Tous les numéros de port listés utilisent un protocole TCP, sauf lorsque le protocole UDP est explicitement mentionné. La plupart des ports listés dans ce document sont déterminés par la configuration d’autres services exploités dans votre environnement ou par un tiers. La majeure partie des connexions sont proposées avec ou sans chiffrement. Jamf recommande vivement l’utilisation de connexions chiffrées.
Les ports ne dépendant pas de Jamf Pro peuvent être modifiés à tout moment, sans que Jamf en soit averti.
Connexions réseau au serveur Jamf Pro
Un serveur Jamf Pro peut être hébergé sur site (par le client) ou dans Jamf Cloud. Les connexions suivantes peuvent être configurées comme entrantes vers le serveur Jamf Pro :
Port | Protocole | Description | Connexions initiées |
|---|---|---|---|
8443 ou 443 | HTTPS | Les connexions à l’app Web Jamf Pro utilisent le protocole HTTPS. Avec les réglages par défaut, les serveurs Jamf Pro hébergés sur site utilisent le port 8443, tandis que les serveurs hébergés sur le Jamf Cloud utilisent le port 443. Remarque : L’interception HTTPS (inspection SSL) n’est pas prise en charge pour les connexions à Jamf Pro. Si le trafic HTTPS du client passe par un proxy Web, vous devez désactiver l’interception HTTPS pour les connexions à Jamf Pro. | Ordinateurs ou appareils mobiles gérés, postes de travail d’administrateur et autres services du serveur Jamf Pro |
80/8080/443 | HTTP ou HTTPS | Certaines installations avancées peuvent intégrer un répartiteur de charge ou un proxy inverse. Dans ce cas de figure, le nom d’hôte de l’URL du serveur Jamf Pro pourra résoudre l’adresse IP du proxy. Si le protocole SSL est interrompu au niveau du proxy, le trafic est transféré vers le serveur Jamf Pro via HTTP (en utilisant généralement les ports 80/8080). Autrement, le trafic peut être à nouveau chiffré ou transiter par le protocole HTTPS (généralement via le port 443). | Répartiteur de charge ou proxy vers le serveur Jamf Pro |
Connexions depuis le serveur Jamf Pro
Les connexions sortantes suivantes peuvent être initiées par le serveur Jamf Pro :
Port | Protocole | Description | Connexions initiées |
|---|---|---|---|
3306 | MySQL | Le serveur Jamf Pro se connecte à une base de données MySQL. | Serveur Jamf Pro vers base de données MySQL |
443/2197 | HTTPS | Le serveur Jamf Pro utilise le service de notification push d’Apple (APNs) pour inviter aux appareils gérés à se connecter à une solution de gestion des appareils mobiles (MDM). Le port 443 est utilisé par défaut pour les connexions HTTP/2. Le port 2197 peut être utilisé uniquement dans les environnements sur site. Remarque : Autorisez les connexions sortantes vers le bloc 17.0.0.0/8 d’Apple et les redirections depuis ce bloc sur le port TCP 5223/443 de tous les réseaux client et sur le port 2197, le cas échéant, des serveurs Jamf Pro pour garantir le bon fonctionnement du service APNs sur votre réseau. | Serveur Jamf Pro vers service APNs Apple sur la plage IP 17/8 |
443 | HTTPS | Les informations sur l’app de l’App Store peuvent être obtenues via l’App Store. | Serveur Jamf Pro vers Apple |
443 | HTTPS | Le serveur Jamf Pro peut être intégré aux services hébergés par Apple, tels que l’inscription des appareils (anciennement, le programme d’inscription des appareils), l’achat en volume (anciennement, le programme d’achat en volume) et Global Service Exchange (GSX). | Serveur Jamf Pro vers Apple |
443 | HTTPS | Le serveur Jamf Pro peut accéder au schéma hébergé pour remplir les options de l’entité Application et réglages personnalisés. | Serveur Jamf Pro : prod-custom-setting-schemas.s3.amazonaws.com |
443 | HTTPS | Le serveur Jamf Pro peut se connecter aux utilitaires et services hébergés par Jamf, notamment :
| Serveur Jamf Pro vers *.jamfcloud.com et *.jamf.com |
443 | HTTPS | Le serveur Jamf Pro se connecte aux services hébergés par Jamf via la connexion aux services dans le cloud. | Serveur Jamf Pro vers les domaines suivants :
Si vous disposez d’un environnement sur site, vous devez mettre les URL suivantes sur une liste sûre :
|
80/443 | HTTP ou HTTPS | Le serveur Jamf Pro se connecte à Microsoft via l’API Microsoft Graph si la connexion entre Jamf Pro et Microsoft Intune est configurée. Pour plus d’informations, reportez-vous à la documentation Microsoft suivante : Points de terminaison réseau pour Microsoft Intune | Serveur Jamf Pro vers les domaines suivants :
