In dit artikel benoemen we de netwerkpoorten die gebruikt worden door Jamf Pro, de Jamf Pro Server en Jamf Pro applicaties. Daarnaast worden de netwerkpoorten beschreven die benodigd zijn voor gebruik in combinatie met applicaties van derde partijen.
Alle poortnummers zijn TCP tenzij specifiek aangeduid als UDP.
Een aantal poortnummers zijn vastgesteld door configuraties van externe services of applicaties van derde partijen.
Voor een aantal netwerkconnecties zijn encrypted en non-encrypted opties mogelijk. Aangeraden wordt encrypted connecties te gebruiken.
Deze informatie is beschikbaar gesteld door Jamf.
Netwerk connecties naar de Jamf Pro Server
| Poort | Protocol | Omschrijving | Connectie |
| 8443 of 443 | HTTPS | Verbindingen met de Jamf Pro-webapp gebruiken HTTPS. Wanneer standaardinstellingen worden gebruikt, gebruiken lokale Jamf Pro-servers poort 8443 en Jamf Cloud-gehoste servers poort 443. Opmerking: HTTPS-onderschepping (SSL-inspectie) wordt niet ondersteund voor verbindingen met Jamf Pro. Als HTTPS-clientverkeer een webproxy passeert, dient HTTPS-onderschepping uitgeschakeld te zijn voor verbindingen met Jamf Pro | Beheerde computers of mobiele apparaten, beheerderswerkstations en andere services naar de Jamf Pro-server |
| 80/8080/443 | HTTP of HTTPS | Sommige geavanceerde installaties kunnen een load balancer of reverse proxy bevatten. In dit geval wordt de hostnaam van de Jamf Pro-server-URL omgezet in het IP-adres van de proxy. Als SSL bij de proxy wordt beëindigd, wordt het verkeer via HTTP doorgestuurd naar de Jamf Pro-server (typische poorten zijn 80/8080). Of het verkeer kan opnieuw worden versleuteld of doorgegeven via HTTPS (vaak via poort 443) | Load balancer of proxy naar de Jamf Pro-server |
Netwerk connecties vanaf de Jamf Pro Server
| Poort | Protocol | Omschrijving | Connectie |
| 3306 | MySQL | De Jamf Pro-server maakt verbinding met een MySQL-database | Jamf Pro-server naar MySQL-database |
| 443/2197 | HTTPS | De Jamf Pro-server gebruikt de Apple Push Notification-service (APN's) om beheerde apparaten te vragen in te checken voor beheer van mobiele apparaten (MDM). Poort 443 wordt standaard gebruikt voor de HTTP/2-verbindingen. Poort 2197 kan alleen worden gebruikt in lokale omgevingen. Opmerking: Sta uitgaande verbindingen naar en omleidingen van Apple's 17.0.0.0/8-blok toe via TCP-poort 5223/443 vanaf alle clientnetwerken en op poort 2197, waar van toepassing, vanaf Jamf Pro-servers om ervoor te zorgen dat APN's correct werken op uw netwerk | Jamf Pro-server naar Apple APN's 17/8 IP-bereik |
| 2195/2196 | HTTPS | Poorten 2195/2196 worden alleen gebruikt voor legacy binaire Apple Push Notification (APN's) serviceprotocollen totdat Jamf Pro het binaire protocol afschaft of Apple het niet langer ondersteunt. Meldingen worden verzonden naar Apple op poort 2195 en feedback over levering wordt gevraagd op poort 2196 | Jamf Pro-server naar Apple APN's 17/8 IP-bereik |
| 80 | HTTP | App Store-app-informatie kan worden opgehaald uit de App Store | Jamf Pro-server naar Apple |
| 443 | HTTPS | De Jamf Pro-server kan worden geïntegreerd met door Apple gehoste services zoals Device Enrollment (voorheen Device Enrollment Program), Volume Purchasing (voorheen Volume Purchase Program) en Global Service Exchange (GSX) | Jamf Pro-server naar Apple |
