Configurar o Conector de Nuvem do Jamf para integração com o Microsoft Intune
Importante
O suporte de dispositivos macOS do Jamf para Acesso Condicional está a ser preterido.
A partir de 1 de setembro de 2024, a plataforma na qual a funcionalidade acesso condicional do Jamf Pro está incorporada deixará de ser suportada.
Se utilizar a integração de Acesso Condicional do Jamf Pro para dispositivos macOS, siga as diretrizes documentadas do Jamf para migrar os seus dispositivos para a integração de Conformidade de Dispositivos em Migrar do Acesso Condicional do macOS para a Conformidade de Dispositivos macOS – Documentação do Jamf Pro.
Se precisar de ajuda, contacte o Jamf Customer Success. Para obter mais informações, consulte a mensagem de blogue em https://aka.ms/Intune/Jamf-Device-Compliance.
Este artigo pode ajudar você a instalar o Conector de Nuvem do Jamf para integrar o Jamf Pro ao Microsoft Intune. Por meio da integração, você pode exigir que seus dispositivos macOS gerenciados pelo Jamf Pro atendam aos requisitos de conformidade do dispositivo Intune antes que esses dispositivos tenham permissão para acessar os recursos da sua organização. O acesso a recursos é controlado pelas suas políticas de Acesso Condicional do Microsoft Entra da mesma forma que para dispositivos geridos através do Intune.
Recomendamos o uso do Conector de Nuvem do Jamf, pois ele automatiza muitas das etapas necessárias ao configurar manualmente a integração, conforme documentado no Integrar o Jamf Pro ao Intune para fins de conformidade.
Ao configurar o Conector de Nuvem:
- A configuração cria automaticamente os aplicativos do Jamf Pro no Azure, eliminando a necessidade de configurá-los manualmente.
- Você pode integrar várias instâncias do Jamf Pro ao mesmo locatário do Azure que hospeda a sua assinatura do Intune.
Só há suporte para a conexão de várias instâncias do Jamf Pro com um locatário individual do Azure quando você usa o Conector de Nuvem. Quando você usa uma conexão configurada manualmente, apenas uma instância do Jamf pode ser integrada a um locatário do Azure.
O uso do Conector de Nuvem é opcional:
- Para novos locatários que ainda não se integraram ao Jamf, você pode optar por configurar o Conector de Nuvem, conforme descrito neste artigo. Ou então, pode configurar a integração manualmente, conforme descrito em Integrar o Jamf Pro ao Intune para fins de conformidade
- Para os locatários que já têm uma configuração manual, você pode optar por remover essa integração e configurar o Conector de Nuvem. A remoção de uma integração existente e a configuração do Conector de Nuvem são descritas neste artigo.
Se você planeja substituir a integração anterior pelo Conector de Nuvem do Jamf:
- Use o procedimento para remover a configuração atual, que inclui a exclusão dos aplicativos empresariais do Jamf Pro e a desabilitação da integração manual. Em seguida, use o procedimento para configurar o Conector de Nuvem.
- Você não precisará registrar novamente os dispositivos. Os dispositivos já registados podem utilizar o Cloud Connector sem configuração adicional.
- Lembre-se de configurar o Conector de Nuvem no prazo de até 24 horas após a remoção da integração manual para garantir que os dispositivos registrados possam continuar relatando o respectivo status.
Para obter mais informações sobre o Conector de Nuvem do Jamf, confira Configurar a integração do macOS Intune usando o Conector de Nuvem em docs.jamf.com.
Pré-requisitos
Produtos e serviços:
- Jamf Pro 10.18 ou posterior
- Uma conta de usuário do Jamf Pro com privilégios de acesso condicional
- Microsoft Intune
- Microsoft Entra ID P1 ou P2
- Aplicativo do Portal da Empresa do macOS
- Dispositivos macOS com OS X 10.12 Yosemite ou mais recentes
Rede:
As seguintes portas e os seguintes pontos de extremidade precisam estar acessíveis para que o Jamf e o Intune sejam integrados corretamente:
Intune: Porta 443
Apple: Portas 2195, 2196 e 5223 (notificações por push para o Intune)
Jamf: portas 80 e 5223
Pontos de extremidade:
- login.microsoftonline.com
- graph.windows.net
- *.manage.microsoft.com
Para permitir que o APNS funcione corretamente na rede, habilite conexões de saída com as seguintes portas, bem como redirecionamentos dessas portas:
- O bloco 17.0.0.0/8 da Apple nas portas TCP 5223 e 443 de todas as redes de cliente.
