Ręczne integrowanie narzędzia Jamf Pro z usługą Intune w celu zapewnienia zgodności

Ważna

Obsługa urządzeń jamf z systemem macOS dla dostępu warunkowego jest przestarzała.

Począwszy od 1 września 2024 r., platforma, na której jest oparta funkcja dostępu warunkowego narzędzia Jamf Pro, nie będzie już obsługiwana.

Jeśli używasz integracji dostępu warunkowego narzędzia Jamf Pro dla urządzeń z systemem macOS, postępuj zgodnie z udokumentowanymi wytycznymi narzędzia Jamf, aby przeprowadzić migrację urządzeń do integracji zgodności urządzeń w sekcji Migrowanie z dostępu warunkowego systemu macOS do zgodności urządzeń z systemem macOS — dokumentacja narzędzia Jamf Pro.

Jeśli potrzebujesz pomocy, skontaktuj się z firmą Jamf Customer Success. Aby uzyskać więcej informacji, zobacz wpis w blogu pod adresem https://aka.ms/Intune/Jamf-Device-Compliance.

Porada

Aby uzyskać wskazówki dotyczące integracji narzędzia Jamf Pro z usługą Intune i identyfikatorem Microsoft Entra, w tym sposobu konfigurowania narzędzia Jamf Pro do wdrażania aplikacji Intune — Portal firmy na urządzeniach zarządzanych za pomocą narzędzia Jamf Pro, zobacz Integrowanie narzędzia Jamf Pro z usługą Intune w celu raportowania zgodności z identyfikatorem Microsoft Entra.

Microsoft Intune obsługuje integrowanie wdrożenia narzędzia Jamf Pro w celu zapewnienia zgodności urządzeń i zasad dostępu warunkowego na urządzeniach z systemem macOS. Dzięki integracji możesz wymagać, aby urządzenia z systemem macOS, które są zarządzane przez narzędzie Jamf Pro, spełniać wymagania dotyczące zgodności urządzeń w usłudze Intune, zanim te urządzenia będą mogły uzyskiwać dostęp do zasobów organizacji. Dostęp do zasobów jest kontrolowany przez zasady dostępu warunkowego Microsoft Entra w taki sam sposób jak w przypadku urządzeń zarządzanych za pośrednictwem usługi Intune.

Gdy narzędzie Jamf Pro integruje się z usługą Intune, możesz zsynchronizować dane spisu z urządzeń z systemem macOS z usługą Intune za pośrednictwem identyfikatora Microsoft Entra. Aparat zgodności usługi Intune następnie analizuje dane spisu w celu wygenerowania raportu. Analiza usługi Intune jest połączona z analizą tożsamości Microsoft Entra użytkownika urządzenia w celu wymuszania za pośrednictwem dostępu warunkowego. Urządzenia zgodne z zasadami dostępu warunkowego mogą uzyskiwać dostęp do chronionych zasobów firmy.

Ten artykuł może pomóc ręcznie zintegrować narzędzie Jamf Pro z usługą Intune.

Porada

Zamiast ręcznie konfigurować integrację narzędzia Jamf Pro z usługą Intune, zalecamy skonfigurowanie i użycie łącznika chmury narzędzia Jamf z Microsoft Intune. Łącznik chmury automatyzuje wiele kroków wymaganych podczas ręcznego konfigurowania integracji.

Po skonfigurowaniu integracji skonfigurujesz narzędzia Jamf i Intune w celu wymuszania zgodności z dostępem warunkowym na urządzeniach zarządzanych przez narzędzie Jamf.