|
80/443 | HTTP ou HTTPS | Si vous déployez des profils de configuration de certificat SCEP avec challenge dynamique, ou si vous utilisez les services proxy SCEP de Jamf Pro, le serveur Jamf Pro vous connectera à votre serveur d’inscription SCEP pour obtenir un mot de passe avec challenge d’inscription et/ou récupérer les certificats générés pour le compte des appareils gérés. Remarque : Dans un environnement en cluster, les requêtes liées au proxy SCEP sont traitées par l’application qui reçoit la requête. Par conséquent, il est important que toutes les apps Web puissent communiquer avec le service SCEP configuré. | Serveur Jamf Pro vers serveur d’inscription SCEP |
389/636 | LDAP, StartTLS ou LDAPS | Vous pouvez intégrer un service d’annuaire via le protocole LDAP (389), LDAP sur TLS (StartTLS/389) ou LDAP sur SSL (LDAPS/636) pour l’authentification des utilisateurs, l’attribution d’appareils et les consultations portant sur les utilisateurs et la composition des groupes. Remarque : Toutes les connexions LDAP du serveur Jamf Pro auront pour point d’origine le serveur Jamf Pro. Pour plus d’informations relatives aux connexions proxy LDAP, veuillez consulter la rubrique « Jamf Infrastructure Manager — Connexions proxy LDAP » de ce document. | Serveur Jamf Pro vers contrôleur de domaine/LDAP |
25/465/587 | SMTP | L’intégration courriel par le biais d’une passerelle SMTP peut être utilisée dans le cadre de notifications d’administration, de messages utilisateur et d’invitations à l’inscription. Le port SMTP dépend du fournisseur de services et du type de chiffrement pris en charge. Remarque : Pour que les données et les communications restent aussi sécurisées que possible, le port 25 est bloqué dans Jamf Cloud et ne peut pas être ouvert. Le port 25 peut être utilisé dans les environnements sur site. Pour les environnements Jamf Cloud, Jamf recommande d’utiliser le port 587 avec TLS. | Serveur Jamf Pro vers hôte de passerelle SMTP |
514 | Syslog | Les journaux de gestion des modifications peuvent être remplis pour consigner des fichiers dans un serveur Syslog. | Serveur Jamf Pro vers serveur Syslog |
443 | HTTPS | Vous pouvez utiliser un point de distribution cloud (Amazon S3 ou CloudFront, Akamai, RackSpace ou Jamf Cloud Distribution Service) pour héberger vos paquets logiciels en vue de la distribution aux clients gérés. Le serveur Jamf Pro se connecte à ces services pour réaliser la configuration initiale, téléverser des paquets ajoutés par le biais de l’app Web Jamf Pro, et, si besoin, pour demander des jetons d’accès à des contenus et des signatures d’URL. | Serveur Jamf Pro vers hébergeur dans le cloud |
443 | HTTPS | Vous pouvez configurer Jamf Pro de façon qu’il envoie des notifications webhook pour plusieurs types d’évènements (inscription d’appareils, mises à jour d’inventaires, etc.) afin de prendre en charge l’automatisation des processus et l’intégration de données. | Serveur Jamf Pro vers serveur d’application d’écouteur d’évènement |
11211 | memcached | Les services d’accélération d’accès aux données Memcached peuvent aider à réduire la charge de la base de données dans les configurations Jamf Pro comportant plusieurs serveurs. | Serveurs Jamf Pro vers serveurs Memcached |
443 | HTTPS | Le serveur Jamf Pro se connecte à TeamViewer via l’API TeamViewer si la connexion entre Jamf Pro et TeamViewer est configurée. Pour plus d’informations, consultez la section Intégration de TeamViewer de la Documentation Jamf Pro. | |
443 | HTTPS | Le proxy sur site Jamf Pro pour les environnements Conformité de l’appareil non destinés au gouvernement se connecte aux services hébergés par Jamf via la connexion aux services dans le cloud. | Serveur Jamf Pro vers https://registration.cloudconnector.services.jamfcloud.com |
443 | HTTPS | Le proxy sur site Jamf Pro pour les environnements Conformité de l’appareil pour le gouvernement (GCC High) se connecte aux services hébergés par Jamf via la connexion aux services dans le cloud. | Serveur Jamf Pro vers https://registration.cloudconnector.gov.services.jamfcloud.com/ |
Assurez-vous d’avoir autorisé les connexions sortantes vers et les redirections depuis le bloc 17.0.0.0/8 d’Apple sur le port TCP 5223/443 de tous les réseaux client et sur les ports 2195 et 2196 des serveurs Jamf Pro pour garantir le bon fonctionnement du service APNs sur votre réseau.
