A Jamf Cloud Connector konfigurálása a Microsoft Intune

Fontos

A Jamf macOS-eszköztámogatása a feltételes hozzáféréshez elavult.

2024. szeptember 1-től a Jamf Pro feltételes hozzáférési funkciójára épülő platform már nem támogatott.

Ha a Jamf Pro feltételes hozzáférési integrációját macOS-eszközökhöz használja, kövesse a Jamf dokumentált irányelveit az eszközök eszközmegfelelőségi integrációjába való migráláshoz a Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation (Migrating from macOS Conditional Access to macOS Device Compliance – Jamf Pro documentation) című témakörben.

Ha segítségre van szüksége, forduljon a Jamf-ügyfél sikeréhez. További információt a következő blogbejegyzésben https://aka.ms/Intune/Jamf-Device-Compliancetalál: .

Ez a cikk segítséget nyújt a Jamf Cloud Connector telepítéséhez a Jamf Pro és a Microsoft Intune integrálásához. Az integráció révén megkövetelheti, hogy a Jamf Pro által felügyelt macOS-eszközök megfeleljenek az Intune eszközmegfelelési követelményeinek, mielőtt ezek az eszközök hozzáférhetnek a szervezet erőforrásaihoz. Az erőforrás-hozzáférést a Microsoft Entra feltételes hozzáférési szabályzatai ugyanúgy szabályozzák, mint az Intune-nal felügyelt eszközök esetében.

Javasoljuk, hogy használja a Jamf Cloud Connectort, mivel automatizálja az integráció manuális konfigurálásához szükséges számos lépést a Jamf Pro integrálása az Intune-nal a megfelelőség érdekében című cikkben leírtak szerint.

A Felhőösszekötő beállításakor:

• A beállítás automatikusan létrehozza a Jamf Pro-alkalmazásokat az Azure-ban, lecserélve a manuális konfigurálásuk szükségességét.
• A Jamf Pro több példányát integrálhatja ugyanazzal az Azure-bérlővel, amely az Intune-előfizetését üzemelteti.

A Jamf Pro több példányának egyetlen Azure-bérlővel való összekapcsolása csak akkor támogatott, ha a Felhőösszekötőt használja. Ha manuálisan konfigurált kapcsolatot használ, a Jamfnek csak egyetlen példánya integrálható egy Azure-bérlővel.

A Felhőösszekötő használata nem kötelező:

• Olyan új bérlők esetében, amelyek még nem integrálhatók a Jamftel, konfigurálhatja a Felhőösszekötőt az ebben a cikkben leírtak szerint. Vagy manuálisan is konfigurálhatja az integrációt a Jamf Pro integrálása az Intune-nal a megfelelőség érdekében című cikkben leírtak szerint.
• A már manuális konfigurációval rendelkező bérlők esetében dönthet úgy, hogy eltávolítja az integrációt, majd beállítja a Felhőösszekötőt. A meglévő integráció eltávolításáról és a felhőösszekötő beállításáról ebben a cikkben olvashat.

Ha azt tervezi, hogy lecseréli a korábbi integrációt a Jamf Cloud Connectorra:

• Az eljárással eltávolíthatja a jelenlegi konfigurációt, beleértve a Jamf Pro vállalati alkalmazásainak törlését és a manuális integráció letiltását. Ezután az eljárással konfigurálhatja a felhőösszekötőt.
• Nem kell újra regisztrálnia az eszközöket. A már regisztrált eszközök további konfigurálás nélkül használhatják a Felhőösszekötőt.
• A manuális integráció eltávolítását követő 24 órán belül konfigurálja a felhőösszekötőt, hogy a regisztrált eszközök továbbra is jelenteni tudják az állapotukat.

További információ a Jamf Cloud Connectorról: Configuring the macOS Intune Integration using the Cloud Connector on docs.jamf.com ( A macOS Intune-integráció konfigurálása a Cloud Connector használatával a docs.jamf.com.

