Integración de Jamf Pro con Intune para cumplimientoIntegrate Jamf Pro with Intune for compliance

Si la organización usa Jamf Pro para administrar dispositivos macOS, puede utilizar directivas de cumplimiento de Microsoft Intune con acceso condicional de Azure Active Directory (Azure AD) para garantizar que los dispositivos de la organización sean compatibles antes de que puedan acceder a los recursos empresariales.When your organization uses Jamf Pro to manage macOS devices, you can use Microsoft Intune compliance policies with Azure Active Directory (Azure AD) Conditional Access to ensure devices in your organization are compliant before they can access company resources. Para integrar Jamf Pro con Intune, tiene dos opciones:To integrate Jamf Pro with Intune, you have two options:

  • Configurar manualmente la integración: use la información de este artículo para configurar manualmente la integración de Jamf con Intune.Manually configure integration - Use the information in this article to manually configure Jamf integration with Intune.
  • Usar el conector de nube de Jamf (recomendado): use la información de Uso del conector de nube de Jamf con Microsoft Intune para instalar el conector de nube de Jamf para integrar Jamf Pro con Microsoft Intune.Use the Jamf Cloud Connector (recommended) - Use the information in Use the Jamf Cloud Connector with Microsoft Intune to install the Jamf Cloud Connector to integrate Jamf Pro with Microsoft Intune. El conector de nube automatiza muchos de los pasos que son necesarios cuando se configura manualmente la integración.The Cloud Connector automates many of the steps that are required when you manually configure integration.

Cuando Jamf Pro se integra con Intune, puede sincronizar los datos de inventario de dispositivos macOS con Intune, a través de Azure AD.When Jamf Pro integrates with Intune, you can sync the inventory data from macOS devices with Intune, through Azure AD. A continuación, el motor de cumplimiento de Intune analiza los datos de inventario para generar un informe.Intune's compliance engine then analyzes the inventory data to generate a report. El análisis de Intune se combina con la información de la identidad de Azure AD del usuario del dispositivo para impulsar la aplicación a través del acceso condicional.Intune's analysis is combined with intelligence about the device user's Azure AD identity to drive enforcement through Conditional Access. Los dispositivos que son compatibles con las directivas de acceso condicional pueden obtener acceso a los recursos protegidos de la empresa.Devices that are compliant with the Conditional Access policies can gain access to protected company resources.

Después de configurar la integración, configure Jamf e Intune para aplicar el cumplimiento con el acceso condicional en los dispositivos administrados por Jamf.After you configure integration, you'll then configure Jamf and Intune to enforce compliance with Conditional Access on devices managed by Jamf.

Requisitos previosPrerequisites

Productos y serviciosProducts and services

Necesitará lo siguiente para configurar el acceso condicional con Jamf Pro:You need the following to configure Conditional Access with Jamf Pro:

Puertos de redNetwork ports

Los siguientes puertos deben ser accesibles para Jamf e Intune para integrarse correctamente:The following ports should be accessible for Jamf and Intune to integrate correctly:

  • Intune: Puerto 443Intune: Port 443
  • Apple: puertos 2195, 2196 y 5223 (notificaciones push a Intune)Apple: Ports 2195, 2196, and 5223 (push notifications to Intune)
  • Jamf: puertos 80 y 5223Jamf: Ports 80 and 5223

Para permitir que APNS funcione correctamente en la red, también debe habilitar las conexiones salientes a los destinos siguientes, que también podrán ser orígenes de redireccionamiento:To allow APNS to function correctly on the network, you must also enable outgoing connections to, and redirects from:

  • el bloque 17.0.0.0/8 de Apple a través de los puertos TCP 5223 y 443 desde todas las redes cliente.the Apple 17.0.0.0/8 block over TCP ports 5223 and 443 from all client networks.
  • los puertos 2195 y 2196 de los servidores Jamf Pro.ports 2195 and 2196 from Jamf Pro servers.

