Configurar Jamf Cloud Connector para su integración con Microsoft Intune
Importante
La compatibilidad del dispositivo jamf macOS con el acceso condicional está en desuso.
A partir del 1 de septiembre de 2024, ya no se admitirá la plataforma en la que se basa la característica de acceso condicional de Jamf Pro.
Si usa la integración de acceso condicional de Jamf Pro para dispositivos macOS, siga las instrucciones documentadas de Jamf para migrar los dispositivos a la integración de cumplimiento de dispositivos en Migración del acceso condicional de macOS a macOS Device Compliance – Jamf Pro Documentation.
Si necesita ayuda, póngase en contacto con Jamf Customer Success. Para obtener más información, vea la entrada de blog en https://aka.ms/Intune/Jamf-Device-Compliance.
Este artículo puede ayudarle a instalar el conector de nube de Jamf para integrar Jamf Pro con Microsoft Intune. A través de la integración, puede requerir que los dispositivos macOS administrados por Jamf Pro cumplan los requisitos de cumplimiento de dispositivos de Intune antes de que esos dispositivos puedan acceder a los recursos de su organización. El acceso a los recursos se controla mediante las directivas de acceso condicional de Microsoft Entra de la misma manera que para los dispositivos administrados a través de Intune.
Recomendamos la utilización de Jamf Cloud Connector ya que automatiza muchos de los pasos que son necesarios cuando se configura manualmente la integración, tal y como se documenta en el artículo Integrar Jamf Pro con Intune para el cumplimiento.
Al configurar el conector de nube:
- La configuración crea automáticamente las aplicaciones de Jamf Pro en Azure, lo que reemplaza la necesidad de configurarlas manualmente.
- Puede integrar varias instancias de Jamf Pro con el mismo inquilino de Azure que hospeda su suscripción a Intune.
Solo se admite la conexión de varias instancias de Jamf Pro con un solo inquilino de Azure cuando se usa el conector de nube. Si se usa una conexión configurada manualmente, solo puede integrarse una instancia de Jamf con un inquilino de Azure.
El uso del conector de nube es opcional:
- En el caso de los nuevos inquilinos que todavía no están integrados con Jamf, puede configurar el conector de nube como se describe en este artículo. O bien, puede configurar manualmente la integración como se describe en el artículo Integración de Jamf Pro con Intune para cumplimiento.
- En el caso de los inquilinos que ya tienen una configuración manual, puede quitar esa integración y, a continuación, configurar el conector de nube. En este artículo se describe cómo eliminar una integración existente y cómo configurar Cloud Connector.
Si tiene previsto reemplazar la integración anterior por el conector de nube de Jamf:
- Use el procedimiento para quitar la configuración actual, que incluye la eliminación de las aplicaciones empresariales para Jamf Pro y la deshabilitación de la integración manual. Después, puede usar el procedimiento para configurar el conector de nube.
- No necesitará volver a registrar los dispositivos. Los dispositivos que ya están registrados pueden usar Cloud Connector sin más configuración.
- Asegúrese de configurar el conector de nube en un plazo de 24 horas después de quitar la integración manual para garantizar que los dispositivos registrados pueden continuar informando de su estado.
Para obtener más información sobre el conector de nube de Jamf, consulte Configuring the macOS Intune Integration using the Cloud Connector (Configuración de la integración de Intune con macOS mediante el conector de nube) en docs.jamf.com.
Requisitos previos
Productos y servicios:
- Jamf Pro 10.18 o versiones posteriores
- Una cuenta de usuario de Jamf Pro con privilegios de acceso condicional
- Microsoft Intune
- Microsoft Entra ID P1 o P2
- Aplicación Portal de empresa para macOS
- Dispositivos macOS con OS X 10.12 Yosemite o versiones posteriores
Red:
Los siguientes puertos y puntos de conexión deben ser accesibles para Jamf e Intune para integrarse correctamente:
Intune: puerto 443
Apple: puertos 2195, 2196 y 5223 (notificaciones push para Intune)
Jamf: puertos 80 y 5223
Puntos de conexión:
- login.microsoftonline.com
- graph.windows.net
- *.manage.microsoft.com
Para que APNS funcione correctamente en la red, debe habilitar las conexiones salientes a los destinos siguientes, que también podrán ser orígenes de redireccionamiento:
- El bloque 17.0.0.0/8 de Apple a través de los puertos TCP 5223 y 443 desde todas las redes cliente.
- Los puertos 2195 y 2196 de los servidores de Jamf Pro.
