Integrar o Jamf Pro com Intune para conformidade

Quando sua organização usar o Jamf Pro para gerenciar dispositivos macOS, você pode usar as políticas de conformidade do Microsoft Intune com o Acesso Condicional do Azure Active Directory (Azure AD) para garantir que os dispositivos na sua organização estejam em conformidade antes que eles possam acessar os recursos da empresa. Para integrar o Jamf Pro ao Intune, você tem duas opções:

  • Configurar a integração manualmente: use as informações deste artigo para configurar manualmente a integração do Jamf ao Intune.
  • Usar o Conector de Nuvem do Jamf (recomendado): use as informações descritas em Usar o Conector de Nuvem do Jamf com o Microsoft Intune para instalar o Conector de Nuvem do Jamf a fim de integrar o Jamf Pro ao Microsoft Intune. O Conector de Nuvem automatiza muitas das etapas necessárias quando você configura manualmente a integração.

Ao integrar o Jamf Pro com o Intune, você pode sincronizar os dados de inventário dos dispositivos macOS com o Intune pelo Azure AD. Em seguida, o mecanismo de conformidade do Intune analisa os dados do inventário para gerar um relatório. A análise do Intune é combinada com inteligência sobre a identidade do Azure AD do usuário do dispositivo para aprimorar a imposição por meio do acesso condicional. Os dispositivos compatíveis com as políticas de Acesso Condicional podem obter acesso aos recursos protegidos da empresa.

Depois de configurar a integração, você configurará o Jamf e o Intune para impor a conformidade com o Acesso Condicional em dispositivos gerenciados pelo Jamf.

Pré-requisitos

Produtos e serviços

Você precisa do seguinte para configurar o Acesso Condicional com o Jamf Pro:

  • Jamf Pro 10.1.0 ou mais recente
  • Licenças do Microsoft Intune e do Microsoft AAD Premium P1 (o pacote de licença Microsoft Enterprise Mobility + Security é recomendável)
  • Um usuário com privilégios de Integração do Microsoft Intune no Jamf Pro
  • Aplicativo do Portal da Empresa do macOS
  • Dispositivos macOS com OS X 10.12 Yosemite ou mais recentes

Portas de rede

As portas a seguir devem estar acessíveis para que o Jamf e o Intune sejam integrados corretamente:

  • Intune: Porta 443
  • Apple: Portas 2195, 2196 e 5223 (notificações por push para o Intune)
  • Jamf: Portas 80 e 5223

Para permitir que o APNS funcione corretamente na rede, você também precisa habilitar as conexões de saída para os seguintes locais, assim como os redirecionamentos provenientes deles:

  • bloco 17.0.0.0/8 da Apple nas portas TCP 5223 e 443 de todas as redes de cliente.
  • portas 2195 e 2196 de servidores Jamf Pro.

Para obter mais informações sobre essas portas, confira os seguintes artigos:

Conectar o Intune ao Jamf Pro

Para conectar o Intune ao Jamf Pro:

  1. Crie um novo aplicativo no Azure.
  2. Habilite a integração do Intune ao Jamf Pro.
  3. Configure o Acesso Condicional no Jamf Pro.

Crie um aplicativo no Azure Active Directory

  1. No portal do Microsoft Azure, acesse Azure Active Directory > Registros de aplicativo e escolha Novo registro.

  2. Na página Registrar um aplicativo, especifique os detalhes a seguir:

    • Na seção Nome, insira um nome significativo para o aplicativo, por exemplo Acesso condicional Jamf.
    • Na seção Tipos de conta com suporte, escolha Contas em qualquer diretório organizacional.
    • Quanto à URI de Redirecionamento, deixe o valor padrão da Web e especifique a URL da sua instância do Jamf Pro.
  3. Escolha Registrar para criar o aplicativo e abrir a página Visão geral do novo aplicativo.

  4. Na página Visão geral do aplicativo, copie o valor de ID (cliente) do aplicativo e registre-o para usar posteriormente. Você precisará desse valor em procedimentos futuros.

  5. Selecione Certificados e segredos sob Gerenciar. Selecione o botão Novo segredo do cliente. Insira um valor em Descrição, escolha uma opção para Expira e escolha Adicionar.

    Importante

    Antes de sair desta página, copie o valor do segredo do cliente e guarde-o para uso posterior. Você precisará desse valor em procedimentos futuros. Este valor não está disponível novamente, sem recriar o registro do aplicativo.

  6. Selecione Permissões de API em Gerenciar.

  7. Na página permissões de API, remova todas as permissões desse aplicativo selecionando o ícone ... ao lado de cada permissão existente. Observe que isso é necessário, pois a integração não terá sucesso se houver permissões extras inesperadas nesse registro de aplicativo.

  8. Em seguida, adicionaremos permissões para atualizar os atributos do dispositivo. Na parte superior esquerda da página Permissões de API, selecione Adicionar uma permissão para adicionar uma nova permissão.

