준수를 위해 Intune과 Jamf Pro 통합Integrate Jamf Pro with Intune for compliance

조직에서 Jamf Pro를 사용하여 macOS 디바이스를 관리하는 경우 Azure AD(Azure Active Directory) 조건부 액세스 권한이 있는 Microsoft Intune 준수 정책을 사용하여 조직의 디바이스가 규정을 준수하게 하면 디바이스가 회사 리소스에 액세스할 수 있습니다.When your organization uses Jamf Pro to manage macOS devices, you can use Microsoft Intune compliance policies with Azure Active Directory (Azure AD) Conditional Access to ensure devices in your organization are compliant before they can access company resources. Jamf Pro와 Intune을 통합하려면 다음 두 가지 옵션을 사용합니다.To integrate Jamf Pro with Intune, you have two options:

  • 수동으로 통합 구성 - 이 문서의 정보를 사용하여 Intune과 Jamf 통합을 수동으로 구성합니다.Manually configure integration - Use the information in this article to manually configure Jamf integration with Intune.
  • Jamf Cloud Connector 사용(권장) - Microsoft Intune과 Jamf Cloud Connector 사용의 정보를 사용하여 Jamf Pro를 Microsoft Intune과 통합하는 Jamf Cloud Connector를 설치합니다.Use the Jamf Cloud Connector (recommended) - Use the information in Use the Jamf Cloud Connector with Microsoft Intune to install the Jamf Cloud Connector to integrate Jamf Pro with Microsoft Intune. Cloud Connector는 통합을 수동으로 구성할 때 필요한 여러 단계를 자동화합니다.The Cloud Connector automates many of the steps that are required when you manually configure integration.

Jamf Pro를 Intune과 통합하면 Azure AD를 통해 macOS 디바이스의 인벤토리 데이터를 Intune과 동기화할 수 있습니다.When Jamf Pro integrates with Intune, you can sync the inventory data from macOS devices with Intune, through Azure AD. 그런 다음 Intune의 규정 준수 엔진은 인벤토리 데이터를 분석하여 보고서를 생성합니다.Intune's compliance engine then analyzes the inventory data to generate a report. Intune의 분석은 디바이스 사용자의 Azure AD ID에 대한 인텔리전스와 결합되어 조건부 액세스를 통한 적용을 촉진합니다.Intune's analysis is combined with intelligence about the device user's Azure AD identity to drive enforcement through Conditional Access. 조건부 액세스 정책을 준수하는 디바이스는 보호된 회사 리소스에 대한 액세스 권한을 얻을 수 있습니다.Devices that are compliant with the Conditional Access policies can gain access to protected company resources.

통합을 구성한 후에는 Jamf에서 관리하는 디바이스에서 조건부 액세스 준수를 적용하도록 Jamf 및 Intune을 구성합니다.After you configure integration, you'll then configure Jamf and Intune to enforce compliance with Conditional Access on devices managed by Jamf.

전제 조건Prerequisites

제품 및 서비스Products and services

Jamf Pro를 사용하여 조건부 액세스를 구성하려면 다음이 필요합니다.You need the following to configure Conditional Access with Jamf Pro:

  • Jamf Pro 10.1.0 이상Jamf Pro 10.1.0 or later
  • Microsoft Intune 및 Microsoft AAD Premium P1 라이선스(권장 Microsoft Enterprise Mobility + Security 라이선스 번들)Microsoft Intune and Microsoft AAD Premium P1 licenses (recommended Microsoft Enterprise Mobility + Security license bundle)
  • Jamf Pro에서 Microsoft Intune 통합 권한이 있는 사용자A user with Microsoft Intune Integration privileges in Jamf Pro
  • macOS용 회사 포털 앱Company Portal app for macOS
  • OS X 10.12 Yosemite 이상의 macOS 디바이스macOS devices with OS X 10.12 Yosemite or later

네트워크 포트Network ports

Jamf 및 Intune이 올바르게 통합되려면 다음 포트에 액세스할 수 있어야 합니다.The following ports should be accessible for Jamf and Intune to integrate correctly:

  • Intune: 포트 443Intune: Port 443
  • Apple: 포트 2195, 2196 및 5223(Intune에 푸시 알림)Apple: Ports 2195, 2196, and 5223 (push notifications to Intune)
  • Jamf: 포트 80 및 5223Jamf: Ports 80 and 5223

APNS가 네트워크에서 올바르게 작동하게 하려면 다음으로 나가는 연결과 다음으로부터의 리디렉션을 사용해야 합니다.To allow APNS to function correctly on the network, you must also enable outgoing connections to, and redirects from:

  • 모든 클라이언트 네트워크의 TCP 포트 5223 및 443을 통한 Apple 17.0.0.0/8 블록.the Apple 17.0.0.0/8 block over TCP ports 5223 and 443 from all client networks.
  • Jamf Pro 서버의 2195 및 2196 포트.ports 2195 and 2196 from Jamf Pro servers.

