Konfigurieren des Jamf Cloud-Connectors für die Integration in Microsoft Intune
Wichtig
Jamf macOS-Geräteunterstützung für bedingten Zugriff ist veraltet.
Ab dem 1. September 2024 wird die Plattform, auf der das Feature für bedingten Zugriff von Jamf Pro basiert, nicht mehr unterstützt.
Wenn Sie die Integration des bedingten Zugriffs von Jamf Pro für macOS-Geräte verwenden, befolgen Sie die dokumentierten Richtlinien von Jamf, um Ihre Geräte zur Integration der Gerätekonformität zu migrieren. Informationen finden Sie unter Migrieren von bedingtem macOS-Zugriff zu macOS-Gerätekonformität – Jamf Pro-Dokumentation.
Wenn Sie Hilfe benötigen, wenden Sie sich an Jamf Customer Success. Weitere Informationen finden Sie im Blogbeitrag unter https://aka.ms/Intune/Jamf-Device-Compliance.
Dieser Artikel kann Ihnen helfen, den Jamf-Cloudconnector zu installieren, um Jamf Pro in Microsoft Intune zu integrieren. Durch die Integration können Sie festlegen, dass Ihre macOS-Geräte, die von Jamf Pro verwaltet werden, Ihre Intune-Gerätekonformitätsanforderungen erfüllen müssen, bevor diese Geräte auf die Ressourcen Ihrer Organisation zugreifen dürfen. Der Zugriff auf Ressourcen wird durch Ihre Microsoft Entra-Richtlinien für bedingten Zugriff auf die gleiche Weise wie für Geräte gesteuert, die über Intune verwaltet werden.
Wir empfehlen die Verwendung des Jamf-Cloudconnectors, da er viele der Schritte automatisiert, die erforderlich sind, wenn Sie die Integration manuell konfigurieren, wie in Integrieren von Jamf Pro in Intune für die Compliance dokumentiert.
Wenn Sie den Cloudconnector einrichten:
- Setup erstellt automatisch die Jamf Pro-Anwendungen in Azure und vermeidet die Notwendigkeit, sie manuell zu konfigurieren.
- Sie können mehrere Instanzen von Jamf Pro mit demselben Azure-Mandanten integrieren, der Ihr Intune-Abonnement hostet.
Die Verbindung mehrerer Instanzen von Jamf Pro mit einem einzelnen Azure-Mandanten wird nur unterstützt, wenn Sie den Cloudconnector verwenden. Wenn Sie eine manuell konfigurierte Verbindung verwenden, kann nur eine einzelne Instanz von Jamf mit einem Azure-Mandanten integriert werden.
Die Verwendung des Cloudconnectors ist optional:
- Für neue Mandanten, die noch nicht in Jamf integriert sind, können Sie den Cloudconnector, wie in diesem Artikel beschrieben, konfigurieren. Oder Sie können die Integration manuell konfigurieren, wie in Integrieren von Jamf Pro in Intune zu Konformitätszwecken beschrieben.
- Für Mandanten, die bereits über eine manuelle Konfiguration verfügen, können Sie sich dafür entscheiden, diese Integration zu entfernen und dann den Cloudconnector einzurichten. Sowohl das Entfernen einer bestehenden Integration als auch die Einrichtung des Cloudconnectors werden in diesem Artikel beschrieben.
Wenn Sie planen, Ihre bisherige Integration durch den Jamf-Cloudconnector zu ersetzen:
- Verwenden Sie das Verfahren zum Entfernen Ihrer aktuellen Konfiguration, wozu auch das Löschen der Enterprise-Apps für Jamf Pro und das Deaktivieren der manuellen Integration gehören. Dann können Sie das Verfahren zum Konfigurieren des Cloudconnectors verwenden.
- Sie müssen Geräte nicht neu registrieren. Geräte, die bereits registriert sind, können den Cloud Connector ohne weitere Konfiguration verwenden.
- Stellen Sie sicher, dass Sie den Cloudconnector innerhalb von 24 Stunden nach dem Entfernen Ihrer manuellen Integration konfigurieren, um sicherzustellen, dass Ihre registrierten Geräte weiterhin ihren Status melden können.
Weitere Informationen zum Jamf-Cloudconnector finden Sie unter Konfigurieren der macOS-Integration von Intune mithilfe des Cloudconnectors auf docs.jamf.com.
