Compartir vía


Integración de Jamf Pro con Microsoft Intune para notificar el cumplimiento de dispositivos a Microsoft Entra ID

El proceso para establecer la integración entre Jamf Pro y Microsoft Intune está evolucionando. La generación de informes del estado de cumplimiento de los dispositivos administrados de Jamf ahora puede permitir que el entorno de Jamf Pro determine el estado de cumplimiento con las directivas administradas de Jamf e informe del estado de cumplimiento del dispositivo a Microsoft Entra ID a través de un conector en Intune. Una vez que el estado de cumplimiento de los dispositivos administrados por Jamf se notifica a Microsoft Entra ID, estos dispositivos pueden cumplir los principios de Zero-Trust que establecen las directivas de acceso condicional de Microsoft Entra.

Importante

La compatibilidad del dispositivo jamf macOS con el acceso condicional está en desuso.

A partir del 31 de enero de 2025, ya no se admitirá la plataforma en la que se basa la característica de acceso condicional de Jamf Pro.

Si usa la integración de acceso condicional de Jamf Pro para dispositivos macOS, siga las instrucciones documentadas de Jamf para migrar los dispositivos a la integración de cumplimiento de dispositivos en Migración del acceso condicional de macOS a macOS Device Compliance – Jamf Pro Documentation.

Si necesita ayuda, póngase en contacto con Jamf Customer Success. Para obtener más información, vea la entrada de blog en https://aka.ms/Intune/Jamf-Device-Compliance.

Este artículo puede ayudarle con las siguientes tareas:

  • Configure los componentes y configuraciones necesarios en Jamf Pro.
  • Configuración de Jamf Pro para implementar la aplicación Portal de empresa de Intune en los dispositivos que administra con Jamf.
  • Configure una directiva para implementarla en los usuarios a través de la aplicación del portal de autoservicio de Jamf para registrar dispositivos con el identificador de Microsoft Entra.
  • Configure the Intune Connector.
  • Prepare los componentes necesarios de Microsoft Entra ID.

Permisos de cuenta

Para completar los procedimientos de este artículo, debe tener:

  • Una cuenta de usuario de Jamf Pro con privilegios de cumplimiento de dispositivos o una cuenta de administrador de Jamf Pro.

  • Una cuenta de Microsoft Entra, asignada a un rol con permisos suficientes. Entre los roles integrados disponibles se incluyen:

    • Administrador de Intune: este rol puede realizar todos los pasos de este artículo.

      Sugerencia

      El administrador de Intune es un rol con privilegios elevados con acceso total en Microsoft Intune. Al delegar roles en otras cuentas, considere la posibilidad de asignar un rol integrado con menos privilegios.

    • Administrador de grupos: este rol puede crear los grupos de dispositivos necesarios.

    • Administrador de acceso condicional: este rol puede crear y actualizar las directivas de acceso condicional de Microsoft Entra que habilitan el registro de dispositivos de usuario.

    • Administrador de aplicaciones: este rol puede crear aplicaciones que se comuniquen con JAMF sobre el estado de cumplimiento del dispositivo.

    Para obtener más información sobre estos roles, consulte Roles integrados de Microsoft Entra.

Preguntas comunes sobre la integración de Jamf Pro con Microsoft Entra ID

¿Por qué la integración con Microsoft Entra ID beneficiaría a nuestros dispositivos administrados por Jamf Pro?

Las directivas de acceso condicional de Microsoft Entra pueden requerir que los dispositivos no solo cumplan los estándares de cumplimiento, sino que también se registren con el identificador de Microsoft Entra. Las organizaciones buscan mejorar continuamente su posición de seguridad mediante el uso de directivas de acceso condicional de Microsoft Entra para garantizar los siguientes escenarios de ejemplo:

  • Los dispositivos se registran con el identificador de Microsoft Entra.
  • Los dispositivos usan una ubicación de confianza conocida o un intervalo de direcciones IP.
  • Los dispositivos cumplen los estándares de cumplimiento para acceder a los recursos corporativos mediante aplicaciones de escritorio de Microsoft 365 y el explorador.

¿Qué diferencias hay entre la integración de Microsoft Entra y el método de acceso condicional Jamf que se ofreció anteriormente?