Előfeltételek

Termékek és szolgáltatások:

• Jamf Pro 10.18 vagy újabb
• Jamf Pro felhasználói fiók feltételes hozzáférési jogosultságokkal
• Microsoft Intune
• Microsoft Entra P1 vagy P2 azonosító
• Céges portál alkalmazás macOS-hez
• macOS-eszközök OS X 10.12 Yosemite vagy újabb verzióval

Hálózat:
A jamf és az Intune megfelelő integrálásához a következő portoknak és végpontoknak kell elérhetőnek lenniük:

• Intune: 443-as port

• Apple: 2195-ös, 2196-os és 5223-os port (leküldéses értesítések az Intune-ba)

• Jamf: 80-at és 5223-at

• Végpontok:

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

Ahhoz, hogy az APNS megfelelően működjön a hálózaton, engedélyeznie kell a kimenő kapcsolatokat a következő portokról:

• Az Apple 17.0.0.0/8 blokkolja az 5223-at és a 443-at az összes ügyfélhálózatról.
• Jamf Pro-kiszolgálók 2195-ös és 2196-os portja.

Ezekről a portokról a következő cikkekben talál további információt:

• Az Intune hálózati konfigurációs követelményei és sávszélessége.
• A Jamf Pro által a jamf.com használt hálózati portok .
• Az Apple szoftvertermékek által a support.apple.com használt TCP- és UDP-portok

Fiókok:
A cikkben ismertetett eljárásokhoz a következő engedélyekkel rendelkező fiókok használatára van szükség:

• Jamf Pro-konzol: A Jamf Pro kezeléséhez szükséges engedélyekkel rendelkező fiók
• Microsoft Intune Felügyeleti központ: globális rendszergazda
• Azure Portal: globális rendszergazda

Jamf Pro-integráció eltávolítása egy korábban konfigurált bérlőhöz

Az alábbi eljárással eltávolíthatja a Jamf Pro manuálisan konfigurált integrációját az Azure-bérlőből, mielőtt konfigurálhatja a Cloud Connectort.

Ha korábban még nem állított be kapcsolatot a Jamf Pro és az Intune között, vagy ha már rendelkezik egy vagy több olyan kapcsolattal, amely már használja a Felhőösszekötőt, hagyja ki ezt az eljárást, és kezdje a Felhőösszekötő konfigurálása új bérlőhöz című témakörrel.

Manuálisan konfigurált Jamf Pro-integráció eltávolítása

1. Jelentkezzen be a Jamf Pro konzolra.

2. Válassza a Beállítások elemet (a fogaskerék ikont a jobb felső sarokban), majd lépjen a Globális felügyelet>feltételes hozzáférése elemre.

   

3. Válassza a Szerkesztés lehetőséget.

4. Törölje a jelölést az Intune-integráció engedélyezése macOS rendszeren jelölőnégyzetből.

   Ha törli a beállítás kijelölését, letiltja a kapcsolatot, de menti a konfigurációt.

5. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen a Bérlői felügyelet>Partnereszköz-kezelés elemre.

   A Partnereszköz-felügyeleti csomóponton törölje az alkalmazásazonosítóta Jamf Microsoft Entra alkalmazásazonosítójának megadása mezőben, majd válassza a Mentés lehetőséget.

   Az alkalmazásazonosító annak az Azure Enterprise-alkalmazásnak az azonosítója, amely a Jamf Pro esetében manuális integráció beállításakor jön létre az Azure-ban.

6. Jelentkezzen be a Azure Portal egy globális Rendszergazda engedélyekkel rendelkező fiókkal, és lépjen Microsoft Entra id>Enterprise-alkalmazásokhoz.

   Keresse meg és törölje a két Jamf-alkalmazást. Az új alkalmazások automatikusan létrejönnek, amikor a következő eljárás során konfigurálja a Jamf Cloud Connectort.

   

   Miután letiltotta az integrációt a Jamf Pro-ban, és törölte a vállalati alkalmazásokat, a Partnereszköz-felügyeleti csomópont a Megszakítva kapcsolati állapotot jeleníti meg.

   

Most, hogy sikeresen eltávolította a Jamf Pro-integráció manuális konfigurációját, beállíthatja az integrációt a Cloud Connector használatával. Ehhez tekintse meg a jelen cikk A felhőösszekötő konfigurálása új bérlőhöz című szakaszát.

A Felhőösszekötő konfigurálása új bérlőhöz

Az alábbi eljárással konfigurálhatja a Jamf Cloud Connectort a Jamf Pro integrálásához és Microsoft Intune, amikor:

• Nincs integrációja a Jamf Pro és az Intune között az Azure-bérlőhöz konfigurálva.
• Már be van állítva egy Felhőösszekötő a Jamf Pro és az Intune között az Azure-bérlőben, és integrálni szeretne egy másik Jamf-példányt az előfizetésével.

