Integrar o Jamf Pro com o Microsoft Intune para comunicar a conformidade do dispositivo ao Microsoft Entra ID

O processo para estabelecer a integração entre o Jamf Pro e o Microsoft Intune está a evoluir. O relatório da status de conformidade dos dispositivos geridos pelo Jamf pode agora permitir que o ambiente do Jamf Pro determine a status de conformidade com as políticas geridas do Jamf e comunique o estado de conformidade do dispositivo para Microsoft Entra ID através de um conector no Intune. Assim que os status de conformidade para dispositivos geridos pelo Jamf forem comunicados ao Microsoft Entra ID, esses dispositivos poderão cumprir os princípios de Zero-Trust que Microsoft Entra as políticas de Acesso Condicional estabelecem.

Importante

O suporte de dispositivos macOS do Jamf para Acesso Condicional está a ser preterido.

A partir de 31 de janeiro de 2025, a plataforma na qual a funcionalidade acesso condicional do Jamf Pro está incorporada deixará de ser suportada.

Se utilizar a integração de Acesso Condicional do Jamf Pro para dispositivos macOS, siga as diretrizes documentadas do Jamf para migrar os seus dispositivos para a integração de Conformidade de Dispositivos em Migrar do Acesso Condicional do macOS para a Conformidade de Dispositivos macOS – Documentação do Jamf Pro.

Se precisar de ajuda, contacte o Jamf Customer Success. Para obter mais informações, consulte a mensagem de blogue em https://aka.ms/Intune/Jamf-Device-Compliance.

Este artigo pode ajudá-lo com as seguintes tarefas:

• Configure os componentes e configurações necessários no Jamf Pro.
• Configurar o Jamf Pro para implantar o aplicativo Portal da Empresa do Intune nos dispositivos gerenciados com o Jamf.
• Configure uma política para implementar para os utilizadores através da aplicação do portal self-service jamf para registar dispositivos com Microsoft Entra ID.
• Configure o Conector Intune.
• Prepare Microsoft Entra ID componentes necessários.

Permissões da conta

Para concluir os procedimentos neste artigo, tem de ter:

• Uma conta de utilizador do Jamf Pro com privilégios de conformidade do dispositivo ou uma conta de administrador do Jamf Pro.

• Uma conta Microsoft Entra atribuída a uma função com permissões suficientes. As funções incorporadas disponíveis incluem:

  • Intune Administrador – esta função pode executar todos os passos neste artigo.

    Dica

    O Administrador Intune é uma função altamente privilegiada com acesso total no Microsoft Intune. Quando delega funções a outras contas, considere atribuir uma função incorporada com menos privilégios.

  • Administrador de Grupos – esta função pode criar os grupos de dispositivos necessários.

  • Administrador de Acesso Condicional – esta função pode criar e atualizar o Microsoft Entra políticas de Acesso Condicional que permitem o registo utilizador-dispositivo.

  • Administrador da Aplicação – esta função pode criar aplicações que comunicam com o JAMF sobre o estado de conformidade do dispositivo.

  Para obter mais informações sobre estas funções, veja Microsoft Entra funções incorporadas.

Perguntas comuns sobre a integração do Jamf Pro com Microsoft Entra ID

Por que motivo a integração com Microsoft Entra ID beneficiaria os nossos dispositivos geridos pelo Jamf Pro?

Microsoft Entra políticas de Acesso Condicional podem exigir que os dispositivos cumpram não só as normas de conformidade, mas também se registem com Microsoft Entra ID. As organizações procuram melhorar continuamente a sua postura de segurança ao utilizar Microsoft Entra políticas de Acesso Condicional para garantir os seguintes cenários de exemplo:

• Os dispositivos são registados com Microsoft Entra ID.
• Os dispositivos estão a utilizar uma localização fidedigna conhecida ou um intervalo de endereços IP.
• Os dispositivos estão a cumprir os padrões de conformidade para aceder aos recursos empresariais através das aplicações de ambiente de trabalho do Microsoft 365 e do browser.

