Utilize o Conector de Nuvem Jamf com Microsoft Intune

Este artigo pode ajudá-lo a instalar o Jamf Cloud Connector para integrar o Jamf Pro com Microsoft Intune. O Cloud Connector automatiza muitos dos passos necessários quando configura manualmente a integração como documentado no Pro Integrado Jamf com o Intune para o cumprimento.

Quando configurar o Conector cloud:

• A configuração cria automaticamente as aplicações Jamf Pro em Azure, substituindo a necessidade de as configurar manualmente.
• Pode integrar várias instâncias da Jamf Pro com o mesmo inquilino Azure que acolhe a sua assinatura Intune.

Ligar várias instâncias do Jamf Pro com um único inquilino Azure só é suportado quando você usa o Cloud Connector. Quando se utiliza uma ligação configurada manualmente, apenas uma instância do Jamf pode integrar-se com um inquilino Azure.

A utilização do Conector cloud é opcional:

• Para novos inquilinos que ainda não se integram com o Jamf, pode optar por configurar o Cloud Connector como descrito neste artigo. Ou pode configurar manualmente a integração como descrito no Pro Integrar Jamf com a Intune para a conformidade
• Para os inquilinos que já tenham uma configuração manual, pode optar por remover essa integração e, em seguida, configurar o Cloud Connector. Tanto a remoção de uma integração existente como a configuração do Conector cloud são descritas neste artigo.

Se pretender substituir a sua integração anterior pelo Conector de Nuvem Jamf:

• Utilize o procedimento para remover a sua configuração atual,que inclui eliminar as aplicações Da Enterprise para Pro jamf e desativar a integração manual. Em seguida, pode utilizar o procedimento para configurar o Conector cloud.
• Não precisará de voltar a registar os dispositivos. Os dispositivos que já estão registados podem utilizar o Cloud Connector sem configuração adicional.
• Certifique-se de configurar o Cloud Connector no prazo de 24 horas após a remoção da sua integração manual para garantir que os seus dispositivos registados possam continuar a reportar o seu estado.

Para obter mais informações sobre o Conector de Nuvem Jamf, consulte configurar a integração de intune do macOS utilizando o Conector cloud no docs.jamf.com.

Pré-requisitos

Produtos e serviços:

• Jamf Pro 10.18 ou mais tarde
• Uma conta de utilizador jamf Pro com privilégios de acesso condicional
• Microsoft Intune
• Microsoft Azure AD Premium
• Aplicação Portal da Empresa para macOS
• dispositivos macOS com OS X 10.12 Yosemite ou mais tarde

Rede:
As seguintes portas e pontos finais devem estar acessíveis para que o Jamf e o Intune se integrem corretamente:

• Intune: Porto 443

• Apple: Portos 2195, 2196 e 5223 (notificações push para Intune)

• Jamf: Portos 80 e 5223

• Pontos Finais:

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

Para que a APNS funcione corretamente na rede, deve ativar as ligações de saída e redirecionar a partir das seguintes portas:

• O bloco Apple 17.0.0.0/8 sobre as portas TCP 5223 e 443 de todas as redes de clientes.
• Portas 2195 e 2196 de servidores jamf Pro.

Para obter mais informações sobre estas portas, consulte os seguintes artigos:

• Requisitos de configuração da rede intune e largura de banda.
• Portas de rede Utilizadas pela Jamf Pro na jamf.com.
• Portas TCP e UDP utilizadas pelos produtos de software da Apple em support.apple.com

Contas:
Os procedimentos neste artigo requerem a utilização de contas com as seguintes permissões:

• Consola jamf Pro: Uma conta com permissões para gerir o Jamf Pro
• Microsoft Endpoint Management centro de administração: Administrador Global
• Portal Azure: Administrador Global

Remova a integração de Pro Jamf para um inquilino previamente configurado

Utilize o seguinte procedimento para remover uma integração configurada manualmente do Jamf Pro do seu inquilino Azure antes de configurar o Conector cloud.