이 포트에 대한 자세한 내용은 다음 문서를 참조하세요.For more information about these ports, see the following articles:

Intune을 Jamf Pro에 연결Connect Intune to Jamf Pro

Intune을 Jamf Pro에 연결하려면 다음을 수행합니다.To connect Intune with Jamf Pro:

  1. Azure에서 새 애플리케이션을 만듭니다.Create a new application in Azure.
  2. Intune을 Jamf Pro와 통합할 수 있도록 설정합니다.Enable Intune to integrate with Jamf Pro.
  3. Jamf Pro에서 조건부 액세스를 구성합니다.Configure Conditional Access in Jamf Pro.

Azure Active Directory에서 애플리케이션 만들기Create an application in Azure Active Directory

  1. Azure Portal에서 Azure Active Directory > 앱 등록 으로 이동한 후 새 등록 을 선택합니다.In the Azure portal, go to Azure Active Directory > App Registrations, and then select New registration.

  2. 애플리케이션 등록 페이지에서 다음 세부 정보를 지정합니다.On the Register an application page, specify the following details:

    • 이름 섹션에서 의미 있는 애플리케이션 이름을 입력합니다(예: Jamf 조건부 액세스).In the Name section, enter a meaningful application name, for example Jamf Conditional Access.
    • 지원되는 계정 유형 섹션에서 모든 조직 디렉터리의 계정 을 선택합니다.For the Supported account types section, select Accounts in any organizational directory.
    • 리디렉션 URI 에서 기본값인 웹을 그대로 사용한 후 Jamf Pro 인스턴스의 URL을 지정합니다.For Redirect URI, leave the default of Web, and then specify the URL for your Jamf Pro instance.
  3. 등록 을 선택하여 애플리케이션을 만들고 새 앱의 개요 페이지를 엽니다.Select Register to create the application and to open the Overview page for the new app.

  4. 개요 페이지에서 애플리케이션(클라이언트) ID 값을 복사하고 나중에 사용할 수 있도록 기록합니다.On the app Overview page, copy the Application (client) ID value and record it for later use. 나중 절차에서 이 값이 필요합니다.You'll need this value in later procedures.

  5. 관리 아래에서 인증서 및 비밀 을 선택합니다.Select Certificates & secrets under Manage. 새 클라이언트 암호 단추를 선택합니다.Select the New client secret button. 설명 에 값을 입력하고, 만료 옵션을 선택하고, 추가 를 선택합니다.Enter a value in Description, select any option for Expires and choose Add.

    중요

    이 페이지를 나가기 전에 클라이언트 암호 값을 복사하고 나중에 사용할 수 있도록 기록합니다.Before you leave this page, copy the value for the client secret and record it for later use. 나중 절차에서 이 값이 필요합니다.You will need this value in later procedures. 앱 등록을 다시 만들지 않으면 이 값을 다시 사용할 수 없습니다.This value isn't available again, without recreating the app registration.

  6. 관리 에서 API 사용 권한 을 선택합니다.Select API permissions under Manage.

  7. API 권한 페이지에서 기존의 각 권한 옆에 있는 ... 아이콘을 선택하여 이 앱에서 사용 권한을 제거합니다.On the API permissions page, remove all permissions from this app by selecting the ... icon next to each existing permission. 이 작업은 필수입니다. 이 앱 등록에 예기치 않은 추가 권한이 있는 경우에는 통합에 실패합니다.Note that this is required; the integration will not succeed if there are any unexpected extra permissions in this app registration.

  8. 다음으로, 디바이스 특성을 업데이트할 권한을 추가합니다.Next, we will add permissions to update device attributes. API 권한 페이지의 왼쪽 위에서 권한 추가 를 선택하여 새 권한을 추가합니다.At the top left of the API permissions page, select Add a permission to add a new permission.

