Konfigurera Jamf Cloud Connector för integrering med Microsoft Intune

Viktigt

Jamf macOS-enhetsstöd för villkorsstyrd åtkomst håller på att fasas ut.

Från och med den 1 september 2024 kommer den plattform som Jamf Pro:s funktion för villkorlig åtkomst bygger på inte längre att stödjas.

Om du använder Jamf Pro:s integrering av villkorsstyrd åtkomst för macOS-enheter följer du Jamfs dokumenterade riktlinjer för att migrera dina enheter till integrering av enhetsefterlevnad i Migrera från macOS Villkorlig åtkomst till macOS-enhetsefterlevnad – Jamf Pro-dokumentation.

Kontakta Jamf Customer Success om du behöver hjälp. Mer information finns i blogginlägget på https://aka.ms/Intune/Jamf-Device-Compliance.

Den här artikeln hjälper dig att installera JAMF Cloud Connector för att integrera Jamf Pro med Microsoft Intune. Genom integrering kan du kräva att dina macOS-enheter som hanteras av Jamf Pro uppfyller efterlevnadskraven för Intune-enheter innan enheterna får åtkomst till organisationens resurser. Resursåtkomst styrs av dina Microsoft Entra principer för villkorsstyrd åtkomst på samma sätt som för enheter som hanteras via Intune.

Vi rekommenderar att du använder Jamf Cloud Connector eftersom det automatiserar många av de steg som krävs när du manuellt konfigurerar integrering enligt beskrivningen i Integrera Jamf Pro med Intune för efterlevnad.

När du konfigurerar Cloud Connector:

• Automatisk konfiguration skapar Jamf Pro-program i Azure och ersätter behovet av att konfigurera dem manuellt.
• Du kan integrera flera instanser av Jamf Pro med samma Azure-klient som är värd för din Intune-prenumeration.

Det går bara att ansluta flera instanser av Jamf Pro med en enda Azure-klient när du använder Cloud Connector. När du använder en manuellt konfigurerad anslutning kan endast en enda instans av Jamf integreras med en Azure-klient.

Det är valfritt att använda Cloud Connector:

• För nya klienter som ännu inte kan integreras med Jamf kan du välja att konfigurera Cloud Connector enligt beskrivningen i den här artikeln. Du kan också konfigurera integration manuellt enligt beskrivningen i Integrera Jamf Pro med Intune för efterlevnad
• För klienter som redan har en manuell konfiguration kan du välja att ta bort integreringen och sedan konfigurera Cloud Connector. Både borttagning av en befintlig integrering och konfiguration av Cloud Connector beskrivs i den här artikeln.

Om du planerar att ersätta din tidigare integrering med Jamf Cloud Connector:

• Använd proceduren för att ta bort din aktuella konfiguration, vilket innefattar att ta bort företagsappar för Jamf Pro och att inaktivera manuell integrering. Sedan kan du använda proceduren för att konfigurera Cloud Connector.
• Du behöver inte registrera enheterna på nytt. Enheter som redan är registrerade kan använda Cloud Connector utan ytterligare konfiguration.
• Se till att konfigurera Cloud Connector inom 24 timmar från borttagningen av din manuella integrering för att se till att dina registrerade enheter kan fortsätta att rapportera sin status.

Mer information om Jamf Cloud Connector finns i Konfigurera macOS Intune-integrering med hjälp av Cloud Connector på docs.jamf.com.

Förutsättningar

Produkter och tjänster:

• Jamf Pro 10.18 eller senare
• Ett Jamf Pro-användarkonto med behörighet för villkorlig åtkomst
• Microsoft Intune
• Microsoft Entra ID P1 eller P2
• Företagsportalappen för macOS
• macOS-enheter med OS X 10.12 Yosemite eller senare

Nätverk:
Följande portar och slutpunkter måste vara tillgängliga för att Jamf och Intune ska kunna integreras korrekt:

• Intune: Port 443

• Apple: Portarna 2195, 2196 och 5223 (push-meddelanden till Intune)

• Jamf: Portarna 80 och 5223

• Slutpunkter:

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

För att APN ska fungera korrekt i nätverket måste du aktivera utgående anslutningar till och omdirigerar från följande portar:

• Apple 17.0.0.0/8-blocket över TCP-portarna 5223 och 443 från alla klientnätverk.
• Portarna 2195 och 2196 från Jamf Pro-servrar.

