Microsoft Intune과 통합하도록 Jamf 클라우드 커넥터 구성

중요

조건부 액세스에 대한 Jamf macOS 디바이스 지원은 더 이상 사용되지 않습니다.

2024년 9월 1일부터 Jamf Pro의 조건부 액세스 기능이 빌드된 플랫폼은 더 이상 지원되지 않습니다.

macOS 디바이스에 Jamf Pro의 조건부 액세스 통합을 사용하는 경우 Jamf의 문서화된 지침에 따라 macOS 조건부 액세스에서 macOS 디바이스 준수로 마이그레이션 – Jamf Pro 설명서에서 디바이스를 디바이스 준수 통합으로 마이그레이션합니다.

도움이 필요한 경우 Jamf 고객 성공에 문의하세요. 자세한 내용은 의 블로그 게시물을 참조하세요 https://aka.ms/Intune/Jamf-Device-Compliance.

이 문서는 Jamf Cloud Connector를 설치하여 Jamf Pro를 Microsoft Intune과 통합하는 데 유용합니다. 통합을 통해 Jamf Pro에서 관리하는 macOS 디바이스가 조직의 리소스에 액세스하도록 허용되기 전에 Intune 디바이스 준수 요구 사항을 충족하도록 요구할 수 있습니다. 리소스 액세스는 Intune을 통해 관리되는 디바이스와 동일한 방식으로 Microsoft Entra 조건부 액세스 정책에 의해 제어됩니다.

Jamf 클라우드 커넥터는 규정 준수를 위해 Intune과 Jamf Pro 통합에 설명된 대로 통합을 수동으로 구성할 때 필요한 많은 단계를 자동화하므로 Jamf 클라우드 커넥터를 사용하는 것이 좋습니다.

Cloud Connector를 설정하면:

• Jamf Pro 애플리케이션이 Azure에 자동으로 생성되기 때문에 수동으로 구성할 필요가 없습니다.
• 다수의 Jamf Pro 인스턴스를 Intune 구독을 호스트하는 동일한 Azure 테넌트와 통합할 수 있습니다.

다수의 Jamf Pro 인스턴스를 단일 Azure 테넌트에 연결하는 기능은 Cloud Connector를 사용하는 경우에만 지원됩니다. 수동으로 구성된 연결을 사용하는 경우에는 하나의 Jamf 인스턴스만 Azure 테넌트와 통합할 수 있습니다.

Cloud Connector 사용이 선택 사항인 경우:

• Jamf와 아직 통합되지 않은 새로운 테넌트는, 이 문서에 설명된 대로 Cloud Connector를 구성하도록 선택할 수 있습니다. 또는 준수를 위해 Intune과 Jamf Pro 통합에 설명된 대로 수동으로 통합을 구성할 수 있습니다.
• 이미 수동 구성이 있는 테넌트는, 해당 통합을 제거한 후 Cloud Connector를 설정하도록 선택할 수 있습니다. 이 문서에서는 기존 통합 제거와 클라우드 커넥터 설정에 대해 설명합니다.

이전 통합을 Jamf Cloud Connector로 대체하려는 경우:

• 현재 구성을 제거하는 절차를 사용합니다. 여기에는 Jamf Pro용 엔터프라이즈 앱을 삭제하고 수동 통합을 사용하지 않도록 설정하는 방법이 포함됩니다. 그런 다음, Cloud Connector를 구성하는 절차를 사용할 수 있습니다.
• 디바이스를 다시 등록할 필요가 없습니다. 이미 등록된 디바이스는 추가 구성 없이 클라우드 커넥터를 사용할 수 있습니다.
• 수동 통합을 제거한 후 24시간 내에 Cloud Connector를 구성해야 합니다. 그래야, 등록된 디바이스가 계속해서 상태를 보고할 수 있습니다.

Jamf Cloud Connector에 대한 자세한 내용은 docs.jamf.com에서 Configuring the macOS Intune Integration using the Cloud Connector(Cloud Connector를 사용하여 macOS Intune 통합 구성)를 참조하세요.