Para obtener más información sobre estos puertos, vea los artículos siguientes:For more information about these ports, see the following articles:

Conexión de Intune a Jamf ProConnect Intune to Jamf Pro

Para conectar Intune con Jamf Pro:To connect Intune with Jamf Pro:

  1. Cree una aplicación en Azure.Create a new application in Azure.
  2. Habilite Intune para su integración con Jamf Pro.Enable Intune to integrate with Jamf Pro.
  3. Configure el acceso condicional en Jamf Pro.Configure Conditional Access in Jamf Pro.

Creación de una aplicación en Azure Active DirectoryCreate an application in Azure Active Directory

  1. En Azure Portal, vaya a Azure Active Directory > Registros de aplicaciones y seleccione Nuevo registro.In the Azure portal, go to Azure Active Directory > App Registrations, and then select New registration.

  2. En la página Registrar una aplicación, especifique estos detalles:On the Register an application page, specify the following details:

    • En la sección Nombre, escriba un nombre significativo para la aplicación, por ejemplo, Acceso condicional de Jamf.In the Name section, enter a meaningful application name, for example Jamf Conditional Access.
    • Para la sección Supported account types (Tipos de cuenta admitidos), seleccione Accounts in any organizational directory (Cuentas en cualquier directorio organizativo).For the Supported account types section, select Accounts in any organizational directory.
    • En URI de redireccionamiento, deje el valor predeterminado de Web y, luego, especifique la dirección URL de la instancia de Jamf Pro.For Redirect URI, leave the default of Web, and then specify the URL for your Jamf Pro instance.
  3. Seleccione Registrar para crear la aplicación y abrir la página de información general de la aplicación nueva.Select Register to create the application and to open the Overview page for the new app.

  4. En la página Información general de la aplicación, copie el valor de Application (client) ID (Identificador de aplicación [cliente]) y anótelo para usarlo más adelante.On the app Overview page, copy the Application (client) ID value and record it for later use. Lo necesitará en procedimientos posteriores.You'll need this value in later procedures.

  5. Seleccione Certificates & secrets (Certificados y secretos) en Administrar.Select Certificates & secrets under Manage. Seleccione el botón Nuevo secreto de cliente.Select the New client secret button. Escriba un valor en Descripción, seleccione cualquier opción para Expira y elija Agregar.Enter a value in Description, select any option for Expires and choose Add.

    Importante

    Antes de salir de la página, copie el valor del secreto de cliente y anótelo para usarlo más adelante.Before you leave this page, copy the value for the client secret and record it for later use. Lo necesitará en procedimientos posteriores.You will need this value in later procedures. Este valor no vuelve a estar disponible sin volver a crear el registro de la aplicación.This value isn't available again, without recreating the app registration.

  6. Seleccione Permisos de API en Administrar.Select API permissions under Manage.

  7. En la página de permisos de API, para quitar todos los permisos de esta aplicación, seleccione el icono ... situado junto a cada permiso existente.On the API permissions page, remove all permissions from this app by selecting the ... icon next to each existing permission. Tenga en cuenta que esto es obligatorio; la integración no se realizará correctamente si hay algún permiso adicional inesperado en el registro de esta aplicación.Note that this is required; the integration will not succeed if there are any unexpected extra permissions in this app registration.

  8. A continuación, se agregarán permisos para actualizar los atributos del dispositivo.Next, we will add permissions to update device attributes. En la parte superior izquierda de la página Permisos de API, seleccione Agregar un permiso para agregar un permiso nuevo.At the top left of the API permissions page, select Add a permission to add a new permission.

  9. En la página Request API permissions (Solicitar permisos de API), seleccione Intune y, luego, Permisos de aplicación.On the Request API permissions page, select Intune, and then select Application permissions. Active solo la casilla para update_device_attributes y guarde el permiso nuevo.Select only the check box for update_device_attributes and save the new permission.

