Manuelle Integration von Jamf Pro mit Intune für die Compliance

Intune unterstützt die Integration Ihrer Jamf Pro-Bereitstellung, um Gerätekonformität und Richtlinien für bedingten Zugriff auf Ihren macOS-Geräte zu ermöglichen. Durch die Integration können Sie festlegen, dass Ihre macOS-Geräte, die von Jamf Pro verwaltet werden, Ihre Intune-Gerätekonformitätsanforderungen erfüllen müssen, bevor diese Geräte auf die Ressourcen Ihrer Organisation zugreifen dürfen. Der Ressourcenzugriff wird von Ihren Azure Active Directory (Azure AD)-Richtlinien für bedingten Zugriff auf die gleiche Weise gesteuert wie für Geräte, die über Intune verwaltet werden.

Wenn Jamf Pro in Intune integriert ist, können Sie die Bestandsdaten von macOS-Geräten über Azure AD mit Intune synchronisieren. Das Konformitätsmodul von Intune analysiert anschließend die Bestandsdaten, um einen Bericht zu erstellen. Die Analyse von Intune wird mit Informationen zur Azure AD-Identität des Gerätebenutzers kombiniert, um die Erzwingung über bedingten Zugriff zu steuern. Geräte, die mit den Richtlinien für bedingten Zugriff kompatibel sind, können Zugriff auf geschützte Unternehmensressourcen erhalten.

Dieser Artikel kann Sie bei der manuellen Integration von Jamf Pro in Intune unterstützen.

Tipp

Anstatt die Jamf Pro-Integration mit Intune manuell zu konfigurieren, empfehlen wir, den Jamf-Cloudconnector mit Microsoft Intune zu konfigurieren und zu verwenden. Der Cloudconnector automatisiert viele der Schritte, die erforderlich sind, wenn Sie die Integration manuell konfigurieren.

Nach der Konfiguration der Integration konfigurieren Sie dann Jamf und Intune, um die Konformität mithilfe des bedingten Zugriffs auf von Jamf verwalteten Geräten zu erzwingen.

Voraussetzungen

Produkte und Dienste

Zur Konfiguration des bedingten Zugriffs mit Jamf Pro benötigen Sie Folgendes:

• Jamf Pro 10.1.0 oder höher
• Microsoft Intune und Microsoft AAD Premium P1-Lizenzen (empfohlen: Microsoft Enterprise Mobility + Security-Lizenzen)
• Globale Administratorrolle in Azure Active Directory.
• Ein Benutzer mit Integrationsberechtigungen für Microsoft Intune in Jamf Pro
• Die Unternehmensportal-App für macOS
• macOS-Geräte mit OS X 10.12 Yosemite oder höher

Netzwerkports

Jamf und Intune müssen auf die folgenden Ports zugreifen können, um eine einwandfreie Integration zu gewährleisten:

• Intune: Port 443
• Apple: Ports 2195, 2196 und 5223 (Pushbenachrichtigungen an Intune)
• Jamf: Ports 80 und 5223

Damit APNS im Netzwerk ordnungsgemäß funktioniert, müssen Sie auch ausgehende Verbindungen zu und Umleitungen von folgenden Ports aktivieren:

• den Apple-Block 17.0.0.0/8 über die TCP-Ports 5223 und 443 aus allen Clientnetzwerken.
• Ports 2195 und 2196 von Jamf Pro-Servern.

Weitere Informationen zu diesen Ports finden Sie in den folgenden Artikeln:

• Bandbreiten- und andere Anforderungen an die Netzwerkkonfiguration für Intune
• Network Ports Used by Jamf Pro (von Jamf Pro verwendete Netzwerkports) auf jamf.com
• Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports auf support.apple.com

Herstellen einer Verbindung zwischen Intune und Jamf Pro

So stellen Sie eine Verbindung zwischen Intune und Jamf Pro her:

1. Erstellen Sie eine neue Anwendung in Azure.
2. Ermöglichen Sie eine Integration von Intune in Jamf Pro.
3. Konfigurieren Sie den bedingten Zugriff in Jamf Pro.

Registrieren einer Anwendung in Azure Active Directory

1. Navigieren Sie im Azure-Portal zu Azure Active Directory > App-Registrierungen, und wählen Sie dann Neue Registrierung aus.

2. Geben Sie auf der Seite Anwendung registrieren folgende Details an:

   • Geben Sie im Abschnitt Name einen aussagekräftigen Anwendungsnamen ein, z. B. Bedingter Jamf-Zugriff.
   • Wählen Sie im Abschnitt Unterstützte Kontotypen die Option Konten in einem Organisationsverzeichnis aus.
   • Für den Umleitungs-URI übernehmen Sie den Standardwert „Web“, und geben Sie dann die URL für Ihre Jamf Pro-Instanz an.