필수 구성 요소

제품 및 서비스:

• Jamf Pro 10.18 이상
• 조건부 액세스 권한이 있는 Jamf Pro 사용자 계정
• Microsoft Intune
• Microsoft Entra ID P1 또는 P2
• macOS용 회사 포털 앱
• OS X 10.12 Yosemite 이상의 macOS 디바이스

네트워크:
Jamf 및 Intune이 올바르게 통합되려면 다음 포트와 엔드포인트에 액세스할 수 있어야 합니다.

• Intune: 포트 443

• Apple: 포트 2195, 2196 및 5223(Intune에 푸시 알림)

• Jamf: 포트 80 및 5223

• 엔드포인트:

  • login.microsoftonline.com
  • graph.windows.net
  • *.manage.microsoft.com

APNS가 네트워크에서 올바르게 작동하려면 다음 포트로 나가는 연결을 활성화하고 다음 포트에서 리디렉션해야 합니다.

• 모든 클라이언트 네트워크의 TCP 포트 5223 및 443을 통한 Apple 17.0.0.0/8 블록
• Jamf Pro 서버의 포트 2195 및 2196.

이 포트에 대한 자세한 내용은 다음 문서를 참조하세요.

• Intune 네트워크 구성 요구 사항 및 대역폭.
• Jamf.com의 Jamf Pro에서 사용하는 네트워크 포트.
• support.apple.com의 Apple 소프트웨어 제품에서 사용하는 TCP 및 UDP 포트

계정:
이 문서의 절차를 수행하려면 다음 권한이 있는 계정을 사용해야 합니다.

• Jamf Pro 콘솔: Jamf Pro를 관리할 수 있는 권한이 있는 계정
• Microsoft Intune 관리 센터: 전역 관리자
• Azure Portal: 전역 관리자

이전에 구성된 테넌트에 대한 Jamf Pro 통합 제거

Cloud Connector를 구성하려면 그 전에 다음 절차를 사용하여 Azure 테넌트에서 수동으로 구성된 Jamf Pro 통합을 제거해야 합니다.

이전에 Jamf Pro와 Intune 간의 연결을 설정하지 않았거나 클라우드 커넥터를 이미 사용하는 하나 이상의 연결이 있는 경우 이 절차를 건너뛰고 새 테넌트의 클라우드 커넥터 구성으로 시작합니다.

수동으로 구성된 Jamf Pro 통합 제거

1. Jamf Pro 콘솔에 로그인합니다.

2. 설정(오른쪽 상단의 톱니 바퀴 아이콘)을 선택한 후 Global Management(글로벌 관리)>조건부 액세스로 이동합니다.

   

3. 편집을 선택합니다.

4. macOS용 Intune 통합 사용 확인란을 선택 취소합니다.

   이 설정을 선택 취소하면 연결이 비활성화되지만 구성은 저장됩니다.

5. Microsoft Intune 관리 센터에 로그인하고 테넌트 관리>파트너 디바이스 관리로 이동합니다.

   파트너 디바이스 관리 노드의 Jamf에 대한 Microsoft Entra 앱 ID 지정 필드에서 애플리케이션 ID를 삭제한 다음 저장을 선택합니다.

   애플리케이션 ID는 Jamf Pro인 경우 수동 통합을 설정할 때 Azure에서 생성되는 Azure Enterprise 앱의 ID입니다.

6. 전역 관리 권한이 있는 계정으로 Azure Portal 로그인하고 Microsoft Entra ID>Enterprise 애플리케이션으로 이동합니다.

   Jamf 앱을 두 개 찾아서 삭제합니다. 다음 절차에서 Jamf Cloud Connector를 구성하면 새 애플리케이션이 자동으로 생성됩니다.

   

   Jamf Pro에서 통합을 비활성화하고 엔터프라이즈 애플리케이션을 삭제하면 파트너 디바이스 관리 노드에 종료됨 연결 상태가 표시됩니다.

   

Jamf Pro 통합에 대한 수동 구성을 제거했으니, Cloud Connector를 사용하여 통합을 설정할 수 있습니다. 작업을 수행하려면, 이 문서에서 새 테넌트에 대한 Cloud Connector 구성을 참조하세요.