  10. Después, para conceder consentimiento de administrador para esta aplicación, seleccione Conceder consentimiento de administrador para <your tenant> en la parte superior izquierda de la página Permisos de API.Next, grant admin consent for this app by selecting Grant admin consent for <your tenant> in the top left of the API permissions page. Es posible que tenga que volver a autenticar la cuenta en la nueva ventana y seguir las indicaciones para conceder acceso a la aplicación.You may need to re-authenticate your account in the new window and grant the application access by following the prompts.

  11. Para actualizar la página, haga clic en el botón Actualizar de la parte superior de la página.Refresh the page by click on the Refresh button at the top of the page. Confirme que se ha concedido el consentimiento del administrador para el permiso update_device_attributes.Confirm that admin consent has been granted for the update_device_attributes permission.

  12. Una vez que la aplicación se haya registrado correctamente, los permisos de API solo deben contener un permiso llamado update_device_attributes y deben aparecer de la siguiente manera:After the app is registered successfully, the API permissions should only contain one permission called update_device_attributes and should appear as follows:

Permisos correctos

El proceso de registro de la aplicación en Azure AD se completó.The app registration process in Azure AD is complete.

Nota

Si el secreto de cliente expira, debe crear otro secreto de cliente en Azure y luego actualizar los datos de acceso condicional en Jamf Pro.If the client secret expires, you must create a new client secret in Azure and then update the Conditional Access data in Jamf Pro. Azure permite tener activo tanto el secreto anterior como la clave nueva para evitar las interrupciones del servicio.Azure allows you to have both the old secret and new key active to prevent service disruptions.

Habilitación de Intune para su integración con Jamf ProEnable Intune to integrate with Jamf Pro

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Seleccione Administración de inquilinos > Conectores y tokens > Administración de dispositivos de socio.Select Tenant administration > Connectors and tokens > Partner device management.

  3. Habilite el conector de cumplimiento para Jamf. Para ello, pegue el identificador de la aplicación que ha guardado en el procedimiento anterior en el campo para especificar el identificador de aplicación de Azure Active Directory para Jamf.Enable the Compliance Connector for Jamf by pasting the Application ID you saved during the previous procedure into the Specify the Azure Active Directory App ID for Jamf field.

  4. Seleccione Guardar.Select Save.

Configurar la integración de Microsoft Intune en Jamf ProConfigure Microsoft Intune Integration in Jamf Pro

  1. Active la conexión en la consola de Jamf Pro:Activate the connection in the Jamf Pro console:

    1. Abra la consola de Jamf Pro y vaya a Global Management > Conditional Access (Administración global > Acceso condicional).Open the Jamf Pro console and navigate to Global Management > Conditional Access. Haga clic en el botón Editar de la pestaña macOS Intune Integration (Integración de Intune para macOS).Click the Edit button on the macOS Intune Integration tab.
    2. Active la casilla Enable Intune Integration for macOS (Habilitar la integración de Intune para macOS).Select the check box for Enable Intune Integration for macOS.
    3. Proporcione la información necesaria sobre su inquilino de Azure, como la ubicación, el nombre de dominio, el identificador de aplicación y el valor del secreto de cliente que guardó cuando creó la aplicación en Azure AD.Provide the required information about your Azure tenant, including Location, Domain name, the Application ID, and the value for the client secret that you saved when you created the app in Azure AD.
    4. Seleccione Guardar.Select Save. Jamf Pro probará la configuración y confirmará que sea correcta.Jamf Pro tests your settings and verifies your success.

    Regrese a la página Administración de dispositivos asociados de Intune para completar la configuración.Return to the Partner device management page in Intune to complete the configuration.