Ha jelenleg manuálisan konfigurált integrációval rendelkezik az Intune és a Jamf Pro között, a folytatás előtt olvassa el a cikk A Jamf Pro-integráció eltávolítása egy korábban konfigurált bérlőhöz című szakaszát az integráció eltávolításához. A Jamf the Cloud Connector sikeres beállítása előtt el kell távolítania egy manuálisan konfigurált integrációt.

Új kapcsolat létrehozása

1. Jelentkezzen be a Jamf Pro konzolra.

2. Válassza a Beállítások elemet (a fogaskerék ikont a jobb felső sarokban0, majd lépjen a Globális felügyelet>feltételes hozzáférése elemre.

   

3. Válassza a Szerkesztés lehetőséget.

4. Jelölje be az Intune-integráció engedélyezése macOS rendszeren jelölőnégyzetet.

   • Válassza ezt a beállítást, ha azt szeretné, hogy a Jamf Pro készletfrissítéseket küldjön Microsoft Intune.
   • Ezt a beállítást megszüntetheti a kapcsolat letiltásához, de mentheti a konfigurációt.

   Fontos

   Ha az Intune-integráció engedélyezése macOS rendszeren beállítás már be van jelölve, és a Kapcsolat típusabeállítás Manuális, a folytatás előtt el kell távolítania az integrációt. A folytatás előtt tekintse meg a cikk Korábbi konfigurált bérlő Jamf Pro-integrációjának eltávolítása című szakaszát.

5. A Kapcsolat típusa területen válassza a Felhőösszekötő lehetőséget.

   

6. A Szuverén felhő előugró menüben válassza ki a Szuverén felhő helyét a Microsofttól. Ha a korábbi integrációt a Jamf Cloud Connectorra cseréli, kihagyhatja ezt a lépést, ha a hely meg van adva.

7. Válassza ki az alábbi kezdőlapbeállítások egyikét a Microsoft Azure által nem felismert számítógépekhez:

   • Az alapértelmezett Jamf Pro-eszközregisztráció lap – A macOS-eszköz állapotától függően ez a beállítás átirányítja a felhasználókat a Jamf Pro eszközregisztrációs portáljára (a Jamf Pro-ra való regisztrációhoz) vagy a Intune Céges portál alkalmazáshoz (Microsoft Entra ID azonosítóval való regisztrációhoz).
   • A Hozzáférés megtagadva lap
   • Egyéni URL-cím

   Ha a korábbi integrációt a Jamf Cloud Connectorra cseréli, kihagyhatja ezt a lépést, ha a kezdőlap meg van adva.

8. Válassza a Csatlakozás lehetőséget. A rendszer átirányítja, hogy regisztrálja a Jamf Pro-alkalmazásokat az Azure-ban.

   Amikor a rendszer kéri, adja meg a Microsoft Azure hitelesítő adatait, és kövesse a képernyőn megjelenő utasításokat a kért engedélyek megadásához. Engedélyeket fog adni a Cloud Connectorhoz, majd ismét a Cloud Connector felhasználóregisztrációs alkalmazáshoz. Mindkét alkalmazás vállalati alkalmazásként van regisztrálva az Azure-ban.

   Miután mindkét alkalmazáshoz megadta az engedélyeket, megnyílik az Alkalmazásazonosító oldal.

9. Az Alkalmazásazonosító lapon válassza a Másolás lehetőséget, és nyissa meg az Intune-t.

   

   A rendszer a következő lépésben a rendszer vágólapjára másolja az alkalmazásazonosítót, és megnyílik az Microsoft Intune Felügyeleti központPartnereszköz-felügyeleti csomópontja. (Bérlői felügyelet>Partnereszköz-kezelés).

10. A Partnereszköz-felügyeleti csomóponton Illessze be az alkalmazásazonosítót a Jamf Microsoft Entra alkalmazásazonosítójának megadása mezőbe, majd válassza a Mentés lehetőséget.

