Ruční integrace Jamf Pro s Intune kvůli dodržování předpisů

Důležité

Podpora podmíněného přístupu pro zařízení s macOS v Jamf je zastaralá.

Od 1. září 2024 už nebude podporována platforma, na které je postavená funkce podmíněného přístupu Jamf Pro.

Pokud používáte integraci podmíněného přístupu jamf Pro pro zařízení s macOS, postupujte podle zdokumentovaných pokynů Jamf k migraci zařízení na integraci dodržování předpisů zařízením v tématu Migrace z podmíněného přístupu macOS na dodržování předpisů zařízením s macOS – Dokumentace k Jamf Pro.

Pokud potřebujete pomoc, kontaktujte Jamf Customer Success. Další informace najdete v blogovém příspěvku na adrese https://aka.ms/Intune/Jamf-Device-Compliance.

Tip

Pokyny k integraci Jamf Pro s Intune a ID Microsoft Entra, včetně toho, jak nakonfigurovat Jamf Pro pro nasazení aplikace Portál společnosti Intune do zařízení spravovaných pomocí Jamf Pro, najdete v tématu Integrace Jamf Pro s Intune a hlášení dodržování předpisů Microsoft Entra ID.

Microsoft Intune podporuje integraci nasazení Jamf Pro pro zajištění dodržování předpisů zařízením a zásad podmíněného přístupu do zařízení s macOS. Prostřednictvím integrace můžete vyžadovat, aby vaše zařízení s macOS spravovaná aplikací Jamf Pro splňovala požadavky na dodržování předpisů v Intune, než budou mít tato zařízení přístup k prostředkům vaší organizace. Přístup k prostředkům se řídí zásadami podmíněného přístupu Microsoft Entra stejným způsobem jako u zařízení spravovaných přes Intune.

Když se Jamf Pro integruje s Intune, můžete synchronizovat data inventáře ze zařízení s macOS s Intune prostřednictvím id Microsoft Entra. Modul dodržování předpisů Intune pak analyzuje data inventáře a vygeneruje sestavu. Analýza Intune se kombinuje s inteligentními informacemi o Microsoft Entra identitě uživatele zařízení, která umožňuje vynucení prostřednictvím podmíněného přístupu. Zařízení, která vyhovují zásadám podmíněného přístupu, můžou získat přístup k chráněným prostředkům společnosti.

Tento článek vám pomůže ručně integrovat Jamf Pro s Intune.

Tip

Místo ruční konfigurace integrace Jamf Pro s Intune doporučujeme nakonfigurovat a používat konektor Jamf Cloud Connector s Microsoft Intune. Cloud Connector automatizuje řadu kroků, které jsou potřeba při ruční konfiguraci integrace.

Po nakonfigurování integrace nakonfigurujete Jamf a Intune tak, aby na zařízeních spravovaných pomocí Jamf vynucovali dodržování předpisů s podmíněným přístupem .

Požadavky

Produkty a služby

Ke konfiguraci podmíněného přístupu s Jamf Pro potřebujete následující:

• Jamf Pro 10.1.0 nebo novější
• licence Microsoft Intune a Microsoft Entra ID P1 (doporučená sada licencí Microsoft Enterprise Mobility + Security)
• Role globálního správce v ID Microsoft Entra.
• Uživatel s oprávněními Microsoft Intune Integrace v Jamf Pro
• Portál společnosti aplikace pro macOS
• Zařízení s macOS s OS X 10.12 Yosemite nebo novějším

Síťové porty

Následující porty by měly být přístupné pro Jamf a Intune, aby se správně integrovali:

• Intune: Port 443
• Apple: Porty 2195, 2196 a 5223 (nabízená oznámení do Intune)
• Jamf: Porty 80 a 5223

Pokud chcete povolit správné fungování APNS v síti, musíte také povolit odchozí připojení a přesměrování z:

• Apple 17.0.0.0/8 blokuje přes porty TCP 5223 a 443 ze všech klientských sítí.
• porty 2195 a 2196 ze serverů Jamf Pro.

Další informace o těchto portech najdete v následujících článcích:

• Požadavky na konfiguraci sítě Intune a šířka pásma
• Síťové porty používané jamfem Pro na jamf.com.
• Porty TCP a UDP používané softwarovými produkty Apple na support.apple.com

Připojení Intune k Jamf Pro

Připojení Intune k Jamf Pro:

1. Vytvořte novou aplikaci v Azure.
2. Povolte integraci Intune s Jamf Pro.
3. Nakonfigurujte podmíněný přístup v Jamf Pro.