Wymagania wstępne

Produkty i usługi

Aby skonfigurować dostęp warunkowy za pomocą narzędzia Jamf Pro, potrzebne są następujące elementy:

• Jamf Pro 10.1.0 lub nowszy
• licencje Microsoft Intune i Microsoft Entra ID P1 (zalecany pakiet licencji microsoft Enterprise Mobility + Security)
• Rola administratora globalnego w Microsoft Entra identyfikatorze.
• Użytkownik z uprawnieniami Microsoft Intune Integration w narzędziu Jamf Pro
• Aplikacja Portal firmy dla systemu macOS
• urządzenia z systemem macOS (OS X 10.12 Yosemite lub nowszym)

Porty sieciowe

Następujące porty powinny być dostępne dla narzędzi Jamf i Intune w celu poprawnej integracji:

• Intune: port 443
• Apple: porty 2195, 2196 i 5223 (powiadomienia wypychane do usługi Intune)
• Jamf: porty 80 i 5223

Aby umożliwić prawidłowe działanie usługi APNS w sieci, należy również włączyć połączenia wychodzące i przekierowywać z:

• blok Apple 17.0.0.0/8 przez porty TCP 5223 i 443 ze wszystkich sieci klienckich.
• porty 2195 i 2196 z serwerów Jamf Pro.

Aby uzyskać więcej informacji o tych portach, zobacz następujące artykuły:

• Przepustowość i wymagania dotyczące konfiguracji sieci usługi Intune.
• Network Ports Used by Jamf Pro (Porty sieciowe używane przez Jamf Pro) w witrynie jamf.com.
• Porty TCP i UDP używane przez produkty Apple w witrynie support.apple.com

Łączenie usługi Intune z narzędziem Jamf Pro

Aby połączyć usługę Intune z narzędziem Jamf Pro:

1. Utwórz nową aplikację na platformie Azure.
2. Włącz integrację usługi Intune z narzędziem Jamf Pro.
3. Konfigurowanie dostępu warunkowego w narzędziu Jamf Pro.

Tworzenie aplikacji w identyfikatorze Microsoft Entra

1. W Azure Portal przejdź do obszaru Microsoft Entra Rejestracjeaplikacji identyfikatorów>, a następnie wybierz pozycję Nowa rejestracja.

2. Na stronie Rejestrowanie aplikacji określ następujące szczegóły:

   • W sekcji Nazwa wprowadź znaczącą nazwę aplikacji, na przykład Dostęp warunkowy narzędzia Jamf.
   • W sekcji Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym.
   • W polu Identyfikator URI przekierowania pozostaw wartość domyślną sieci Web, a następnie określ adres URL wystąpienia narzędzia Jamf Pro.

3. Wybierz pozycję Zarejestruj , aby utworzyć aplikację i otworzyć stronę Przegląd dla nowej aplikacji.

4. Na stronie Przegląd aplikacji skopiuj wartość identyfikatora aplikacji (klienta) i zarejestruj ją do późniejszego użycia. Ta wartość będzie potrzebna w późniejszych procedurach.

5. Wybierz pozycję Certyfikaty & wpisów tajnych w obszarze Zarządzanie. Wybierz przycisk Nowy klucz tajny klienta . Wprowadź wartość w polu Opis, wybierz dowolną opcję Wygasa i wybierz pozycję Dodaj.

   Ważna

   Przed opuszczeniem tej strony skopiuj wartość klucza tajnego klienta i zarejestruj ją do późniejszego użycia. Ta wartość będzie potrzebna w późniejszych procedurach. Ta wartość nie jest ponownie dostępna bez ponownego utworzenia rejestracji aplikacji.

6. Wybierz pozycję Uprawnienia interfejsu API w obszarze Zarządzaj.

7. Na stronie Uprawnienia interfejsu API usuń wszystkie uprawnienia z tej aplikacji, wybierając ikonę ... obok każdego istniejącego uprawnienia. To usunięcie jest wymagane; Integracja nie powiedzie się, jeśli w tej rejestracji aplikacji wystąpią nieoczekiwane dodatkowe uprawnienia.

8. Następnie dodaj uprawnienia do aktualizowania atrybutów urządzenia. W lewym górnym rogu strony uprawnienia interfejsu API wybierz pozycję Dodaj uprawnienie , aby dodać nowe uprawnienie.

9. Na stronie Żądanie uprawnień interfejsu API wybierz pozycję Intune, a następnie wybierz pozycję Uprawnienia aplikacji. Zaznacz tylko pole wyboru update_device_attributes i zapisz nowe uprawnienie.