- As portas 2195 e 2196 dos servidores do Jamf Pro.
Para obter mais informações sobre essas portas, confira os seguintes artigos:
- Largura de banda e requisitos de configuração de rede do Intune
- Portas de rede usadas pelo Jamf Pro em jamf.com.
- Portas TCP e UDP usadas por produtos de software da Apple em support.apple.com
Contas:
Os procedimentos descritos neste artigo exigem o uso de contas com as seguintes permissões:
- Jamf Pro console: uma conta com permissões para gerenciar o Jamf Pro
- Centro de administração do Microsoft Intune: Administrador Global
- Portal do Azure: Administrador Global
Remover a integração do Jamf Pro de um locatário configurado anteriormente
Use o procedimento a seguir para remover uma integração configurada manualmente do Jamf Pro do locatário do Azure antes de configurar o Conector de Nuvem.
Se não tiver configurado anteriormente uma ligação entre o Jamf Pro e o Intune ou se tiver uma ou mais ligações que já utilizem o Cloud Connector, ignore este procedimento e comece por Configurar o Cloud Connector para um novo inquilino.
Remover uma integração do Jamf Pro configurada manualmente
Entre no console do Jamf Pro.
Selecione Configurações (o ícone de engrenagem no canto superior direito) e acesse Gerenciamento Global>Acesso Condicional.
Selecione Editar.
Desmarque a caixa de seleção Habilitar Integração do Intune ao macOS.
Ao desmarcar essa configuração, você desabilita a conexão, mas salva a configuração.
Inicie sessão no centro de administração do Microsoft Intune e aceda a Administração> de inquilinosGestão de dispositivos parceiros.
No nó Gestão de dispositivos parceiros, elimine o ID da Aplicação no campo Especificar o ID da Aplicação Microsoft Entra para Jamf e, em seguida, selecione Guardar.
A ID do Aplicativo é a ID do aplicativo Azure Enterprise que é criada no Azure quando você configura uma integração manual no Jamf Pro.
Inicie sessão no portal do Azure com uma conta que tenha permissões de Administrador Global e aceda aAplicaçõesMicrosoft Entra ID> Enterprise.
Localize os dois aplicativos do Jamf e exclua-os. Outros aplicativos serão criados automaticamente quando você configurar o Conector de Nuvem do Jamf no próximo procedimento.
Depois que você desabilitar a integração no Jamf Pro e excluir os aplicativos empresariais, o nó Gerenciamento de dispositivo de parceiro exibirá o status da conexão Encerrada.
Agora que você removeu com êxito a configuração manual da integração do Jamf Pro, configure a integração usando o Conector de Nuvem. Para fazer isso, confira Configurar o Conector de Nuvem para um novo locatário neste artigo.
Configurar o Conector de Nuvem para um novo locatário
Use o seguinte procedimento para configurar o Conector de Nuvem do Jamf para integrar o Jamf Pro e o Microsoft Intune quando:
- Você não tiver nenhuma integração entre o Jamf Pro e o Intune configurada para o seu locatário do Azure.
- Você já tem um Conector de Nuvem configurado entre o Jamf Pro e o Intune em seu locatário do Azure e deseja integrar outra instância do Jamf à sua assinatura.
Se, no momento, você tiver uma integração configurada manualmente entre o Intune e o Jamf Pro, confira Remover a integração do Jamf Pro de um locatário configurado anteriormente neste artigo para remover essa integração antes de continuar. A remoção de uma integração configurada manualmente é necessária para configurar com êxito o Conector de Nuvem do Jamf.
Criar uma nova conexão
Entre no console do Jamf Pro.
Selecione Configurações (o ícone de engrenagem no canto superior direito) e acesse Gerenciamento Global>Acesso Condicional.
Selecione Editar.
Marque a caixa de seleção Habilitar Integração do Intune ao macOS.
- Selecione essa configuração para que o Jamf Pro envie atualizações de inventário ao Microsoft Intune.
- Você pode desmarcar essa configuração para desabilitar a conexão, mas salvar a configuração.
Importante
Se a opção Habilitar Integração do Intune para macOS já estiver selecionada e o Tipo de Conexão estiver definido como Manual, você precisará remover essa integração antes de continuar. Confira Remover a integração do Jamf Pro de um locatário configurado anteriormente neste artigo antes de continuar.
Em Tipo de Conexão, selecione Conector de Nuvem.