Vytvoření aplikace v id Microsoft Entra

1. V Azure Portal přejděte na Microsoft Entra ID>Registrace aplikací a pak vyberte Nová registrace.

2. Na stránce Zaregistrovat aplikaci zadejte následující podrobnosti:

   • V části Název zadejte smysluplný název aplikace, například Podmíněný přístup Jamf.
   • V části Podporované typy účtů vyberte Účty v libovolném adresáři organizace.
   • V části Identifikátor URI přesměrování ponechte výchozí hodnotu Web a pak zadejte adresu URL vaší instance Jamf Pro.

3. Výběrem možnosti Zaregistrovat vytvořte aplikaci a otevřete stránku Přehled nové aplikace.

4. Na stránce Přehled aplikace zkopírujte hodnotu ID aplikace (klienta) a poznamenejte si ji pro pozdější použití. Tuto hodnotu budete potřebovat v pozdějších postupech.

5. V části Spravovat vyberte Certifikáty & tajné kódy. Vyberte tlačítko Nový tajný klíč klienta . Zadejte hodnotu do pole Popis, vyberte libovolnou možnost Pro vypršení platnosti a zvolte Přidat.

   Důležité

   Než opustíte tuto stránku, zkopírujte hodnotu tajného klíče klienta a poznamenejte si ji pro pozdější použití. Tuto hodnotu budete potřebovat v pozdějších postupech. Tato hodnota není znovu dostupná, aniž byste znovu vytvořili registraci aplikace.

6. V části Spravovat vyberte Oprávnění rozhraní API.

7. Na stránce oprávnění rozhraní API odeberte všechna oprávnění z této aplikace tak, že vyberete ikonu ... vedle každého existujícího oprávnění. Toto odebrání je povinné. integrace nebude úspěšná, pokud v této registraci aplikace existují nějaká neočekávaná další oprávnění.

8. Dále přidejte oprávnění k aktualizaci atributů zařízení. V levém horním rohu stránky oprávnění rozhraní API vyberte Přidat oprávnění a přidejte nové oprávnění.

9. Na stránce Vyžádat oprávnění rozhraní API vyberte Intune a pak vyberte Oprávnění aplikace. Zaškrtněte pouze políčko pro update_device_attributes a uložte nové oprávnění.

10. V části Microsoft Graph vyberte Oprávnění aplikace a pak vyberte Application.Read.All.

11. Vyberte Přidat oprávnění.

12. Přejděte na rozhraní API, která používá moje organizace. Vyhledejte a vyberte Windows Azure Active Directory. Vyberte Oprávnění aplikace a pak vyberte Application.Read.All.

13. Vyberte Přidat oprávnění.

14. Dále udělte souhlas správce pro tuto aplikaci tak, že v levém horním rohu stránky oprávnění rozhraní APIvyberete Udělit souhlas správce pro <vašeho tenanta>. V novém okně možná budete muset znovu autorizovat svůj účet a udělit aplikaci přístup podle pokynů.

15. Aktualizujte stránku tak, že nahoře na stránce vyberete Aktualizovat . Ověřte, že pro oprávnění update_device_attributes byl udělen souhlas správce.

16. Po úspěšné registraci aplikace by oprávnění rozhraní API měla obsahovat pouze jedno oprávnění s názvem update_device_attributes a měla by vypadat takto:

Proces registrace aplikace ve Microsoft Entra ID je dokončený.

Poznámka

Pokud platnost tajného klíče klienta vyprší, musíte v Azure vytvořit nový tajný klíč klienta a pak aktualizovat data podmíněného přístupu v Jamf Pro. Azure umožňuje mít aktivní starý tajný klíč i nový klíč, aby se zabránilo přerušení služeb.

Povolení integrace Intune s Jamf Pro

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Správa>tenanta Konektory a tokeny>Správa partnerských zařízení.

3. Povolte konektor dodržování předpisů pro Jamf vložením ID aplikace, které jste uložili během předchozího postupu, do pole Zadejte ID aplikace Microsoft Entra pro Jamf.

