Intégrer Jamf Pro à Microsoft Intune pour signaler la conformité de l’appareil à l’ID Microsoft Entra
Le processus d’établissement de l’intégration entre Jamf Pro et Microsoft Intune évolue. La création de rapports sur l’état de conformité des appareils gérés par Jamf est désormais en mesure d’autoriser l’environnement Jamf Pro à déterminer l’état de conformité avec les stratégies gérées par Jamf et à signaler l’état de conformité de l’appareil à l’ID Microsoft Entra via un connecteur dans Intune. Une fois que l’état de conformité des appareils gérés par Jamf est signalé à l’ID Microsoft Entra, ces appareils sont en mesure de respecter les principes Zero-Trust établis par les stratégies d’accès conditionnel Microsoft Entra.
Importante
La prise en charge des appareils MacOS Jamf pour l’accès conditionnel est déconseillée.
À compter du 31 janvier 2025, la plateforme sur laquelle repose la fonctionnalité d’accès conditionnel de Jamf Pro ne sera plus prise en charge.
Si vous utilisez l’intégration de l’accès conditionnel de Jamf Pro pour les appareils macOS, suivez les instructions documentées de Jamf pour migrer vos appareils vers l’intégration de conformité des appareils dans Migration de l’accès conditionnel macOS vers la conformité des appareils macOS – Documentation Jamf Pro.
Si vous avez besoin d’aide, contactez Jamf Customer Success. Pour plus d’informations, consultez le billet de blog à l’adresse https://aka.ms/Intune/Jamf-Device-Compliance.
Cet article peut vous aider à effectuer les tâches suivantes :
- Configurez les composants et configurations requis dans Jamf Pro.
- Configurer Jamf Pro pour déployer l'application Portail d'entreprise Intune sur les appareils que vous gérez avec Jamf.
- Configurez une stratégie à déployer sur les utilisateurs via l’application portail libre-service Jamf pour inscrire des appareils avec l’ID Microsoft Entra.
- Configurez le connecteur Intune.
- Préparer les composants requis de l’ID Microsoft Entra.
Autorisations de compte
Pour effectuer les procédures décrites dans cet article, vous devez disposer des options suivantes :
Un compte d’utilisateur Jamf Pro avec des privilèges de conformité d’appareil ou un compte d’administrateur Jamf Pro.
Un compte Microsoft Entra auquel un rôle est attribué avec des autorisations suffisantes. Les rôles intégrés disponibles sont les suivants :
Administrateur Intune : ce rôle peut effectuer toutes les étapes décrites dans cet article.
Conseil
L’administrateur Intune est un rôle hautement privilégié avec un accès complet dans Microsoft Intune. Lorsque vous déléguez des rôles à d’autres comptes, envisagez d’attribuer un rôle intégré avec moins de privilèges.
Administrateur de groupes : ce rôle peut créer les groupes d’appareils requis.
Administrateur de l’accès conditionnel : ce rôle peut créer et mettre à jour les stratégies d’accès conditionnel Microsoft Entra qui activent l’inscription utilisateur-appareil.
Administrateur d’application : ce rôle peut créer des applications qui communiquent avec JAMF sur l’état de conformité de l’appareil.
Pour plus d’informations sur ces rôles, consultez Rôles intégrés Microsoft Entra.
Questions courantes sur l’intégration de Jamf Pro à Microsoft Entra ID
Pourquoi l’intégration à l’ID Microsoft Entra bénéficierait-elle à nos appareils gérés par Jamf Pro ?
Les stratégies d’accès conditionnel Microsoft Entra peuvent exiger que les appareils répondent non seulement aux normes de conformité, mais également qu’ils s’inscrivent avec l’ID Microsoft Entra. Les organisations cherchent à améliorer continuellement leur posture de sécurité en utilisant des stratégies d’accès conditionnel Microsoft Entra pour garantir les exemples de scénarios suivants :
- Les appareils sont inscrits avec l’ID Microsoft Entra.
- Les appareils utilisent un emplacement approuvé connu ou une plage d’adresses IP.
- Les appareils répondent aux normes de conformité afin d’accéder aux ressources d’entreprise à l’aide des applications de bureau Microsoft 365 et du navigateur.