새 테넌트에 대한 Cloud Connector 구성

다음과 같은 경우 아래 절차에 따라 Jamf Cloud Connector가 Jamf Pro와 Microsoft Intune을 통합하도록 구성합니다.

• Azure 테넌트에 대해 구성된 Intune과 Jamf Pro 사이에 통합이 없습니다.
• Azure 테넌트에서 Jamf Pro와 Intune 간에 클라우드 커넥터가 이미 설정되어 있고 다른 Jamf 인스턴스를 구독과 통합하려고 합니다.

현재 Intune과 Jamf Pro 사이에 수동으로 구성된 통합이 있으면, 계속하기 전에 이 문서에서 이전에 구성된 테넌트에 대한 Jamf Pro 통합 제거를 참조하여 통합을 제거합니다. Jamf Cloud Connector를 성공적으로 설정하려면 수동으로 구성된 통합을 제거해야 합니다.

새 연결 만들기

1. Jamf Pro 콘솔에 로그인합니다.

2. 설정(오른쪽 상단의 톱니 바퀴 아이콘)을 선택한 후 Global Management(글로벌 관리)>조건부 액세스로 이동합니다.

   

3. 편집을 선택합니다.

4. macOS용 Intune 통합 사용 확인란을 선택합니다.

   • Jamf Pro가 Microsoft Intune에 인벤토리 업데이트를 보내도록 하려면 이 설정을 선택합니다.
   • 이 설정을 선택 취소하면 연결을 비활성화해도 구성은 저장할 수 있습니다.

   중요

   macOS용 Intune 통합 사용이 이미 선택되어 있고 연결 유형이 수동으로 설정되어 있으면 계속하기 전에 통합을 제거해야 합니다. 계속하기 전에 이 문서에서 이전에 구성된 테넌트에 대한 Jamf Pro 통합 제거를 참조하세요.

5. 연결 유형에서 Cloud Connector를 선택합니다.

   

6. 소버린 클라우드 팝업 메뉴에서 Microsoft의 소버린 클라우드 위치를 선택합니다. 기존 Jamf 클라우드 커넥터와의 통합을 대체하는 경우, 위치가 지정되어 있으면 이 단계를 건너뛸 수 있습니다.

7. Microsoft Azure에서 인식되지 않는 컴퓨터에 대해 다음 방문 페이지 옵션 중 하나를 선택합니다.

   • 기본 Jamf Pro 디바이스 등록 페이지 - macOS 디바이스의 상태에 따라 이 옵션은 사용자를 Jamf Pro 디바이스 등록 포털(Jamf Pro에 등록) 또는 Intune 회사 포털 앱(Microsoft Entra ID에 등록)으로 리디렉션합니다.
   • 액세스 거부됨 페이지
   • 사용자 지정 URL

   기존 Jamf 클라우드 커넥터와의 통합을 대체하는 경우, 방문 페이지가 지정되어 있으면 이 단계를 건너뛸 수 있습니다.

8. 연결을 선택합니다. Azure에서 Jamf Pro 애플리케이션을 등록하도록 리디렉션됩니다.

   메시지가 표시되면 Microsoft Azure 자격 증명을 지정하고 화면의 지시에 따라 요청된 권한을 부여합니다. Cloud Connector에 대한 권한을 부여한 후 Cloud Connector 사용자 등록 앱에 대한 권한을 다시 부여합니다. 두 앱 모두 Azure에 엔터프라이즈 애플리케이션으로 등록됩니다.

   두 앱 모두에 권한이 부여된 후 애플리케이션 ID 페이지가 열립니다.

9. 애플리케이션 ID 페이지에서 Copy and open Intune(Intune 복사 및 열기)을 선택합니다.

   

   애플리케이션 ID는 다음 단계에서 사용하기 위해 시스템 클립보드에 복사되고 Microsoft Intune 관리 센터의파트너 디바이스 관리 노드가 열립니다. (테넌트 관리>파트너 디바이스 관리).

10. 파트너 디바이스 관리 노드에서 애플리케이션 ID를 Jamf에 대한 Microsoft Entra 앱 ID 지정 필드에 붙여넣고 저장을 선택합니다.