Para obtener más información sobre estos puertos, vea los artículos siguientes:
- Ancho de banda y requisitos de configuración de red de Intune.
- Puertos de red usados por Jamf Pro en jamf.com.
- Puertos TCP y UDP usados por los productos de software de Apple en support.apple.com
Cuentas:
Los procedimientos descritos en este artículo requieren el uso de cuentas con los permisos siguientes:
- Consola de Jamf Pro: una cuenta con permisos para administrar Jamf Pro
- Centro de administración de Microsoft Intune: Administrador global
- Azure Portal:: administrador global
Eliminación de la integración de Jamf Pro para un inquilino configurado previamente
Use el siguiente procedimiento para quitar una integración de Jamf Pro configurada manualmente de su inquilino de Azure antes de configurar el conector de nube.
Si no ha configurado previamente una conexión entre Jamf Pro e Intune, o si tiene una o varias conexiones que ya usan Cloud Connector, omita este procedimiento y comience por Configurar Cloud Connector para un nuevo inquilino.
Eliminación de una integración de Jamf Pro configurada manualmente
Inicie sesión en la consola de Jamf Pro.
Seleccione Settings (Configuración), el icono de engranaje en la esquina superior derecha, y luego vaya a Global Management (Administración global)>Conditional Access (Acceso condicional).
Seleccione Editar.
Desactive la casilla Enable Intune Integration for macOS (Habilitar la integración de Intune para macOS).
Al anular la selección de esta opción, se deshabilita la conexión y se guarda la configuración.
Inicie sesión en el Centro de administración de Microsoft Intuney vaya> Administración deinquilinos Administración de dispositivos asociados.
En el nodo Administración de dispositivos asociados , elimine el identificador de aplicación en el campo Especificar el identificador de aplicación de Microsoft Entra para Jamf y, a continuación, seleccione Guardar.
El identificador de la aplicación es el id. de la aplicación empresarial de Azure que se ha creado en Azure al configurar una integración manual de Jamf Pro.
Inicie sesión en Azure Portal con una cuenta que tenga permisos de administrador global y vaya aAplicaciones empresariales de Microsoft Entra ID>.
Busque las dos aplicaciones de Jamf y elimínelas. Las nuevas aplicaciones se crearán automáticamente al configurar el conector de nube de Jamf mediante el procedimiento siguiente.
Después de deshabilitar la integración en Jamf Pro y eliminar las aplicaciones empresariales, el nodo Administración de dispositivos de socio muestra el estado de conexión Terminada.
Ahora que ha quitado correctamente la configuración manual de la integración de Jamf Pro, puede configurar la integración mediante el conector de nube. Para ello, consulte la sección Configuración del conector de nube para un nuevo inquilino de este artículo.
Configuración del conector de nube para un nuevo inquilino
Use este procedimiento para configurar el conector de nube de Jamf para integrar Jamf Pro y Microsoft Intune en estos casos:
- No tiene ninguna integración entre Jamf Pro e Intune configurada para su inquilino de Azure.
- Ya tiene un Cloud Connector configurado entre Jamf Pro e Intune en el inquilino de Azure y quiere integrar otra instancia de Jamf con su suscripción.
Si actualmente tiene una integración configurada manualmente entre Intune y Jamf Pro, consulte la sección Eliminación de la integración de Jamf Pro para un inquilino configurado previamente de este artículo para quitar esa integración antes de continuar. Es necesario eliminar las integraciones configuradas manualmente para poder configurar correctamente el conector de nube de Jamf.
Creación de una conexión
Inicie sesión en la consola de Jamf Pro.
Seleccione Settings (Configuración), el icono de engranaje en la esquina superior derecha, y luego vaya a Global Management (Administración global)>Conditional Access (Acceso condicional).
Seleccione Editar.
Active la casilla Enable Intune Integration for macOS (Habilitar la integración de Intune para macOS).
- Seleccione esta opción para que Jamf Pro envíe actualizaciones de inventario a Microsoft Intune.
- Puede anular la selección de esta opción para deshabilitar la conexión y guardar la configuración.
Importante
Si la casilla Enable Intune Integration for macOS (Habilitar la integración de Intune para macOS) ya está seleccionada y el tipo de conexión (Connection Type) está establecido en Manual, debe quitar esa integración para poder continuar. Consulte la sección Eliminación de la integración de Jamf Pro para un inquilino configurado previamente de este artículo antes de continuar.
En Connection Type (Tipo de conexión), seleccione Cloud Connector (Conector de nube).
