Настройка облачного соединителя Jamf для интеграции с Microsoft Intune

Важно!

Поддержка условного доступа для устройств Jamf macOS устарела.

Начиная с 1 сентября 2024 г. платформа, на которую основана функция условного доступа Jamf Pro, больше не будет поддерживаться.

Если вы используете интеграцию условного доступа Jamf Pro для устройств macOS, следуйте документированных рекомендациям Jamf по миграции устройств в интеграцию соответствия устройств в документации по переходу с условного доступа macOS на соответствие устройствам macOS — Jamf Pro.

Если вам нужна помощь, обратитесь к Jamf Customer Success. Дополнительные сведения см. в записи блога по адресу https://aka.ms/Intune/Jamf-Device-Compliance.

Эта статья поможет вам установить облачный соединитель Jamf для интеграции Jamf Pro с Microsoft Intune. Благодаря интеграции вы можете потребовать, чтобы ваши устройства macOS, управляемые Jamf Pro, соответствовали требованиям устройств Intune, прежде чем этим устройствам будет разрешен доступ к ресурсам вашей организации. Доступ к ресурсам контролируется политиками условного доступа Microsoft Entra так же, как и для устройств, управляемых через Intune.

Рекомендуем использовать облачный соединитель Jamf, поскольку он автоматизирует множество действий, необходимых при ручной настройки интеграции в соответствии со статьей Интеграция Jamf Pro с Intune для соответствия требованиям.

При настройке облачного соединителя происходит следующее:

• В Azure автоматически создаются приложения Jamf Pro, так что их не нужно настраивать вручную.
• Вы можете интегрировать несколько экземпляров Jamf Pro с одним клиентом Azure, в котором размещается ваша подписка Intune.

Подключение нескольких экземпляров Jamf Pro к одному клиенту Azure поддерживается только при использовании облачного соединителя. При использовании подключения, настроенного вручную, с клиентом Azure можно интегрировать только один экземпляр Jamf.

Использовать облачный соединитель необязательно.

• Для новых клиентов, которые еще не интегрированы с Jamf, можно настроить облачный соединитель, как описано в этой статье. Можно также настроить интеграцию вручную, как описано в статье Обеспечение соответствия требованиям путем интеграции Jamf Pro c Intune.
• Для клиентов с уже настроенной вручную интеграцией эту интеграцию можно удалить, чтобы затем настроить облачный соединитель. В этой статье описывается удаление существующей интеграции и настройка облачного соединителя.

Если вы планируете заменить предыдущую интеграцию на облачный соединитель Jamf, выполните указанные ниже действия.

• Выполните процедуру удаления текущей конфигурации, в рамках которой удаляются корпоративные приложений для Jamf Pro и отключается настроенная вручную интеграция. Затем можно выполнить процедуру настройки облачного соединителя.
• Вам не потребуется повторно регистрировать устройства. Устройства, которые уже зарегистрированы, могут использовать Cloud Connector без дополнительной настройки.
• Обязательно настройте облачный соединитель в течение 24 часов после удаления настроенной вручную интеграции, чтобы зарегистрированные устройства могли и далее сообщать свое состояние.

Дополнительные сведения об облачном соединителе Jamf см. в статье Configuring the macOS Intune Integration using the Cloud Connector (Настройка интеграции с Intune для macOS с помощью облачного соединителя) на сайте docs.jamf.com.

Предварительные требования

Продукты и службы:

• Jamf Pro 10.18 или более поздней версии
• Учетная запись пользователя Jamf Pro с правами условного доступа
• Microsoft Intune
• Идентификатор Microsoft Entra P1 или P2
• приложение "Корпоративный портал" для macOS
• устройства macOS с OS X 10.12 Yosemite или более поздней версией

Сеть:
Для правильной интеграции Jamf и Intune должны быть доступны следующие порты и конечные точки:

• Intune: порт 443

• Apple: порты 2195, 2196 и 5223 (push-уведомления в Intune)

• Jamf: порты 80 и 5223

• Конечные точки:

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

Чтобы обеспечить правильную работу APNS в сети, необходимо включить исходящие подключения и перенаправления со следующих портов:

• блокировки Apple 17.0.0.0/8 TCP-портов 5223 и 443 из всех клиентских сетей;
• портов 2195 и 2196 с серверов Jamf Pro.

