Accès conditionnel

Microsoft Intune (grâce à l’accès conditionnel) permet aux organisations de s’assurer que seuls les utilisateurs approuvés et travaillant avec des apps approuvées sur des ordinateurs macOS conformes accèdent aux ressources de l’entreprise.

L'intégration de Microsoft Intune à Jamf Pro vous permet d’effectuer les opérations suivantes :

  • Partager les données d’inventaire de l’ordinateur Jamf Pro avec Microsoft Intune.

  • Appliquer des règles de conformité définies dans Microsoft Intune aux ordinateurs gérés par Jamf Pro.

  • Limiter l'accès aux applications configurées avec l'authentification Azure Active Directory (Azure AD) (par exemple, Office 365).

  • Définir des règles pour les utilisateurs dans la catégorie Conformité dans Jamf Self Service pour macOS.

  • Créer une règle d’inscription des ordinateurs des utilisateurs avec Azure AD.

  • Afficher le statut de l’inventaire de l’accès conditionnel pour un ordinateur dans Jamf Pro.

Il existe deux manières de connecter Jamf Pro à Microsoft Intune :

  • Cloud Connector – (environnements hébergés dans Jamf Cloud uniquement) Cloud Connector simplifie la configuration de la communication entre Jamf Pro et Microsoft Azure en automatisant la création de l’application Jamf Pro dans Azure. De plus, Cloud Connector vous permet de connecter plusieurs instances de Jamf Pro à un seul locataire Azure AD.

  • Connexion manuelle

Pour des instructions étape par étape sur la façon d'intégrer Microsoft Intune, y compris des informations sur les workflows énumérés ci-dessus, voir le document technique suivant : Intégration à Microsoft Intune pour garantir la conformité des Mac gérés par Jamf Pro

Exigences générales

Pour configurer l’intégration d’Intune, vous avez besoin des éléments suivants :

  • (Connexion manuelle uniquement) L’application Jamf Pro ajoutée dans Microsoft Azure (pour plus d’informations, voir le document technique Intégration à Microsoft Intune pour garantir la conformité des Mac gérés par Jamf Pro).

  • (Cloud Connector uniquement) Une instance Jamf Pro hébergée dans Jamf Cloud

  • Un compte utilisateur Jamf Pro avec les privilèges Accès conditionnel

  • Microsoft Enterprise Mobility + Security (en particulier Microsoft AAD Premium et Microsoft Intune)

  • L’app Portail d’entreprise Microsoft Intune pour macOS v1.1 ou version ultérieure

En outre, l’intégration d’Intune à macOS nécessite des ordinateurs équipés de macOS 10.11 ou version ultérieure et qui utilisent un compte local ou mobile. Les comptes réseau ne sont pas pris en charge pour l’intégration d’Intune à macOS.

Remarque :

Lors de la configuration de la connexion entre Jamf Pro et Microsoft Intune, vous devez utiliser le site Web Microsoft Azure (portal.azure.com) et non l’app de bureau Portail Microsoft Azure.

Configuration de l’intégration d‘Intune à macOS grâce à Cloud Connector

Cloud Connector simplifie le processus de connexion d’une instance Jamf Pro hébergée dans le cloud à Microsoft Intune en automatisant la plupart des étapes nécessaires à la configuration de l’intégration d‘Intune à macOS Lorsque la connexion est sauvegardée, Jamf Pro envoie les données d’inventaire de l’ordinateur à Microsoft Intune et applique les règles de conformité aux ordinateurs.

Vous pouvez également utiliser Cloud Connector pour connecter plusieurs instances de Jamf Pro à un seul locataire Azure AD.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Accès conditionnel .
  3. Cliquez sur l'onglet Intégration d’Intune à macOS, puis cliquez sur Modifier .
  4. Cochez la case Activer l’intégration d’Intune pour macOS.
    Remarque :

    Lorsque ce réglage est sélectionné, Jamf Pro envoie les mises à jour d’inventaire à Microsoft Intune. Décochez cette case si vous voulez désactiver la connexion mais enregistrer votre configuration.

  5. (Instances hébergées dans le cloud uniquement) Dans Type de connexion, sélectionnez « Cloud Connector ».
    Remarque :

    Ce réglage ne s’affiche pas pour les instances hébergées localement.

  6. Sélectionnez l'emplacement de votre Cloud Souverain de Microsoft.
  7. Sélectionnez l'une des options de page d'accueil suivantes pour les ordinateurs qui ne sont pas reconnus par Microsoft Azure :
    • La page d’enregistrement par défaut d’un appareil Jamf Pro

      Remarque :

      Selon l’état de l’ordinateur, cette option redirige les utilisateurs vers le portail d’enrôlement des appareils Jamf Pro (pour s’enrôler dans Jamf Pro) ou l’app Portail d’entreprise (pour s’inscrire auprès d’Azure AD).

    • La page Accès refusé

    • Une page Web personnalisée

  8. Indiquez le nombre de jours suite au dernier check-in d’un ordinateur dans Jamf Pro avant qu’un statut de désactivation soit envoyé à cet ordinateur et qu’il soit marqué comme « non conforme » dans Microsoft Intune. Par défaut, le nombre de jours est 120.
  9. Cliquez sur Connexion. Vous êtes alors redirigé vers la page d’enregistrement de l’application dans Microsoft.
  10. Saisissez vos identifiants Microsoft Azure et suivez les instructions à l’écran pour accorder les permissions requises par Microsoft. Après avoir accordé les permissions pour Cloud Connector et l’app d’inscription des utilisateurs Cloud Connector, vous êtes redirigé vers la page Identifiant d’application.
  11. Cliquez sur Copier et ouvrir Intune. Un nouvel onglet s’ouvre et la fenêtre Gestion de la conformité des partenaires s’affiche dans Microsoft Azure.
  12. Copiez l’identifiant d’application dans le champ Spécifier l’identifiant de l’app Azure Active Directory pour Jamf.
  13. Cliquez sur Enregistrer .
  14. Revenez à l’onglet original et cliquez sur Confirmer. Vous êtes redirigé vers Jamf Pro.