Voraussetzungen
Produkte und Dienste:
- Jamf Pro 10.18 oder höher
- Ein Jamf Pro-Benutzerkonto mit bedingten Zugriffsrechten
- Microsoft Intune
- Microsoft Entra ID P1 oder P2
- Unternehmensportal-App für macOS
- macOS-Geräte mit OS X 10.12 Yosemite oder höher
Netzwerk:
Jamf und Intune müssen auf die folgenden Ports und Endpunkte zugreifen können, um eine einwandfreie Integration zu gewährleisten:
Intune: Port 443
Apple: Ports 2195, 2196 und 5223 (Pushbenachrichtigungen an Intune)
Jamf: Ports 80 und 5223
Endpunkte:
- login.microsoftonline.com
- graph.windows.net
- *.manage.microsoft.com
Damit APNS im Netzwerk ordnungsgemäß funktioniert, müssen Sie auch ausgehende Verbindungen und Umleitungen für folgende Ports aktivieren:
- Den Apple-Block 17.0.0.0/8 über die TCP-Ports 5223 und 443 aus allen Clientnetzwerken.
- Ports 2195 und 2196 von Jamf Pro-Servern.
Weitere Informationen zu diesen Ports finden Sie in den folgenden Artikeln:
- Bandbreiten- und andere Anforderungen an die Netzwerkkonfiguration für Intune
- Network Ports Used by Jamf Pro (von Jamf Pro verwendete Netzwerkports) auf jamf.com
- Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports auf support.apple.com
Konten:
Die Verfahren in diesem Artikel erfordern die Verwendung von Konten mit den folgenden Berechtigungen:
- Jamf Pro-Konsole: Ein Konto mit Berechtigungen zum Verwalten von Jamf Pro
- Microsoft Intune Admin Center: Globaler Administrator
- Azure-Portal: Globaler Administrator
Entfernen der Jamf Pro-Integration für einen zuvor konfigurierten Mandanten
Verwenden Sie das folgende Verfahren, um eine manuell konfigurierte Integration von Jamf Pro von Ihrem Azure-Mandanten zu entfernen, bevor Sie den Cloudconnector konfigurieren können.
Wenn Sie zuvor noch keine Verbindung zwischen Jamf Pro und Intune eingerichtet haben oder über eine oder mehrere Verbindungen verfügen, die bereits den Cloudconnector verwenden, überspringen Sie dieses Verfahren, und beginnen Sie mit Konfigurieren des Cloudconnectors für einen neuen Mandanten.
Entfernen einer manuell konfigurierten Jamf Pro-Integration
Melden Sie sich bei der Jamf Pro-Konsole an.
Wählen Sie Einstellungen (das Zahnradsymbol in der oberen rechten Ecke) aus, und wechseln Sie dann zu Globale Verwaltung>Bedingter Zugriff.
Wählen Sie Bearbeiten aus.
Deaktivieren Sie das Kontrollkästchen Enable Intune Integration for macOS (Integration von Intune für macOS aktivieren).
Wenn Sie diese Einstellung deaktivieren, deaktivieren Sie die Verbindung, speichern aber Ihre Konfiguration.
Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Mandantenverwaltung>Partnergeräteverwaltung.
Löschen Sie auf dem Knoten Partnergeräteverwaltung die Anwendungs-ID im Feld Microsoft Entra App-ID für Jamf angeben , und wählen Sie dann Speichern aus.
Die Anwendungs-ID ist die ID der Azure-Unternehmensapp, die in Azure erstellt wird, wenn Sie eine manuelle Integration in Jamf Pro einrichten.
Melden Sie sich beim Azure-Portal mit einem Konto an, das über globale Administratorberechtigungen verfügt, und wechseln Sie zu Microsoft Entra ID>Enterprise-Anwendungen.
Suchen Sie die beiden Jamf-Apps und löschen Sie sie. Neue Anwendungen werden automatisch erstellt, wenn Sie den Jamf-Cloudconnector im nächsten Verfahren konfigurieren.
Nachdem Sie die Integration in Jamf Pro deaktiviert und die Unternehmensanwendungen gelöscht haben, zeigt der Knoten Partnergeräteverwaltung den Verbindungsstatus Beendet an.
Nachdem Sie die manuelle Konfiguration für die Jamf Pro-Integration erfolgreich entfernt haben, können Sie jetzt die Integration mit dem Cloudconnector einrichten. Entsprechende Informationen finden Sie in diesem Artikel unter Konfigurieren des Cloudconnectors für einen neuen Mandanten.