Mer information om dessa portar finns i följande artiklar:

• Krav för Intune-nätverkskonfiguration och bandbredd.
• Nätverksportar som används av Jamf Pro på jamf.com.
• TCP- och UDP-portar som används av Apple programvaruprodukter på support.apple.com

Konton:
Procedurer i den här artikeln kräver användning av konton med följande behörigheter:

• Jamf Pro-konsolen: Ett konto med behörighet att hantera Jamf Pro
• Microsoft Intune administrationscenter: Global administratör
• Azure Portal: Global administratör

Ta bort Jamf Pro-integrering för en tidigare konfigurerad klientorganisation

Använd följande procedur för att ta bort en manuellt konfigurerad integrering av Jamf Pro från din Azure-klient innan du kan konfigurera molnanslutningsprogrammet.

Om du inte tidigare har konfigurerat en anslutning mellan Jamf Pro och Intune, eller om du har en eller flera anslutningar som redan använder Cloud Connector, hoppar du över den här proceduren och börjar med Konfigurera molnanslutningsappen för en ny klientorganisation.

Ta bort en manuellt konfigurerad Jamf Pro-integration

1. Logga in på Jamf Pro-konsolen.

2. Välj Inställningar (kugghjulsikonen i det övre högra hörnet) och gå sedan till Global hantering>Villkorsstyrd åtkomst.

   

3. Välj Redigera.

4. Avmarkera kryssrutan Enable Intune Integration for macOS (Aktivera Intune-integrering för macOS).

   När du avmarkerar den här inställningen inaktiverar du anslutningen men sparar konfigurationen.

5. Logga in på Microsoft Intune administrationscenter och gå tillEnhetshantering av partner för klientadministration>.

   På noden Partnerenhetshantering tar du bort program-ID:t i fältet Ange Microsoft Entra app-ID för Jamf och väljer sedan Spara.

   Program-ID är ID:t för Azure Enterprise-appen som skapas i Azure när du konfigurerar en manuell integrering om Jamf Pro.

6. Logga in på Azure Portal med ett konto som har behörigheter för global Admin och gå till Microsoft Entra ID>Enterprise-program.

   Leta upp de två Jamf-apparna och ta bort dem. Nya program skapas automatiskt när du konfigurerar Jamf Cloud Connector i nästa procedur.

   

   När du har inaktiverat integrering i Jamf Pro och tagit bort företagsprogrammen visas anslutningsstatusen för Avslutade i noden Hantering av partnerenhet.

   

Nu när du har tagit bort den manuella konfigurationen för Jamf Pro-integrering kan du konfigurera integrering med hjälp av Cloud Connector. Information om hur du gör det finns i Configure the Cloud Connector for a new tenant (konfigurera molnanslutningsprogrammet för en ny klientorganisation) i den här artikeln.

Konfigurera molnanslutningsprogrammet för en ny klientorganisation

Använd följande procedur för att konfigurera Jamf Cloud Connector för att integrera Jamf Pro och Microsoft Intune när:

• Du saknar integrering mellan Jamf Pro och Intune som konfigurerats för din Azure-klient.
• Du har redan konfigurerat en Cloud Connector mellan Jamf Pro och Intune i din Azure-klientorganisation och vill integrera en annan Jamf-instans med din prenumeration.

Om du för närvarande har en manuellt konfigurerad integrering mellan Intune och Jamf Pro kan du läsa i Ta bort JAMF Pro-integrering för en tidigare konfigurerad klient i den här artikeln för att ta bort den integrationen innan du fortsätter. Borttagning av en manuellt konfigurerad integrering krävs innan du kan konfigurera Jamf Cloud Connector.

Skapa en ny anslutning

1. Logga in på Jamf Pro-konsolen.

2. Välj Inställningar (kugghjulsikonen i det övre högra hörnet) och gå sedan till Global hantering>Villkorsstyrd åtkomst.

   

3. Välj Redigera.

4. Avmarkera kryssrutan för Enable Intune Integration for macOS (Aktivera Intune-integrering för macOS).

   • Välj den här inställningen om du vill att Jamf Pro ska skicka inventeringsuppdateringar till Microsoft Intune.
   • Du kan avmarkera den här inställningen om du vill inaktivera anslutningen men spara konfigurationen.

   Viktigt

   Om Aktivera Intune-integrering för macOS (Aktivera Intune-integrering för macOS) redan är markerat och Anslutningstyp har angetts till Manuell måste du ta bort den integrationen innan du fortsätter. Se Ta bort Jamf Pro-integrering för en tidigare konfigurerad klient i den här artikeln innan du fortsätter.