En el caso de las organizaciones que usan Jamf Pro pero aún no han establecido una conexión a Intune, el método anterior que utilizó la configuración en la ruta de acceso de acceso condicional global > de configuración > del portal jamf Pro ya no puede aceptar nuevas configuraciones.

Las nuevas integraciones requieren configuraciones en Configuración Cumplimiento > global > de dispositivos y proporcionan un proceso basado en asistente para guiarle a través de la conexión a Intune. El asistente proporciona un método para crear las aplicaciones registradas de Microsoft Entra necesarias. Estas aplicaciones registradas no se pueden crear previamente en este diseño actual como antes.

Configuraciones administrativas de Jamf Pro

Las configuraciones de Jamf Pro requieren que se creen los siguientes grupos inteligentes de equipos y la directiva de equipo en la consola de Jamf Pro antes de establecer la conexión a Intune.

Grupos inteligentes de equipos

Cree dos grupos inteligentes de equipos mediante los ejemplos siguientes:

Aplicable: cree un grupo inteligente de equipos que contenga criterios, que determine los dispositivos que necesitan acceso a los recursos de la empresa en el inquilino de Microsoft.

Ejemplo: Vaya a Jamf Pro Computers Smart Computer Groups create a new group (Grupos de equipos inteligentes de Jamf Pro>Computers>) para crear un nuevo grupo:

  • Nombre para mostrar:
    • En este artículo, hemos llamado al grupo Jamf-Intune Applicable Group.
  • Criterios:
    • Application Title, Operator = is, Value = CompanyPortal.app

Cumplimiento: cree un segundo grupo inteligente de equipos que contenga criterios, que determine si los dispositivos se consideran conformes dentro de Jamf y cumplen los estándares de seguridad de su organización.

Ejemplo: Vaya aGrupos de equipos inteligentes de Jamf Pro>Computers> y cree otro grupo:

  • Nombre para mostrar:
    • En este artículo, hemos nombrado el grupo Grupo de cumplimiento de Jamf-Intune.
    • Opción para habilitar Enviarnotificación por correo electrónico al cambiar la pertenencia.
  • Criterios:
    • Última actualización de inventario, Operador = Menos de x días atrás, Valor = 2
    • and - Criteria: Application Title, Operator = is, Value = CompanyPortal.app
    • y - File Vault 2, Operator = is, Value = All Partitions Encrypted

Directiva de equipo

Cree una directiva de equipo que incluya las siguientes configuraciones:

Ejemplo: Vaya a Jamf Pro ComputersPolicy (Directiva deequipos>de Jamf Pro>) y cree una nueva directiva:

  • Pestaña Opciones :

    • General:
      • Nombre para mostrar: asigne un nombre a la directiva. Por ejemplo, Register with Microsoft Entra ID(Microsoft Entra).
      • Habilitado: active esta casilla para habilitar la directiva.
    • Cumplimiento de dispositivos de Microsoft:
      • Habilite Registrar equipos con el identificador de Microsoft Entra.
  • Pestaña Ámbito : configure destinos de implementación seleccionados para agregar el grupo inteligente equipo aplicable creado como parte de las configuraciones administrativas de Jamf Pro.

  • Pestaña Autoservicio :

    • Habilite Hacer que la directiva esté disponible en Autoservicio.
    • Establezca un nombre para mostrar.
    • Establezca un nombre de botón.
    • Proporcione una descripción.
    • Habilitar Asegúrese de que los usuarios vean la descripción.
    • Habilite categorías opcionales como desee.
  • Haga clic en Guardar.

Aplicación mac

Cree una aplicación en El catálogo de aplicaciones de Jamf de Mac para el Portal de empresa de Microsoft Intune que se implementa en todos los dispositivos. El uso de la versión del catálogo de aplicaciones de Jamf facilita la actualización de la aplicación.

  • Vaya a Equipos>Mac Apps y seleccione +Nuevo.
  • Seleccione Catálogo de aplicaciones de Jamf y, a continuación, seleccione Siguiente.
  • Busque Portal de empresa de Microsoft Intune y seleccione Agregar junto a la aplicación.
  • Establezca Grupo de destino en Todos los clientes administrados.
  • Establezca Método de distribución en Instalar automáticamente.
  • Habilite Instalar perfiles de configuración compatibles.
  • Habilite el modificador Implementar en la parte superior derecha y, a continuación, seleccione Guardar.