    

11. Jamf Pro의 애플리케이션 ID 페이지로 돌아가서 확인을 선택합니다.

12. Jamf Pro는 구성을 완료하고 테스트한 후 조건부 액세스 설정 페이지에 연결 성공 또는 실패를 표시합니다. 다음 이미지는 성공의 예입니다.

    

13. Microsoft Intune 관리 센터에서 파트너 디바이스 관리 노드를 새로 고칩니다. 이제 연결이 활성으로 표시됩니다.

    

Jamf Pro와 Microsoft Intune 간의 연결이 성공적으로 설정되면 Jamf Pro는 Microsoft Entra ID로 등록된 각 컴퓨터에 대해 인벤토리 정보를 Microsoft Intune 보냅니다(Microsoft Entra ID로 등록하는 것은 최종 사용자 워크플로임). Jamf Pro에서 컴퓨터 인벤토리 정보의 로컬 사용자 계정 범주에서 사용자와 컴퓨터의 조건부 액세스 인벤토리 상태를 볼 수 있습니다.

Jamf 클라우드 커넥터를 사용하여 Jamf Pro 인스턴스 하나를 통합한 후에, 동일한 절차를 사용하여 Azure 테넌트에서 동일한 Intune 구독으로 Jamf Pro 인스턴스를 추가로 구성할 수 있습니다.

준수 정책 설정 및 디바이스 등록

Intune과 Jamf 사이의 통합을 구성한 후에는 규정 준수 정책을 Jamf에서 관리되는 디바이스에 적용해야 합니다.

Jamf Pro와 Intune 연결 끊기

Jamf Pro와 Intune의 통합을 제거하려면 다음 단계를 사용하여 Jamf Pro 콘솔 내에서 연결을 제거합니다. 이 정보는 클라우드 커넥터와 수동으로 구성된 통합 모두에 적용됩니다.

Microsoft Intune 관리 센터 내에서 Jamf Pro 프로비전 해제

1. Microsoft Intune 관리 센터에서테넌트 관리>커넥터 및 토큰>파트너 디바이스 관리로 이동합니다.

2. 종료 옵션을 선택합니다. Intune은 작업에 대한 메시지를 표시합니다. 메시지를 검토하고 준비가 되면 확인을 선택합니다. 통합 을 종료 하는 옵션은 Jamf 연결이 있는 경우에만 나타납니다.

통합을 종료한 후 관리 센터의 보기를 새로 고쳐 보기를 업데이트합니다. organization macOS 디바이스는 90일 후에 Intune에서 제거됩니다.

Jamf Pro 콘솔 내에서 Jamf Pro 프로 해제

Jamf Pro 콘솔 내에서 연결을 제거하려면 다음 단계를 사용합니다.

1. Jamf Pro 콘솔에서 전역 관리>조건부 액세스로 이동합니다. macOS Intune 통합 탭에서 편집을 선택합니다.

2. macOS용 Intune 통합 사용 확인란을 선택 취소합니다.

3. 저장을 선택합니다. Jamf Pro가 Intune에 구성을 보내고 통합이 종료됩니다.

4. Microsoft Intune 관리 센터에 로그인합니다.

5. 테넌트 관리>커넥터 및 토큰>파트너 디바이스 관리를 선택하여 이제 상태가 종료됨인지 확인합니다.

통합을 종료하면 콘솔에 표시된 날짜(3개월 후)에 organization macOS 디바이스가 제거됩니다.

Cloud Connector에 대한 지원 받기

통합에 필요한 Azure 엔터프라이즈 앱은 Cloud Connector가 자동으로 만들기 때문에, 지원을 받기 위한 첫 번째 연락처는 Jamf입니다. 옵션은 다음과 같습니다.

• support@jamf.com을 통한 이메일 지원
• Jamf Nation의 지원 포털(https://www.jamf.com/support/) 사용

지원팀에 연락하기 전에:

• 사용하는 제품 버전 및 포트와 같은 전제 조건을 검토합니다.

• Azure에서 만든 다음 두 Jamf Pro 앱에 대한 권한이 수정되지 않았는지 확인합니다. 앱 권한에 대한 변경 내용은 Intune에서 지원되지 않으며 통합이 실패할 수 있습니다.