    

11. Térjen vissza a Jamf Pro Alkalmazásazonosító oldalára, és válassza a Megerősítés lehetőséget.

12. A Jamf Pro befejezi és teszteli a konfigurációt, és megjeleníti a kapcsolat sikerességét vagy sikertelenségét a Feltételes hozzáférés beállításai lapon. Az alábbi képen egy példa látható a sikerre:

    

13. A Microsoft Intune Felügyeleti központban frissítse a Partnereszköz-felügyeleti csomópontot. A kapcsolatnak ekkor Aktívként kell megjelennie:

    

Ha a Jamf Pro és a Microsoft Intune közötti kapcsolat sikeresen létrejött, a Jamf Pro leltáradatokat küld a Microsoft Intune minden olyan számítógéphez, amely regisztrálva van Microsoft Entra-azonosítóval (az Microsoft Entra azonosítóval való regisztrálás egy végfelhasználói munkafolyamat). Egy felhasználó és egy számítógép feltételes hozzáférésének leltárállapotát a jamf pro számítógép leltáradatainak Helyi felhasználói fiók kategóriájában tekintheti meg.

Miután a Jamf Pro egy példányát integrálja a Jamf Cloud Connector használatával, ugyanezzel az eljárással konfigurálhatja a Jamf Pro több példányát ugyanazzal az Intune-előfizetéssel az Azure-bérlőben.

Megfelelőségi szabályzatok beállítása és eszközök regisztrálása

Miután konfigurálta az Intune és a Jamf közötti integrációt, megfelelőségi szabályzatokat kell alkalmaznia a Jamf által felügyelt eszközökre.

A Jamf Pro és az Intune leválasztása

Ha el szeretné távolítani a Jamf Pro és az Intune integrációját, az alábbi lépésekkel távolíthatja el a kapcsolatot a Jamf Pro-konzolból. Ezek az információk a Cloud Connectorra és a manuálisan konfigurált integrációra is vonatkoznak.

A Jamf Pro megszüntetése a Microsoft Intune Felügyeleti központban

1. A Microsoft Intune Felügyeleti központban lépjen a Bérlőfelügyeleti>összekötők és jogkivonatok>Partnereszköz-kezelés menüpontra.

2. Válassza a Leállítás lehetőséget. Az Intune üzenetet jelenít meg a műveletről. Tekintse át az üzenetet, és ha elkészült, kattintson az OK gombra. Az integráció leállításának lehetősége csak akkor jelenik meg, ha a Jamf-kapcsolat létezik.

Miután leállítja az integrációt, frissítse a felügyeleti központ nézetét a nézet frissítéséhez. A szervezet macOS-eszközeit 90 nap múlva eltávolítjuk az Intune-ból.

A Jamf Pro megszüntetése a Jamf Pro konzolból

Az alábbi lépésekkel távolíthatja el a kapcsolatot a Jamf Pro-konzolról.

1. A Jamf Pro konzolon lépjen a Globális felügyelet>feltételes hozzáférése elemre. A macOS Intune Integration (MacOS Intune-integráció ) lapon válassza a Szerkesztés lehetőséget.

2. Törölje az Intune-integráció engedélyezése macOS rendszeren jelölőnégyzet jelölését.

3. Válassza a Mentés elemet. A Jamf Pro elküldi a konfigurációt az Intune-nak, és az integráció leáll.

4. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

5. Válassza a Bérlőfelügyeleti>összekötők és jogkivonatok>Partnereszköz-kezelés lehetőséget annak ellenőrzéséhez, hogy az állapot most le van-e állítva.

Az integráció megszüntetése után a szervezet macOS-eszközeit a konzolon megjelenő időpontban távolítjuk el, amely három hónap elteltével lesz elérhető.

Támogatás kérése a felhőösszekötőhöz

Mivel a felhőösszekötő automatikusan létrehozza az integrációhoz szükséges Azure Enterprise-alkalmazásokat, az első támogatási pont a Jamf lesz. A lehetőségek a következők:

• Email támogatást itt:support@jamf.com
• Használja a Jamf Nation támogatási portálját: https://www.jamf.com/support/

Mielőtt kapcsolatba lép az ügyfélszolgálattal:

• Tekintse át az Előfeltételeket, például a portokat és a használt termékverziót.