Konfigurieren des Cloudconnectors für einen neuen Mandanten
Gehen Sie wie folgt vor, um den Jamf-Cloudconnector für die Integration von Jamf Pro und Microsoft Intune in den folgenden Situationen zu konfigurieren:
- Sie haben keine Integration zwischen Jamf Pro und Intune für Ihren Azure-Mandanten konfiguriert.
- Sie haben bereits einen Cloudconnector zwischen Jamf Pro und Intune in Ihrem Azure-Mandanten eingerichtet und möchten eine weitere Jamf-Instanz in Ihr Abonnement integrieren.
Wenn Sie derzeit über eine manuell konfigurierte Integration zwischen Intune und Jamf Pro verfügen, finden Sie unter Entfernen der Jamf Pro-Integration für einen zuvor konfigurierten Mandanten in diesem Artikel Informationen zum Entfernen dieser Integration, bevor Sie fortfahren. Das Entfernen einer manuell konfigurierten Integration ist erforderlich, bevor Sie den Jamf-Cloudconnector erfolgreich einrichten können.
Erstellen einer neuen Verbindung
Melden Sie sich bei der Jamf Pro-Konsole an.
Wählen Sie Einstellungen (das Zahnradsymbol in der oberen rechten Ecke) aus, und wechseln Sie dann zu Globale Verwaltung>Bedingter Zugriff.
Wählen Sie Bearbeiten aus.
Aktivieren Sie das Kontrollkästchen Enable Intune Integration for macOS (Integration von Intune für macOS aktivieren).
- Wählen Sie diese Einstellung aus, damit Jamf Pro Inventaraktualisierungen an Microsoft Intune sendet.
- Sie können diese Einstellung abwählen, um die Verbindung zu deaktivieren, aber speichern Sie Ihre Konfiguration.
Wichtig
Wenn Intune-Integration für macOS aktivieren bereits ausgewählt und der Verbindungstyp auf Manuell festgelegt ist, müssen Sie diese Integration entfernen, bevor Sie fortfahren können. Bevor Sie fortfahren, sind weitere Informationen in diesem Artikel unter Entfernen der Jamf Pro-Integration für einen zuvor konfigurierten Mandanten verfügbar.
Wählen Sie unter Verbindungstyp die Option Cloudconnector aus.
Wählen Sie aus dem Popupmenü Sovereign Cloud den Standort Ihrer Sovereign Cloud von Microsoft aus. Wenn Sie Ihre vorherige Integration mit dem Jamf-Cloudconnector ersetzen, können Sie diesen Schritt überspringen, wenn der Speicherort angegeben wurde.
Wählen Sie eine der folgenden Landing Page-Optionen für Computer aus, die von Microsoft Azure nicht erkannt werden:
- Seite "Jamf Pro-Standardgeräteregistrierung" : Je nach Status des macOS-Geräts leitet diese Option Benutzer entweder zum Jamf Pro-Geräteregistrierungsportal (zum Registrieren mit Jamf Pro) oder zur Intune-Unternehmensportal-App (zur Registrierung mit der Microsoft Entra-ID) um.
- Seite „Zugriff verweigert“
- Benutzerdefinierte URL
Wenn Sie Ihre vorherige Integration mit dem Jamf Cloud Connector ersetzen, können Sie diesen Schritt überspringen, wenn die Landing Page angegeben wurde.
Wählen Sie Verbinden aus. Sie werden umgeleitet, um die Jamf Pro-Anwendungen in Azure zu registrieren.
Wenn Sie dazu aufgefordert werden, geben Sie Ihre Microsoft Azure-Anmeldeinformationen an, und folgen Sie den Anweisungen auf dem Bildschirm, um die angeforderten Berechtigungen zu erteilen. Sie erteilen Berechtigungen für den Cloudconnector und dann wieder für die Cloudconnector-App für die Benutzerregistrierung. Beide Apps sind in Azure als Unternehmensanwendungen registriert.
Nachdem die Berechtigungen für beide Apps erteilt wurden, wird die Seite Anwendungs-ID geöffnet.
Wählen Sie auf der Seite Anwendungs-ID die Option Intune kopieren und öffnen aus.
Die Anwendungs-ID wird zur Verwendung im nächsten Schritt in die Systemablage kopiert, und der Partnergeräteverwaltungsknoten im Microsoft Intune Admin Center wird geöffnet. (Mandantenverwaltung>Partnergeräteverwaltung).
