De Jamf Cloud Connector configureren voor integratie met Microsoft Intune

Belangrijk

Jamf macOS-apparaatondersteuning voor voorwaardelijke toegang wordt afgeschaft.

Vanaf 1 september 2024 wordt het platform waarop de functie voor voorwaardelijke toegang van Jamf Pro is gebouwd, niet meer ondersteund.

Als u de integratie van voorwaardelijke toegang van Jamf Pro voor macOS-apparaten gebruikt, volgt u de gedocumenteerde richtlijnen van Jamf om uw apparaten te migreren naar integratie van apparaatnaleving in Migreren van voorwaardelijke toegang van macOS naar macOS-apparaatnaleving – Jamf Pro-documentatie.

Neem contact op met Jamf Customer Success als u hulp nodig hebt. Zie het blogbericht op https://aka.ms/Intune/Jamf-Device-Compliancevoor meer informatie.

Dit artikel kan u helpen bij het installeren van de Jamf Cloud Connector om Jamf Pro te integreren met Microsoft Intune. Via integratie kunt u vereisen dat uw macOS-apparaten die worden beheerd door Jamf Pro voldoen aan de nalevingsvereisten voor uw Intune-apparaten voordat deze apparaten toegang krijgen tot de resources van uw organisatie. Toegang tot resources wordt beheerd door uw Microsoft Entra-beleid voor voorwaardelijke toegang op dezelfde manier als voor apparaten die worden beheerd via Intune.

U wordt aangeraden de Jamf Cloud Connector te gebruiken, omdat hiermee veel van de stappen worden geautomatiseerd die nodig zijn wanneer u de integratie handmatig configureert zoals beschreven in Jamf Pro integreren met Intune voor naleving.

Wanneer u de cloudconnector instelt:

• Met Instellen worden de Jamf Pro-toepassingen automatisch gemaakt in Azure, waardoor de noodzaak om ze handmatig te configureren wordt vervangen.
• U kunt meerdere exemplaren van Jamf Pro integreren met dezelfde Azure-tenant die als host fungeert voor uw Intune-abonnement.

Het verbinden van meerdere exemplaren van Jamf Pro met één Azure-tenant wordt alleen ondersteund wanneer u de Cloud Connector gebruikt. Wanneer u een handmatig geconfigureerde verbinding gebruikt, kan slechts één exemplaar van Jamf worden geïntegreerd met een Azure-tenant.

Het gebruik van de cloudconnector is optioneel:

• Voor nieuwe tenants die nog niet zijn geïntegreerd met Jamf, kunt u ervoor kiezen om de cloudconnector te configureren zoals beschreven in dit artikel. Of u kunt de integratie handmatig configureren zoals beschreven in Jamf Pro integreren met Intune voor naleving
• Voor tenants die al een handmatige configuratie hebben, kunt u ervoor kiezen om die integratie te verwijderen en vervolgens de cloudconnector in te stellen. Zowel het verwijderen van een bestaande integratie als het instellen van de Cloud Connector worden in dit artikel beschreven.

Als u van plan bent om uw eerdere integratie te vervangen door de Jamf Cloud Connector:

• Gebruik de procedure om uw huidige configuratie te verwijderen, waaronder het verwijderen van de Enterprise-apps voor Jamf Pro en het uitschakelen van de handmatige integratie. Vervolgens kunt u de procedure gebruiken om de cloudconnector te configureren.
• U hoeft apparaten niet opnieuw te registreren. Apparaten die al zijn geregistreerd, kunnen de cloudconnector gebruiken zonder verdere configuratie.
• Zorg ervoor dat u de cloudconnector binnen 24 uur na het verwijderen van uw handmatige integratie configureert om ervoor te zorgen dat uw geregistreerde apparaten hun status kunnen blijven rapporteren.

Zie De macOS Intune-integratie configureren met behulp van de cloudconnector op docs.jamf.com voor meer informatie over de Jamf-cloudconnector.