5. Under Anslutningstyp väljer du Cloud Connector.

   

6. På popup-menyn Nationellt moln väljer du platsen för ditt nationella molnet från Microsoft. Om du ersätter din tidigare integrering med JAMF Cloud Connector kan du hoppa över det här steget, förutsatt att platsen har angetts.

7. Välj något av följande alternativ för landningssidan för datorer som inte känns igen av Microsoft Azure:

   • Standardsidan för Jamf Pro-enhetsregistrering – Beroende på macOS-enhetens tillstånd omdirigerar det här alternativet användare till antingen Jamf Pro-enhetsregistreringsportalen (för att registrera med Jamf Pro) eller Intune-företagsportal-appen (för att registrera med Microsoft Entra-ID).
   • Sidan Åtkomst nekad
   • Anpassad URL

   Om du ersätter din tidigare integrering med JAMF Cloud Connector kan du hoppa över det här steget, förutsatt att landningssidan har angetts.

8. Välj Anslut. Du omdirigeras för att registrera Jamf Pro-programmen i Azure.

   När du uppmanas till det anger du dina Microsoft Azure-autentiseringsuppgifter och följer anvisningarna på skärmen för att bevilja de begärda behörigheterna. Du beviljar behörigheter för Cloud Connector och sedan igen för Cloud Connector-appen för användarregistrering. Båda apparna är registrerade i Azure som företagsprogram.

   När behörigheter har beviljats för båda apparna öppnas sidan Program-ID.

9. På sidan Program-ID väljer du Kopiera och öppna Intune.

   

   Program-ID kopieras till urklipp i systemet för användning i nästa steg, och noden Partnerenhetshantering i Microsoft Intune administrationscenter öppnas. (Innehavaradministration>Hantering av partnerenhet).

10. Klistra inprogram-ID:t i fältet Ange Microsoft Entra app-ID för Jamf på noden Partnerenhetshantering och välj sedan Spara.

    

11. Gå tillbaka till program-ID-sidan i Jamf Pro och välj Bekräfta.

12. Jamf Pro slutför och testar konfigurationen och visar om anslutningen har lyckats eller misslyckats på sidan Inställningar för villkorsstyrd åtkomst. Följande bild är ett exempel på framgång:

    

13. I Microsoft Intune administrationscenter uppdaterar du noden Partnerenhetshantering. Anslutningen ska nu visas som Aktiv:

    

När anslutningen mellan Jamf Pro och Microsoft Intune har upprättats skickar Jamf Pro inventeringsinformation till Microsoft Intune för varje dator som är registrerad med Microsoft Entra-ID (registrering med Microsoft Entra-ID är ett arbetsflöde för slutanvändare). Du kan visa inventeringsstatusen för villkorlig åtkomst för en användare och en dator i kategorin lokalt användarkonto för en dators inventeringsinformation i Jamf Pro.

När du har integrerat en instans av Jamf Pro med jamf cloud connector kan du använda samma procedur för att konfigurera fler instanser av Jamf Pro med samma Intune-prenumeration i din Azure-klientorganisation.

Konfigurera efterlevnadsprinciper och registrera enheter

När du har konfigurerat integrationen mellan Intune och Jamf måste du tillämpa efterlevnadsprinciper för enheter som hanteras av Jamf.

Koppla från Jamf Pro och Intune

Om du vill ta bort integreringen av Jamf Pro med Intune använder du följande steg för att ta bort anslutningen från Jamf Pro-konsolen. Den här informationen gäller både för Cloud Connector och för en manuellt konfigurerad integrering.

Avetablera Jamf Pro från Microsoft Intune administrationscenter

1. I Microsoft Intune administrationscenter går du till Anslutningsappar för klientadministration>och tokenHantering> avpartnerenheter.

2. Välj alternativet Avsluta. Intune visar ett meddelande om åtgärden. Granska meddelandet och välj OK när det är klart. Alternativet Avsluta integreringen visas bara när Jamf-anslutningen finns.

När du har avslutat integreringen uppdaterar du vyn för administrationscentret för att uppdatera vyn. Organisationens macOS-enheter tas bort från Intune om 90 dagar.

Avetablera Jamf Pro från Jamf Pro-konsolen

Använd följande steg för att ta bort anslutningen från Jamf Pro-konsolen.

1. Gå tillVillkorsstyrd åtkomst för global hantering> i Jamf Pro-konsolen. På fliken macOS Intune Integration (Intune-integrering för macOS) väljer du Edit (Redigera).