Quelle est la différence entre l’intégration de Microsoft Entra et la méthode d’accès conditionnel précédemment proposée par Jamf ?
Pour les organisations qui utilisent Jamf Pro mais qui n’ont pas encore établi de connexion à Intune, la méthode précédente qui utilisait la configuration dans le chemin d’accès d’accès conditionnel global > paramètres > du portail Jamf Pro n’est plus en mesure d’accepter de nouvelles configurations.
Les nouvelles intégrations nécessitent des configurations sous Paramètres > Conformité globale > de l’appareil et fournissent un processus basé sur l’Assistant pour vous guider tout au long de la connexion à Intune. L’Assistant fournit une méthode pour créer les applications inscrites Microsoft Entra requises. Ces applications inscrites ne peuvent pas être précréées dans cette conception actuelle comme auparavant.
Configurations d’administration Jamf Pro
Les configurations Jamf Pro nécessitent la création des groupes intelligents d’ordinateurs et de la stratégie Ordinateur suivants dans la console Jamf Pro avant d’établir la connexion à Intune.
Groupes intelligents d’ordinateurs
Créez deux groupes intelligents d’ordinateurs à l’aide des exemples suivants :
Applicable : créez un groupe intelligent d’ordinateur contenant des critères, qui détermine les appareils qui ont besoin d’accéder aux ressources de l’entreprise dans le locataire Microsoft.
Exemple: Accédez à Jamf Pro>Computers>Smart Computer Groups créez un groupe :
- Nom d’affichage :
- Dans cet article, nous avons nommé le groupe Jamf-Intune Applicable Group.
- Critères:
- Titre de l’application, Opérateur = is, Valeur = CompanyPortal.app
Conformité : créez un deuxième groupe intelligent d’ordinateurs contenant des critères, qui détermine si les appareils sont considérés comme conformes dans Jamf et répondent aux normes de sécurité de votre organisation.
Exemple: Accédez à Jamf Pro>Computers>Smart Computer Groups et créez un autre groupe :
- Nom d’affichage :
- Dans cet article, nous avons nommé le groupe Jamf-Intune Compliance Group.
- Option permettant d’activerEnvoyer une notification par e-mail en cas de changement d’appartenance.
- Critères:
- Dernière mise à jour d’inventaire, opérateur = Il y a moins de x jours, valeur = 2
- et - Critères : Titre de l’application, Opérateur = is, Valeur = CompanyPortal.app
- et - Coffre de fichiers 2, opérateur = is, valeur = toutes les partitions chiffrées
Stratégie de l’ordinateur
Créez une stratégie d’ordinateur qui inclut les configurations suivantes :
Exemple: Accédez à Jamf Pro>Computers>Policy, créez une stratégie :
Onglet Options :
- Général :
- Nom d’affichage : donnez un nom à la stratégie. Par exemple, Inscrivez-vous avec l’ID Microsoft Entra(Microsoft Entra).
- Activé : cochez cette case pour activer la stratégie.
- Conformité des appareils Microsoft :
- Activez Inscrire des ordinateurs avec l’ID Microsoft Entra.
Onglet Étendue : configurez les cibles de déploiement sélectionnées pour ajouter le groupe intelligent ordinateur applicable créé dans le cadre des configurations d’administration Jamf Pro.
Onglet Libre-service :
- Activez Rendre la stratégie disponible en libre-service.
- Définissez un nom d’affichage.
- Définissez un nom de bouton.
- Rédigez une description.
- Activer Vérifier que les utilisateurs affichent la description.
- Activez les catégories facultatives comme vous le souhaitez.
Sélectionnez Enregistrer.
Application Mac
Créez une application dans Mac Apps Jamf App Catalog pour le portail d’entreprise Microsoft Intune qui se déploie sur tous les appareils. L’utilisation de la version du catalogue d’applications Jamf facilite la mise à jour de l’application.
- Accédez à Ordinateurs>Applications Mac, puis sélectionnez +Nouveau.
- Sélectionnez Catalogue d’applications Jamf, puis Suivant.
- Recherchez Portail d’entreprise Microsoft Intune et sélectionnez Ajouter en regard de l’application.
- Définissez Groupe cible sur Tous les clients managés.