4. Vyberte Uložit.

Konfigurace integrace Microsoft Intune v Jamf Pro

1. Aktivujte připojení v konzole Jamf Pro:

   1. Otevřete konzolu Jamf Pro a přejděte naPodmíněný přístupglobální správy>. Na kartě Integrace intune pro macOS vyberte Upravit.
   2. Zaškrtněte políčko Povolit integraci Intune pro macOS. Když je toto nastavení povolené, Jamf Pro odesílá aktualizace inventáře do Microsoft Intune. Pokud chcete zakázat připojení, ale uložit konfiguraci, zrušte výběr.
   3. V části Typ připojení vyberte Ručně.
   4. V místní nabídce Suverénní cloud vyberte umístění vašeho suverénního cloudu od Microsoftu.
   5. Vyberte Otevřít adresu URL souhlasu správce a podle pokynů na obrazovce povolte přidání aplikace Jamf Native macOS Connector do vašeho tenanta Microsoft Entra.
   6. Přidejte název tenanta Microsoft Entra z Microsoft Azure.
   7. Přidejte ID aplikace a tajný klíč klienta (dříve označovaný jako klíč aplikace) pro aplikaci Jamf Pro z Microsoft Azure.
   8. Vyberte Uložit. Jamf Pro otestuje vaše nastavení a ověří váš úspěch.

   Vraťte se na stránku Správa partnerských zařízení v Intune a dokončete konfiguraci.

2. V Intune přejděte na stránku Správa partnerských zařízení . V části Nastavení konektoru nakonfigurujte skupiny pro přiřazení:

   • Vyberte Zahrnout a určete, na které skupiny uživatelů chcete cílit pro registraci macOS pomocí Jamf.
   • Pomocí možnosti Vyloučit vyberte skupiny Uživatelů, kteří se nebudou registrovat pomocí Jamf, a místo toho zaregistrují své Počítače Mac přímo v Intune.

   Vyloučit přepsání Include, což znamená, že každé zařízení, které je v obou skupinách, je vyloučené z Jamf a přesměrováno na registraci v Intune.

   Poznámka

   Tato metoda zahrnutí a vyloučení skupin uživatelů ovlivňuje prostředí registrace uživatele. Každý uživatel se zařízením s macOS, které je už zaregistrované v Jamfu nebo Intune, a který se pak zaměřuje na registraci v jiném MDM, musí zrušit registraci svého zařízení a pak ho znovu zaregistrovat v novém MDM, aby správa zařízení fungovala správně.

3. Vyberte Vyhodnotit a určete , kolik zařízení se v Jamf zaregistruje na základě konfigurace vaší skupiny.

4. Až budete připraveni použít konfiguraci, vyberte Uložit .

5. Abyste mohli pokračovat, budete muset použít Jamf k nasazení Portál společnosti pro Mac, aby uživatelé mohli zaregistrovat svá zařízení do Intune.

Nastavení zásad dodržování předpisů a registrace zařízení

Po konfiguraci integrace mezi Intune a Jamf musíte použít zásady dodržování předpisů na zařízení spravovaná pomocí Jamf.

Odpojení Jamf Pro a Intune

Pokud potřebujete odebrat integraci Jamf Pro s Intune, použijte jednu z následujících metod. Obě metody platí pro integraci, která se konfiguruje ručně nebo pomocí cloudového konektoru.

Zrušení zřízení Jamf Pro z centra pro správu Microsoft Intune

1. V Centru pro správu Microsoft Intune přejděte na Správa>tenantů Konektory a tokeny>Partner správa zařízení.

2. Vyberte možnost Ukončit. Intune zobrazí zprávu o akci. Zkontrolujte zprávu a až bude připravená, vyberte OK. Možnost Ukončit integraci se zobrazí pouze v případě, že existuje připojení Jamf.

Po ukončení integrace aktualizujte zobrazení Centra pro správu a aktualizujte zobrazení. Zařízení s macOS vaší organizace se z Intune odeberou během 90 dnů.

Zrušení zřízení Jamf Pro z konzoly Jamf Pro

Pomocí následujícího postupu odeberte připojení z konzoly Jamf Pro.

1. V konzole Jamf Pro přejděte naPodmíněný přístupglobální správy>. Na kartě Integrace s Intune pro macOS vyberte Upravit.

2. Zrušte zaškrtnutí políčka Povolit integraci Intune pro macOS .

3. Vyberte Uložit. Jamf Pro odešle vaši konfiguraci do Intune a integrace se ukončí.

4. Přihlaste se do Centra pro správu Microsoft Intune.

5. Vyberte Správa>tenanta Konektory a tokeny>Správa partnerských zařízení a ověřte, že je teď stav Ukončeno.

Po ukončení integrace se zařízení s macOS vaší organizace odeberou k datu zobrazenému v konzole, což je po třech měsících.

Další kroky

• Použití zásad dodržování předpisů na zařízení spravovaná pomocí Jamf
• Data odesílaná Jamf do Intune