Integrar manualmente o Jamf Pro ao Intune para fins de conformidade

Importante

O suporte ao dispositivo macOS do Jamf para Acesso Condicional está sendo preterido.

A partir de 1º de setembro de 2024, a plataforma na qual o recurso de Acesso Condicional do Jamf Pro é criado não terá mais suporte.

Se você usar a integração de Acesso Condicional do Jamf Pro para dispositivos macOS, siga as diretrizes documentadas do Jamf para migrar seus dispositivos para a integração de conformidade do dispositivo na migração do acesso condicional do macOS para a conformidade do dispositivo macOS – Documentação do Jamf Pro.

Se precisar de ajuda, entre em contato com o Jamf Customer Success. Para obter mais informações, confira a postagem no blog em https://aka.ms/Intune/Jamf-Device-Compliance.

Dica

Para obter diretrizes para integrar o Jamf Pro ao Intune e Microsoft Entra ID, incluindo como configurar o Jamf Pro para implantar o aplicativo Portal da Empresa do Intune em dispositivos que você gerencia com o Jamf Pro, consulte Integrar o Jamf Pro ao Intune para relatar a conformidade com Microsoft Entra ID.

Microsoft Intune dá suporte à integração da implantação do Jamf Pro para trazer conformidade do dispositivo e políticas de acesso condicional aos seus dispositivos macOS. Por meio da integração, você pode exigir que seus dispositivos macOS gerenciados pelo Jamf Pro atendam aos requisitos de conformidade do dispositivo Intune antes que esses dispositivos tenham permissão para acessar os recursos da sua organização. O acesso aos recursos é controlado por suas políticas de acesso condicional Microsoft Entra da mesma forma que para dispositivos gerenciados por meio do Intune.

Quando o Jamf Pro se integra ao Intune, você pode sincronizar os dados de inventário de dispositivos macOS com o Intune por meio de Microsoft Entra ID. Em seguida, o mecanismo de conformidade do Intune analisa os dados do inventário para gerar um relatório. A análise do Intune é combinada com a inteligência sobre a identidade Microsoft Entra do usuário do dispositivo para impulsionar a aplicação por meio do Acesso Condicional. Os dispositivos compatíveis com as políticas de Acesso Condicional podem obter acesso aos recursos protegidos da empresa.

Este artigo pode ajudá-lo a integrar manualmente o Jamf Pro ao Intune.

Dica

Em vez de configurar manualmente a integração do Jamf Pro com o Intune, recomendamos configurar e usar o Conector de Nuvem do Jamf com o Microsoft Intune. O Conector de Nuvem automatiza muitas das etapas necessárias quando você configura manualmente a integração.

Depois de configurar a integração, você configurará o Jamf e o Intune para impor a conformidade com o Acesso Condicional em dispositivos gerenciados pelo Jamf.

Pré-requisitos

Produtos e serviços

Você precisa do seguinte para configurar o Acesso Condicional com o Jamf Pro:

• Jamf Pro 10.1.0 ou mais recente
• licenças de Microsoft Intune e Microsoft Entra ID P1 (pacote de licenças do Microsoft Enterprise Mobility + Security recomendado)
• Função de administrador global no Microsoft Entra ID.
• Um usuário com privilégios de Integração do Microsoft Intune no Jamf Pro
• Aplicativo do Portal da Empresa do macOS
• Dispositivos macOS com OS X 10.12 Yosemite ou mais recentes

Portas de rede

As portas a seguir devem estar acessíveis para que o Jamf e o Intune sejam integrados corretamente:

• Intune: Porta 443
• Apple: Portas 2195, 2196 e 5223 (notificações por push para o Intune)
• Jamf: Portas 80 e 5223

Para permitir que o APNS funcione corretamente na rede, você também precisa habilitar as conexões de saída para os seguintes locais, assim como os redirecionamentos provenientes deles:

• bloco 17.0.0.0/8 da Apple nas portas TCP 5223 e 443 de todas as redes de cliente.
• portas 2195 e 2196 de servidores Jamf Pro.

Para obter mais informações sobre essas portas, confira os seguintes artigos:

• Largura de banda e requisitos de configuração de rede do Intune
• Portas de rede usadas pelo Jamf Pro em jamf.com.
• Portas TCP e UDP usadas pelos produtos de software da Apple em support.apple.com

Conectar o Intune ao Jamf Pro

Para conectar o Intune ao Jamf Pro:

1. Crie um novo aplicativo no Azure.
2. Habilite a integração do Intune ao Jamf Pro.
3. Configure o Acesso Condicional no Jamf Pro.