2. Avmarkera kryssrutan Enable Intune Integration for macOS (Aktivera Intune-integrering för macOS).

3. Välj Spara. Jamf Pro skickar konfigurationen till Intune så avslutas integreringen.

4. Logga in på Microsoft Intune administrationscenter.

5. Välj Klientorganisations administration>Anslutningsappar och token>Hantering av partnerenhet för att verifiera att statusen är avslutad.

När du har avslutat integreringen tas organisationens macOS-enheter bort på det datum som visas i konsolen, vilket är efter tre månader.

Få support för molnanslutningsprogrammet

Eftersom molnanslutningsprogrammet automatiskt skapar de Azure Enterprise-appar som krävs för integrering, bör din första kontakt för support vara Jamf. Alternativen är:

• Skicka e-post till support på support@jamf.com
• Använda supportportalen på Jamf Nation: https://www.jamf.com/support/

Innan du kontaktar supporten:

• Gå igenom kraven, till exempel portar och produktversion som du använder.

• Bekräfta att behörigheterna för följande två Jamf Pro-appar som skapats i Azure inte har ändrats. Ändringar av appbehörigheterna stöds inte av Intune och kan leda till att integreringen misslyckas.

  Molnanslutningsappen för användarregistrering:

  • API-namn: Microsoft Graph
    • Behörighet: Logga in och läs användarprofil
    • Typ: Delegerad
    • Beviljas via: Administratörsmedgivande
    • Beviljad av: En administratör

  Molnanslutningsappen:

  • API-namn: Microsoft Graph (instans 1)

    • Behörighet: Logga in och läs användarprofil
    • Typ: Delegerad
    • Beviljas via: Administratörsmedgivande
    • Beviljad av: En administratör

  • API-namn: Microsoft Graph (instans 2)

    • Behörighet: Läs katalogdata
    • Typ: Program
    • Beviljas via: Administratörsmedgivande
    • Beviljad av: En administratör

  • API-namn: Intune API

    • Behörighet: Skicka enhetsattribut till Microsoft Intune
    • Typ: Program
    • Beviljas via: Administratörsmedgivande
    • Beviljad av: En administratör

Vanliga frågor om Jamf Molnanslutningsappen

Vilka data delas via Cloud Connector?

Cloud Connector autentiserar med Microsoft Azure och skickar enhetsinventeringsdata från Jamf Pro till Azure. Dessutom hanterar Cloud Connector identifiering av tjänster i Azure, token-utväxling, kommunikationsfel och haveriberedskap.

Var lagras enhetsinventeringsdata?

Enhetsinventeringsdata lagras i Jamf Pro-databasen.

Vilka autentiseringsuppgifter sparas?

Inga autentiseringsuppgifter sparas. När du konfigurerar Cloud Connector måste du godkänna att jamf-appen för flera klientorganisationer och den interna macOS-anslutningsappen läggs till i deras Microsoft Entra klientorganisation. När du har lagt till ett program med flera klientorganisationer begär Cloud Connector åtkomst till token för att interagera med Azure-API:et. Programåtkomsten kan när som helst återkallas i Microsoft Azure för att begränsa åtkomsten.

Hur krypteras data?

Cloud Connector använder TLS (Transport Layer Security) för data som skickas mellan Jamf Pro och Microsoft Azure.

Hur vet Jamf vilken enhet som är associerad med vilken instans av Jamf Pro?

Jamf Pro använder mikrotjänster i AWS för att dirigera enhetsinformationen korrekt till rätt instans.

Kan jag växla från att använda Cloud Connector till anslutningstypen Manuell?

Ja. Du kan ändra anslutningstypen till manuell igen och följa stegen för manuell konfiguration. Om du har frågor bör du vända dig till Jamf för att få hjälp.

Behörigheterna ändrades för en eller båda nödvändiga appar (Cloud Connector och Cloud Connector-användarregistreringsappen) och registreringen fungerar inte. Stöds behörighetsändringen?

Det går inte att ändra behörigheterna för apparna.

Finns det en loggfil i Jamf Pro som visar om anslutningstypen har ändrats?

Ja, ändringarna loggas i filen JAMFChangeManagement.log. Om du vill visa loggarna för ändringshantering loggar du in på Jamf Pro, går till Inställningar>Systeminställningar>Ändringshanteringsloggar>, söker efter objekttyp för villkorsstyrd åtkomst och väljer sedan Information för att visa ändringarna.

Nästa steg

• Tillämpa efterlevnadsprinciper för Jamf-hanterade enheter
• Data som Jamf skickar till Intune
• Integrera Jamf Pro med Intune för att rapportera efterlevnad av Microsoft Entra-ID.