Vereisten

Producten en services:

• Jamf Pro 10.18 of hoger
• Een Jamf Pro-gebruikersaccount met bevoegdheden voor voorwaardelijke toegang
• Microsoft Intune
• Microsoft Entra ID P1 of P2
• Bedrijfsportal-app voor macOS
• macOS-apparaten met OS X 10.12 Yosemite of hoger

Netwerk:
De volgende poorten en eindpunten moeten toegankelijk zijn om Jamf en Intune correct te integreren:

• Intune: poort 443

• Apple: Poorten 2195, 2196 en 5223 (pushmeldingen naar Intune)

• Jamf: poorten 80 en 5223

• Eindpunten:

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

ApNS werkt alleen correct op het netwerk als u uitgaande verbindingen naar en omleidingen vanaf de volgende poorten inschakelt:

• De Apple 17.0.0.0/8 blokkeert via TCP-poorten 5223 en 443 vanuit alle clientnetwerken.
• Poorten 2195 en 2196 van Jamf Pro-servers.

Zie de volgende artikelen voor meer informatie over deze poorten:

• Netwerkconfiguratievereisten en bandbreedte voor Intune.
• Netwerkpoorten gebruikt door Jamf Pro op jamf.com.
• TCP- en UDP-poorten die worden gebruikt door Apple-softwareproducten op support.apple.com

Accounts:
Voor procedures in dit artikel is het gebruik van accounts met de volgende machtigingen vereist:

• Jamf Pro-console: een account met machtigingen voor het beheren van Jamf Pro
• Microsoft Intune-beheercentrum: globale beheerder
• Azure Portal: globale beheerder

De Jamf Pro-integratie verwijderen voor een eerder geconfigureerde tenant

Gebruik de volgende procedure om een handmatig geconfigureerde integratie van Jamf Pro uit uw Azure-tenant te verwijderen voordat u de Cloud Connector kunt configureren.

Als u nog geen verbinding hebt ingesteld tussen Jamf Pro en Intune, of als u een of meer verbindingen hebt die al gebruikmaken van de cloudconnector, slaat u deze procedure over en begint u met De cloudconnector configureren voor een nieuwe tenant.

Een handmatig geconfigureerde Jamf Pro-integratie verwijderen

1. Meld u aan bij de Jamf Pro-console.

2. Selecteer Instellingen (het tandwielpictogram in de rechterbovenhoek) en ga vervolgens naarVoorwaardelijke toegangvoor globaal beheer>.

   

3. Selecteer Bewerken.

4. Schakel het selectievakje voor Intune-integratie inschakelen voor macOS uit.

   Wanneer u deze instelling uitschakelt, schakelt u de verbinding uit, maar slaat u de configuratie op.

5. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Tenantbeheer>Partnerapparaatbeheer.

   Verwijder op het knooppunt Partnerapparaatbeheer de toepassings-id in het veld Geef de Microsoft Entra-app-id voor Jamf op en selecteer vervolgens Opslaan.

   De toepassings-id is de id van de Azure Enterprise-app die wordt gemaakt in Azure wanneer u een handmatige integratie instelt als Jamf Pro.

6. Meld u aan bij Azure Portal met een account met globale beheerdersmachtigingen en ga naar Microsoft Entra ID>Enterprise-toepassingen.

   Zoek de twee Jamf-apps en verwijder ze. Nieuwe toepassingen worden automatisch gemaakt wanneer u de Jamf Cloud Connector configureert in de volgende procedure.

   

   Nadat u de integratie in Jamf Pro hebt uitgeschakeld en de Bedrijfstoepassingen hebt verwijderd, geeft het knooppunt Partnerapparaatbeheer de verbindingsstatus Beëindigd weer.

   

Nu u de handmatige configuratie voor Jamf Pro-integratie hebt verwijderd, kunt u integratie instellen met behulp van de Cloud Connector. Zie De cloudconnector configureren voor een nieuwe tenant in dit artikel om dit te doen.