Criar um aplicativo no Microsoft Entra ID

1. No portal do Azure, vá para Microsoft EntraRegistros de Aplicativo de ID> e selecione Novo registro.

2. Na página Registrar um aplicativo, especifique os detalhes a seguir:

   • Na seção Nome, insira um nome significativo para o aplicativo, por exemplo Acesso condicional Jamf.
   • Na seção Tipos de conta com suporte, escolha Contas em qualquer diretório organizacional.
   • Quanto à URI de Redirecionamento, deixe o valor padrão da Web e especifique a URL da sua instância do Jamf Pro.

3. Escolha Registrar para criar o aplicativo e abrir a página Visão geral do novo aplicativo.

4. Na página Visão geral do aplicativo, copie o valor de ID (cliente) do aplicativo e registre-o para usar posteriormente. Você precisará desse valor em procedimentos futuros.

5. Selecione Certificados e segredos sob Gerenciar. Selecione o botão Novo segredo do cliente. Insira um valor em Descrição, escolha uma opção para Expira e escolha Adicionar.

   Importante

   Antes de sair desta página, copie o valor do segredo do cliente e guarde-o para uso posterior. Você precisará desse valor em procedimentos futuros. Este valor não está disponível novamente, sem recriar o registro do aplicativo.

6. Selecione Permissões de API em Gerenciar.

7. Na página permissões de API, remova todas as permissões desse aplicativo selecionando o ícone ... ao lado de cada permissão existente. Essa remoção é necessária. A integração não será bem-sucedida se houver permissões extras inesperadas no registro desse aplicativo.

8. Em seguida, adicione permissões para atualizar atributos do dispositivo. Na parte superior esquerda da página Permissões de API, selecione Adicionar uma permissão para adicionar uma nova permissão.

9. Na página Solicitar permissões de API, escolha Intune e Permissões do Aplicativo. Marque a caixa de seleção update_device_attributes e salve a nova permissão.

10. Em Microsoft Graph, selecione Permissões de aplicativo e, em seguida, selecione Application.Read.All.

11. Selecione Adicionar permissões.

12. Vá para APIs que minha organização usa. Pesquise e selecione Azure Active Directory do Windows. Selecione Permissões de aplicativo e, em seguida, selecione Application.Read.All.

13. Selecione Adicionar permissões.

14. Em seguida, conceda o consentimento do administrador para este aplicativo selecionando Conceder consentimento de administrador para <seu locatário> na parte superior esquerda da página de permissões de API . Talvez seja necessário autenticar novamente sua conta na nova janela e permitir o acesso ao aplicativo seguindo os avisos.

15. Atualize a página selecionando Atualizar na parte superior da página. Confirme se o consentimento do administrador foi fornecido para a permissão update_device_attributes.

16. Depois que o aplicativo for registrado com êxito, as permissões de API devem conter apenas uma permissão chamada update_device_attributes e devem aparecer da seguinte maneira:

O processo de registro do aplicativo no Microsoft Entra ID está concluído.

Observação

Se o segredo do cliente expirar, você deverá criar um novo segredo do cliente no Azure e, depois, atualizar os dados do Acesso Condicional no Jamf Pro. O Azure permite que você tenha o segredo antigo e a nova chave ativos para evitar interrupções no serviço.

Permitir a integração do Intune ao Jamf Pro

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Administração do locatário>Conectores e tokens>Gerenciamento de dispositivo de parceiro.

3. Habilite o Conector de Conformidade para Jamf colando a ID do aplicativo salva durante o procedimento anterior no campo Especificar a ID do aplicativo Microsoft Entra para Jamf.