  9. Na página Solicitar permissões de API, escolha Intune e Permissões do Aplicativo. Marque a caixa de seleção update_device_attributes e salve a nova permissão.

  10. Em seguida, forneça o consentimento do administrador a esse aplicativo selecionando Conceder consentimento do administrador para <your tenant> no canto superior esquerdo da página Permissões de API. Talvez seja necessário que você autentique novamente sua conta na nova janela e permita o acesso ao aplicativo seguindo os avisos.

  11. Atualize a página clicando no botão Atualizar na parte superior da página. Confirme se o consentimento do administrador foi fornecido para a permissão update_device_attributes.

  12. Depois que o aplicativo for registrado com êxito, as permissões de API só deverão conter uma permissão chamada update_device_attributes e deverão ser exibidas da seguinte maneira:

Permissões bem-sucedidas

O processo de registro do aplicativo no Azure AD foi concluído.

Observação

Se o segredo do cliente expirar, você deverá criar um novo segredo do cliente no Azure e, depois, atualizar os dados do Acesso Condicional no Jamf Pro. O Azure permite que você tenha o segredo antigo e a nova chave ativos para evitar interrupções no serviço.

Permitir a integração do Intune ao Jamf Pro

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Administração do locatário > Conectores e tokens > Gerenciamento de dispositivo de parceiro.

  3. Habilite o Conector de Conformidade para o Jamf colando a ID do Aplicativo salva no procedimento anterior no campo Especificar o ID do Aplicativo do Azure Active Directory para o Jamf.

  4. Selecione Salvar.

Configure a Integração do Microsoft Intune no Jamf Pro

  1. Ative a conexão no console do Jamf Pro:

    1. Abra o console do Jamf Pro e navegue até Gerenciamento Global > Acesso Condicional. Clique no botão Editar na guia Integração do Intune com o macOS.
    2. Marque a caixa de seleção Habilitar a Integração do Intune com o macOS.
    3. Forneça as informações necessárias sobre seu locatário do Azure, incluindo Local, Nome de domínio, a ID do Aplicativo e o segredo do cliente salvo durante a criação do aplicativo no Azure AD.
    4. Selecione Salvar. O Jamf Pro testará suas configurações e verificará seu êxito.

    Retorne à página de Gerenciamento de dispositivo parceiro no Intune para concluir a configuração.

  2. No Intune, acesse a página de Gerenciamento de dispositivos parceiros. Em Configurações do Conector, configure grupos para atribuição:

    • Selecione Incluir e especifique quais grupos de usuários você quer alcançar na inscrição no macOS com o Jamf.
    • Use Excluir para selecionar grupos de usuários que não se inscreverão no Jamf e, em vez disso, inscreverão os respectivos Macs diretamente no Intune.

    Excluir substitui Incluir, o que significa que os dispositivos que estejam nos dois grupos é excluído do Jamf e direcionado para a inscrição no Intune.

    Observação

    Esse método de inclusão e exclusão de grupos de usuários afeta a experiência de inscrição do usuário. Qualquer usuário com um Mac que já esteja inscrito no Jamf ou no Intune e que seja direcionado para inscrição no outro MDM, deve cancelar a inscrição do dispositivo e, em seguida, reinscrevê-lo no novo MDM para que o gerenciamento do dispositivo funcione corretamente.

  3. Selecione Avaliar para determinar quantos dispositivos serão registrados no Jamf com base nas configurações do seu grupo.

  4. Selecione Salvar quando estiver pronto para aplicar a configuração.

  5. Para continuar, você precisará usar o Jamf para implantar o Portal da Empresa para Mac, para que os usuários possam registrar seus dispositivos no Intune.

Configure as políticas de conformidade e registre os dispositivos

Depois de configurar a integração entre o Intune e o Jamf, você precisará aplicar as políticas de conformidade aos dispositivos gerenciados pelo Jamf.

Desconectar Jamf Pro e Intune

Caso precise remover a integração do Jamf Pro ao Intune, use as etapas a seguir para remover a conexão por meio do console do Jamf Pro. Essas informações se aplicam à integração configurada manualmente e à integração por meio do Conector de Nuvem.

  1. No Jamf Pro, acesse Gerenciamento Global > Acesso Condicional. Na guia Integração do Intune com o macOS, selecione Editar.

  2. Desmarque a caixa de seleção Habilitar a Integração do Intune com o macOS.

  3. Selecione Salvar. O Jamf Pro envia a sua configuração para o Intune, e a integração será encerrada.

  4. Entre no Centro de Administração do Microsoft Endpoint Manager.

  5. Selecione Administração do locatário > Conectores e tokens > Gerenciamento do dispositivo do parceiro para verificar se o status já foi Encerrado.

    Observação

    Os dispositivos Mac da sua organização serão removidos na data (3 meses) exibida no console.

Próximas etapas