  9. API 사용 권한 요청 페이지에서 Intune 을 선택한 후 애플리케이션 권한 을 선택합니다.On the Request API permissions page, select Intune, and then select Application permissions. update_device_attributes 확인란만 선택하고 새 권한을 저장합니다.Select only the check box for update_device_attributes and save the new permission.

  10. 그런 다음, API 권한 페이지의 왼쪽 위에 있는 <your tenant> 에 대한 관리자 동의 허용 을 선택하여 해당 앱에 대한 관리자 동의를 허용합니다.Next, grant admin consent for this app by selecting Grant admin consent for <your tenant> in the top left of the API permissions page. 새 창에서 계정을 다시 인증하고 프롬프트에 따라 애플리케이션 액세스 권한을 부여합니다.You may need to re-authenticate your account in the new window and grant the application access by following the prompts.

  11. 페이지 맨 위에 있는 새로 고침 단추를 클릭하여 페이지를 새로 고칩니다.Refresh the page by click on the Refresh button at the top of the page. update_device_attributes 권한에 대해 관리자 동의 권한이 부여되었는지 확인합니다.Confirm that admin consent has been granted for the update_device_attributes permission.

  12. 앱이 성공적으로 등록되면 API 권한에는 update_device_attributes 라는 하나의 권한만 포함되어야 하며 다음과 같이 표시되어야 합니다.After the app is registered successfully, the API permissions should only contain one permission called update_device_attributes and should appear as follows:

성공적인 사용 권한

Azure AD에서 앱 등록 프로세스가 완료되었습니다.The app registration process in Azure AD is complete.

참고

클라이언트 암호가 만료되면 Azure에서 새 클라이언트 암호를 만든 후 Jamf Pro에서 조건부 액세스 데이터를 업데이트해야 합니다.If the client secret expires, you must create a new client secret in Azure and then update the Conditional Access data in Jamf Pro. Azure를 사용하면 서비스 중단을 방지하기 위해 이전 비밀과 새 비밀을 모두 활성화할 수 있습니다.Azure allows you to have both the old secret and new key active to prevent service disruptions.

Intune을 Jamf Pro와 통합할 수 있도록 설정Enable Intune to integrate with Jamf Pro

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.Sign in to the Microsoft Endpoint Manager admin center.

  2. 테넌트 관리 > 커넥터 및 토큰 > 파트너 디바이스 관리 를 선택합니다.Select Tenant administration > Connectors and tokens > Partner device management.

  3. 이전 절차에서 저장한 애플리케이션 ID를 Jamf Azure Active Directory 앱 ID 지정 필드에 붙여넣어 Jamf용 준수 커넥터 를 사용하도록 설정합니다.Enable the Compliance Connector for Jamf by pasting the Application ID you saved during the previous procedure into the Specify the Azure Active Directory App ID for Jamf field.

  4. 저장 을 선택합니다.Select Save.

Jamf Pro에서 Microsoft Intune 통합 구성Configure Microsoft Intune Integration in Jamf Pro

  1. Jamf Pro 콘솔에서 다음과 같이 연결을 활성화합니다.Activate the connection in the Jamf Pro console:

    1. Jamf Pro 콘솔을 열고 전역 관리 > 조건부 액세스 로 이동 합니다.Open the Jamf Pro console and navigate to Global Management > Conditional Access. macOS Intune 통합 탭에서 편집 단추를 클릭합니다.Click the Edit button on the macOS Intune Integration tab.
    2. macOS용 Intune 통합 사용 확인란을 선택합니다.Select the check box for Enable Intune Integration for macOS.
    3. Azure AD에서 앱을 만들 때 저장한 위치, 도메인 이름애플리케이션 ID클라이언트 암호 를 포함하여 Azure 테넌트에 대한 필수 정보를 제공합니다.Provide the required information about your Azure tenant, including Location, Domain name, the Application ID, and the value for the client secret that you saved when you created the app in Azure AD.
    4. 저장 을 선택합니다.Select Save. Jamf Pro가 설정을 테스트하고 성공을 확인합니다.Jamf Pro tests your settings and verifies your success.

    구성 완료를 위해 Intune의 파트너 디바이스 관리 페이지로 돌아갑니다.Return to the Partner device management page in Intune to complete the configuration.