Connexions aux appareils mobiles et aux ordinateurs gérés
Vous pouvez initier les connexions suivantes depuis des ordinateurs Mac et des appareils iOS gérés :
| Port | Protocole | Description | Connexions initiées |
|---|---|---|---|
8443/443 | HTTPS | Les ordinateurs Mac et les appareils iOS gérés se connectent au serveur Jamf Pro dans les cas suivants :
| Appareils gérés vers serveur Jamf Pro |
5223/443 | APNs | Le serveur Jamf Pro enverra un message au service de notification push d’Apple lorsqu’une commande ou un profil MDM sera en attente d’attribution à un appareil inscrit. Les ordinateurs Mac et les appareils iOS conservent une connexion permanente au service APNs lorsqu’ils sont connectés à un réseau, afin de recevoir plus rapidement les notifications. Par défaut, les appareils des utilisateurs finaux se connectent au service APNs via le port 5223, mais basculeront sur le port 443 en cas de connexion via Wi-Fi. | Appareils gérés vers service APNs |
443 | HTTPS | Les ordinateurs Mac peuvent télécharger des paquets logiciels depuis un point de distribution cloud (Amazon S3 ou CloudFront, Akamai, RackSpace ou Jamf Cloud Distribution Service). | Ordinateurs gérés vers point de distribution cloud |
443 | HTTPS | Les appareils iOS peuvent télécharger des apps internes et des eBooks depuis Jamf Cloud Distribution Service. | Appareils mobiles gérés vers JCDS |
80/443 | HTTP et HTTPS | Les ordinateurs Mac peuvent télécharger des paquets logiciels depuis un serveur HTTP ou HTTPS, comme macOS Server d’Apple, Apache et Microsoft IIS. | Ordinateurs gérés vers point de distribution HTTP/HTTPS |
548 | AFP | Les ordinateurs Mac peuvent télécharger des paquets logiciels depuis un serveur Apple File Protocol (AFP). | Ordinateurs Mac vers serveurs AFP |
445/137–139 | SMB | Les paquets logiciels peuvent être distribués aux ordinateurs Mac grâce à un point de distribution Windows SMB (CIFS). | Ordinateurs gérés vers serveurs SMB |
80/443 | HTTP et HTTPS | L’écosystème Apple s’appuie sur de nombreux systèmes Internet gérés par Apple et leur réseau de distribution de contenu (CDN). Il peut s’agir, par exemple, de la mise à jour logicielle Apple, de l’App Store, de l’inscription des appareils (anciennement, le programme d’inscription des appareils) ou encore de l’achat en volume (anciennement, le programme d’achat en volume). | Appareils gérés vers Apple/CDN |
| 443 | HTTPS | Les ordinateurs gérés envoient au serveur Sentry de Jamf la journalisation des pannes et certaines statistiques d’utilisation anonymisées. Pour plus d’information, consultez l’article Intégration de la journalisation des pannes et des analyses d’utilisation Sentry. | Ordinateurs gérés vers sentry.pub.jamf.build |
| 5555/443 | HTTPS | Les ordinateurs gérés envoient des informations d’enregistrement d’écran, des transferts de fichiers et des clics de souris/sur le clavier à des services dans le cloud qui permettent le fonctionnement de Jamf Remote Assist. Ces services de backend sont hébergés sur *.jra.services.jamfcloud.com | Ordinateurs gérés vers Jamf Remote Assist |
443 | HTTPS | Les ordinateurs se connectent aux services Jamf Cloud pour le téléchargement des applications des programmes d’installation des apps. Cette connexion se produit lorsqu’une app est mise à jour ou déployée pour la première fois via les programmes d’installation des apps. | Ordinateurs gérés vers https://appinstallers-packages.services.jamfcloud.com |
Connexions aux postes de travail d’administrateur
Les connexions suivantes peuvent être initiées depuis des postes de travail d’administrateur :
Port | Protocole | Description | Connexions initiées |
|---|---|---|---|
8443/443 | HTTPS | Les administrateurs effectuent des tâches de gestion en se connectant au Jamf Pro serveur via un navigateur Web. Avec les réglages par défaut, les serveurs Jamf Pro hébergés sur site utilisent le port 8443, tandis que les serveurs hébergés sur le Jamf Cloud Cloud utilisent le port 443. | Postes de travail d’administrateur vers serveur Jamf Pro |