O que há de diferente na integração Microsoft Entra vs. o método de Acesso Condicional oferecido anteriormente pelo Jamf?

Para organizações que utilizam o Jamf Pro, mas ainda não estabeleceram uma ligação ao Intune, o método anterior que utilizou a configuração no caminho de Acesso Condicional Global > das Definições > do portal do Jamf Pro já não consegue aceitar novas configurações.

As novas integrações requerem configurações em Definições Conformidade Global > de Dispositivos > e fornecem um processo baseado no assistente para guiá-lo através da ligação ao Intune. O assistente fornece um método para criar as aplicações Microsoft Entra registadas necessárias. Estas aplicações registadas não podem ser pré-criadas neste design atual, tal como eram anteriormente.

Configurações administrativas do Jamf Pro

As configurações do Jamf Pro requerem a criação dos seguintes Grupos inteligentes de computadores e Política de computador na consola do Jamf Pro antes de estabelecer a ligação ao Intune.

Grupos inteligentes de computadores

Crie dois grupos inteligentes de computador com os seguintes exemplos:

Aplicável: crie um grupo inteligente de computador com critérios, que determina os dispositivos que precisam de acesso aos recursos da empresa no inquilino da Microsoft.

Exemplo: Aceda aOs Grupos de Computadores>Inteligentes do Jamf Pro> criam um novo grupo:

• Nome a Apresentar:
  • Neste artigo, designámos o grupo Jamf-Intune Grupo Aplicável.
• Critérios:
  • Título da Aplicação, Operador = é, Valor = CompanyPortal.app

Conformidade: crie um segundo grupo inteligente de computador com critérios, que determina se os dispositivos são considerados conformes no Jamf e cumprem as normas de segurança da sua organização.

Exemplo: Aceda aGrupos de Computadores Inteligentesde Computadores>Jamf Pro> e crie outro grupo:

• Nome a Apresentar:
  • Neste artigo, designámos o grupo Jamf-Intune Grupo de Conformidade.
  • Opção para ativar a opçãoEnviar notificação por e-mail sobre a alteração da associação.
• Critérios:
  • Última Atualização de Inventário, Operador = Há menos de x dias, Valor = 2
  • e - Critérios: Título da Aplicação, Operador = é, Valor = CompanyPortal.app
  • e - Cofre de Ficheiros 2, Operador = é, Valor = Todas as Partições Encriptadas

Política de computador

Crie uma política de computador que inclua as seguintes configurações:

Exemplo: Aceda àPolítica deComputadores>Do Jamf Pro> e crie uma nova política:

• Separador Opções :

  • Geral:
    • Nome a Apresentar – atribua um nome à política. Por exemplo, Registe-se com Microsoft Entra ID(Microsoft Entra).
    • Ativado – selecione esta caixa para ativar a política.
  • Conformidade de Dispositivos Microsoft:
    • Ative Registar computadores com Microsoft Entra ID.

• Separador Âmbito : configure Destinos de Implementação Selecionados para Adicionar o grupo inteligente de computador aplicável criado como parte das configurações administrativas do Jamf Pro.

• Separador Self-Service :

  • Ative Disponibilizar a política em Self-Service.
  • Defina um nome a apresentar.
  • Defina um nome de botão.
  • Forneça uma descrição.
  • Ative Garantir que os utilizadores veem a descrição.
  • Ative as Categorias opcionais conforme pretendido.

• Selecione Salvar.

Aplicação Mac

Crie uma aplicação no Catálogo de Aplicações jamf do Mac Apps para a Microsoft Intune Portal da Empresa que é implementada em todos os dispositivos. A utilização da versão do catálogo de aplicações do Jamf torna mais fácil manter a aplicação atualizada.

• Aceda a Computadores>Aplicações Mac e selecione +Novo.
• Selecione Catálogo de Aplicações do Jamf e, em seguida, selecione Seguinte.
• Procure Microsoft Intune Portal da Empresa e selecione adicionar junto à aplicação.
• Defina Grupo de Destino como Todos os Clientes Geridos.
• Defina o Método de Distribuição como Instalar Automaticamente.
• Ative Instalar perfis de configuração de suporte.
• Ative o comutador Implementar no canto superior direito e, em seguida, selecione Guardar.