No menu pop-upNuvem Soberana, escolha a localização da sua nuvem soberana na Microsoft. Se você estiver substituindo sua integração anterior pelo Jamf Cloud Connector, poderá ignorar esta etapa se o local tiver sido especificado.
Selecione uma das seguintes opções de página de aterrissagem para computadores que não são reconhecidos pelo Microsoft Azure:
- A página Registo de Dispositivos Do Jamf Pro Predefinido – consoante o estado do dispositivo macOS, esta opção redireciona os utilizadores para o portal de inscrição de dispositivos Jamf Pro (para se inscreverem no Jamf Pro) ou para a aplicação Portal da Empresa do Intune (para se registarem no Microsoft Entra ID).
- A página Acesso Negado
- URL personalizada
Se você estiver substituindo sua integração anterior pelo Jamf Cloud Connector, poderá ignorar esta etapa se a página de destino tiver sido especificada.
Selecione Conectar. É redirecionado para registar as aplicações Jamf Pro no Azure.
Quando solicitado, especifique suas credenciais do Microsoft Azure e siga as instruções na tela para conceder as permissões solicitadas. Você concederá permissões para o Conector de Nuvem e novamente para o aplicativo de registro de usuário do Conector de Nuvem. Os dois aplicativos são registrados no Azure como aplicativos empresariais.
Depois que as permissões forem concedidas para os dois aplicativos, a página ID do Aplicativo será aberta.
Na página ID do Aplicativo, selecione Copiar e abrir o Intune.
O ID da Aplicação é copiado para a área de transferência do sistema para utilização no próximo passo e é aberto o nó Gestão de dispositivos parceiros no centro de administração do Microsoft Intune . (Administração de locatários>Gerenciamento de dispositivo de parceiro).
No nó Gestão de dispositivos parceiros, cole o ID da Aplicação no campo Especificar o ID da Aplicação Microsoft Entra para Jamf e, em seguida, selecioneGuardar.
Volte à página ID do Aplicativo no Jamf Pro e selecione Confirmar.
O Jamf Pro concluirá e testará a configuração e exibirá o êxito ou a falha da conexão na página Configurações do acesso condicional. A seguinte imagem é um exemplo de êxito:
No centro de administração do Microsoft Intune, atualize o nó Gestão de dispositivos parceiros. A conexão agora deverá ser mostrada como Ativa:
Quando a ligação entre o Jamf Pro e o Microsoft Intune for estabelecida com êxito, o Jamf Pro envia informações de inventário para o Microsoft Intune para cada computador registado com o Microsoft Entra ID (registar-se no Microsoft Entra ID é um fluxo de trabalho do utilizador final). Veja o Estado de Inventário do Acesso Condicional de um usuário e um computador na categoria Conta de Usuário Local das informações de inventário de um computador no Jamf Pro.
Depois de integrar uma instância do Jamf Pro usando o Conector de Nuvem do Jamf, você pode usar esse mesmo procedimento para configurar mais instâncias do Jamf Pro com a mesma assinatura do Intune em seu locatário do Azure.
Configurar políticas de conformidade e registrar dispositivos
Depois de configurar a integração entre o Intune e o Jamf, você precisará aplicar as políticas de conformidade aos dispositivos gerenciados pelo Jamf.
Desconectar Jamf Pro e Intune
Para remover a integração do Jamf Pro com o Intune, utilize os seguintes passos para remover a ligação da consola do Jamf Pro. Estas informações aplicam-se tanto ao Cloud Connector como a uma integração configurada manualmente.
Desaprovisionar o Jamf Pro a partir do centro de administração do Microsoft Intune
No centro de administração do Microsoft Intune, aceda a Administração> deinquilinos Conectores e tokensGestão de dispositivos parceiros>.
Selecione a opção Terminar. O Intune apresenta uma mensagem sobre a ação. Reveja a mensagem e, quando estiver pronto, selecione OK. A opção para Terminar a integração só é apresentada quando a ligação do Jamf existe.
Depois de terminar a integração, atualize a vista do centro de administração para atualizar a vista. Os dispositivos macOS da sua organização são removidos do Intune dentro de 90 dias.
Desaprovisionar o Jamf Pro a partir da consola do Jamf Pro
Utilize os seguintes passos para remover a ligação da consola do Jamf Pro.
Na consola do Jamf Pro, aceda aAcesso Condicional de Gestão> Global. Na guia Integração do Intune com o macOS, selecione Editar.