| 443 | HTTPS | Les administrateurs peuvent lancer une session Jamf Remote Assist, envoyer des données de capture d’écran, télécharger des fichiers sur l’ordinateur de l’administrateur et téléverser des fichiers sur l’ordinateur de l’utilisateur final. | Postes de travail d’administrateur vers Jamf Remote Assist |
Connexions avec authentification par signature unique
Pour implémenter l’authentification unique dans des environnements locaux, une communication bidirectionnelle sur les ports TCP entre le fournisseur d’identité et le serveur est nécessaire.Jamf Pro
Jamf Infrastructure Manager - Connexions au proxy LDAP
Le Jamf Infrastructure Manager est un environnement géré qui est exécuté sur votre réseau pour héberger des utilitaires facilitant l’intégration du serveur Jamf Pro au sein de votre environnement informatique. L’un de ces utilitaires, le proxy LDAP, peut être utilisé pour créer un niveau supplémentaire de séparation entre un serveur Jamf Pro et un service d’annuaire LDAP. La communication entre l’Jamf Infrastructure Manager et le serveur LDAP est chiffrée lorsque la case Utiliser SSL est cochée dans les réglages de la connexion de votre serveur LDAP dans Jamf Pro. La communication entre Jamf Pro 10.27.0 ou version ultérieure et l’Jamf Infrastructure Manager 2.2.0 ou version ultérieure est chiffrée via le protocole TLS mutuel (mTLS).
Port | Protocole | Description | Connexions initiées |
|---|---|---|---|
8443/443 | HTTPS | Les instances du Jamf Infrastructure Manager se connectent au serveur Jamf Pro à leur inscription, puis périodiquement pour confirmer leur état de fonctionnement et récupérer les mises à jour des paramètres. Avec les réglages par défaut, les serveurs Jamf Pro hébergés sur site utilisent le port 8443, tandis que les serveurs hébergés sur le Jamf Cloud Cloud utilisent le port 443. | Hôte Jamf Infrastructure Manager vers serveur Jamf Pro |
8389/8636 | LDAP ou LDAPS | Toutes les consultations LDAP de Jamf Pro sont envoyées par le biais du serveur Jamf Pro. Vous pouvez configurer Jamf Pro de sorte qu’il envoie des requêtes LDAP à une instance de proxy LDAP du Jamf Infrastructure Manager, et non directement à un hôte LDAP. Le port sur lequel le proxy LDAP écoutera ces demandes entrantes est configuré au cours de l’inscription auprès du serveur Jamf Pro. Sur Linux, le port choisi doit être égal ou supérieur à 1024, car les ports inférieurs sont réservés aux services et aux utilisateurs disposant de plus de privilèges. Vous pouvez choisir le port 8389 si vous utilisez LDAP, ou le port 8636 si vous utilisez LDAPS. | Serveur Jamf Pro vers hôte Jamf Infrastructure Manager : |
389/636 | LDAP ou LDAPS | Le service de proxy LDAP reçoit les demandes de consultation du serveur Jamf Pro et les transmet au service d’annuaire que vous avez configuré dans les réglages LDAP de Jamf Pro. Le proxy LDAP utilise généralement le port 389. Si vous chiffrez vos communications LDAP (par exemple, LDAP sur SSL/LDAPS), le port 636 est le plus couramment utilisé. Votre administrateur de services d’annuaire pourra vous préciser le port utilisé dans votre environnement. | Jamf Infrastructure Manager/Proxy LDAP vers serveur LDAP/Contrôleur de domaine |
8081 | HTTP | Le service du proxy LDAP peut exposer ce port pour activer le point de terminaison Intégrité pour la vérification du statut du serveur proxy LDAP. Le port par défaut est le port 8081, mais il peut être modifié par votre administrateur. | Service externe vers hôte Jamf Infrastructure Manager |
Si votre serveur Jamf Pro est hébergé sur Jamf Cloud, vous devez autoriser l’accès entrant à l’hôte Jamf Infrastructure Manager depuis Jamf Cloud. Pour consulter la liste complète des adresses IP source utilisées pour ces connexions, veuillez consulter l’article suivant : Permitting Inbound/Outbound Traffic with Jamf (Autoriser le trafic entrant/sortant avec Jamf).