Microsoft Entra configurações administrativas

A capacidade de registar dispositivos pode ser bloqueada devido às configurações da Política de Acesso Condicional que a sua organização tem em vigor para proteger os recursos empresariais.

Utilize o seguinte para criar um grupo, que contém utilizadores de dispositivos geridos pelo Jamf, que serão utilizados para definir o âmbito do conector Intune em passos posteriores.

1. Inicie sessão com https://entra.microsoft.com uma conta que tenha permissões para criar grupos e para criar e editar a política de Acesso Condicional.

2. Expanda Grupos>Todos os grupos> e selecione Novo Grupo.

3. Crie um grupo dinâmico com regras adequadas para incluir os utilizadores aplicáveis que irão registar os respetivos dispositivos geridos pelo Jamf com Microsoft Entra ID.

   Dica

   Recomendamos a utilização de um grupo dinâmico, mas também pode utilizar um grupo estático.

Ligar o Jamf Pro ao Intune

O Jamf Pro utiliza conectores no centro de administração do Microsoft Intune, localizado em >Conectores e tokens de Administração> de Inquilinos. O processo de ligação do Jamf Pro ao Intune é iniciado no portal administrativo do Jamf Pro e utiliza um assistente que pede os próximos passos.

1. Inicie sessão no portal do Jamf Administração, por exemplo: https://tenantname.jamfcloud.com.

2. Avance para Definições Compatibilidade Global > de Dispositivos>.

3. Selecione Editar e, em seguida, ative a plataforma macOS ao selecionar a caixa.

4. No menu pendente Grupo de Conformidade , selecione o grupo inteligente de computadores que criou para Conformidade na secção anterior Grupos inteligentes de computadores deste artigo.

5. No menu pendente Grupo Aplicável , selecione o grupo inteligente de computadores que criou para a aplicação na secção anterior Grupos inteligentes de computadores deste artigo.

6. Ative o Controlo de Deslize no canto superior direito e selecione Guardar.

7. Em seguida, são apresentados dois pedidos de Autenticação da Microsoft. Cada um requer um Administrador Global do Microsoft 365 para autenticar o pedido:

   • O primeiro pedido de autenticação cria o Cloud Connector para a aplicação de Conformidade de Dispositivos no Microsoft Entra ID.
   • O segundo pedido de autenticação cria a aplicação Registo de utilizadores para Conformidade do Dispositivo.

   

8. É aberto um novo separador do browser numa página do Portal do Jamf com uma caixa de diálogo Configurar Parceiro de Conformidade e, em seguida, selecione o botão Com o nome Abrir o Microsoft Endpoint Manager.

   

9. Um novo separador do browser abre o centro de administração do Microsoft Intune.

10. Avance para Administração > de inquilinos Conectores e tokens Gestão de conformidade de parceiros>.

11. Na parte superior da página Gestão de conformidade de parceiros , selecione Adicionar parceiro de conformidade.

12. No assistente Criar Parceiro de Conformidade :

    1. Utilize o menu pendente Parceiro de conformidade para selecionar Conformidade do Dispositivo Jamf.
    2. Utilize o menu pendente Plataforma para selecionar macOS e, em seguida, selecione Seguinte.
    3. Em Atribuições, selecione Adicionar Grupos e, em seguida, selecione o Microsoft Entra grupo de utilizadores criado anteriormente. Não selecione Adicionar todos os utilizadores, pois tal irá inibir a ligação.
    4. Selecione Seguinte e, em seguida, Criar.

13. No seu browser, abra o separador que contém o Portal do Jamf com a caixa de diálogo Configurar Parceiro de Conformidade .

14. Selecione o botão Confirmar .

    

15. Mude para o separador do browser que mostra o Intune Gestão de conformidade de parceiros dashboard e selecione o ícone Atualizar na parte superior junto à opção Adicionar Parceiro de conformidade.