Se ainda não tiver estabelecido uma ligação entre o Jamf Pro e o Intune, ou se tiver uma ou mais ligações que já utilizem o Cloud Connector, ignore este procedimento e comece com a Configuração do Conector de Nuvem para um novo inquilino.

Remova uma integração de jamf Pro configurada manualmente

1. Inscreva-se na consola jamf Pro.

2. Selecione Definições (o ícone de engrenagem no canto superior direito) e, em seguida, vá para o Acesso Condicional de Gestão Global > .

   

3. Selecione Editar.

4. Desescodifice a caixa de verificação para ativar a integração intune para o macOS.

   Ao desmarcar esta definição, desativa a ligação, mas salva a sua configuração.

5. Inscreva-se no centro de administração Microsoft Endpoint Manager e vá para a administração do Tenant > Partner.

   No nó de gestão do dispositivo Partner, elimine o ID da aplicação na Especificação do ID da aplicação Azure Ative Directory para o campo Jamf e, em seguida, selecione Guardar.

   O ID da aplicação é o ID da app Azure Enterprise que foi criada em Azure quando configura uma integração manual se o Jamf Pro.

6. Inscreva-se no portal Azure com uma conta que tenha permissões de Administração Global e vá a > Azure Ative Directory aplicações da Enterprise.

   Localize as duas aplicações Jamf e elimine-as. As novas aplicações serão criadas automaticamente quando configurar o Jamf Cloud Connector no próximo procedimento.

   

   Depois de ter desativado a integração no Jamf Pro e eliminado as aplicações da Enterprise, o nó de gestão de dispositivos Partner apresenta o estado de ligação de Terminated.

   

Agora que removeu com sucesso a configuração manual para a integração Pro Jamf, pode configurar a integração utilizando o Cloud Connector. Para tal, consulte o Conigure o Conector cloud para um novo inquilino neste artigo.

Configure o Conector cloud para um novo inquilino

Utilize o seguinte procedimento para configurar o Conector de Nuvem Jamf para integrar o Jamf Pro e Microsoft Intune quando:

• Você não tem nenhuma integração entre Jamf Pro e Intune configurado para o seu inquilino Azure.
• Você já tem um Cloud Connector configurado entre Jamf Pro e Intune no seu inquilino Azure e quer integrar um caso adicional de Jamf com a sua subscrição.

Se atualmente tem uma integração configurada manualmente entre Intune e Jamf Pro, consulte Remover o Jamf Pro integração para um inquilino previamente configurado neste artigo para remover essa integração antes de prosseguir. É necessária a remoção de uma integração configurada manualmente antes de poder configurar com sucesso o Jamf the Cloud Connector.

Criar uma nova ligação

1. Inscreva-se na consola jamf Pro.

2. Selecione Definições (o ícone de engrenagem no canto superior direito 0 e, em seguida, vá para o Acesso Condicional de Gestão Global > .

   

3. Selecione Editar.

4. Selecione a caixa de verificação para Ativar a Integração Intune para o macOS.

   • Selecione esta definição para que o Jamf Pro envie atualizações de inventário para Microsoft Intune.
   • Pode desmarcar esta definição para desativar a ligação, mas guardar a sua configuração.

   Importante

   Se o Enable Intune Integration for macOS já estiver selecionado e o Tipo de Ligação estiver definido como Manual, deve remover essa integração antes de continuar. Consulte remover o Jamf Pro integração para um inquilino previamente configurado neste artigo antes de continuar.

5. No tipo de ligação, selecione Cloud Connector.

   

6. A partir do menu pop-up Da Nuvem Soberana, selecione a localização da sua Nuvem Soberana da Microsoft. Se estiver a substituir a sua integração anterior pelo Jamf Cloud Connector, pode saltar este passo se a localização tiver sido especificada.