Дополнительные сведения об этих портах см. в следующих статьях:

• Требования к конфигурации сети Intune и ее пропускная способность.
• Network Ports Used by Jamf Pro (Сетевые порты, используемые Jamf Pro) на странице jamf.com.
• Порты TCP и UDP, используемые программными продуктами Apple на странице support.apple.com

Учетные записи.
В процедурах, описанных в этой статье, требуется использовать учетные записи со следующими разрешениями:

• Консоль Pro Jamf:учетная запись с разрешениями на управление Jamf Pro
• Центр администрирования Microsoft Intune: глобальный администратор
• Портал Azure: глобальный администратор

Удаление интеграции Jamf Pro для ранее настроенного клиента

Выполните описанную ниже процедуру, чтобы удалить настроенную вручную интеграцию Jamf Pro с клиентом Azure перед настройкой облачного соединителя.

Если вы ранее не настроили подключение между Jamf Pro и Intune или у вас есть одно или несколько подключений, которые уже используют Облачный соединитель, пропустите эту процедуру и начните с настройки облачного соединителя для нового клиента.

Удаление настроенной вручную интеграции Jamf Pro

1. Войдите в консоль Jamf Pro.

2. Выберите Settings (Параметры, значок шестеренки в правом верхнем углу), а затем последовательно выберите Global Management (Глобальное управление)>Conditional Access (Условный доступ).

   

3. Нажмите Изменить.

4. Снимите флажок Enable Intune Integration for macOS (Включить интеграцию Intune для macOS).

   При отключении этого параметра подключение отключается, но конфигурация сохраняется.

5. Войдите в Центр администрирования Microsoft Intune и перейдите к разделу Администрирование> клиентаУправление устройствами партнеров.

   В узле Управление устройствами партнера удалите идентификатор приложения в поле Укажите идентификатор приложения Microsoft Entra для Jamf , а затем нажмите кнопку Сохранить.

   Идентификатор приложения — это идентификатор приложения Azure Enterprise, которое было создано в Azure при ручной настройке интеграции с Jamf Pro.

6. Войдите на портал Azure с учетной записью с разрешениями глобального администратора и перейдите вразделКорпоративные приложения Microsoft Entra ID>.

   Найдите два приложения Jamf и удалите их. Новые приложения будут автоматически созданы при настройке облачного соединителя Jamf в следующей процедуре.

   

   После отключения интеграции в Jamf Pro и удаления корпоративных приложений в узле Управление партнерскими устройствами отображается состояние подключения Завершено.

   

Теперь, когда вы успешно удалили настроенную вручную конфигурацию интеграции Jamf Pro, можно настроить интеграцию с помощью облачного соединителя. Инструкции см. в разделе Настройка облачного соединителя для нового клиента этой статьи.

Настройка облачного соединителя для нового клиента

Выполните описанную ниже процедуру, чтобы настроить облачный соединитель Jamf для интеграции Jamf Pro и Microsoft Intune в следующих случаях:

• для клиента Azure еще не настроена интеграция между Jamf Pro и Intune;
• если облачный соединитель уже настроен между Jamf Pro и Intune в клиенте Azure, при этом нужно интегрировать еще один экземпляр Jamf с вашей подпиской.

Если между Intune и Jamf Pro уже есть настроенная вручную интеграция, прежде чем продолжить, удалите ее, выполнив инструкции в разделе Удаление интеграции Jamf Pro для ранее настроенного клиента этой статьи. Для успешной настройки облачного соединителя Jamf требуется удалить настроенную вручную интеграцию.

Создайте новое подключение

1. Войдите в консоль Jamf Pro.

2. Выберите Settings (Параметры, значок шестеренки в правом верхнем углу), а затем последовательно выберите Global Management (Глобальное управление)>Conditional Access (Условный доступ).

   

3. Нажмите Изменить.

4. Установите флажок Enable Intune Integration for macOS (Включить интеграцию Intune для macOS).

   • Выберите этот параметр, чтобы Jamf Pro отправлял обновления инвентаризации в Microsoft Intune.
   • При отключении этого параметра подключение отключается, но конфигурация сохраняется.

   Важно!

   Если параметр Enable Intune Integration for macOS уже выбран, а для параметр Connection Type (Тип подключения) выбрано значение Manual (Ручное), необходимо удалить эту интеграцию, прежде чем продолжить. См. раздел Удаление интеграции Jamf Pro для ранее настроенного клиента этой статьи.

5. В списке Connection Type выберите значение Cloud Connector (Облачный соединитель).

   

6. Во всплывающем меню Национальное облако выберите расположение национального облака от Майкрософт. Если вы заменяете предыдущую интеграцию на облачный соединитель Jamf, этот шаг можно пропустить, если указано расположение.