| 443 | HTTPS | De Jamf Pro-server heeft toegang tot het gehoste schema om opties voor toepassingen en aangepaste instellingen in te vullen | Jamf Pro-server naar prod-custom-setting-schemas.s3.amazonaws.com |
| 443 | HTTPS | De Jamf Pro-server kan verbinding maken met door Jamf gehoste hulpprogramma's en services, waaronder: - Informatie ophalen over nieuw uitgebrachte software en versie-updates uit Jamf's patchrapportagedatabase, gehost op https://jamf-patch.jamfcloud.com/ - Apple Push Notification certificaatondertekeningsverzoeken (CSR) - Informatie over klantervaringstatistieken ingediend bij Jamf (optioneel) Jamf Push Proxy-communicatie met Jamf Self Service voor iOS - Informatie ophalen van Jamf's hardwaremodelnaamservice, gehost op https://hw-model-names.services.jamfcloud.com (indien geconfigureerd) | Jamf Pro-server naar *.jamfcloud.com en *.jamf.com |
| 80/443 | HTTP of HTTPS | De Jamf Pro-server maakt verbinding met Pendo als Engage is ingeschakeld in Jamf Pro | Jamf Pro-server naar de volgende domeinen: - app.pendo.io - cdn.pendo.io - pendo-io-static.storage.googleapis.com |
| 443 | HTTPS | De Jamf Pro-server maakt verbinding met door Jamf gehoste services via de Cloud Services-verbinding | Jamf Pro-server naar de volgende domeinen: |
| 80/443 | HTTP of HTTPS | De Jamf Pro-server maakt verbinding met Microsoft via de Graph API als de verbinding tussen Jamf Pro en Microsoft Intune is geconfigureerd. Zie de volgende webpagina voor meer informatie: https://docs.microsoft.com/en-us/intune/intune- eindpunten | Jamf Pro-server naar de volgende domeinen: - inloggen.microsoftonline.com - grafiek.windows.net - *.beheren.microsoft.com |
| 80/443 | HTTP of HTTPS | Als SCEP-certificaatconfiguratieprofielen geimplementeert worden met een dynamische uitdaging, of Jamf Pro's SCEP-proxyservices gebruiken, maakt de Jamf Pro-server verbinding met de SCEP-inschrijvingsserver om een wachtwoord voor inschrijvingsuitdaging te verkrijgen en/of gegenereerde certificaten op te halen namens beheerde apparaten. Opmerking: in een geclusterde omgeving worden verzoeken met betrekking tot de SCEP-proxy afgehandeld door de webapp die het verzoek ontvangt. Daarom is het belangrijk dat alle webapps kunnen communiceren met de geconfigureerde SCEP-service | Jamf Pro-server naar SCEP-inschrijvingsserver |
| 389/636 | LDAP, Start TLS, LDAPS | Integratie van directoryservices via LDAP (389), LDAP via TLS (Start TLS/389) of LDAP via SSL (LDAPS/636) kan worden gebruikt voor gebruikersauthenticatie, apparaattoewijzing en het opzoeken van gebruikersinformatie en groepslidmaatschap. Opmerking: alle LDAP-verbindingen van de Jamf Pro-server zijn afkomstig van de Jamf Pro-server. Zie het gedeelte "Jamf Infrastructure Manager – LDAP Proxy Connections" in dit document voor informatie over LDAP-proxyverbindingen. | Jamf Pro server naar LDAP/Domain controller |
| 25/465/587 | SMTP | E-mailintegratie via een SMTP-gateway kan worden gebruikt voor administratieve meldingen, gebruikersberichten en inschrijvingsuitnodigingen. De SMTP-poort is afhankelijk van de serviceprovider en het ondersteunde type codering. Opmerking: om gegevens en communicatie zo veilig mogelijk te houden, is poort 25 geblokkeerd in Jamf Cloud. Het wordt aanbevolen om poort 587 te gebruiken met TLS | Jamf Pro-server naar SMTP-gatewayhost |