- Définissez Méthode de distribution sur Installer automatiquement.
- Activez Installer les profils de configuration de prise en charge.
- Activez le commutateur Déployer en haut à droite, puis sélectionnez Enregistrer.
Configurations administratives De Microsoft Entra
La possibilité d’inscrire des appareils peut être bloquée en raison des configurations de stratégie d’accès conditionnel mises en place par votre organisation pour sécuriser les ressources d’entreprise.
Utilisez ce qui suit pour créer un groupe contenant des utilisateurs d’appareils gérés par Jamf, qui sera utilisé pour définir l’étendue du connecteur Intune dans les étapes ultérieures.
Connectez-vous à avec https://entra.microsoft.com un compte disposant des autorisations nécessaires pour créer des groupes et pour créer et modifier une stratégie d’accès conditionnel.
Développez Groupes>Tous les groupes> et sélectionnez Nouveau groupe.
Créez un groupe dynamique avec les règles appropriées pour inclure les utilisateurs applicables qui vont inscrire leurs appareils gérés Par Jamf avec l’ID Microsoft Entra.
Conseil
Nous vous recommandons d’utiliser un groupe dynamique, mais vous pouvez également utiliser un groupe statique.
Connecter Jamf Pro à Intune
Jamf pro utilise des connecteurs dans le Centre d’administration Microsoft Intune, qui se trouvent dans >l’adresse Connecteurs et jetonsd’administration> des locataires. Le processus de connexion de Jamf Pro à Intune démarre dans le portail d’administration Jamf Pro et utilise un Assistant qui demande les étapes suivantes.
Connectez-vous à votre portail d’administration Jamf, par exemple : https://tenantname.jamfcloud.com.
Passez à Paramètres Conformité > globale > de l’appareil.
Sélectionnez Modifier, puis activez plateforme macOS en cochant la case .
Dans la liste déroulante Groupe de conformité , sélectionnez le groupe intelligent d’ordinateurs que vous avez créé pour Conformité dans la section précédente Groupes intelligents par ordinateur de cet article.
Dans la liste déroulante Groupe applicable , sélectionnez le groupe intelligent d’ordinateurs que vous avez créé pour Applicable dans la section précédente Groupes intelligents par ordinateur de cet article.
Activez le curseur en haut à droite, puis sélectionnez Enregistrer.
Deux invites d’authentification Microsoft sont ensuite présentées. Chacun nécessite un administrateur général Microsoft 365 pour authentifier l’invite :
- La première invite d’authentification crée l’application Cloud Connector for Device Compliance dans l’ID Microsoft Entra.
- La deuxième invite d’authentification crée l’application Inscription de l’utilisateur pour La conformité des appareils.
Un nouvel onglet de navigateur s’ouvre sur une page du portail Jamf avec une boîte de dialogue Configurer le partenaire de conformité , puis sélectionnez le bouton Ouvrir Microsoft Endpoint Manager.
Un nouvel onglet de navigateur ouvre le Centre d’administration Microsoft Intune.
Passez à Administration > du locataire Connecteurs et jetons > Gestion de la conformité des partenaires.
En haut de la page gestion de la conformité des partenaires, sélectionnez Ajouter un partenaire de conformité.
Dans l’Assistant Créer un partenaire de conformité :
- Utilisez la liste déroulante Partenaire de conformité pour sélectionner Jamf Device Compliance.
- Utilisez la liste déroulante Plateforme pour sélectionner macOS, puis sélectionnez Suivant.
- Dans Affectations, sélectionnez Ajouter des groupes, puis sélectionnez le groupe d’utilisateurs Microsoft Entra créé précédemment. Ne sélectionnez pas Ajouter tous les utilisateurs , car cela empêchera la connexion.
- Sélectionnez Suivant, puis Créer.
Dans votre navigateur, ouvrez l’onglet contenant le portail Jamf avec la boîte de dialogue Configurer le partenaire de conformité .
Sélectionnez le bouton Confirmer .
Basculez vers l’onglet du navigateur affichant le tableau de bord de gestion de la conformité des partenaires Intune, puis sélectionnez l’icône Actualiser en haut à côté de l’option Ajouter un partenaire de conformité .