  Cloud Connector 사용자 등록 앱:

  • API 이름: Microsoft Graph
    • 사용 권한: 로그인 및 사용자 프로필 읽기
    • 형식: 위임됨
    • 다음을 통해 부여됨: 관리자 동의
    • 부여자: 관리자

  Cloud Connector 앱:

  • API 이름: Microsoft Graph(인스턴스 1)

    • 사용 권한: 로그인 및 사용자 프로필 읽기
    • 형식: 위임됨
    • 다음을 통해 부여됨: 관리자 동의
    • 부여자: 관리자

  • API 이름: Microsoft Graph(인스턴스 2)

    • 권한: 디렉터리 데이터 읽기
    • 형식: 애플리케이션
    • 다음을 통해 부여됨: 관리자 동의
    • 부여자: 관리자

  • API 이름: Intune API

    • 사용 권한: Microsoft Intune에 디바이스 특성 보내기
    • 형식: 애플리케이션
    • 다음을 통해 부여됨: 관리자 동의
    • 부여자: 관리자

Jamf Cloud Connector에 대한 일반적인 질문

Cloud Connector를 통해 어떤 데이터가 공유되나요?

클라우드 커넥터는 Microsoft Azure를 통해 인증하고 Jamf Pro에서 Azure로 디바이스 인벤토리 데이터를 보냅니다. 또한 Cloud Connector는 Azure의 서비스 검색, 토큰 교환, 통신 오류 및 재해 복구를 관리합니다.

디바이스 인벤토리 데이터는 어디에 저장되나요?

디바이스 인벤토리 데이터는 Jamf Pro 데이터베이스에 저장됩니다.

어떤 자격 증명이 저장되나요?

자격 증명은 저장되지 않습니다. Cloud Connector를 구성할 때 Jamf 다중 테넌트 앱 및 네이티브 macOS 커넥터 앱을 해당 Microsoft Entra 테넌트에 추가하는 데 동의해야 합니다. 다중 테넌트 애플리케이션이 추가되면 Cloud Connector는 Azure API와 상호 작용하기 위해 액세스 토큰을 요청합니다. 애플리케이션 액세스는 액세스를 제한하기 위해 언제든지 Microsoft Azure에서 취소할 수 있습니다.

데이터는 어떻게 암호화되나요?

Cloud Connector는 Jamf Pro와 Microsoft Azure 사이에 전송되는 데이터에 TLS(전송 계층 보안)를 사용합니다.

Jamf는 어떤 디바이스가 어떤 Jamf Pro 인스턴스와 연결되어 있는지를 어떻게 알 수 있나요?

Jamf Pro는 AWS의 마이크로서비스를 사용하여 디바이스 정보를 올바른 인스턴스에 정확하게 라우팅합니다.

Cloud Connector 사용에서 수동 연결 유형으로 전환할 수 있나요?

예. 연결 유형을 다시 수동으로 변경하고 수동 설정 단계를 수행할 수 있습니다. 질문이 있으면 Jamf에 문의해야 합니다.

하나 또는 둘 다 필요한 앱(클라우드 커넥터 및 클라우드 커넥터 사용자 등록 앱)에서 사용 권한이 수정되었으며 등록이 작동하지 않습니다. 사용 권한 변경이 지원되는가요?

앱에 대한 권한 수정은 지원되지 않습니다.

Jamf Pro에 연결 형식이 변경되었는지 여부를 표시하는 로그 파일이 있나요?

예, 변경 내용은 JAMFChangeManagement.log 파일에 기록됩니다. 변경 관리 로그를 보려면 Jamf Pro에 로그인하고 설정>시스템 설정>변경 관리>로그로 이동하여 개체 유형에서 조건부 액세스를 검색한 다음 세부 정보를 선택하여 변경 내용을 확인합니다.

다음 단계

• 준수 정책을 Jamf에서 관리되는 디바이스에 적용
• Intune에 보내는 데이터 Jamf
• Jamf Pro를 Intune과 통합하여 Microsoft Entra ID에 대한 규정 준수를 보고합니다.