| 514 | Syslog | Wijzigingsbeheerlogboeken kunnen naar logbestanden en naar een Syslog-server worden geschreven | Jamf Pro-server naar Syslog-server |
| 443 | HTTPS | Een clouddistributiepunt (Amazon S3 of CloudFront, Akamai, RackSpace of Jamf Cloud Distribution Service) kan worden gebruikt om softwarepakketten te hosten voor distributie naar beheerde clients. De Jamf Pro-server maakt verbinding met deze services om de initiële configuratie uit te voeren, pakketten te uploaden die zijn toegevoegd via de Jamf Pro-webapp of Jamf Admin, en indien nodig om toegangstokens voor content en URL-handtekeningen aan te vragen | Jamf Pro-server naar cloudhostingprovider |
| 443 | HTTPS | Jamf Pro kan worden geconfigureerd om webhook-meldingen te verzenden voor verschillende evenementen (apparaatinschrijving, inventarisupdates, enz.) om workflowautomatisering en gegevensintegraties te ondersteunen | Jamf Pro server to event listener application server |
| 11211 | memcashed | Memcached-versnellingsservices voor gegevenstoegang kunnen de databasebelasting in Jamf Pro-configuraties met meerdere servers helpen verminderen | Jamf Pro servers naar memcached servers |
| 443 | HTTPS | De Jamf Pro-server maakt verbinding met TeamViewer via TeamViewer API als de verbinding tussen Jamf Pro en TeamViewer is geconfigureerd. Zie de volgende webpagina voor meer informatie: https://docs.jamf.com/jamf-pro/administrator-guide/TeamViewer_Integration.html |
Opmerking: Zorg ervoor dat uitgaande verbindingen naar en omleidingen van Apple's 17.0.0.0/8-blok via TCP-poort 5223/443 van alle clientnetwerken en op poorten 2195 en 2196 van Jamf Pro-servers zijn toegestaan zodat APN's correct werken op het netwerk.
Beheerde macOS en iOS connecties
| Poort | Protocol | Omschrijving | Connectie |
| 8443/443 | HTTPS | Mac-computers en iOS-apparaten maken verbinding met de Jamf Pro-server als: - ze gevraagd worden zich in te schrijven voor beheer van mobiele apparaten door Apple's Device Enrollment (voorheen Device Enrollment Program) - enrollen via door de gebruiker geïnitieerde inschrijving in een webbrowser - uitvoeren jamf-agent (alleen Mac-computers) - ze Self Service Mobile voor iOS gebruiken - ze Self Service uitvoeren voor macOS - ze eageren op een MDM-pushmelding. Wanneer de standaardinstellingen worden gebruikt, gebruiken lokale Jamf Pro-servers poort 8443 en gebruikt de Jamf Cloud-optie voor beheerde hosting poort 443 | Beheerde apparaten naar de Jamf Pro-server |
| 5223/443 | APNs | De Jamf Pro-server stuurt een bericht naar de Apple Push Notification-service wanneer deze een MDM-profiel of -opdracht heeft in afwachting van levering aan een ingeschreven apparaat. Mac-computers en iOS-apparaten onderhouden een permanente verbinding met APN's wanneer ze zijn verbonden met een netwerk, zodat ze snel nieuwe meldingen ontvangen. Apparaten van eindgebruikers maken standaard verbinding met APN's via poort 5223, maar maken een failover naar poort 443 bij verbinding via wifi | Beheerde apparaten naar APN's |