Jamf Infrastructure Manager – Connexion du service Healthcare Listener
Healthcare Listerner est un service capable de recevoir les messages ADT (Admission/Discharge/Transfer) d’un système de gestion de soins de santé et d’envoyer une notification au serveur Jamf Pro pour déclencher une commande à distance sur un appareil iOS attribué à la chambre d’un patient.
Le service Healthcare Listener est hébergé par le Jamf Infrastructure Manager.
Port | Protocole | Description | Connexions initiées |
|---|---|---|---|
2575 | HL7 | Le port 2575 est un port assigné qui peut être utilisé pour les communications HL7, mais le service Healthcare Listener peut être configuré de manière à utiliser un port préférentiel égal ou supérieur à 1024. | Interface HL7 vers hôte Jamf Infrastructure Manager |
8443/443 | HTTPS | Le service Healthcare Listener informe le serveur de gestion Jamf Pro lorsqu’une action doit être réalisée sur un appareil. Avec les réglages par défaut, les serveurs Jamf Pro hébergés sur site utilisent le port 8443, tandis que les serveurs hébergés sur le Jamf Cloud Cloud utilisent le port 443. | Hôte Jamf Infrastructure Manager vers serveur Jamf Pro |
Connexion au connecteur Jamf AD CS
Jamf Pro utilise le connecteur Jamf AD CS pour communiquer avec AD CS afin d’obtenir des certificats. Ce service transfère de façon sécurisée toutes les communications entre Jamf Pro et AD CS. Pour plus d’informations, consultez Intégration à Active Directory Certificate Services (AD CS) avec Jamf Pro.
Port | Protocole | Description | Connexions initiées |
|---|---|---|---|
443 | HTTPS | Pour les configurations AD CS entrantes, Jamf Pro envoie des demandes de signature de certificat et récupère les certificats signés en ouvrant une connexion vers le connecteur Jamf AD CS via le port configuré lors de l’installation, en général le port TCP 443. | Jamf Pro vers le connecteur Jamf AD CS (configuration entrante) |
8443/443 | HTTPS | Pour les configurations sortantes, le connecteur Jamf AD CS récupère les certificats et les envoie à Jamf Pro via HTTPS. Avec les réglages par défaut, les serveurs Jamf Pro hébergés sur site utilisent le port 8443, tandis que les serveurs hébergés sur Jamf Cloud utilisent le port 443. | Connecteur Jamf AD CS vers Jamf Pro (configuration sortante) |
135 et 49152-65535 | DCOM | Le connecteur Jamf AD CS utilise un Modèle de composant objet distribué (DCOM : Distributed Component Object Model) de Microsoft pour communiquer avec AD CS. | Connecteur Jamf AD CS vers AD CS |
8443/443 | HTTPS | Si votre organisation utilise des apps internes développées avec le SDK Jamf Certificate, les connexions au serveur Jamf Pro se feront via HTTPS. Avec les réglages par défaut, les serveurs Jamf Pro hébergés sur site utilisent le port 8443, tandis que les serveurs hébergés sur le Jamf Cloud utilisent le port 443. | Apps pour appareils mobiles vers le serveur Jamf Pro |