• Győződjön meg arról, hogy az Azure-ban létrehozott következő két Jamf Pro-alkalmazás engedélyeit nem módosították. Az alkalmazásengedélyek módosításait az Intune nem támogatja, és az integráció meghiúsulását okozhatja.

  Cloud Connector felhasználóregisztrációs alkalmazás:

  • API neve: Microsoft Graph
    • Engedély: Bejelentkezés és felhasználói profil olvasása
    • Típus: Delegált
    • Megadva: Rendszergazda hozzájárulás
    • Megadva: Egy rendszergazda

  Felhőösszekötő alkalmazás:

  • API neve: Microsoft Graph (1. példány)

    • Engedély: Bejelentkezés és felhasználói profil olvasása
    • Típus: Delegált
    • Megadva: Rendszergazda hozzájárulás
    • Megadva: Egy rendszergazda

  • API neve: Microsoft Graph (2. példány)

    • Engedély: Címtáradatok olvasása
    • Típus: Alkalmazás
    • Megadva: Rendszergazda hozzájárulás
    • Megadva: Egy rendszergazda

  • API neve: Intune API

    • Engedély: Eszközattribútum küldése a Microsoft Intune
    • Típus: Alkalmazás
    • Megadva: Rendszergazda hozzájárulás
    • Megadva: Egy rendszergazda

A Jamf Cloud Connectorral kapcsolatos gyakori kérdések

Milyen adatok lesznek megosztva a Felhőösszekötőn keresztül?

A Cloud Connector hitelesíti magát a Microsoft Azure-ral, és eszközleltár-adatokat küld a Jamf Próból az Azure-ba. Emellett a Cloud Connector kezeli a szolgáltatásfelderítést az Azure-ban, a jogkivonatok cseréjét, a kommunikációs hibákat és a vészhelyreállítást.

Hol vannak tárolva az eszközleltár adatai?

Az eszközleltár adatai a Jamf Pro-adatbázisban tárolódnak.

Milyen hitelesítő adatokat tárol a rendszer?

A rendszer nem tárol hitelesítő adatokat. A Felhőösszekötő konfigurálásakor hozzá kell adnia a Jamf több-bérlős alkalmazást és a natív macOS-összekötő alkalmazást a Microsoft Entra-bérlőhöz. A több-bérlős alkalmazás hozzáadása után a Cloud Connector hozzáférési jogkivonatokat kér az Azure API használatához. Az alkalmazás-hozzáférés bármikor visszavonható a Microsoft Azure-ban a hozzáférés korlátozása érdekében.

Hogyan történik az adatok titkosítása?

A Felhőösszekötő a Transport Layer Security (TLS) protokollt használja a Jamf Pro és a Microsoft Azure között küldött adatokhoz.

Honnan tudja a Jamf, hogy melyik eszközhöz tartozik a Jamf Pro melyik példánya?

A Jamf Pro mikroszolgáltatásokat használ az AWS-ben az eszközinformációk megfelelő példányhoz való irányításához.

Válthatok a Felhőalapú összekötőről manuális kapcsolattípusra?

Igen, A kapcsolat típusát visszaválthatja manuálisra, és kövesse a manuális beállítás lépéseit. Ha kérdése van, forduljon a Jamfhez segítségért.

Az engedélyek egy vagy mindkét szükséges alkalmazásban (Cloud Connector és Cloud Connector felhasználóregisztrációs alkalmazás) módosultak, és a regisztráció nem működik. Támogatott az engedélyek módosítása?

Az alkalmazások engedélyeinek módosítása nem támogatott.

Van olyan naplófájl a Jamf Pro-ban, amely megmutatja, hogy a kapcsolat típusa megváltozott-e?

Igen, a rendszer naplózza a módosításokat a JAMFChangeManagement.log fájlba. A Változáskezelési naplók megtekintéséhez jelentkezzen be a Jamf Pro alkalmazásba, lépjen a Gépházban> aRendszerbeállítások>Változáskezelési>naplók területre, keressen rá a feltételes hozzáférésobjektumtípusára, majd válassza a Részletek lehetőséget a módosítások megtekintéséhez.

Következő lépések

• Megfelelőségi szabályzatok alkalmazása Jamf által felügyelt eszközökre
• Data Jamf elküldi az Intune-nak
• A Jamf Pro integrálása az Intune-nal, hogy Microsoft Entra id-nak való megfelelőséget jelentse.