16. Verifique se o conector de Conformidade do Dispositivo Jamf do macOS mostra o Estado do Parceiro ativo.

    

Concluir a configuração administrativa

Para garantir que os utilizadores conseguem inscrever dispositivos, tem de estar ciente das políticas de Acesso Condicional Microsoft Entra que podem bloqueá-los. A aplicação Registo de Utilizadores para Conformidade do Dispositivo criada quando ligou o Jamf Pro ao Intune tem de ser adicionada como uma exclusão em qualquer política que possa impedir que os utilizadores registem os respetivos dispositivos.

Por exemplo, considere um Microsoft Entra política de Acesso Condicional que requer dispositivos em conformidade:

• Atribuições – atribua esta política a todos os utilizadores ou inclua grupos de utilizadores que tenham dispositivos geridos pelo Jamf.
• Recursos de destino – defina as seguintes configurações:
  • Aplicar a todas as aplicações da Cloud.
  • Exclua a aplicação Registo de Utilizadores da aplicação Conformidade do Dispositivo. Esta aplicação foi criada quando ligou o Jamf Pro ao Intune.
• As condições incluem as seguintes opções:
  • Requer conformidade
  • Requer um dispositivo registado

Notificações do utilizador final

Recomendamos que forneça uma ampla notificação da experiência do utilizador final para garantir que os seus utilizadores de dispositivos geridos pelo Jamf estão cientes do processo, como funciona e de um linha do tempo no qual precisam de cumprir a política. Um lembrete importante que deve ser incluído nestas notificações é que a aplicação jamf Self-Service contém a política que utilizam para registar o respetivo dispositivo. Os utilizadores não podem utilizar a Aplicação microsoft Portal da Empresa implementada para tentar registar-se. A utilização da Aplicação Portal da Empresa resulta num erro que indica AccountNotOnboarded.

Os dispositivos geridos com a plataforma Jamf não são apresentados na lista de dispositivos do Intune no processo seguinte. Depois de os utilizadores registarem os respetivos dispositivos no Microsoft Entra ID, o estado inicial do dispositivo é apresentado como Não Conforme. Assim que o grupo inteligente do computador Jamf Pro configurado para Conformidade for atualizado, o status é enviado através do Conector de Intune para Microsoft Entra ID para atualizar o status de conformidade dos dispositivos. A frequência das atualizações à Microsoft Entra informações do dispositivo baseia-se no grupo inteligente Computador de conformidade na frequência de alteração do Jamf.

Solução de problemas

Problema

Após o lançamento da política a partir da Aplicação jamf Self-Service no dispositivo macOS, conforme indicado, o pedido de autenticação da Microsoft parecia funcionar normalmente. No entanto, a status do dispositivo apresentada no Microsoft Entra ID não foi atualizada de N/D para o estado Conforme esperado, mesmo depois de aguardar uma hora ou mais.

Neste caso, o registo do dispositivo no Microsoft Entra ID estava incompleto.

Resolução

Primeiro, verifique o seguinte:

• O dispositivo é apresentado como membro do grupo inteligente de computadores Jamf para Conformidade. Esta associação indica que o dispositivo está em conformidade.
• O utilizador de autenticação é um membro do grupo de Microsoft Entra que está no âmbito do conector jamf Intune.

Em segundo lugar, no dispositivo afetado:

• Abra a aplicação terminal e execute o seguinte comando:

  /usr/local/jamf/bin/jamfaad gatherAADInfo

  • Se o comando não resultar numa linha de comandos e, em vez disso, devolver Microsoft Entra ID adquirido para $USER de utilizadores do macOS, o registo estava correto.
  • Se o comando criar um pedido de início de sessão e o utilizador conseguir concluir o início de sessão sem erros, poderá ter ocorrido um erro de utilizador durante a tentativa inicial de registo.
  • Se o comando criar uma linha de comandos de início de sessão, mas existir um erro quando o utilizador iniciar sessão, é necessária uma resolução de problemas adicional através de um pedido de suporte.

Próximas etapas

• Aplique as políticas de conformidade aos dispositivos gerenciados pelo Jamf
• Dados enviados pelo Jamf ao Intune