7. Выберите один из приведенных ниже вариантов целевой страницы для компьютеров, которые не распознаются платформой Microsoft Azure:

   • Страница Регистрация устройств Jamf Pro по умолчанию . В зависимости от состояния устройства macOS этот параметр перенаправляет пользователей на портал регистрации устройств Jamf Pro (для регистрации с помощью Jamf Pro) или приложение корпоративного портала Intune (для регистрации с идентификатором Microsoft Entra).
   • Страница "Доступ запрещен"
   • Пользовательский URL-адрес

   Если вы заменяете предыдущую интеграцию на облачный соединитель Jamf, этот шаг можно пропустить, если указана целевая страница.

8. Нажмите Подключиться. Вы будете перенаправлены для регистрации приложений Jamf Pro в Azure.

   При появлении запроса укажите учетные данные Microsoft Azure и следуйте инструкциям на экране, чтобы предоставить запрошенные разрешения. Вы предоставите разрешения облачному соединителю, а затем приложению регистрации пользователей для облачного соединителя. Оба приложения регистрируются в Azure как корпоративные.

   После предоставления разрешений обоим приложениям откроется страница Идентификатор приложения.

9. На странице Application ID (Идентификатор приложения) выберите Copy and open Intune (Копировать и открыть Intune).

   

   Идентификатор приложения копируется в системный буфер обмена для использования на следующем шаге, и откроется узел Управление устройствами партнера в Центре администрирования Microsoft Intune. (Администрирование клиента>Управление партнерскими устройствами).

10. В узле Управление устройствами партнеравставьтеидентификатор приложения в поле Укажите идентификатор приложения Microsoft Entra для Jamf и нажмите кнопку Сохранить.

    

11. Вернитесь на страницу идентификатора приложения в Jamf Pro и выберите Confirm (Подтвердить).

12. Jamf Pro завершит и проверит конфигурацию, а затем выведет результат подключения (успешно или неудачно) на странице параметров условного доступа. На следующем изображении представлен пример успешного результата:

    

13. В Центре администрирования Microsoft Intune обновите узел Управление устройствами партнера . Теперь подключение должно иметь состояние Активно:

    

Когда соединение между Jamf Pro и Microsoft Intune успешно установлено, Jamf Pro отправляет данные инвентаризации в Microsoft Intune для каждого компьютера, зарегистрированного с помощью Microsoft Entra ID (регистрация с помощью Идентификатора Microsoft Entra — это рабочий процесс конечного пользователя). Вы можете просмотреть состояние инвентаризации условного доступа для пользователя и компьютера в категории "Учетная запись локального пользователя"данных инвентаризации компьютера в Jamf Pro.

После интеграции одного экземпляра Jamf Pro с помощью облачного соединителя Jamf эту же процедуру можно использовать для настройки других экземпляров Jamf Pro с той же подпиской Intune в клиенте Azure.

Настройка политик соответствия требованиям и регистрация устройств

После завершения настройки интеграции Intune и Jamf необходимо применить политики соответствия требованиям к устройствам под управлением Jamf.

Отключение Jamf Pro от Intune

Чтобы удалить интеграцию Jamf Pro с Intune, выполните следующие действия, чтобы удалить подключение из консоли Jamf Pro. Эта информация относится как к Cloud Connector, так и к интеграции, настроенной вручную.

Отзыв Jamf Pro из Центра администрирования Microsoft Intune

1. В Центре администрирования Microsoft Intune перейдите в раздел Администрирование> клиентовСоединители и токены>Управление устройствами партнеров.

2. Выберите параметр Завершить. Intune отображает сообщение о действии. Просмотрите сообщение и, когда все будет готово, нажмите кнопку ОК. Параметр Завершить интеграцию отображается только при наличии подключения Jamf.

После завершения интеграции обновите представление Центра администрирования, чтобы обновить представление. Устройства macOS вашей организации удаляются из Intune через 90 дней.

Отзыв Jamf Pro из консоли Jamf Pro

Чтобы удалить подключение из консоли Jamf Pro, выполните следующие действия.

1. В консоли Jamf Pro перейдите в разделУсловный доступглобального управления>. Щелкните Изменить на вкладке Интеграция macOS и Intune.

2. Снимите флажок Включить интеграцию Intune для macOS.

3. Нажмите Сохранить. Jamf Pro отправит конфигурацию в Intune и интеграция будет отключена.