En el menú emergente Sovereign Cloud (Nube soberana), seleccione la ubicación de la nube soberana de Microsoft. Si va a reemplazar la integración anterior con el conector de nube de Jamf, puede omitir este paso si se ha especificado la ubicación.
Seleccione una de las siguientes opciones de página de aterrizaje para los equipos que no reconoce Microsoft Azure:
- La página Registro de dispositivos Jamf Pro predeterminado : en función del estado del dispositivo macOS, esta opción redirige a los usuarios al portal de inscripción de dispositivos Jamf Pro (para inscribirse con Jamf Pro) o a la aplicación Portal de empresa de Intune (para registrarse con el identificador de Microsoft Entra).
- La página de acceso denegado
- Una URL personalizada
Si va a reemplazar la integración anterior con el conector de nube de Jamf, puede omitir este paso si se ha especificado la página de aterrizaje.
Seleccione Conectar. Se le redirigirá para registrar las aplicaciones de Jamf Pro en Azure.
Cuando se le solicite, especifique sus credenciales de Microsoft Azure y siga las instrucciones en pantalla para conceder los permisos solicitados. Deberá conceder permisos para el conector de nube y, después, para la aplicación de registro de usuarios del conector de nube. Ambas aplicaciones se registran en Azure como aplicaciones empresariales.
Una vez concedidos los permisos para las dos aplicaciones, se abrirá la página Application ID (Identificador de la aplicación).
En la página Application ID (Identificador de la aplicación), seleccione Copy and open Intune (Copiar y abrir Intune).
El identificador de aplicación se copia en el Portapapeles del sistema para usarlo en el paso siguiente y se abre el nodo Administración de dispositivos asociados en el Centro de administración de Microsoft Intune . (Administración de inquilinos>Administración de dispositivos de socio).
En el nodo Administración de dispositivos asociados , pegue el identificador de aplicación en el campo Especificar el identificador de aplicación de Microsoft Entra para Jamf y, a continuación, seleccione Guardar.
Vuelva a la página "Application ID" en Jamf Pro y seleccione Confirm (Confirmar).
Jamf Pro completa y prueba la configuración, y muestra si la conexión se ha realizado correctamente o no en la página de configuración "Conditional Access". La imagen siguiente es un ejemplo de conexión satisfactoria:
En el Centro de administración de Microsoft Intune, actualice el nodo Administración de dispositivos asociados . La conexión debería aparecer ahora con el estado Activa:
Cuando la conexión entre Jamf Pro y Microsoft Intune se establece correctamente, Jamf Pro envía información de inventario a Microsoft Intune para cada equipo que está registrado con el identificador de Microsoft Entra (registrarse con Microsoft Entra ID es un flujo de trabajo del usuario final). Puede ver el estado de inventario del acceso condicional para un usuario y un equipo en la categoría Cuenta de usuario local de la información de inventario de un equipo en Jamf Pro.
Después de integrar una instancia de Jamf Pro mediante Jamf Cloud Connector, puede usar este mismo procedimiento para configurar más instancias de Jamf Pro con la misma suscripción a Intune en el inquilino de Azure.
Configurar directivas de cumplimiento y registrar dispositivos
Después de configurar la integración entre Intune y Jamf, debe aplicar directivas de cumplimiento en los dispositivos administrados por Jamf.
Desconexión de Jamf Pro e Intune
Para quitar la integración de Jamf Pro con Intune, siga estos pasos para quitar la conexión desde la consola de Jamf Pro. Esta información se aplica tanto a Cloud Connector como a una integración configurada manualmente.
Desaprovisionar Jamf Pro desde el Centro de administración de Microsoft Intune
En el Centro de administración de Microsoft Intune, vaya a Conectores de administración> deinquilinos y tokens>Administración de dispositivos asociados.
Seleccione la opción Finalizar. Intune muestra un mensaje sobre la acción. Revise el mensaje y, cuando esté listo, seleccione Aceptar. La opción finalizar la integración solo aparece cuando existe la conexión jamf.
Después de finalizar la integración, actualice la vista del Centro de administración para actualizar la vista. Los dispositivos macOS de su organización se quitan de Intune en 90 días.
Desaprovisionar Jamf Pro desde la consola de Jamf Pro
Siga estos pasos para quitar la conexión desde la consola de Jamf Pro.
En la consola de Jamf Pro, vaya aAcceso condicionalde administración> global. En la pestaña Integración de MacOS Intune, seleccione Editar.
Desactive la casilla Enable Intune Integration for macOS (Habilitar la integración de Intune para macOS).