Fügen Sie auf dem Knoten Partnergeräteverwaltung die Anwendungs-ID in das Feld Microsoft Entra-App-ID für Jamf angeben ein, und wählen Sie dann Speichern aus.
Kehren Sie zur Seite „Anwendungs-ID“ in Jamf Pro zurück, und wählen Sie Bestätigen aus.
Jamf Pro schließt die Konfiguration ab, testet sie und zeigt einen Erfolg oder Fehler der Verbindung auf der Seite mit den Einstellungen für den bedingten Zugriff an. Die folgende Abbildung ist ein Beispiel für einen Erfolg:
Aktualisieren Sie im Microsoft Intune Admin Center den Partner-Geräteverwaltungsknoten . Die Verbindung sollte jetzt als Aktiv angezeigt werden:
Wenn die Verbindung zwischen Jamf Pro und Microsoft Intune erfolgreich hergestellt wurde, sendet Jamf Pro Für jeden Computer, der mit microsoft Entra ID registriert ist, Bestandsinformationen an Microsoft Intune (registrierung mit Microsoft Entra ID ist ein Endbenutzerworkflow). In Jamf Pro können Sie in der Kategorie „Lokales Benutzerkonto“ der Inventarinformationen eines Computers in Jamf Pro den Inventarstatus für den bedingten Zugriff für einen Benutzer und einen Computer anzeigen.
Nachdem Sie eine Instanz von Jamf Pro mithilfe des Jamf-Cloudconnectors integriert haben, können Sie die gleiche Prozedur verwenden, um weitere Instanzen von Jamf Pro mit demselben Intune-Abonnement in Ihrem Azure-Mandanten zu konfigurieren.
Einrichten von Konformitätsrichtlinien und Registrieren von Geräten
Nach dem Konfigurieren der Integration zwischen Intune und Jamf verwenden Sie die Option Anwenden von Konformitätsrichtlinien auf mit Jamf verwaltete Geräte.
Trennen von Jamf Pro und Intune
Um die Integration von Jamf Pro in Intune zu entfernen, führen Sie die folgenden Schritte aus, um die Verbindung aus der Jamf Pro-Konsole zu entfernen. Diese Informationen gelten sowohl für den Cloudconnector als auch für eine manuell konfigurierte Integration.
Aufheben der Bereitstellung von Jamf Pro im Microsoft Intune Admin Center
Navigieren Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Connectors und Token>Partnergeräteverwaltung.
Wählen Sie die Option Beenden aus. Intune zeigt eine Meldung zur Aktion an. Überprüfen Sie die Nachricht, und wählen Sie ok aus, wenn Sie bereit sind. Die Option Integration beenden wird nur angezeigt, wenn die Jamf-Verbindung vorhanden ist.
Nachdem Sie die Integration beendet haben, aktualisieren Sie die Ansicht des Admin Centers, um die Ansicht zu aktualisieren. Die macOS-Geräte Ihrer Organisation werden in 90 Tagen aus Intune entfernt.
Aufheben der Bereitstellung von Jamf Pro aus der Jamf Pro-Konsole
Führen Sie die folgenden Schritte aus, um die Verbindung aus der Jamf Pro-Konsole zu entfernen.
Navigieren Sie in der Jamf Pro-Konsole zuBedingter Zugriff für globale Verwaltung>. Klicken Sie auf der Registerkarte macOS Intune Integration (Intune-Integration in macOS) auf Edit (Bearbeiten).
Deaktivieren Sie das Kontrollkästchen Enable Intune Integration for macOS (Integration von Intune für macOS aktivieren).
Wählen Sie Speichern. Jamf Pro sendet Ihre Konfiguration an Intune, und die Integration wird beendet.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Mandantenverwaltung>Connectors und Tokens>Partnergeräteverwaltung aus, um zu bestätigen, dass der Status jetzt Beendet ist.
Nachdem Sie die Integration beendet haben, werden die macOS-Geräte Ihrer Organisation zu dem in der Konsole angezeigten Datum entfernt, d. h. nach drei Monaten.
Erhalten von Support für den Cloudconnector
Da der Cloudconnector automatisch die für die Integration erforderlichen Azure Enterprise-Apps erstellt, sollte Ihr erster Ansprechpartner hinsichtlich des Supports Jamf sein. Die folgenden Optionen stehen zur Verfügung:
- E-Mail-Support unter
support@jamf.com
- Verwenden des Support-Portals von Jamf Nation: https://www.jamf.com/support/
Vor der Kontaktaufnahme mit dem Support:
Überprüfen Sie die Voraussetzungen wie Ports und Produktversion, die Sie verwenden.
