicznej powinna być aplikacja Jamf. Dostępne opcje:
- Pomoc techniczna za pośrednictwem poczty e-mail pod adresem
support@jamf.com
- Portal pomocy technicznej w witrynie Jamf Nation: https://www.jamf.com/support/
Przed skontaktowaniem się z pomocą techniczną:
Zapoznaj się z wymaganiami wstępnymi, takimi jak porty i używana wersja produktu.
Upewnij się, że uprawnienia do następujących dwóch aplikacji narzędzia Jamf Pro utworzonych na platformie Azure nie zostały zmodyfikowane. Zmiany uprawnień aplikacji nie są obsługiwane przez Intune i mogą powodować niepowodzenie integracji.
Aplikacja rejestracji użytkownika łącznika chmury:
- Nazwa interfejsu API: Microsoft Graph
- Uprawnienie: logowanie i odczytywanie profilu użytkownika
- Typ: delegowane
- Udzielone za pośrednictwem: zgoda administratora
- Udzielone przez: administrator
Aplikacja łącznika chmury:
Nazwa interfejsu API: Microsoft Graph (wystąpienie 1)
- Uprawnienie: logowanie i odczytywanie profilu użytkownika
- Typ: delegowane
- Udzielone za pośrednictwem: zgoda administratora
- Udzielone przez: administrator
Nazwa interfejsu API: Microsoft Graph (wystąpienie 2)
- Uprawnienie: odczytywanie danych katalogu
- Type: aplikacja
- Udzielone za pośrednictwem: zgoda administratora
- Udzielone przez: administrator
Nazwa interfejsu API: interfejs API usługi Intune
- Uprawnienie: wysyłanie atrybutu urządzenia do usługi Microsoft Intune
- Type: aplikacja
- Udzielone za pośrednictwem: zgoda administratora
- Udzielone przez: administrator
- Nazwa interfejsu API: Microsoft Graph
Często zadawane pytania dotyczące łącznika chmury narzędzia Jamf
Jakie dane są udostępniane za pośrednictwem łącznika chmury?
Łącznik chmury uwierzytelnia się na platformie Microsoft Azure i wysyła dane spisu urządzeń z narzędzia Jamf Pro do platformy Azure. Ponadto łącznik chmury zarządza odnajdywaniem usług na platformie Azure, wymianą tokenów, błędami komunikacji i odzyskiwaniem po awarii.
Gdzie są przechowywane dane spisu urządzeń?
Dane spisu urządzeń są przechowywane w bazie danych narzędzia Jamf Pro.
Gdzie są przechowywane poświadczenia?
Żadne poświadczenia nie są przechowywane. Podczas konfigurowania łącznika chmury musisz wyrazić zgodę na dodanie aplikacji wielodostępnej jamf i natywnej aplikacji łącznika systemu macOS do dzierżawy Microsoft Entra. Po dodaniu aplikacji wielodostępnej łącznik chmury żąda tokenów dostępu w celu interakcji z interfejsem API platformy Azure. Dostęp do aplikacji można w dowolnym momencie odwołać na platformie Microsoft Azure, aby ograniczyć dostęp.
Jak są szyfrowane dane?
Łącznik chmury korzysta z protokołu TLS (Transport Layer Security) dla danych przesyłanych między narzędziem Jamf Pro a platformą Microsoft Azure.
Skąd narzędzie Jamf wie, które urządzenie jest skojarzone z wystąpieniem narzędzia Jamf Pro?
Narzędzie Jamf Pro używa mikrousług w usłudze AWS, aby poprawnie kierować informacje o urządzeniu do właściwego wystąpienia.
Czy mogę przełączyć się z używania łącznika chmury na typ połączenia Ręczne?
Tak. Możesz zmienić typ połączenia z powrotem na ręczny i postępować zgodnie z instrukcjami instalacji ręcznej. Jeśli masz pytania, musisz skierować je do firmy Jamf w celu uzyskania pomocy.
Uprawnienia zostały zmodyfikowane w jednej lub obu wymaganych aplikacjach (łącznik chmury i aplikacja rejestracji użytkowników łącznika chmury) i rejestracja nie działa. Czy zmiana uprawnień jest obsługiwana?
Modyfikowanie uprawnień w aplikacjach nie jest obsługiwane.
Czy w programie Jamf Pro znajduje się plik dziennika, który wskazuje, czy typ połączenia został zmieniony?
Tak, zmiany są rejestrowane w pliku JAMFChangeManagement.log. Aby wyświetlić dzienniki zarządzania zmianami, zaloguj się do narzędzia Jamf Pro, przejdź do pozycji Ustawienia>Ustawienia>systemowe Dziennikizarządzania zmianami>, wyszukaj typ obiektu pod kątem dostępu warunkowego, a następnie wybierz pozycję Szczegóły, aby wyświetlić zmiany.