Integración manual de Jamf Pro con Intune para cumplimiento

Intune admite la integración de la implementación de Jamf Pro para incorporar directivas de cumplimiento de dispositivos y acceso condicional a los dispositivos macOS. A través de la integración, puede requerir que los dispositivos macOS administrados por Jamf Pro cumplan los requisitos de cumplimiento de dispositivos de Intune antes de que esos dispositivos puedan acceder a los recursos de su organización. El acceso a los recursos se controla mediante las directivas de acceso condicional de Azure Active Directory (Azure AD) de la misma manera que para los dispositivos administrados a través de Intune.

Cuando Jamf Pro se integra con Intune, puede sincronizar los datos de inventario de dispositivos macOS con Intune, a través de Azure AD. El motor de cumplimiento de Intune analiza los datos de inventario para generar un informe. El análisis de Intune se combina con la información de la identidad de Azure AD del usuario del dispositivo para impulsar la aplicación a través del acceso condicional. Los dispositivos que son compatibles con las directivas de acceso condicional pueden obtener acceso a los recursos protegidos de la empresa.

Este artículo puede ayudarle a integrar manualmente Jamf Pro con Intune.

Sugerencia

En lugar de configurar manualmente la integración de Jamf Pro con Intune, se recomienda configurar y usar el Conector de nube de Jamf con Microsoft Intune. El conector de nube automatiza muchos de los pasos que son necesarios cuando se configura manualmente la integración.

Después de configurar la integración, configure Jamf e Intune para aplicar el cumplimiento con el acceso condicional en los dispositivos administrados por Jamf.

Requisitos previos

Productos y servicios

Necesitará lo siguiente para configurar el acceso condicional con Jamf Pro:

  • Jamf Pro 10.1.0 o versiones posteriores
  • Licencias de Microsoft Intune y Microsoft AAD Premium P1 (se recomienda el paquete de licencias Microsoft Enterprise Mobility + Security)
  • Rol de administrador global en Azure Active Directory.
  • Un usuario con privilegios de integración de Microsoft Intune en Jamf Pro
  • Aplicación Portal de empresa para macOS
  • Dispositivos macOS con OS X 10.12 Yosemite o versiones posteriores

Puertos de red

Los siguientes puertos deben ser accesibles para Jamf e Intune para integrarse correctamente:

  • Intune: puerto 443
  • Apple: puertos 2195, 2196 y 5223 (notificaciones push para Intune)
  • Jamf: puertos 80 y 5223

Para permitir que APNS funcione correctamente en la red, también debe habilitar las conexiones salientes a y las redirecciones desde:

  • el bloque 17.0.0.0/8 de Apple a través de los puertos TCP 5223 y 443 desde todas las redes cliente.
  • los puertos 2195 y 2196 de los servidores Jamf Pro.

Para obtener más información sobre estos puertos, vea los artículos siguientes:

Conecte Intune a Jamf Pro

Para conectar Intune con Jamf Pro:

  1. Cree una aplicación en Azure.
  2. Habilite Intune para su integración con Jamf Pro.
  3. Configure el acceso condicional en Jamf Pro.

Cree una aplicación en Azure Active Directory

  1. En Azure Portal, vaya a Azure Active Directory > Registros de aplicaciones y seleccione Nuevo registro.

  2. En la página Registrar una aplicación, especifique estos detalles:

    • En la sección Nombre, escriba un nombre significativo para la aplicación, por ejemplo, Acceso condicional de Jamf.
    • Para la sección Tipos de cuenta admitidos, seleccione Cuentas en cualquier directorio organizativo.
    • Para URI de redireccionamiento, deje el valor predeterminado de Web y, luego, especifique la dirección URL de la instancia de Jamf Pro.
  3. Seleccione Registrar para crear la aplicación y abrir la página de información general de la aplicación nueva.

  4. En la página Información general de la aplicación, copie el valor del identificador de la aplicación (cliente) y regístrelo para usarlo más adelante. Necesitará este valor en procedimientos posteriores.

  5. Seleccione Certificados y secretos en Administrar. Seleccione el botón Nuevo secreto de cliente. Escriba un valor en Descripción, seleccione cualquier opción para Expira y elija Agregar.

    Importante

    Antes de salir de la página, copie el valor del secreto de cliente y anótelo para usarlo más adelante. Necesitará este valor en procedimientos posteriores. Este valor no vuelve a estar disponible sin volver a crear el registro de la aplicación.

  6. Seleccione Permisos de las API en Administrar.

  7. En la página de permisos de API, para quitar todos los permisos de esta aplicación, seleccione el icono ... situado junto a cada permiso existente. Esta eliminación es obligatoria; la integración no se realizará correctamente si hay algún permiso adicional inesperado en el registro de esta aplicación.

  8. A continuación, agregue permisos para actualizar los atributos del dispositivo. En la parte superior izquierda de la página Permisos de API, seleccione Agregar un permiso para agregar un permiso nuevo.

  9. En la página Solicitar permisos de API, seleccione Intune y, luego seleccione Permisos de aplicación. Active solo la casilla para update_device_attributes y guarde el permiso nuevo.

  10. En Microsoft Graph, seleccione Permisos de la aplicación y, a continuación, seleccione Application.Read.All.

  11. Seleccione Agregar permisos.

  12. Vaya a APIs que usa mi organización. Buscque y seleccione Windows Azure Active Directory. Seleccione Permisos de la aplicación y, a continuación, seleccione Application.Read.All.