| 443 | HTTPS | Mac-computers kunnen softwarepakketten downloaden van een clouddistributiepunt (Amazon S3 of CloudFront, Akamai, RackSpace of Jamf Cloud Distribution Service) | Beheerde computers naar een clouddistributiepunt |
| 443 | HTTPS | iOS-apparaten kunnen interne apps en e-boeken downloaden van de Jamf Cloud Distribution Service | Beheerde mobiele apparaten naar JCDS |
| 80/443 | HTTP en HTTPS | Mac-computers kunnen softwarepakketten downloaden van een HTTP- en HTTPS-server zoals Apple macOS Server, Apache en Microsoft IIS | Beheerde computers naar HTTP/HTTPS-distributiepunt |
| 548 | AFP | Softwarepakketten kunnen door Mac-computers worden gedownload vanaf een Apple File Protocol (AFP)-server | Mac-computers naar AFP servers |
| 445/137-139 | SMB | Softwarepakketten kunnen worden gedistribueerd naar Mac-computers met behulp van een Windows SMB (CIFS)-distributiepunt | Beheerde computers naar SMB servers |
| 80/443 | HTTP en HTTPS | Het Apple-ecosysteem is afhankelijk van veel op internet gebaseerde systemen die worden onderhouden door Apple en hun contentdistributienetwerk (CDN). Voorbeelden zijn Apple Software Update, de App Store, Device Enrollment (voorheen Device Enrollment Program), Volume Purchasing (voorheen Volume Purchase Program) | Beheerde apparaten naar Apple/CDN |
| 22 | SSH | De Jamf Remote- en Recon-applicaties gebruiken de standaard SSH-poort om verbinding te maken met Mac-computers. Deze poort kan niet worden gewijzigd | Beheerderswerkstations naar Mac-computers |
| 443 | HTTPS | Beheerde computers sturen crashregistraties en enkele geanonimiseerde gebruiksstatistieken naar Jamf's Sentry-server | Beheerde computers naar sentry.pub.jamf.build |
Admin - beheer connecties
| Poort | Protocol | Omschrijving | Connectie |
| 8443/443 | HTTPS | Beheerders voeren beheertaken uit door in te loggen op de Jamf Pro-server met een webbrowser en de Jamf Pro-apps (Recon, Jamf Admin en Jamf Remote). Wanneer de standaardinstellingen worden gebruikt, gebruiken lokale Jamf Pro-servers poort 8443 en Jamf Cloud-gehoste servers poort 443 | Beheerderswerkstations naar de Jamf Pro Server |
| 548/445 | AFP/SMB | De Jamf Admin-applicatie kan nieuwe softwarepakketten uploaden naar AFP- of SMB-distributiepunten | Jamf Admin naar distributiepunten |
| 22 | SSH | De Jamf Remote- en Recon-applicaties gebruiken de standaard SSH-poort om verbinding te maken met Mac-computers. Deze poort kan niet worden gewijzigd | Beheerderswerkstations naar Mac-computers |
Jamf Infrastructure Manager - LDAP proxy connecties
De Jamf Infrastructure Manager is een beheerde omgeving die op uw netwerk draait om hulpprogramma's te hosten die de integratie van de Jamf Pro-server met uw IT-omgeving vergemakkelijken. Een van deze hulpprogramma's, de LDAP-proxy, kan worden gebruikt om een extra scheidingslaag te creëren tussen een Jamf Pro-server en een LDAP-directoryservice. De communicatie tussen de infrastructuurbeheerder en de LDAP-server is versleuteld wanneer het selectievakje SSL gebruiken is geselecteerd in de verbindingsinstellingen van uw LDAP-server in Jamf Pro. Communicatie tussen Jamf Pro 10.27.0 of hoger en Infrastructure Manager 2.2.0 of hoger is versleuteld met wederzijdse TLS (mTLS).