Configuraciones administrativas de Microsoft Entra

La capacidad de registrar dispositivos se puede bloquear debido a las configuraciones de directiva de acceso condicional que la organización tiene para proteger los recursos corporativos.

Use lo siguiente para crear un grupo que contenga usuarios de dispositivos administrados de Jamf, que se usará para limitar el conector de Intune en pasos posteriores.

  1. Inicie sesión en https://entra.microsoft.com con una cuenta que tenga permisos para crear grupos y para crear y editar directivas de acceso condicional.

  2. Expanda Grupos>Todos los grupos> y seleccione Nuevo grupo.

  3. Cree un grupo dinámico con las reglas adecuadas para incluir los usuarios aplicables que registrarán sus dispositivos administrados de Jamf con el identificador de Microsoft Entra.

    Sugerencia

    Se recomienda usar un grupo dinámico, pero también puede usar un grupo estático.

Conexión de Jamf Pro a Intune

Jamf pro usa conectores en el Centro de administración de Microsoft Intune, que se encuentran en >Conectores y tokens de administración> de inquilinos. El proceso para conectar Jamf Pro a Intune se inicia en el portal administrativo de Jamf Pro y usa un asistente que solicita los pasos siguientes.

  1. Inicie sesión en el portal de administración de Jamf, por ejemplo: https://tenantname.jamfcloud.com.

  2. Continúe con Configuración Cumplimiento > global > de dispositivos.

  3. Seleccione Editar y, a continuación, active la casilla Para habilitar la plataforma macOS.

  4. En la lista desplegable Grupo de cumplimiento , seleccione el grupo inteligente de equipos que creó para Cumplimiento en la sección anterior Grupos inteligentes de equipo de este artículo.

  5. En la lista desplegable Grupo aplicable , seleccione el grupo inteligente de equipos que creó para Aplicable en la sección anterior Grupos inteligentes de equipo de este artículo.

  6. Habilite el control deslizante en la parte superior derecha y seleccione Guardar.

  7. A continuación, se presentan dos mensajes de autenticación de Microsoft. Cada uno requiere un administrador global de Microsoft 365 para autenticar el símbolo del sistema:

    • El primer símbolo del sistema de autenticación crea la aplicación Cloud Connector for Device Compliance en Microsoft Entra ID.
    • El segundo símbolo del sistema de autenticación crea la aplicación registro de usuarios para el cumplimiento de dispositivos.

    Imagen que muestra las solicitudes de permisos solicitados en las aplicaciones registradas de Microsoft Entra.

  8. Se abre una nueva pestaña del explorador en una página de Jamf Portal con un cuadro de diálogo Configurar asociado de cumplimiento y, a continuación, seleccione el botón con la etiqueta Abrir Microsoft Endpoint Manager.

    Imagen del botón Jamf Configure Compliance Partner Open Microsoft Endpoint Manager (Abrir Microsoft Endpoint Manager).

  9. Una nueva pestaña del explorador abre el Centro de administración de Microsoft Intune.

  10. Vaya a Administración de inquilinos > Conectores y tokens > Administración de cumplimiento de asociados.

  11. En la parte superior de la página Administración de cumplimiento de asociados , seleccione Agregar asociado de cumplimiento.

  12. En el Asistente para crear asociados de cumplimiento :

    1. Use la lista desplegable Asociado de cumplimiento para seleccionar Jamf Device Compliance (Cumplimiento de dispositivos Jamf).
    2. Use la lista desplegable Plataforma para seleccionar macOS y, a continuación, seleccione Siguiente.
    3. En Asignaciones, seleccione Agregar grupos y, a continuación, seleccione el grupo de usuarios Microsoft Entra creado anteriormente. No seleccione Agregar todos los usuarios , ya que esto inhibirá la conexión.
    4. Seleccione Siguiente y, a continuación, Crear.
  13. En el explorador, abra la pestaña que contiene Jamf Portal con el cuadro de diálogo Configurar asociado de cumplimiento .

  14. Seleccione el botón Confirmar .

    Imagen del botón Jamf Configure Compliance Partner Confirm (Confirmar del asociado de cumplimiento de Jamf).

  15. Cambie a la pestaña del explorador que muestra el panel de administración de cumplimiento de asociados de Intune y seleccione el icono Actualizar de la parte superior junto a la opción Agregar asociado de cumplimiento .