Seleccione Guardar. Jamf Pro envía la configuración a Intune y se terminará la integración.
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Administración de inquilinos>Conectores y tokens>Administración de dispositivos de socio para comprobar que el estado es ahora Finalizado.
Después de finalizar la integración, los dispositivos macOS de la organización se quitarán en la fecha que se muestra en la consola, que es después de tres meses.
Soporte técnico para el conector de nube
Como el conector de nube crea automáticamente las aplicaciones empresariales de Azure necesarias para la integración, su primer punto de contacto para obtener soporte técnico debe ser Jamf. Entre las opciones se incluyen:
- Contacte con el soporte técnico mediante la dirección de correo electrónico:
support@jamf.com
- Use el portal de soporte técnico de Jamf Nation: https://www.jamf.com/support/
Antes de ponerse en contacto con el servicio de soporte técnico:
Revise los requisitos previos, como los puertos y la versión del producto que usa.
Confirme que no se han modificado los permisos para las dos aplicaciones siguientes de Jamf Pro creadas en Azure. Intune no admite cambios en los permisos de la aplicación, lo que puede provocar errores en la integración.
Aplicación de registro de usuarios del conector de nube:
- Nombre de API : Microsoft Graph
- Permiso: iniciar sesión y leer el perfil de usuario
- Tipo: delegado
- Concedido a través de: Consentimiento de administrador
- Concedido a través de: Un administrador
Aplicación del conector de nube:
Nombre de API: Microsoft Graph (instancia 1)
- Permiso: iniciar sesión y leer el perfil de usuario
- Tipo: delegado
- Concedido a través de: Consentimiento de administrador
- Concedido a través de: Un administrador
Nombre de API: Microsoft Graph (instancia 2)
- Permiso: leer datos del directorio
- Tipo: Aplicación
- Concedido a través de: Consentimiento de administrador
- Concedido a través de: Un administrador
Nombre de API: API de Intune
- Permisos:Enviar atributos del dispositivo a Microsoft Intune
- Tipo: Aplicación
- Concedido a través de: Consentimiento de administrador
- Concedido a través de: Un administrador
- Nombre de API : Microsoft Graph
Preguntas frecuentes sobre el conector de nube de Jamf
¿Qué datos se comparten mediante el conector de nube?
El conector de nube se autentica con Microsoft Azure y envía datos de inventario de dispositivos de Jamf Pro a Azure. Además, el conector de nube administra la detección de servicios en Azure, el intercambio de tokens, los errores de comunicación y la recuperación ante desastres.
¿Dónde se almacenan los datos de inventario de dispositivos?
Los datos de inventario de dispositivos se almacenan en la base de datos de Jamf Pro.
¿Qué credenciales se almacenan?
No se almacena ninguna credencial. Al configurar Cloud Connector, debe dar su consentimiento para agregar la aplicación multiinquilino Jamf y la aplicación nativa del conector de macOS a su inquilino de Microsoft Entra. Una vez agregada la aplicación multiinquilino, el conector de nube solicita tokens de acceso para interactuar con la API de Azure. El acceso a la aplicación se puede revocar desde Microsoft Azure en cualquier momento para restringir el acceso.
¿Cómo se cifran los datos?
El conector de nube usa Seguridad de la capa de transporte (TLS) para los datos enviados entre Jamf Pro y Microsoft Azure.
¿Cómo sabe Jamf qué dispositivo está asociado a cada instancia de Jamf Pro?
Jamf Pro usa microservicios en AWS para enrutar correctamente la información de los dispositivos a la instancia correcta.
¿Puedo cambiar del conector de nube al tipo de conexión manual?
Sí. Puede volver a cambiar el tipo de conexión a manual y seguir los pasos para la configuración manual. Si tiene alguna pregunta, contacte con Jamf para obtener ayuda.
Los permisos se modificaron en una o ambas aplicaciones necesarias (Cloud Connector y la aplicación de registro de usuarios de Cloud Connector) y el registro no funciona. ¿Se admite el cambio de permisos?
No se admite la modificación de los permisos en las aplicaciones.
¿Hay un archivo de registro en Jamf Pro que muestra si se ha cambiado el tipo de conexión?
Sí, los cambios se registran en el archivo JAMFChangeManagement.log. Para ver los registros de Administración de cambios, inicie sesión en Jamf Pro, vaya a Configuración> Configuración >del sistemaCambiarregistrosde administración>, busque Tipo de objeto para acceso condicional y, a continuación, seleccione Detalles para ver los cambios.