3. Wählen Sie Registrieren aus, um die Anwendung zu erstellen und die Seite Übersicht für die neue App zu öffnen.

4. Kopieren Sie auf der Seite Übersicht der App den Wert Anwendungs-ID, und notieren Sie ihn zur späteren Verwendung. Sie werden diesen Wert in späteren Prozeduren benötigen.

5. Wählen Sie unter Verwalten die Option Zertifikate und Geheime Clientschlüssel aus. Wählen Sie die Schaltfläche Neuen geheimen Clientschlüssel aus. Geben Sie einen Wert in Beschreibung ein, wählen Sie eine Option für Gültig bis aus, und wählen Sie Hinzufügen aus.

   Wichtig

   Bevor Sie diese Seite verlassen, kopieren Sie den Wert für den geheimen Clientschlüssel, und notieren Sie ihn zur späteren Verwendung. Sie benötigen diesen Wert bei späteren Prozeduren. Dieser Wert ist nicht noch mal verfügbar, ohne die App-Registrierung neu zu erstellen.

6. Wählen Sie API-Berechtigungen unter Verwalten aus.

7. Entfernen Sie auf der Seite „API-Berechtigungen“ alle Berechtigungen von dieser App, indem Sie auf das …-Symbol neben den einzelnen Berechtigungen klicken. Diese Entfernung ist erforderlich. Wenn es unerwartete zusätzliche Berechtigungen in dieser App-Registrierung gibt, wird die Integration nicht erfolgreich sein.

8. Fügen Sie als Nächstes Berechtigungen zum Aktualisieren von Geräteattributen hinzu. Wählen Sie oben links auf der Seite API-Berechtigungen die Option Berechtigung hinzufügen aus, um eine neue Berechtigung hinzuzufügen.

9. Wählen Sie auf der Seite API-Berechtigungen anfordern den Eintrag Intune aus, und wählen Sie dann Anwendungsberechtigungen aus. Aktivieren Sie nur das Kontrollkästchen für update_device_attributes, und speichern Sie die neue Berechtigung.

10. Wählen Sie unter Microsoft Graph die Option Anwendungsberechtigungen und dann Application.Read.All aus.

11. Wählen Sie Berechtigungen hinzufügen aus.

12. Navigieren Sie zu APIs, die meine Organisation verwendet. Suchen Sie nach Windows Azure Active Directory, und wählen Sie dies aus. Wählen Sie Anwendungsberechtigungen und dann Application.Read.All aus.

13. Wählen Sie Berechtigungen hinzufügen aus.

14. Erteilen Sie dieser App im nächsten Schritt die Administratoreinwilligung, indem Sie oben links auf der Seite API-Berechtigungen auf Administratoreinwilligung für <your tenant> erteilen klicken. Möglicherweise müssen Sie Ihr Konto im neuen Fenster erneut authentifizieren und der Anwendung Zugriff gewähren, indem Sie die folgenden Eingabeaufforderungen befolgen.

15. Aktualisieren Sie die Seite, indem Sie oben auf der Seite Aktualisieren auswählen. Vergewissern Sie sich, dass die Administratoreinwilligung für die Berechtigung update_device_attributes erteilt wurde.

16. Nachdem die App erfolgreich registriert wurde, sollten die API-Berechtigungen nur eine Berechtigung namens update_device_attributes enthalten, die wie folgt aussehen sollte:

Der Prozess der App-Registrierung in Azure AD ist abgeschlossen.

Hinweis

Wenn der geheime Clientschlüssel abläuft, müssen Sie in Azure einen neuen geheimen Clientschlüssel erstellen und dann die Daten für den bedingten Zugriff in Jamf Pro aktualisieren. In Azure kann sowohl das alte als auch das neue Geheimnis aktiv sein, um Dienstunterbrechungen zu verhindern.

Ermöglichen einer Integration von Intune in Jamf Pro

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

2. Wählen Sie Mandantenverwaltung > Connectors und Tokens > Partnergeräteverwaltung aus.

3. Aktivieren Sie den Konformitätsconnector für Jamf durch Einfügen der zuvor gespeicherten Anwendungs-ID in das Feld Specify the Azure Active Directory App ID for Jamf (Die Azure Active Directory-App-ID für Jamf angeben).