    Jamf Pro effectue et teste la configuration. Le succès ou l’échec de la connexion s’affiche sur la page Réglages de l’accès conditionnel.

  15. (Optionnel) Répétez ce processus pour connecter d’autres instances Jamf Pro au même locataire Azure AD.

Lorsque la connexion entre Jamf Pro et Microsoft Intune est établie avec succès, Jamf Pro envoie des informations d’inventaire à Microsoft Intune pour chaque ordinateur inscrit auprès d’Azure AD (l’inscription auprès d’Azure AD est un workflow d’utilisateur final et requiert Safari, Edge 92 ou version ultérieure, ou Chrome 92 ou version ultérieure). Vous pouvez afficher le statut de l’inventaire de l’accès conditionnel (auparavant les informations de l’identifiant Azure Active Directory) d’un utilisateur et d’un ordinateur dans la catégorie Comptes utilisateurs locaux des données d’inventaire d’un ordinateur dans Jamf Pro. Pour plus d'informations sur l'inscription d’appareils Azure AD et les données d'inventaire envoyées à Microsoft Intune, consultez le document technique Integrating with Microsoft Intune to Enforce Compliance on Macs Managed by Jamf Pro (Intégration à Microsoft Intune pour garantir la conformité des Mac gérés par Jamf Pro).

Configuration manuelle de l’intégration d’Intune à macOS

Les réglages de l’accès conditionnel vous permettent de configurer la connexion à Microsoft Intune dans Jamf Pro. Lorsque la connexion est sauvegardée, Jamf Pro partage les données d’inventaire de l’ordinateur avec Microsoft Intune et applique les règles de conformité configurées dans Microsoft Intune aux ordinateurs.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Accès conditionnel .
  3. Cliquez sur l'onglet Intégration d’Intune à macOS, puis cliquez sur Modifier .
  4. Cochez la case Activer l’intégration d’Intune pour macOS.
    Remarque :

    Lorsque ce réglage est sélectionné, Jamf Pro envoie les mises à jour d’inventaire à Microsoft Intune. Décochez cette case si vous voulez désactiver la connexion mais enregistrer votre configuration.

  5. (Instances hébergées dans le cloud uniquement) Dans Type de connexion, sélectionnez Manuel.
    Remarque :

    Ce réglage ne s’affiche pas pour les instances hébergées localement.

  6. Sélectionnez l'emplacement de votre Cloud Souverain de Microsoft.
  7. Cliquez sur Ouvrir l’URL d’accord de l’administrateur et suivez les invites à l'écran pour autoriser l'ajout de l'app Jamf Native macOS Connector à votre locataire Azure AD.
  8. Ajoutez le Nom du locataire Azure AD à partir de Microsoft Azure.
  9. Ajoutez l’Identifiant d’application et le Secret du client (précédemment appelé clé d'application) pour l'app Jamf Pro de Microsoft Azure.
  10. Sélectionnez l'une des options de page d'accueil suivantes pour les ordinateurs qui ne sont pas reconnus par Microsoft Azure :
    • La page d’enregistrement par défaut d’un appareil Jamf Pro

      Remarque :

      Selon l’état de l’ordinateur, cette option redirige les utilisateurs vers le portail d’enrôlement des appareils Jamf Pro (pour s’enrôler dans Jamf Pro) ou l’app Portail d’entreprise (pour s’inscrire auprès d’Azure AD).

    • La page Accès refusé

    • Une page Web personnalisée

  11. Indiquez le nombre de jours suite au dernier check-in d’un ordinateur dans Jamf Pro avant qu’un statut de désactivation soit envoyé à cet ordinateur et qu’il soit marqué comme « non conforme » dans Microsoft Intune. Par défaut, le nombre de jours est 120.
  12. Cliquez sur Enregistrer .

    Jamf Pro teste la configuration et signale le succès ou l’échec de la connexion.

Lorsque la connexion entre Jamf Pro et Microsoft Intune est établie avec succès, Jamf Pro envoie des informations d’inventaire à Microsoft Intune pour chaque ordinateur inscrit auprès d’Azure AD (l’inscription auprès d’Azure AD est un workflow d’utilisateur final et requiert Safari, Edge 92 ou version ultérieure, ou Chrome 92 ou version ultérieure). Vous pouvez afficher le statut de l’inventaire de l’accès conditionnel (auparavant les informations de l’identifiant Azure Active Directory) d’un utilisateur et d’un ordinateur dans la catégorie Comptes utilisateurs locaux des données d’inventaire d’un ordinateur dans Jamf Pro. Pour plus d'informations sur l'inscription d’appareils Azure AD et les données d'inventaire envoyées à Microsoft Intune, consultez le document technique Integrating with Microsoft Intune to Enforce Compliance on Macs Managed by Jamf Pro (Intégration à Microsoft Intune pour garantir la conformité des Mac gérés par Jamf Pro).

Tester l’intégration d’Intune à macOS

Si vous avez connecté Jamf Pro à Microsoft Intune en suivant la méthode de connexion manuelle, vous pouvez tester à tout moment la connexion à Microsoft Intune.

Remarque :

Cette option ne s’affiche pas si vous avez connecté Jamf Pro à Microsoft Intune avec Cloud Connector.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Accès conditionnel .
  3. Accédez à l'onglet Intégration d’Intune à macOS, puis cliquez sur Lancer le test.

Un message s’affiche, indiquant le succès ou l’échec de la connexion.