  16. Compruebe que el conector de cumplimiento de dispositivos Jamf de macOS muestra un estado de asociado activo.

    Imagen de la conexión activa de Intune Connectors for Device Compliance Partner macOS.

Completar la configuración administrativa

Para asegurarse de que los usuarios puedan inscribir dispositivos, debe tener en cuenta las directivas de acceso condicional de Microsoft Entra que podrían bloquearlos. La aplicación Registro de usuarios para el cumplimiento de dispositivos creada al conectar Jamf Pro a Intune debe agregarse como exclusión en cualquier directiva que pueda impedir que los usuarios registren sus dispositivos.

Por ejemplo, considere una directiva de acceso condicional de Microsoft Entra que requiera dispositivos compatibles:

  • Asignaciones : asigne esta directiva a todos los usuarios o incluya grupos de usuarios que tengan dispositivos administrados por Jamf.
  • Recursos de destino : establezca las siguientes configuraciones:
    • Aplicar a todas las aplicaciones en la nube.
    • Excluya la aplicación Registro de usuarios para la aplicación De cumplimiento de dispositivos . Esta aplicación se creó cuando conectó Jamf Pro a Intune.
  • Las condiciones incluyen las siguientes opciones:
    • Requiere cumplimiento
    • Requiere un dispositivo registrado

Imagen de la excepción de directiva de acceso condicional de Microsoft Entra para la aplicación de usuario

Notificaciones de usuario final

Se recomienda proporcionar una notificación amplia de la experiencia del usuario final para asegurarse de que los usuarios de los dispositivos administrados de Jamf conocen el proceso, cómo funciona y una escala de tiempo en la que deben cumplir la directiva. Un recordatorio importante que debe incluirse en estas notificaciones es que la aplicación jamf Self-Service contiene la directiva que usan para registrar su dispositivo. Los usuarios no deben usar la aplicación de Portal de empresa de Microsoft implementada para intentar registrarse. El uso de la aplicación portal de empresa produce un error que indica AccountNotOnboarded.

Los dispositivos administrados con la plataforma Jamf no se muestran en la lista de dispositivos de Intune en el proceso siguiente. Después de que los usuarios hayan registrado sus dispositivos en el identificador de Microsoft Entra, el estado inicial del dispositivo se muestra como No compatible. Una vez actualizado el grupo inteligente de equipos Jamf Pro configurado para Cumplimiento , el estado se envía a través de Intune Connector a Microsoft Entra ID para actualizar el estado de cumplimiento de los dispositivos. La frecuencia de las actualizaciones de la información del dispositivo Microsoft Entra se basa en el grupo inteligente equipo de cumplimiento en la frecuencia de cambio de Jamf.

Solución de problemas

Incidencia

Después de iniciar la directiva desde jamf Self-Service app en el dispositivo macOS como se indica, el mensaje de autenticación de Microsoft parecía funcionar con normalidad. Sin embargo, el estado del dispositivo que se muestra en Microsoft Entra ID no se actualizo de N/A al estado Compatible según lo previsto, incluso después de esperar una hora o más.

En este caso, el registro del dispositivo en Microsoft Entra ID estaba incompleto.

Solución

En primer lugar, compruebe lo siguiente:

  • El dispositivo se muestra como miembro del grupo inteligente de equipos Jamf para cumplimiento. Esta pertenencia indica que el dispositivo es compatible.
  • El usuario autenticador es miembro del grupo Microsoft Entra que tiene como ámbito el conector de Jamf Intune.

En segundo lugar, en el dispositivo afectado:

  • Abra la aplicación Terminal y ejecute el siguiente comando:

    /usr/local/jamf/bin/jamfaad gatherAADInfo

    • Si el comando no da lugar a un símbolo del sistema y, en su lugar, devuelve el id. de Microsoft Entra adquirido para el usuario de macOS $USER, el registro era correcto.
    • Si el comando crea un símbolo del sistema de inicio de sesión y el usuario puede completar el inicio de sesión sin errores, es posible que haya habido un error de usuario durante el intento de registro inicial.
    • Si el comando crea un símbolo del sistema de inicio de sesión, pero hay un error cuando el usuario inicia sesión, se requiere más solución de problemas a través de un caso de soporte técnico.

Siguientes pasos