7. Selecione uma das seguintes opções de página de aterragem para computadores que não sejam reconhecidos por Microsoft Azure:

   • A página padrão de Registo de Dispositivos jamf Pro - Dependendo do estado do dispositivo macOS, esta opção redireciona os utilizadores para o portal de inscrição do dispositivo Jamf Pro (para se inscrever com o Jamf Pro) ou para a app Portal da Empresa do Intune (para se registar no Azure AD).
   • A página Access Denied
   • URL personalizado

   Se estiver a substituir a sua integração anterior pelo Jamf Cloud Connector, pode saltar este passo se a página de aterragem tiver sido especificada.

8. Selecione Ligar. Você é redirecionado para registar as aplicações jamf Pro em Azure.

   Quando solicitado, especifique as suas credenciais de Microsoft Azure e siga as instruções no ecrã para conceder as permissões solicitadas. Você concederá permissões para o Cloud Connector, e depois novamente para a aplicação de registo do utilizador Cloud Connector. Ambas as aplicações estão registadas no Azure como Aplicações empresariais.

   Após a concessão de permissões para ambas as aplicações, a página de ID da aplicação abre.

9. Na página ID da aplicação, selecione Copy e abra Intune.

   

   O ID da aplicação é copiado para a sua área de transferência do sistema para utilização no passo seguinte, e o nó de gestão do dispositivo Partner no centro de administração Microsoft Endpoint Manager abre. (Administração de inquilinos > Gestão de dispositivos de parceiros).

10. No nó de gestão do dispositivo Partner, cole o ID da aplicação no Azure Ative Directory ID da aplicação para o campo Jamf e, em seguida, selecione Save.

    

11. Volte à página de ID de aplicação em Jamf Pro e selecione Confirmar.

12. O Jamf Pro completa e testa a configuração e apresenta o sucesso ou falha da ligação na página de definições de Acesso Condicional. A imagem a seguir é um exemplo de sucesso:

    

13. No centro de administração Microsoft Endpoint Manager, refresque o nó de gestão de dispositivos Partner. A ligação deve agora mostrar como Ativo:

    

Quando a ligação entre o Jamf Pro e Microsoft Intune for estabelecida com sucesso, a Jamf Pro envia informações de inventário para Microsoft Intune para cada computador que esteja registado no Azure AD (registar-se com Azure AD é um fluxo de trabalho de utilizador final). Pode ver o Estado de Inventário de Acesso Condicional para um utilizador e um computador na categoria Conta de Utilizador Local das informações de inventário de um computador no Jamf Pro.

Depois de integrar um exemplo de Jamf Pro utilizando o Jamf Cloud Connector, pode usar este mesmo procedimento para configurar instâncias adicionais de Jamf Pro com a mesma subscrição Intune no seu inquilino Azure.

Definir as políticas de conformidade e registar dispositivos

Depois de configurar a integração entre Intune e Jamf, tem de aplicar políticas de conformidade a dispositivos geridos pelo Jamf.

Desconexão Jamf Pro e Intune

Se precisar de remover a integração do Jamf Pro com o Intune, utilize os seguintes passos para remover a ligação do interior da consola jamf Pro. Esta informação aplica-se tanto ao Conector cloud como a uma integração manualmente configurada.

1. No Jamf Pro, aceda ao Acesso Condicional de Gestão Global. > No separador integração de intune macOS, selecione Editar.

2. Limpe a integração enable Intune para caixa de verificação do macOS.

3. Selecione Guardar. Jamf Pro envia a sua configuração para Intune e a integração será terminada

4. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

5. Selecione a administração do inquilino > Connectors e tokens > Gestão de dispositivos parceiro para verificar se o estado está agora terminado.

   Nota

   Os dispositivos Mac da sua organização serão removidos na data (3 meses) mostrada na sua consola.