10. W obszarze Microsoft Graph wybierz pozycję Uprawnienia aplikacji, a następnie wybierz pozycję Application.Read.All.

11. Wybierz pozycję Dodaj uprawnienia.

12. Przejdź do interfejsów API używanych przez moją organizację. Wyszukaj i wybierz pozycję Windows Azure Active Directory. Wybierz pozycję Uprawnienia aplikacji, a następnie wybierz pozycję Application.Read.All.

13. Wybierz pozycję Dodaj uprawnienia.

14. Następnie udziel zgody administratora dla tej aplikacji, wybierając pozycję Udziel zgody administratora dla <dzierżawy> w lewym górnym rogu strony uprawnień interfejsu API . Może być konieczne ponowne uwierzytelnienie konta w nowym oknie i udzielenie aplikacji dostępu, postępjąc zgodnie z monitami.

15. Odśwież stronę, wybierając pozycję Odśwież w górnej części strony. Upewnij się, że udzielono zgody administratora na uprawnienie update_device_attributes .

16. Po pomyślnym zarejestrowaniu aplikacji uprawnienia interfejsu API powinny zawierać tylko jedno uprawnienie o nazwie update_device_attributes i powinny być wyświetlane w następujący sposób:

Proces rejestracji aplikacji w Microsoft Entra identyfikator jest ukończony.

Uwaga

Jeśli klucz tajny klienta wygaśnie, musisz utworzyć nowy wpis tajny klienta na platformie Azure, a następnie zaktualizować dane dostępu warunkowego w narzędziu Jamf Pro. Platforma Azure umożliwia aktywne użycie starego wpisu tajnego i nowego klucza, aby zapobiec zakłóceniom w działaniu usługi.

Włączanie integracji usługi Intune z narzędziem Jamf Pro

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Łączniki administracji>dzierżawy i tokenyZarządzanie urządzeniami partnerskimi>.

3. Włącz łącznik zgodności dla narzędzia Jamf, wklejając identyfikator aplikacji zapisany podczas poprzedniej procedury w polu Określ identyfikator aplikacji Microsoft Entra dla narzędzia Jamf.

4. Wybierz Zapisz.

Konfigurowanie integracji Microsoft Intune w narzędziu Jamf Pro

1. Aktywuj połączenie w konsoli narzędzia Jamf Pro:

   1. Otwórz konsolę narzędzia Jamf Pro i przejdź do pozycjiDostęp warunkowyzarządzania> globalnego. Wybierz pozycję Edytuj na karcie Integracja z systemem macOS Intune .
   2. Zaznacz pole wyboru Włącz integrację usługi Intune dla systemu macOS. Po włączeniu tego ustawienia narzędzie Jamf Pro wysyła aktualizacje spisu do Microsoft Intune. Wyczyść zaznaczenie, jeśli chcesz wyłączyć połączenie, ale zapisać konfigurację.
   3. Wybierz pozycję Ręczne w obszarze Typ połączenia.
   4. Z menu podręcznego Suwerenna chmura wybierz lokalizację swojej suwerennej chmury od firmy Microsoft.
   5. Wybierz pozycję Otwórz adres URL zgody administratora i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby zezwolić na dodawanie aplikacji Jamf Native macOS Connector do dzierżawy Microsoft Entra.
   6. Dodaj nazwę dzierżawy Microsoft Entra z platformy Microsoft Azure.
   7. Dodaj identyfikator aplikacji i klucz tajny klienta (wcześniej nazywany kluczem aplikacji) dla aplikacji Jamf Pro z platformy Microsoft Azure.
   8. Wybierz Zapisz. Narzędzie Jamf Pro testuje ustawienia i weryfikuje twój sukces.

   Wróć do strony Zarządzanie urządzeniami partnerskimi w usłudze Intune, aby ukończyć konfigurację.

2. W usłudze Intune przejdź do strony Zarządzanie urządzeniami partnerskimi . W obszarze Ustawienia łącznika skonfiguruj grupy do przypisania:

   • Wybierz pozycję Dołącz i określ grupy użytkowników, które mają być przeznaczone do rejestracji w systemie macOS za pomocą narzędzia Jamf.
   • Użyj opcji Wyklucz , aby wybrać grupy użytkowników, którzy nie będą rejestrowani w narzędziu Jamf, a zamiast tego zarejestrują swoje komputery Mac bezpośrednio w usłudze Intune.