4. Selecione Salvar.

Configure a Integração do Microsoft Intune no Jamf Pro

1. Ative a conexão no console do Jamf Pro:

   1. Abra o console do Jamf Pro e navegue até Gerenciamento Global>Acesso Condicional. Selecione Editar na guia Integração do Intune com o macOS.
   2. Marque a caixa de seleção Habilitar a Integração do Intune com o macOS. Quando essa configuração está habilitada, o Jamf Pro envia atualizações de inventário para o Microsoft Intune. Desmarque a seleção se quiser desabilitar a conexão, mas salvar sua configuração.
   3. Selecione Manual em Tipo de conexão.
   4. No menu pop-upNuvem Soberana, escolha a localização da sua nuvem soberana na Microsoft.
   5. Selecione Abrir URL de consentimento do administrador e siga as instruções na tela para permitir que o aplicativo Jamf Native macOS Connector seja adicionado ao locatário Microsoft Entra.
   6. Adicione o nome do locatário Microsoft Entra do Microsoft Azure.
   7. Adicione a ID do aplicativo e o Segredo do Cliente (anteriormente chamado de Chave do Aplicativo) do aplicativo Jamf Pro do Microsoft Azure.
   8. Selecione Salvar. O Jamf Pro testará suas configurações e verificará seu êxito.

   Retorne à página de Gerenciamento de dispositivo parceiro no Intune para concluir a configuração.

2. No Intune, acesse a página de Gerenciamento de dispositivos parceiros. Em Configurações do Conector, configure grupos para atribuição:

   • Selecione Incluir e especifique quais grupos de usuários você quer alcançar na inscrição no macOS com o Jamf.
   • Use Excluir para selecionar grupos de usuários que não se inscreverão no Jamf e, em vez disso, inscreverão os respectivos Macs diretamente no Intune.

   Excluir substitui Incluir, o que significa que os dispositivos que estejam nos dois grupos é excluído do Jamf e direcionado para a inscrição no Intune.

   Observação

   Esse método de inclusão e exclusão de grupos de usuários afeta a experiência de inscrição do usuário. Qualquer usuário com um dispositivo macOS que já esteja registrado no Jamf ou no Intune que seja então destinado a se registrar com o outro MDM deve cancelar o registro do dispositivo e registrá-lo novamente com o novo MDM antes que o gerenciamento do dispositivo funcione corretamente.

3. Selecione Avaliar para determinar quantos dispositivos serão registrados no Jamf com base nas configurações do seu grupo.

4. Selecione Salvar quando estiver pronto para aplicar a configuração.

5. Para continuar, você precisará usar o Jamf para implantar o Portal da Empresa para Mac para que os usuários possam registrar seus dispositivos no Intune.

Configurar políticas de conformidade e registrar dispositivos

Depois de configurar a integração entre o Intune e o Jamf, você precisará aplicar as políticas de conformidade aos dispositivos gerenciados pelo Jamf.

Desconectar Jamf Pro e Intune

Caso precise remover a integração do Jamf Pro com o Intune, use um dos métodos a seguir. Ambos os métodos se aplicam à integração que é configurada manualmente ou usando o Cloud Connector.

Deprovisionar o Jamf Pro de dentro do centro de administração do Microsoft Intune

1. No centro de administração Microsoft Intune, acesse Conectores de administração>de locatários e tokensGerenciamento de dispositivos parceiros>.

2. Selecione a opção Encerrar. O Intune exibe uma mensagem sobre a ação. Examine a mensagem e, quando estiver pronto, selecione OK. A opção de Encerrar a integração só é exibida quando a conexão Jamf existe.

Depois de encerrar a integração, atualize a exibição do centro de administração para atualizar o modo de exibição. Os dispositivos macOS da sua organização são removidos do Intune em 90 dias.

Deprovisionar o Jamf Pro de dentro do console do Jamf Pro

Use as etapas a seguir para remover a conexão de dentro do console do Jamf Pro.

1. No console do Jamf Pro, acesseAcesso Condicional de Gerenciamento> Global. Na guia Integração do Intune com o macOS, selecione Editar.

2. Desmarque a caixa de seleção Habilitar a Integração do Intune com o macOS.

3. Selecione Salvar. O Jamf Pro envia a sua configuração para o Intune, e a integração será encerrada.

4. Entre no Centro de administração do Microsoft Intune.

5. Selecione Administração do locatário>Conectores e tokens>Gerenciamento do dispositivo do parceiro para verificar se o status já foi Encerrado.

Depois que você encerrar a integração, os dispositivos macOS da sua organização serão removidos na data mostrada em seu console, que é após três meses.

Próximas etapas

• Aplique as políticas de conformidade aos dispositivos gerenciados pelo Jamf
• Dados enviados pelo Jamf ao Intune