Obtenha apoio para o Conector cloud

Como o conector de nuvem cria automaticamente as aplicações Azure Enterprise necessárias para a integração, o seu primeiro ponto de contacto para suporte deve ser o Jamf. As opções incluem:

• Suporte de e-mail em support@jamf.com
• Utilize o portal de suporte na Jamf Nation: https://www.jamf.com/support/

Antes de contactar o suporte:

• Reveja os Pré-requisitos, como portas e versão do produto que utiliza.

• Confirme que as permissões para as duas aplicações Pro do Jamf criadas no Azure não foram alteradas. As alterações às permissões da aplicação não são suportadas pelo Intune e podem fazer com que a integração falhe.

  Aplicação de registo de utilizadores cloud Connector:

  • Nome da API: Microsoft Graph
    • Permissão: Iniciar sessão e ler o perfil do utilizador
    • Tipo: Delegado
    • Concedido através de: Consentimento administrativo
    • Concedido por: Um administrador

  Aplicação Cloud Connector:

  • Nome da API: Microsoft Graph (exemplo 1)

    • Permissão: Iniciar sessão e ler o perfil do utilizador
    • Tipo: Delegado
    • Concedido através de: Consentimento administrativo
    • Concedido por: Um administrador

  • Nome da API: Microsoft Graph (exemplo 2)

    • Permissão: Ler dados do diretório
    • Tipo: Aplicação
    • Concedido através de: Consentimento administrativo
    • Concedido por: Um administrador

  • Nome da API: API Intune

    • Permissão: Enviar atributo do dispositivo para Microsoft Intune
    • Tipo: Aplicação
    • Concedido através de: Consentimento administrativo
    • Concedido por: Um administrador

Perguntas comuns sobre o Conector de Nuvem Jamf

Quais os dados partilhados através do Cloud Connector?

O Cloud Connector autentica-se com Microsoft Azure e envia dados de inventário de dispositivos do Jamf Pro para Azure. Além disso, o Cloud Connector gere a descoberta do serviço em Azure, troca de fichas, erros de comunicação e recuperação de desastres.

Onde são armazenados os dados de inventário do dispositivo?

Os dados de inventário do dispositivo são armazenados na base de dados jamf Pro.

Que credenciais estão armazenadas?

Não há credenciais armazenadas. Ao configurar o Cloud Connector, os administradores devem consentir em adicionar a app Jamf multi-inquilino e a aplicação de conector macOS nativa ao seu inquilino AZure AD. Uma vez adicionada a aplicação multi-inquilino, o Cloud Connector solicita o acesso a tokens para interagir com a API Azure. O acesso à aplicação pode ser revogado em Microsoft Azure a qualquer momento para restringir o acesso.

Como os dados são encriptados?

O Conector cloud utiliza a Segurança da Camada de Transporte (TLS) para dados enviados entre o Jamf Pro e Microsoft Azure.

Como é que o Jamf sabe qual o dispositivo associado a que instância do Jamf Pro?

O Jamf Pro utiliza microserviços em AWS para encaminhar corretamente as informações do dispositivo para a instância correta.

Posso mudar de utilizar o Conector cloud para o tipo de ligação Manual?

Sim. Pode alterar o tipo de ligação de volta para manual e seguir os passos para a configuração manual. Se tiver perguntas, devem ser direcionadas ao Jamf para ajuda.

As permissões foram modificadas em uma ou em ambas as aplicações necessárias (Cloud Connector e Cloud Connector app de registo de utilizadores) e o registo não está a funcionar, é assim suportado?

A modificação das permissões nas aplicações não é suportada.

Existe um ficheiro de registo no Jamf Pro que mostra se o Tipo de Ligação foi alterado?

Sim, as alterações são registadas no ficheiro JAMFChangeManagement.log. Para visualizar os registos de Gestão de Alterações, inicie sessão no Jamf Pro, vá a Definições > System Definições Change > Management > Logs, procure o tipo de Objeto para Acesso Condicional e, em seguida, clique em Detalhes para ver as alterações.

Passos seguintes

• Aplicar políticas de conformidade a dispositivos geridos pelo Jamf
• Data Jamf envia para Intune