   Przesłonięcia wykluczaniaObejmują, co oznacza, że każde urządzenie znajdujące się w obu grupach jest wykluczone z narzędzia Jamf i kierowane do rejestracji w usłudze Intune.

   Uwaga

   Ta metoda dołączania i wykluczania grup użytkowników ma wpływ na środowisko rejestracji użytkownika. Każdy użytkownik z urządzeniem z systemem macOS, który jest już zarejestrowany w narzędziu Jamf lub Intune, który jest następnie przeznaczony do rejestracji w innym urządzeniu MDM, musi wyrejestrować swoje urządzenie, a następnie ponownie zarejestrować je w nowym rozwiązaniu MDM, zanim zarządzanie urządzeniem będzie działać prawidłowo.

3. Wybierz pozycję Oceń , aby określić, ile urządzeń zostanie zarejestrowanych w narzędziu Jamf na podstawie konfiguracji grupy.

4. Wybierz pozycję Zapisz , gdy wszystko będzie gotowe do zastosowania konfiguracji.

5. Aby kontynuować, należy użyć narzędzia Jamf do wdrożenia Portal firmy dla komputerów Mac, aby użytkownicy mogli rejestrować swoje urządzenia w usłudze Intune.

Konfigurowanie zasad zgodności i rejestrowanie urządzeń

Po skonfigurowaniu integracji między usługą Intune i narzędziem Jamf musisz zastosować zasady zgodności do urządzeń zarządzanych za pomocą narzędzia Jamf.

Rozłączanie narzędzia Jamf Pro i usługi Intune

Jeśli musisz usunąć integrację narzędzia Jamf Pro z usługą Intune, użyj jednej z następujących metod. Obie metody mają zastosowanie do integracji skonfigurowanej ręcznie lub za pomocą łącznika chmury.

Anulowanie aprowizacji narzędzia Jamf Pro z poziomu centrum administracyjnego Microsoft Intune

1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Łączniki administracji>dzierżawy i tokenyZarządzanie urządzeniami partnerskimi>.

2. Wybierz opcję Zakończ. Usługa Intune wyświetla komunikat o akcji. Przejrzyj komunikat i gdy wszystko będzie gotowe, wybierz przycisk OK. Opcja Zakończenia integracji jest wyświetlana tylko wtedy, gdy istnieje połączenie narzędzia Jamf.

Po zakończeniu integracji odśwież widok centrum administracyjnego, aby zaktualizować widok. Urządzenia z systemem macOS w organizacji zostaną usunięte z usługi Intune w ciągu 90 dni.

Anulowanie aprowizacji narzędzia Jamf Pro z poziomu konsoli narzędzia Jamf Pro

Wykonaj poniższe kroki, aby usunąć połączenie z konsoli narzędzia Jamf Pro.

1. W konsoli narzędzia Jamf Pro przejdź do pozycjiDostęp warunkowyzarządzania> globalnego. Na karcie Integracja systemu macOS z usługą Intune kliknij przycisk Edytuj.

2. Wyczyść pole wyboru przy opcji Włącz integrację z usługą Intune dla systemu macOS.

3. Wybierz Zapisz. Narzędzie Jamf Pro wysyła konfigurację do usługi Intune, a integracja zostanie zakończona.

4. Zaloguj się do centrum administracyjnego Microsoft Intune.

5. Wybierz kolejno pozycje Administracja dzierżawą>Łączniki i tokeny>Zarządzanie urządzeniem partnera, aby sprawdzić, czy aktualny stan to Zakończono.

Po zakończeniu integracji urządzenia z systemem macOS w organizacji zostaną usunięte w dniu pokazanym w konsoli, czyli po trzech miesiącach.

Następne kroki

• Stosowanie zasad zgodności do urządzeń zarządzanych za pomocą narzędzia Jamf
• Dane wysyłane do usługi Intune przez narzędzie Jamf