  2. Intune에서 파트너 디바이스 관리 페이지로 이동합니다.In Intune, go to the Partner device management page. 커넥터 설정 에서 할당할 그룹을 구성합니다.Under Connector Settings configure groups for assignment:

    • 포함 을 선택하고 macOS 등록 방식으로 Jamf에 등록할 사용자 그룹을 지정합니다.Select Include and specify which User groups you want to target for macOS enrollment with Jamf.
    • 제외 를 사용하여 Jamf에 등록하지 않는 사용자 그룹을 선택하고, 대신 해당 Mac을 Intune에 직접 등록합니다.Use Exclude to select groups of Users that won't enroll with Jamf and instead will enroll their Macs directly with Intune.

    포함 을 선택하면 포함 이 제정의됩니다. 즉, 두 그룹에 있는 모든 디바이스가 Jamf에서 제외되고 Intune에 직접 등록됩니다.Exclude overrides Include, which means any device that is in both groups is excluded from Jamf and directed to enroll with Intune.

    참고

    이러한 사용자 그룹 포함 및 제외 방법은 사용자의 등록 환경에 영향을 줍니다.This method of including and excluding user groups affects the enrollment experience of the user. Jamf 또는 Intune에 이미 등록된 상태에서 다른 MDM에 등록하려고 하는 Mac을 사용하는 모든 사용자는 디바이스를 등록 취소한 후 새 MDM에 다시 등록해야 디바이스 관리가 제대로 작동합니다.Any user with a Mac thats already enrolled in either Jamf or Intune who is then targeted to enroll with the other MDM must unenroll their device and then re-enroll it with the new MDM before management of the device works properly.

  3. 그룹 구성에 따라 Jamf에 등록되는 디바이스 수를 결정하려면 평가 를 선택합니다.Select Evaluate to determine how many devices will be enrolled with Jamf, based on your group configurations.

  4. 구성을 적용할 준비가 되면 저장 을 선택합니다.Select Save when you're ready to apply the configuration.

  5. 계속하려면 다음으로, 사용자가 Intune에 해당 디바이스를 등록할 수 있도록 Jamf를 사용하여 Mac용 회사 포털을 배포해야 합니다.To proceed, you will next need to use Jamf to deploy the Company Portal for Mac so that users can register their devices to Intune.

준수 정책 설정 및 디바이스 등록Set up compliance policies and register devices

Intune과 Jamf 사이의 통합을 구성한 후에는 규정 준수 정책을 Jamf에서 관리되는 디바이스에 적용해야 합니다.After you configure integration between Intune and Jamf, you need to apply compliance policies to Jamf-managed devices.

Jamf Pro와 Intune 연결 끊기Disconnect Jamf Pro and Intune

Jamf Pro와 Intune의 통합을 제거해야 하는 경우에는 다음 단계를 사용하여 Jamf Pro 콘솔 내에서 연결을 제거합니다. 이 정보는 수동으로 구성된 통합과 Cloud Connector를 사용한 통합에 모두 적용됩니다.Should you need to remove integration of Jamf Pro with Intune, use the following steps to remove the connection from within the Jamf Pro console.This information applies to both the a manually configured integration, as well as integration by using the Cloud Connector.

  1. Jamf Pro에서 전역 관리 > 조건부 액세스 로 이동합니다.In Jamf Pro, go to Global Management > Conditional Access. macOS Intune 통합 탭에서 편집 을 선택합니다.On the macOS Intune Integration tab, select Edit.

  2. macOS용 Intune 통합 사용 확인란을 선택 취소합니다.Clear the Enable Intune Integration for macOS check box.

  3. 저장 을 선택합니다.Select Save. Jamf Pro가 Intune에 구성을 보내고 통합이 종료됩니다.Jamf Pro sends your configuration to Intune and the integration will be terminated.

  4. Microsoft Endpoint Manager 관리 센터에 로그인합니다.Sign in to the Microsoft Endpoint Manager admin center.

  5. 테넌트 관리 > 커넥터 및 토큰 > 파트너 디바이스 관리 를 선택하여 이제 상태가 종료됨 인지 확인합니다.Select Tenant administration > Connectors and tokens > Partner device management to verify that the status is now Terminated.

    참고

    조직의 Mac 디바이스는 콘솔에 표시되는 날짜(3개월)에 제거됩니다.Your organization's Mac devices will be removed at the date (3 months) shown in your console.

다음 단계Next steps