  2. En Intune, vaya a la página Administración de dispositivos asociados.In Intune, go to the Partner device management page. En Configuración del conector, configure grupos para la asignación:Under Connector Settings configure groups for assignment:

    • Seleccione Incluir y especifique los grupos de usuarios que serán el destino de la inscripción de macOS con Jamf.Select Include and specify which User groups you want to target for macOS enrollment with Jamf.
    • Use Excluir para seleccionar grupos de usuarios que no se inscriben con Jamf, sino que inscribirán sus equipos Mac directamente con Intune.Use Exclude to select groups of Users that won't enroll with Jamf and instead will enroll their Macs directly with Intune.

    Excluir invalida a Incluir, lo que significa que cualquier dispositivo que se encuentre en ambos grupos se excluye de Jamf y se dirige hacia la inscripción en Intune.Exclude overrides Include, which means any device that is in both groups is excluded from Jamf and directed to enroll with Intune.

    Nota

    Este método de incluir y excluir grupos de usuarios afecta a la experiencia de inscripción del usuario.This method of including and excluding user groups affects the enrollment experience of the user. Cualquier usuario con un equipo Mac que ya esté inscrito en Jamf o en Intune que luego se le dirija hacia la inscripción con el otro MDM deberá anular la inscripción en su dispositivo y volver a inscribirlo en el nuevo MDM para que la administración del dispositivo funcione correctamente.Any user with a Mac thats already enrolled in either Jamf or Intune who is then targeted to enroll with the other MDM must unenroll their device and then re-enroll it with the new MDM before management of the device works properly.

  3. Seleccione Evaluar para determinar el número de dispositivos que se inscribirán con Jamf, según las configuraciones de grupos.Select Evaluate to determine how many devices will be enrolled with Jamf, based on your group configurations.

  4. Seleccione Guardar cuando esté listo para aplicar la configuración.Select Save when you're ready to apply the configuration.

  5. Para continuar, tendrá que usar Implementar la aplicación Portal de empresa para macOS en Jamf Pro para que los usuarios puedan registrar sus dispositivos en Intune.To proceed, you will next need to use Jamf to deploy the Company Portal for Mac so that users can register their devices to Intune.

Configurar directivas de cumplimiento y registrar dispositivosSet up compliance policies and register devices

Después de configurar la integración entre Intune y Jamf, tiene que aplicar directivas de cumplimiento en los dispositivos administrados por Jamf.After you configure integration between Intune and Jamf, you need to apply compliance policies to Jamf-managed devices.

Desconexión de Jamf Pro e IntuneDisconnect Jamf Pro and Intune

Si tiene que quitar la integración de Jamf Pro con Intune, siga los siguientes pasos para eliminar la conexión de la consola de Jamf Pro. Esta información se aplica tanto a una integración configurada manualmente como a la integración mediante el conector de nube.Should you need to remove integration of Jamf Pro with Intune, use the following steps to remove the connection from within the Jamf Pro console.This information applies to both the a manually configured integration, as well as integration by using the Cloud Connector.

  1. En Jamf Pro, vaya a Administración global > Acceso condicional.In Jamf Pro, go to Global Management > Conditional Access. En la pestaña Integración de MacOS Intune, seleccione Editar.On the macOS Intune Integration tab, select Edit.

  2. Desactive la casilla Enable Intune Integration for macOS (Habilitar la integración de Intune para macOS).Clear the Enable Intune Integration for macOS check box.

  3. Seleccione Guardar.Select Save. Jamf Pro envía la configuración a Intune y se terminará la integración.Jamf Pro sends your configuration to Intune and the integration will be terminated.

  4. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  5. Seleccione Administración de inquilinos > Conectores y tokens > Administración de dispositivos de socio para comprobar que el estado es ahora Finalizado.Select Tenant administration > Connectors and tokens > Partner device management to verify that the status is now Terminated.

    Nota

    Los dispositivos Mac de la organización se retirarán en la fecha (tres meses) que se muestra en la consola.Your organization's Mac devices will be removed at the date (3 months) shown in your console.

Pasos siguientesNext steps