4. Wählen Sie Speichern.

Konfigurieren der Microsoft Intune-Integration in Jamf Pro

1. Aktivieren Sie die Verbindung in der Jamf Pro-Konsole:

   1. Öffnen Sie die Jamf Pro-Konsole, und navigieren Sie zu Global Management > Conditional Access (Globale Verwaltung > Bedingter Zugriff). Klicken Sie auf der Registerkarte macOS Intune-Integration auf Bearbeiten.
   2. Aktivieren Sie das Kontrollkästchen Enable Intune Integration for macOS (Integration von Intune für macOS aktivieren). Wenn diese Einstellung aktiviert ist, sendet Jamf Pro Bestandsaktualisierungen an Microsoft Intune. Deaktivieren Sie die Auswahl, wenn Sie die Verbindung deaktivieren, aber Ihre Konfiguration speichern möchten.
   3. Wählen Sie unter Verbindungstyp die Option Manuell aus.
   4. Wählen Sie aus dem Popupmenü Sovereign Cloud den Standort Ihrer Sovereign Cloud von Microsoft aus.
   5. Wählen Sie Einwilligungs-URL des Administrators öffnen aus, und folgen Sie den Anweisungen auf dem Bildschirm, damit die Jamf Native macOS-Connectorapp Ihrem Azure AD-Mandanten hinzugefügt werden kann.
   6. Fügen Sie den Azure AD-Mandantennamen aus Microsoft Azure hinzu.
   7. Fügen Sie die Anwendungs-ID und den geheimen Clientschlüssel (zuvor als Anwendungsschlüssel bezeichnet) für die Jamf Pro-Anwendung aus Microsoft Azure hinzu.
   8. Wählen Sie Speichern aus. Jamf Pro testet Ihre Einstellungen und überprüft den Erfolg Ihres Vorgangs.

   Kehren Sie zur Seite Partnergeräteverwaltung in Intune zurück, um die Konfiguration abzuschließen.

2. Navigieren Sie in Intune zur Seite Partnergeräteverwaltung. Konfigurieren Sie unter den Connectoreinstellungen Gruppen für eine Zuweisung:

   • Wählen Sie Einschließen aus, und geben Sie an, welche Benutzergruppen Sie für die macOS-Registrierung mit Jamf auswählen möchten.
   • Verwenden Sie Ausschließen, um Benutzergruppen auszuwählen, die nicht mit Jamf registriert werden, und stattdessen Ihre Macintosh-Computer direkt bei Intune registrieren.

   Ausschließen setzt Einschließen außer Kraft, was bedeutet, dass jedes Gerät, das in beiden Gruppen ist, von Jamf ausgeschlossen und zur Registrierung bei Intune weitergeleitet wird.

   Hinweis

   Diese Methode zum Einschließen und Ausschließen von Benutzergruppen wirkt sich auf die Registrierungserfahrung des Benutzers aus. Jeder Benutzer mit einem Mac, der bereits bei Jamf oder Intune registriert ist und dann für die Registrierung bei der anderen MDM vorgesehen ist, muss die Registrierung seines Geräts aufheben und es dann mit der neuen MDM erneut registrieren, bevor die Verwaltung des Geräts ordnungsgemäß funktioniert.

3. Wählen Sie Bewerten aus, um zu bestimmen, wie viele Geräte basierend auf Ihren Gruppenkonfigurationen bei Jamf registriert werden sollen.

4. Wählen Sie Speichern aus, wenn Sie bereit sind, die Konfiguration anzuwenden.

5. Um fortzufahren werden Sie als nächstes Jamf für die Bereitstellung des Unternehmensportal für Mac verwenden, damit Benutzer ihre Geräte für Intune registrieren können.

Einrichten von Konformitätsrichtlinien und Registrieren von Geräten

Nach dem Konfigurieren der Integration zwischen Intune und Jamf verwenden Sie die Option Anwenden von Konformitätsrichtlinien auf mit Jamf verwaltete Geräte.

Trennen von Jamf Pro und Intune

Wenn Sie die Integration von Jamf Pro in Intune entfernen müssen, führen Sie die folgenden Schritte aus, um die Verbindung innerhalb der Jamf Pro-Konsole zu entfernen. Diese Informationen gelten für die manuell konfigurierte Integration und die Integration mittels dem Cloudconnector.

1. Navigieren Sie in Jamf Pro zu Globale Verwaltung > Bedingter Zugriff. Klicken Sie auf der Registerkarte macOS Intune Integration (Intune-Integration in macOS) auf Edit (Bearbeiten).

2. Deaktivieren Sie das Kontrollkästchen Enable Intune Integration for macOS (Integration von Intune für macOS aktivieren).

3. Wählen Sie Speichern aus. Jamf Pro sendet Ihre Konfiguration an Intune, und die Integration wird beendet.

4. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

5. Wählen Sie Mandantenverwaltung > Connectors und Tokens > Partnergeräteverwaltung aus, um zu bestätigen, dass der Status jetzt Beendet ist.

   Hinweis

   Die Mac-Geräte Ihrer Organisation werden an dem Datum (3 Monate) entfernt, das in der Konsole angezeigt wird.

Nächste Schritte

• Anwenden von Konformitätsrichtlinien auf mit Jamf verwaltete Geräte
• Von Jamf Pro an Intune gesendete Daten