Integrar o Jamf Pro com o Intune para conformidade

Quando a sua organização utiliza o Jamf Pro para gerir dispositivos macOS, pode utilizar Microsoft Intune políticas de conformidade com Azure Ative Directory (Azure AD) Acesso Condicional para garantir que os dispositivos na sua organização estão em conformidade antes de poderem aceder aos recursos da empresa. Para integrar o Jamf Pro com o Intune, tem duas opções:

• Configurar manualmente a integração - Utilize as informações deste artigo para configurar manualmente a integração do Jamf com o Intune.
• Utilizar o Conector de Nuvem Jamf (recomendado)- Utilize as informações em Utilizar o Conector de Nuvem Jamf com Microsoft Intune para instalar o Conector de Nuvem Jamf para integrar o Jamf Pro com Microsoft Intune. O Cloud Connector automatiza muitos dos passos necessários quando configura manualmente a integração.

Quando o Jamf Pro se integra com o Intune, pode sincronizar os dados de inventário dos dispositivos macOS com o Intune, através do Azure AD. O motor de conformidade da Intune analisa então os dados do inventário para gerar um relatório. A análise da Intune é combinada com a inteligência sobre a identidade AZure AD do utilizador do dispositivo para impulsionar a aplicação através do Acesso Condicional. Os dispositivos que estejam em conformidade com as políticas de Acesso Condicional podem ter acesso a recursos da empresa protegidos.

Depois de configurar a integração, irá configurar o Jamf e o Intune para impor o cumprimento do Acesso Condicional em dispositivos geridos pelo Jamf.

Pré-requisitos

Produtos e serviços

Precisa do seguinte para configurar o acesso condicional com o Jamf Pro:

• Jamf Pro 10.1.0 ou posterior
• licenças Microsoft Intune e Microsoft AAD Premium P1 (pacote de licenças de Microsoft Enterprise Mobility + Security recomendado)
• Um utilizador com privilégios de integração Microsoft Intune no Jamf Pro
• Aplicação Portal da Empresa para macOS
• dispositivos macOS com OS X 10.12 Yosemite ou mais tarde

Portas de rede

As seguintes portas devem estar acessíveis para que o Jamf e o Intune se integrem corretamente:

• Intune: Porto 443
• Apple: Portos 2195, 2196 e 5223 (notificações push para Intune)
• Jamf: Portos 80 e 5223

Para permitir que a APNS funcione corretamente na rede, também deve permitir ligações de saída e redirecionamentos a partir de:

• o bloco Apple 17.0.0.0/8 sobre as portas TCP 5223 e 443 de todas as redes de clientes.
• portas 2195 e 2196 de servidores jamf Pro.

Para obter mais informações sobre estas portas, consulte os seguintes artigos:

• Requisitos de configuração da rede intune e largura de banda.
• Portas de rede Utilizadas pela Jamf Pro na jamf.com.
• Portas TCP e UDP utilizadas pelos produtos de software da Apple em support.apple.com

Ligação Intune para Jamf Pro

Para ligar Intune com Jamf Pro:

1. Crie uma nova aplicação no Azure.
2. Capacitar a Intune a integrar-se com o Jamf Pro.
3. Configurar acesso condicional em Pro jamf.

Criar uma Aplicação no Azure Active Directory

1. No portal Azure,vá a Azure Ative Directory > Registos de Aplicações, e, em seguida, selecione Novas inscrições.

2. Na página registar uma candidatura, especifique os seguintes detalhes:

   • Na secção Nome, introduza um nome de aplicação significativo, por exemplo Jamf Acesso Condicional.
   • Para a secção de tipos de conta suportada, selecione Contas em qualquer diretório organizacional.
   • Para redirecionar URI, deixe o padrão da Web e, em seguida, especifique o URL para o seu Pro de Jamf.

3. Selecione Registar-se para criar a aplicação e abrir a página 'Visão Geral' para a nova aplicação.

4. Na página de Visão Geral da aplicação, copie o valor de ID da Aplicação (cliente) e grave-o para utilização posterior. Vai precisar deste valor em procedimentos posteriores.

5. Selecione Certificados & segredos em Manage. Selecione o botão secreto do novo cliente. Introduza um valor em Descrição, selecione qualquer opção para Expirações e escolha Adicionar.

   Importante

   Antes de sair desta página, copie o valor para o segredo do cliente e grave-o para posterior utilização. Vai precisar deste valor em procedimentos posteriores. Este valor não está novamente disponível, sem recriar o registo da app.

6. Selecione Permissões de API em Gerir.

7. Na página de permissões da API, remova todas as permissões desta aplicação selecionando o ... ícone ao lado de cada permissão existente. Note que isto é necessário; a integração não terá sucesso se houver permissões extra inesperadas neste registo de aplicações.