  13. Seleccione Agregar permisos.

  14. Después, para conceder consentimiento de administrador para esta aplicación, seleccione Conceder consentimiento de administrador para <your tenant> en la parte superior izquierda de la página Permisos de API. Es posible que tenga que volver a autenticar la cuenta en la nueva ventana y seguir las indicaciones para conceder acceso a la aplicación.

  15. Actualice la página seleccionando Actualizar en la parte superior de la página. Confirme que se ha concedido el consentimiento del administrador para el permiso update_device_attributes.

  16. Una vez que la aplicación se haya registrado correctamente, los permisos de API solo deben contener un permiso llamado update_device_attributes y deberían aparecer de la siguiente manera:

Permisos correctos

El proceso de registro de la aplicación en Azure AD se completó.

Nota

Si el secreto de cliente expira, debe crear otro secreto de cliente en Azure y luego actualizar los datos de acceso condicional en Jamf Pro. Azure permite tener activo tanto el secreto anterior como la clave nueva para evitar las interrupciones del servicio.

Habilitación de Intune para su integración con Jamf Pro

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

  2. Seleccione Administración de inquilinos > Conectores y tokens > Administración de dispositivos de socio.

  3. Habilite el conector de cumplimiento para Jamf. Para ello, pegue el identificador de la aplicación que ha guardado en el procedimiento anterior en el campo para especificar el identificador de aplicación de Azure Active Directory para Jamf.

  4. Seleccione Guardar.

Configurar la integración de Microsoft Intune en Jamf Pro

  1. Active la conexión en la consola de Jamf Pro:

    1. Abra la consola de Jamf Pro y vaya a Global Management > Conditional Access (Administración global > Acceso condicional). Seleccione Editar en la pestaña Integración de MacOS Intune.
    2. Active la casilla Enable Intune Integration for macOS (Habilitar la integración de Intune para macOS). Cuando esta configuración está habilitada, Jamf Pro envía actualizaciones de inventario a Microsoft Intune. Anule la selección si desea deshabilitar la conexión, pero guarde la configuración.
    3. Seleccione Manual en Tipo de conexión.
    4. En el menú emergente Sovereign Cloud (Nube soberana), seleccione la ubicación de la nube soberana de Microsoft.
    5. Seleccione Abrir dirección URL de consentimiento del administrador y siga las instrucciones que aparecen en la pantalla para permitir que la aplicación Conector de macOS nativo de Jamf se agregue al inquilino de Azure AD.
    6. Agregue el nombre de inquilino de Azure AD desde Microsoft Azure.
    7. Agregue el Id. de la aplicación y Secreto de cliente (anteriormente denominado Clave de aplicación) para la aplicación Jamf Pro de Microsoft Azure.
    8. Seleccione Guardar. Jamf Pro probará la configuración y confirmará que sea correcta.

    Regrese a la página Administración de dispositivos asociados de Intune para completar la configuración.

  2. En Intune, vaya a la página Administración de dispositivos asociados. En Configuración del conector, configure grupos para la asignación:

    • Seleccione Incluir y especifique los grupos de usuarios que serán el destino de la inscripción de macOS con Jamf.
    • Use Excluir para seleccionar grupos de usuarios que no se inscriben con Jamf, sino que inscribirán sus equipos Mac directamente con Intune.

    Excluir invalida a Incluir, lo que significa que cualquier dispositivo que se encuentre en ambos grupos se excluye de Jamf y se dirige hacia la inscripción en Intune.

    Nota

    Este método de inclusión y exclusión de grupos de usuarios afecta a la experiencia de inscripción del usuario. Cualquier usuario con un equipo Mac que ya esté inscrito en Jamf o en Intune que luego se le dirija hacia la inscripción con el otro MDM deberá anular la inscripción en su dispositivo y volver a inscribirlo en el nuevo MDM para que la administración del dispositivo funcione correctamente.

  3. Seleccione Evaluar para determinar el número de dispositivos que se inscribirán con Jamf, según sus configuraciones de grupos.

  4. Seleccione Guardar cuando esté listo para aplicar la configuración.

  5. Para continuar, deberá usar Jamf para implementar el Portal de empresa para Mac para que los usuarios puedan registrar sus dispositivos en Intune.

Configurar directivas de cumplimiento y registrar dispositivos

Después de configurar la integración entre Intune y Jamf, debe aplicar directivas de cumplimiento en los dispositivos administrados por Jamf.

Desconexión de Jamf Pro e Intune

Si tiene que quitar la integración de Jamf Pro con Intune, siga los siguientes pasos para eliminar la conexión de la consola de Jamf Pro. Esta información se aplica tanto a una integración configurada manualmente como a la integración mediante el conector de nube.

  1. En Jamf Pro, vaya a Administración global > Acceso condicional. En la pestaña Integración de MacOS Intune, seleccione Editar.

  2. Desactive la casilla Enable Intune Integration for macOS (Habilitar la integración de Intune para macOS).

  3. Seleccione Guardar. Jamf Pro envía la configuración a Intune y se terminará la integración.

  4. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

  5. Seleccione Administración de inquilinos > Conectores y tokens > Administración de dispositivos de socio para comprobar que el estado es ahora Finalizado.

    Nota

    Los dispositivos Mac de la organización se retirarán en la fecha (3 meses) que se muestra en la consola.

Siguientes pasos