4. Войдите в Центр администрирования Microsoft Intune.

5. Выберите Администрирование клиента>Соединители и токены>Управление устройствами партнера, чтобы убедиться в том, что теперь состояние Завершено.

После завершения интеграции устройства macOS вашей организации будут удалены в день, указанный в консоли, а именно через три месяца.

Получение поддержки по облачному соединителю

Так как облачный соединитель автоматически создает приложения Azure Enterprise, необходимые для интеграции, в первую очередь за поддержкой следует обращаться в Jamf. Варианты:

• Поддержка по электронной почте по адресу support@jamf.com
• Используйте портал поддержки в Jamf Nation: https://www.jamf.com/support/

Перед обращением в службу поддержки выполните указанные ниже действия.

• Ознакомьтесь с предварительными требованиями, такими как порты и версия продукта.

• Убедитесь, что разрешения для указанных ниже двух приложений Jamf Pro, созданных в Azure, не были изменены. Изменения разрешений приложений не поддерживаются в Intune и могут привести к сбою интеграции.

  Приложение для регистрации пользователей в облачном соединителе:

  • Имя API: Microsoft Graph
    • Разрешение: вход и чтение профиля пользователя
    • Тип: делегированный
    • Предоставлено путем: согласие администратора
    • Предоставлено: администратор

  Приложение облачного соединителя:

  • Имя API: Microsoft Graph (экземпляр 1)

    • Разрешение: вход и чтение профиля пользователя
    • Тип: делегированный
    • Предоставлено путем: согласие администратора
    • Предоставлено: администратор

  • Имя API: Microsoft Graph (экземпляр 2)

    • Разрешение. чтение данных каталога
    • Тип: приложение
    • Предоставлено путем: согласие администратора
    • Предоставлено: администратор

  • Имя API: API Intune

    • Разрешение: отправка атрибута устройства в Microsoft Intune
    • Тип: приложение
    • Предоставлено путем: согласие администратора
    • Предоставлено: администратор

Часто задаваемые вопросы об облачном соединителе Jamf

Какие данные передаются через облачный соединитель?

Облачный соединитель проверяет подлинность с помощью Microsoft Azure и отправляет данные инвентаризации устройств из Jamf Pro в Azure. Кроме того, облачный соединитель управляет обнаружением служб в Azure, обменом токенами, ошибками связи и аварийным восстановлением.

Где хранятся данные инвентаризации устройств?

Данные инвентаризации устройств хранятся в базе данных Jamf Pro.

Какие учетные данные хранятся?

Учетные данные не хранятся. При настройке Cloud Connector необходимо предоставить согласие на добавление мультитенантного приложения Jamf и собственного приложения соединителя macOS в клиент Microsoft Entra. После добавления приложения с поддержкой нескольких клиентов облачный соединитель запрашивает маркеры доступа для взаимодействия с API Azure. Доступ к приложению можно в любой момент отозвать в Microsoft Azure, чтобы ограничить доступ.

Как шифруются данные?

Облачный соединитель использует протокол TLS для передачи данных между Jamf Pro и Microsoft Azure.

Как Jamf определяет, какое устройство связано с тем или иным экземпляром Jamf Pro?

Jamf Pro использует микрослужбы в AWS для правильной маршрутизации сведений об устройстве в соответствующий экземпляр.

Можно ли перейти с использования облачного соединителя на настроенное вручную подключение?

Да. Тип подключения можно сменить обратно на настроенное вручную и выполнить инструкции по настройке вручную. При возникновении вопросов их следует направлять в Jamf.

Разрешения были изменены для одного или обоих необходимых приложений (приложение длярегистрации пользователей Cloud Connector и Cloud Connector), и регистрация не работает. Поддерживается ли изменение разрешений?

Изменение разрешений для приложений не поддерживается.

Есть ли в Jamf Pro файл журнала, из которого можно узнать, что тип соединения был изменен?

Да, изменения записываются в файл JAMFChangeManagement.log. Чтобы просмотреть журналы управления изменениями, войдите в Jamf Pro, перейдите в раздел Параметры>Параметры системы Журналы>управления изменениями>, найдите тип объекта для параметра Условный доступ, а затем выберите Сведения, чтобы просмотреть изменения.

Дальнейшие действия

• Применение политик соответствия требованиям к устройствам под управлением Jamf
• Данные, которые Jamf отправляет в Intune
• Интегрируйте Jamf Pro с Intune, чтобы сообщать о соответствии требованиям в Microsoft Entra ID.