De cloudconnector configureren voor een nieuwe tenant

Gebruik de volgende procedure om de Jamf Cloud Connector te configureren om Jamf Pro en Microsoft Intune te integreren wanneer:

• U hebt geen integratie tussen Jamf Pro en Intune geconfigureerd voor uw Azure-tenant.
• U hebt al een cloudconnector ingesteld tussen Jamf Pro en Intune in uw Azure-tenant en u wilt een andere Jamf-instantie integreren met uw abonnement.

Als u momenteel een handmatig geconfigureerde integratie hebt tussen Intune en Jamf Pro, raadpleegt u De Jamf Pro-integratie verwijderen voor een eerder geconfigureerde tenant in dit artikel om die integratie te verwijderen voordat u verdergaat. Het verwijderen van een handmatig geconfigureerde integratie is vereist voordat u jamf de cloudconnector kunt instellen.

Een nieuwe verbinding maken

1. Meld u aan bij de Jamf Pro-console.

2. Selecteer Instellingen (het tandwielpictogram in de rechterbovenhoek0) en ga vervolgens naarVoorwaardelijke toegangvoor globaal beheer>.

   

3. Selecteer Bewerken.

4. Schakel het selectievakje intune-integratie voor macOS inschakelen in.

   • Selecteer deze instelling om Jamf Pro inventarisupdates te laten verzenden naar Microsoft Intune.
   • U kunt deze instelling uitschakelen om de verbinding uit te schakelen, maar uw configuratie opslaan.

   Belangrijk

   Als Intune-integratie inschakelen voor macOS al is geselecteerd en het verbindingstype is ingesteld op Handmatig, moet u deze integratie verwijderen voordat u doorgaat. Zie De Jamf Pro-integratie verwijderen voor een eerder geconfigureerde tenant in dit artikel voordat u doorgaat.

5. Selecteer onder Verbindingstypede optie Cloudconnector.

   

6. Selecteer in het snelmenu Sovereign Cloud de locatie van uw Onafhankelijke cloud van Microsoft. Als u uw vorige integratie vervangt door de Jamf Cloud Connector, kunt u deze stap overslaan als de locatie is opgegeven.

7. Selecteer een van de volgende opties voor landingspagina's voor computers die niet worden herkend door Microsoft Azure:

   • De pagina Standaard jamf Pro-apparaatregistratie : afhankelijk van de status van het macOS-apparaat, worden gebruikers met deze optie omgeleid naar de Jamf Pro-apparaatinschrijvingsportal (om zich in te schrijven bij Jamf Pro) of de Intune-bedrijfsportal-app (om te registreren met Microsoft Entra ID).
   • De pagina Toegang geweigerd
   • Aangepaste URL

   Als u uw vorige integratie vervangt door de Jamf Cloud Connector, kunt u deze stap overslaan als de landingspagina is opgegeven.

8. Selecteer Verbinding maken. U wordt omgeleid om de Jamf Pro-toepassingen te registreren in Azure.

   Geef desgevraagd uw Microsoft Azure-referenties op en volg de instructies op het scherm om de aangevraagde machtigingen te verlenen. U verleent machtigingen voor de Cloud Connector en vervolgens opnieuw voor de cloudconnector-app voor gebruikersregistratie. Beide apps zijn in Azure geregistreerd als bedrijfstoepassingen.

   Nadat machtigingen zijn verleend voor beide apps, wordt de pagina Toepassings-id geopend.

9. Selecteer op de pagina Toepassings-idde optie Kopiëren en open Intune.

   

   De toepassings-id wordt gekopieerd naar het klembord van uw systeem voor gebruik in de volgende stap en het knooppunt Partnerapparaatbeheer in het Microsoft Intune-beheercentrum wordt geopend. (Tenantbeheer>Partnerapparaatbeheer).

10. Plak op het knooppunt Apparaatbeheer partner de toepassings-id in het veld Geef de Microsoft Entra-app-id voor Jamf op en selecteer opslaan.