8. Em seguida, adicionaremos permissões para atualizar os atributos do dispositivo. No topo à esquerda da página de permissões da API, selecione Adicionar uma permissão para adicionar uma nova permissão.

9. Na página de permissões da API do Pedido, selecione Intune e, em seguida, selecione permissões de aplicação. Selecione apenas a caixa de verificação para update_device_attributes e guarde a nova permissão.

10. Em seguida, conceda o consentimento administrativo para esta aplicação selecionando o consentimento de administração grant para <your tenant> no canto superior esquerdo da página de permissões da API. Poderá ser necessário reautensar a sua conta na nova janela e conceder o acesso à aplicação seguindo as indicações.

11. Refresque a página clicando no botão Refresh no topo da página. Confirme que o consentimento da administração foi concedido para a permissão update_device_attributes.

12. Após a aplicação ser registada com sucesso, as permissões da API devem conter apenas uma permissão chamada update_device_attributes e devem aparecer da seguinte forma:

O processo de registo de aplicações em Azure AD está completo.

Nota

Se o segredo do cliente expirar, deve criar um novo segredo de cliente em Azure e, em seguida, atualizar os dados de Acesso Condicional no Jamf Pro. O Azure permite-lhe ter a velha secreta e a nova chave ativa para prevenir interrupções de serviço.

Integrar o Intune com o Jamf Pro

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione a administração do inquilino > Connectors e tokens > Gestão de dispositivos parceiros.

3. Ativar o Conector de Conformidade do Jamf colando o ID de aplicação que guardou durante o procedimento anterior no ID da aplicação Azure Ative Directory para o campo Jamf.

4. Selecione Guardar.

Configurar a Integração do Microsoft Intune no Jamf Pro

1. Ativar a ligação na consola jamf Pro:

   1. Abra a consola Jamf Pro e navegue para o Acesso Condicional de Gestão Global > . Clique no botão Editar no separador integração do macOS Intune.
   2. Selecione a caixa de verificação para Ativar a Integração Intune para o macOS.
   3. Forneça as informações necessárias sobre o seu inquilino Azure, incluindo Localização, Nome de Domínio, ID de aplicação, e o valor para o segredo do cliente que guardou quando criou a app em Azure AD.
   4. Selecione Guardar. A Jamf Pro testa as suas definições e verifica o seu sucesso.

   Volte à página de gestão de dispositivos Partner em Intune para completar a configuração.

2. Em Intune, aceda à página de gestão de dispositivos Partner. No âmbito do Conector Definições grupos de configuração para atribuição:

   • Selecione Incluir e especificar quais os grupos de utilizadores que pretende direcionar para a inscrição do macOS com o Jamf.
   • Use Excluir para selecionar grupos de Utilizadores que não se matricularão no Jamf e, em vez disso, irá inscrever os seus Macs diretamente com o Intune.

   Excluir sobreposições Inclua, o que significa que qualquer dispositivo que esteja em ambos os grupos está excluído do Jamf e direcionado para se inscrever no Intune.

   Nota

   Este método de inclusão e exclusão de grupos de utilizadores afeta a experiência de inscrição do utilizador. Qualquer utilizador com um Mac que já esteja matriculado no Jamf ou no Intune que seja então direcionado para se inscrever com o outro MDM deve desativar o seu dispositivo e, em seguida, reinscrever-lo com o novo MDM antes que a gestão do dispositivo funcione corretamente.

3. Selecione Avaliar para determinar quantos dispositivos serão matriculados com o Jamf, com base nas configurações do grupo.

4. Selecione Guardar quando estiver pronto para aplicar a configuração.

5. Para continuar, terá de utilizar o Jamf para implementar o Portal da Empresa para o Mac, para que os utilizadores possam registar os seus dispositivos no Intune.

Definir as políticas de conformidade e registar dispositivos

Depois de configurar a integração entre Intune e Jamf, tem de aplicar políticas de conformidade a dispositivos geridos pelo Jamf.

Desconexão Jamf Pro e Intune

Se precisar de remover a integração do Jamf Pro com o Intune, utilize os seguintes passos para remover a ligação do interior da consola jamf Pro. Esta informação aplica-se tanto à integração configurada manualmente, como à integração utilizando o Conector cloud.

1. No Jamf Pro, aceda ao Acesso Condicional de Gestão Global. > No separador integração de intune macOS, selecione Editar.

2. Limpe a integração enable Intune para caixa de verificação do macOS.

3. Selecione Guardar. O Jamf Pro envia a sua configuração para o Intune e a integração será terminada.

4. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

5. Selecione a administração do inquilino > Connectors e tokens > Gestão de dispositivos parceiro para verificar se o estado está agora terminado.

   Nota

   Os dispositivos Mac da sua organização serão removidos na data (3 meses) mostrada na sua consola.

Passos seguintes

• Aplicar políticas de conformidade a dispositivos geridos pelo Jamf
• Data Jamf envia para Intune