Vérifiez que le connecteur macOS Jamf Device Compliance affiche l’état du partenaire actif.
Terminer la configuration d’administration
Pour vous assurer que les utilisateurs sont en mesure d’inscrire des appareils, vous devez connaître les stratégies d’accès conditionnel Microsoft Entra qui peuvent les bloquer. L’application Inscription des utilisateurs pour la conformité des appareils créée lorsque vous avez connecté Jamf Pro à Intune doit être ajoutée en tant qu’exclusion dans toute stratégie susceptible d’empêcher les utilisateurs d’inscrire leurs appareils.
Par exemple, considérez une stratégie d’accès conditionnel Microsoft Entra qui nécessite des appareils conformes :
- Affectations : attribuez cette stratégie à tous les utilisateurs ou incluez des groupes d’utilisateurs qui ont des appareils gérés par Jamf.
- Ressources cibles : définissez les configurations suivantes :
- Appliquer à toutes les applications cloud.
- Excluez l’application Inscription de l’utilisateur pour l’application Conformité des appareils . Cette application a été créée lorsque vous avez connecté Jamf Pro à Intune.
- Les conditions incluent les options suivantes :
- Nécessite la conformité
- Nécessite un appareil inscrit
Notifications de l’utilisateur final
Nous vous recommandons de fournir une notification suffisante de l’expérience utilisateur final pour vous assurer que vos utilisateurs d’appareils gérés par Jamf sont conscients du processus, de son fonctionnement et d’une chronologie dans laquelle ils doivent se conformer à la stratégie. Un rappel important qui doit être inclus dans ces notifications est que l’application Jamf Self-Service contient la stratégie qu’elle utilise pour inscrire son appareil. Les utilisateurs ne doivent pas utiliser l’application Portail d’entreprise Microsoft déployée pour tenter de s’inscrire. L’utilisation de l’application Portail d’entreprise génère une erreur indiquant AccountNotOnboarded.
Les appareils gérés avec la plateforme Jamf ne s’affichent pas dans la liste des appareils d’Intune dans le processus suivant. Une fois que les utilisateurs ont inscrit leurs appareils dans l’ID Microsoft Entra, l’état initial de l’appareil s’affiche comme Non conforme. Une fois que le groupe intelligent d’ordinateurs Jamf Pro configuré pour Conformité est mis à jour, l’état est envoyé à via le connecteur Intune vers l’ID Microsoft Entra pour mettre à jour l’état de conformité des appareils. La fréquence des mises à jour des informations de l’appareil Microsoft Entra est basée sur le groupe intelligent d’ordinateurs de conformité dans La fréquence des modifications Jamf.
Résolution des problèmes
Problème
Après le lancement de la stratégie à partir de l’application Jamf Self-Service sur l’appareil macOS, comme indiqué, l’invite d’authentification Microsoft semblait fonctionner normalement. Toutefois, l’état de l’appareil indiqué dans l’ID Microsoft Entra n’a pas été mis à jour de N/A à l’état Conforme comme prévu, même après une heure d’attente ou plus.
Dans ce cas, l’enregistrement de l’appareil dans l’ID Microsoft Entra était incomplet.
Résolution
Tout d’abord, vérifiez les éléments suivants :
- L’appareil est affiché en tant que membre du groupe intelligent de l’ordinateur Jamf pour la conformité. Cette appartenance indique que l’appareil est conforme.
- L’utilisateur qui s’authentifie est membre du groupe Microsoft Entra qui est étendu au connecteur Jamf Intune.
Deuxièmement, sur l’appareil concerné :
Ouvrez l’application Terminal et exécutez la commande suivante :
/usr/local/jamf/bin/jamfaad gatherAADInfo- Si la commande n’entraîne pas d’invite et retourne à la place l’ID Microsoft Entra acquis pour les $USER utilisateur macOS, l’inscription a été correcte.
- Si la commande crée une invite de connexion et que l’utilisateur est en mesure d’effectuer la connexion sans erreur, il se peut qu’une erreur utilisateur se soit produite lors de la tentative d’inscription initiale.
- Si la commande crée une invite de connexion, mais qu’une erreur se produit lorsque l’utilisateur se connecte, un dépannage supplémentaire est nécessaire via un cas de support.