    

11. Ga terug naar de pagina Toepassings-id in Jamf Pro en selecteer Bevestigen.

12. Jamf Pro voltooit en test de configuratie en geeft het slagen of mislukken van de verbinding weer op de pagina met instellingen voor voorwaardelijke toegang. De volgende afbeelding is een voorbeeld van succes:

    

13. Vernieuw in het Microsoft Intune-beheercentrum het knooppunt Partnerapparaatbeheer . De verbinding wordt nu weergegeven als Actief:

    

Wanneer de verbinding tussen Jamf Pro en Microsoft Intune tot stand is gebracht, verzendt Jamf Pro inventarisgegevens naar Microsoft Intune voor elke computer die is geregistreerd met Microsoft Entra ID (registreren bij Microsoft Entra ID is een werkstroom voor eindgebruikers). U kunt de inventarisstatus voor voorwaardelijke toegang voor een gebruiker en een computer weergeven in de categorie Lokaal gebruikersaccount van de inventarisgegevens van een computer in Jamf Pro.

Nadat u één exemplaar van Jamf Pro hebt geïntegreerd met behulp van de Jamf Cloud Connector, kunt u dezelfde procedure gebruiken om meer exemplaren van Jamf Pro met hetzelfde Intune-abonnement in uw Azure-tenant te configureren.

Nalevingsbeleid instellen en apparaten registreren

Nadat u de integratie tussen Intune en Jamf hebt geconfigureerd, moet u nalevingsbeleid toepassen op door Jamf beheerde apparaten.

Jamf Pro en Intune loskoppelen

Als u de integratie van Jamf Pro met Intune wilt verwijderen, gebruikt u de volgende stappen om de verbinding te verwijderen vanuit de Jamf Pro-console. Deze informatie is van toepassing op zowel de cloudconnector als voor een handmatig geconfigureerde integratie.

De inrichting van Jamf Pro ongedaan maken vanuit het Microsoft Intune-beheercentrum

1. Ga in het Microsoft Intune-beheercentrum naar Tenantbeheer>Connectors en tokens>Partnerapparaatbeheer.

2. Selecteer de optie Beëindigen. Intune geeft een bericht weer over de actie. Controleer het bericht en selecteer OK wanneer u klaar bent. De optie voor het beëindigen van de integratie wordt alleen weergegeven wanneer de Jamf-verbinding bestaat.

Nadat u de integratie hebt beëindigd, vernieuwt u de weergave van het beheercentrum om de weergave bij te werken. De macOS-apparaten van uw organisatie worden na 90 dagen verwijderd uit Intune.

De inrichting van Jamf Pro ongedaan maken vanuit de Jamf Pro-console

Gebruik de volgende stappen om de verbinding te verwijderen vanuit de Jamf Pro-console.

1. Ga in de Jamf Pro-console naarVoorwaardelijke toegang voor globaal beheer>. Selecteer op het tabblad macOS Intune-integratiede optie Bewerken.

2. Schakel het selectievakje Intune-integratie inschakelen voor macOS uit.

3. Klik op Opslaan. Jamf Pro verzendt uw configuratie naar Intune en de integratie wordt beëindigd.

4. Meld je aan bij het Microsoft Intune-beheercentrum.

5. Selecteer Tenantbeheer>Connectors en tokens>Apparaatbeheer partner om te controleren of de status nu beëindigd is.

Nadat u de integratie hebt beëindigd, worden de macOS-apparaten van uw organisatie verwijderd op de datum die wordt weergegeven in uw console, na drie maanden.

Ondersteuning krijgen voor de Cloud Connector

Omdat de cloudconnector automatisch de Azure Enterprise-apps maakt die nodig zijn voor integratie, moet jamf het eerste contactpunt voor ondersteuning zijn. Opties zijn onder andere:

• E-mail ondersteuning op support@jamf.com
• Gebruik de ondersteuningsportal op Jamf Nation: https://www.jamf.com/support/

Voordat u contact opneemt met ondersteuning:

• Controleer de vereisten, zoals poorten en productversie die u gebruikt.

• Controleer of de machtigingen voor de volgende twee Jamf Pro-apps die in Azure zijn gemaakt, niet zijn gewijzigd. Wijzigingen in de app-machtigingen worden niet ondersteund door Intune en kunnen ertoe leiden dat de integratie mislukt.