Bestätigen Sie, dass die Berechtigungen für die folgenden zwei in Azure erstellten Jamf Pro-Apps nicht geändert wurden. Änderungen an den App-Berechtigungen werden von Intune nicht unterstützt und können dazu führen, dass die Integration fehlschlägt.
Cloudconnector-App für die Benutzerregistrierung:
- API-Name: Microsoft Graph
- Berechtigung: Anmelden und Benutzerprofil lesen
- Typ: Delegiert
- Erteilt über: Administratorzustimmung
- Erteilt von: Ein Administrator
Cloudconnector-App:
API-Name: Microsoft Graph (Instanz 1)
- Berechtigung: Anmelden und Benutzerprofil lesen
- Typ: Delegiert
- Erteilt über: Administratorzustimmung
- Erteilt von: Ein Administrator
API-Name: Microsoft Graph (Instanz 2)
- Berechtigung: Verzeichnisdaten lesen
- Typ: Anwendung
- Erteilt über: Administratorzustimmung
- Erteilt von: Ein Administrator
API-Name: Intune-API
- Berechtigung: Senden des Geräteattributs an Microsoft Intune
- Typ: Anwendung
- Erteilt über: Administratorzustimmung
- Erteilt von: Ein Administrator
- API-Name: Microsoft Graph
Häufige Fragen zum Jamf-Cloudconnector
Welche Daten werden über den Cloudconnector freigegeben?
Der Cloudconnector authentifiziert sich bei Microsoft Azure und sendet Geräteinventardaten von Jamf Pro an Azure. Darüber hinaus verwaltet der Cloudconnector die Diensterkennung in Azure, den Tokenaustausch, Kommunikationsfehler und die Notfallwiederherstellung.
Wo werden Geräteinventardaten gespeichert?
Geräteinventardaten werden in der Jamf Pro-Datenbank gespeichert.
Welche Anmeldeinformationen werden gespeichert?
Es werden keine Anmeldeinformationen gespeichert. Beim Konfigurieren des Cloudconnectors müssen Sie dem Hinzufügen der mehrinstanzenfähigen Jamf-App und der nativen macOS-Connector-App zu ihrem Microsoft Entra-Mandanten zustimmen. Sobald die mehrinstanzenfähige Anwendung hinzugefügt ist, fordert der Cloudconnector Zugriffstoken an, um mit der Azure-API zu interagieren. Der Zugriff auf die Anwendung kann in Microsoft Azure jederzeit widerrufen werden, um den Zugriff einzuschränken.
Wie werden Daten verschlüsselt?
Der Cloudconnector verwendet TLS (Transport Layer Security) für Daten, die zwischen Jamf Pro und Microsoft Azure gesendet werden.
Woher weiß Jamf, welches Gerät zu welcher Instanz von Jamf Pro zugeordnet ist?
Jamf Pro verwendet Microservices in AWS, um die Geräteinformationen ordnungsgemäß an die richtige Instanz weiterzuleiten.
Kann ich von der Verwendung des Cloudconnectors zum Verbindungstyp „Manuell“ wechseln?
Ja. Sie können den Verbindungstyp wieder in „Manuell“ ändern und die Schritte für das manuelle Setup befolgen. Wenn Sie Fragen haben, sollten Sie diese an Jamf richten, um Unterstützung zu erhalten.
Berechtigungen wurden für eine oder beide erforderliche Apps (Cloud Connector und Cloud Connector-Benutzerregistrierungs-App) geändert, und die Registrierung funktioniert nicht. Wird die Berechtigungsänderung unterstützt?
Das Ändern der Berechtigungen für die Apps wird nicht unterstützt.
Gibt es eine Protokolldatei in Jamf Pro, die anzeigt, ob der Verbindungstyp geändert wurde?
Ja, die Änderungen werden in der Datei „jamfchangemanagement.log“ protokolliert. Um die Änderungsverwaltungsprotokolle anzuzeigen, melden Sie sich bei Jamf Pro an, wechseln Sie zu Einstellungen>Systemeinstellungen>Änderungsverwaltungsprotokolle>, suchen Sie nach Objekttyp für bedingten Zugriff, und wählen Sie dann Details aus, um die Änderungen anzuzeigen.