Desmarque a caixa de seleção Habilitar a Integração do Intune com o macOS.
Selecione Salvar. O Jamf Pro envia a sua configuração para o Intune, e a integração será encerrada.
Selecione Administração do locatário>Conectores e tokens>Gerenciamento do dispositivo do parceiro para verificar se o status já foi Encerrado.
Depois de terminar a integração, os dispositivos macOS da sua organização serão removidos na data apresentada na consola do , que é após três meses.
Obter suporte para o Conector de Nuvem
Como o Conector de Nuvem cria automaticamente os aplicativos empresariais do Azure necessários para a integração, seu primeiro ponto de contato de suporte deverá ser o Jamf. As opções são:
- Suporte pelo email
support@jamf.com
- Use o portal de suporte no Jamf Nation: https://www.jamf.com/support/
Antes de entrar em contato com o suporte:
Examine os pré-requisitos, como as portas e a versão do produto utilizadas.
Confirme se as permissões para os dois aplicativos do Jamf Pro a seguir criados no Azure não foram modificadas. Não há suporte para alterações das permissões de aplicativo no Intune e elas poderão causar falha na integração.
Aplicativo de registro de usuário do Conector de Nuvem:
- Nome da API: Microsoft Graph
- Permissão: entrar e ler o perfil do usuário
- Tipo: delegado
- Concedido por meio de: consentimento do administrador
- Concedido por: um administrador
Aplicativo do Conector de Nuvem:
Nome da API: Microsoft Graph (instância 1)
- Permissão: entrar e ler o perfil do usuário
- Tipo: delegado
- Concedido por meio de: consentimento do administrador
- Concedido por: um administrador
Nome da API: Microsoft Graph (instância 2)
- Permissão: ler dados do diretório
- Tipo: Aplicativo
- Concedido por meio de: consentimento do administrador
- Concedido por: um administrador
Nome da API: API do Intune
- Permissão: enviar atributo de dispositivo para o Microsoft Intune
- Tipo: Aplicativo
- Concedido por meio de: consentimento do administrador
- Concedido por: um administrador
- Nome da API: Microsoft Graph
Perguntas comuns sobre o Conector de Nuvem do Jamf
Quais dados são compartilhados por meio do Conector de Nuvem?
O Conector de Nuvem é autenticado no Microsoft Azure e envia dados de inventário de dispositivos do Jamf Pro para o Azure. Além disso, o Conector de Nuvem gerencia a descoberta de serviço no Azure, a troca de tokens, os erros de comunicação e a recuperação de desastre.
Em que local os dados de inventário de dispositivo são armazenados?
Os dados de inventário do dispositivo são armazenados no banco de dados do Jamf Pro.
Quais credenciais são armazenadas?
Nenhuma credencial é armazenada. Quando configurar o Cloud Connector, tem de dar consentimento para adicionar a aplicação multi-inquilino jamf e a aplicação nativa do conector macOS ao respetivo inquilino do Microsoft Entra. Depois que o aplicativo multilocatário é adicionado, o Conector de Nuvem solicita aos tokens de acesso que interajam com a API do Azure. O acesso ao aplicativo pode ser revogado no Microsoft Azure a qualquer momento para restringir o acesso.
Como os dados são criptografados?
O Conector de Nuvem usa o protocolo TLS para os dados enviados entre o Jamf Pro e o Microsoft Azure.
Como o Jamf sabe qual dispositivo está associado a qual instância do Jamf Pro?
O Jamf Pro usa microsserviços na AWS para rotear corretamente as informações do dispositivo para a instância correta.
Posso alternar o uso do Conector de Nuvem com o tipo de conexão manual?
Sim. Você pode alterar o tipo de conexão novamente para manual e seguir as etapas da configuração manual. Em caso de dúvidas, envie-as ao Jamf para obter assistência.
As permissões foram modificadas numa ou em ambas as aplicações necessárias (cloud Connector e aplicação de registo de utilizador do Cloud Connector) e o registo não está a funcionar. A alteração de permissões é suportada?
Não há suporte para a modificação das permissões nos aplicativos.
Há um arquivo de log no Jamf Pro que mostra se o Tipo de Conexão foi alterado?
Sim, as alterações são registradas no arquivo JAMFChangeManagement.log. Para ver os registos da Gestão de Alterações, inicie sessão no Jamf Pro, aceda a Definições>do Sistema Registos deGestão> de Alterações>, procure Tipo de objeto para Acesso Condicional e, em seguida, selecione Detalhes para ver as alterações.