  Cloud Connector-app voor gebruikersregistratie:

  • API-naam: Microsoft Graph
    • Machtiging: Gebruikersprofiel aanmelden en lezen
    • Type: Gedelegeerd
    • Verleend via: beheerderstoestemming
    • Verleend door: Een beheerder

  Cloud Connector-app:

  • API-naam: Microsoft Graph (exemplaar 1)

    • Machtiging: Gebruikersprofiel aanmelden en lezen
    • Type: Gedelegeerd
    • Verleend via: beheerderstoestemming
    • Verleend door: Een beheerder

  • API-naam: Microsoft Graph (exemplaar 2)

    • Machtiging: Mapgegevens lezen
    • Type: Toepassing
    • Verleend via: beheerderstoestemming
    • Verleend door: Een beheerder

  • API-naam: Intune-API

    • Machtiging: Apparaatkenmerk verzenden naar Microsoft Intune
    • Type: Toepassing
    • Verleend via: beheerderstoestemming
    • Verleend door: Een beheerder

Veelgestelde vragen over de Jamf Cloud Connector

Welke gegevens worden gedeeld via de Cloud Connector?

De Cloud Connector verifieert met Microsoft Azure en verzendt apparaatinventarisatiegegevens van Jamf Pro naar Azure. Daarnaast beheert cloudconnector servicedetectie in Azure, tokenuitwisseling, communicatiefouten en herstel na noodgevallen.

Waar worden apparaatinventarisatiegegevens opgeslagen?

Apparaatinventarisgegevens worden opgeslagen in de Jamf Pro-database.

Welke referenties worden opgeslagen?

Er worden geen referenties opgeslagen. Wanneer u de cloudconnector configureert, moet u toestemming geven om de Jamf-app voor meerdere tenants en de systeemeigen macOS-connector-app toe te voegen aan hun Microsoft Entra-tenant. Zodra de toepassing met meerdere tenants is toegevoegd, vraagt de Cloud Connector toegangstokens aan om te communiceren met de Azure-API. Toegang tot toepassingen kan op elk gewenst moment worden ingetrokken in Microsoft Azure om de toegang te beperken.

Hoe worden gegevens versleuteld?

De Cloud Connector maakt gebruik van TLS (Transport Layer Security) voor gegevens die worden verzonden tussen Jamf Pro en Microsoft Azure.

Hoe weet Jamf welk apparaat is gekoppeld aan welk exemplaar van Jamf Pro?

Jamf Pro maakt gebruik van microservices in AWS om de apparaatgegevens correct naar het juiste exemplaar te routeren.

Kan ik overschakelen van het gebruik van de cloudconnector naar het type Handmatige verbinding?

Ja. U kunt het verbindingstype weer wijzigen in handmatig en de stappen voor handmatige installatie volgen. Als u vragen hebt, moeten ze worden doorgestuurd naar Jamf voor hulp.

Machtigingen zijn gewijzigd voor een of beide vereiste apps (Cloud Connector - en Cloud Connector-gebruikersregistratie-app) en de registratie werkt niet. Wordt de wijziging van machtigingen ondersteund?

Het wijzigen van de machtigingen voor de apps wordt niet ondersteund.

Is er een logboekbestand in Jamf Pro dat laat zien of het verbindingstype is gewijzigd?

Ja, de wijzigingen worden vastgelegd in het JAMFChangeManagement.log-bestand. Als u de logboeken voor wijzigingsbeheer wilt weergeven, meldt u zich aan bij Jamf Pro, gaat u naar Instellingen>Systeeminstellingen>Wijzigingsbeheerlogboeken>, zoekt u Objecttype naar Voorwaardelijke toegang en selecteert u vervolgens Details om de wijzigingen weer te geven.

Volgende stappen

• Nalevingsbeleid toepassen op door Jamf beheerde apparaten
• Gegevens die Jamf naar Intune verzendt
• Integreer Jamf Pro met Intune om naleving te rapporteren aan Microsoft Entra ID.