| Poort | Protocol | Omschrijving | Connectie |
| 8443/443 | HTTPS | Jamf Infrastructure Manager-instanties maken verbinding met de Jamf Pro-server wanneer ze zijn ingeschreven en periodiek daarna om hun bedrijfsstatus te bevestigen en bijgewerkte instellingen op te halen. Wanneer de standaardinstellingen worden gebruikt, gebruiken lokale Jamf Pro-servers poort 8443 en Jamf Cloud-gehoste servers poort 443 | Jamf Infrastructure Manager host voor de Jamf Pro-server |
| 8389/8636 | LDAP of LDAPS | Alle Jamf Pro LDAP-lookups worden verzonden via de Jamf Pro-server. Jamf Pro kan worden geconfigureerd om LDAP-query's naar een Jamf Infrastructure Manager LDAP Proxy-instantie te sturen in plaats van rechtstreeks naar een LDAP-host. De poort waarop de LDAP-proxy naar deze inkomende verzoeken luistert, wordt geconfigureerd wanneer u zich inschrijft bij de Jamf Pro-server. Op Linux moet de gekozen poort minimaal 1024 zijn, omdat poorten met een lager nummer gereserveerd zijn voor meer geprivilegieerde services en gebruikers. Poort 8389 kan worden gekozen als deze op LDAP draait, of poort 8636 als deze op LDAPS draait | Jamf Pro-server naar de Jamf Infrastructure Manager-host |
| 389/636 | LDAP of LDAPS | De LDAP-proxyservice ontvangt opzoekverzoeken van de Jamf Pro-server en stuurt deze door naar een directoryservice. LDAP draait meestal op poort 389. Als de LDAP-communicatie versleutelt (LDAP over SSL/LDAPS), wordt, wordt poort 636 vaak gebruikt. Vraag bij de directoryservicebeheerder na welke van deze poorten in je omgeving worden gebruikt | Jamf Pro-server naar LDAP-server/domeincontroller |
Opmerking: als de Jamf Pro-server wordt gehost op Jamf Cloud, moet de inkomende toegang tot de Jamf Infrastructure Manager-host vanuit Jamf Cloud worden toestaan. Kijk hier voor een lijst met de bron-IP-adressen voor deze verbindingen.
Jamf Infrastructure Manager - Heathcare Listener connecties
De Healthcare Listener is een service die Admission/Discharge/Transfer (ADT)-berichten ontvangt van een zorgbeheersysteem en een melding naar de Jamf Pro-server stuurt om een externe opdracht te activeren naar het iOS-apparaat dat aan een patiëntenkamer is toegewezen.
De Healthcare Listener wordt gehost door de Jamf Infrastructure Manager.
| Poort | Protocol | Omschrijving | Connectie |
| 2575 | HL7 | 2575 is een toegewezen poort die kan worden gebruikt voor HL7-communicatie, maar de Healthcare Listener kan worden geconfigureerd om elke voorkeurspoort 1024 of hoger te gebruiken | HL7-interface naar Jamf Infrastructure Manager-host |
| 8443/443 | HTTPS | De Healthcare Listener informeert de Jamf Pro Management Server wanneer een actie op een apparaat nodig is. Wanneer de standaardinstellingen worden gebruikt, gebruiken lokale Jamf Pro-servers poort 8443 en Jamf Cloud-gehoste servers poort 443 | Jamf Infrastructure Manager host voor de Jamf Pro-server |
Jamf AD CS-connector connecties
Jamf Pro gebruikt de Jamf AD CS Connector om te communiceren met AD CS om certificaten te verkrijgen. Deze service brengt alle communicatie tussen Jamf Pro en AD CS veilig over. Kijk hier voor meer informatie.
| Poort | Protocol | Omschrijving | Connectie |
| 443 | HTTPS | Jamf Pro verzendt aanvragen voor het ondertekenen van certificaten en haalt voltooide certificaten op door een verbinding met de Jamf AD CS Connector te openen, meestal op TCP-poort 443 | Jamf Pro naar Jamf AD CS-connector |
| 135 en 49152-65535 | DCOM | De Jamf AD CS Connector gebruikt Microsoft Distributed Component Object Model (DCOM) om te communiceren met AD CS | Jamf AD CS Connector naar AD CS |
| 8443/443 | HTTPS | Als er interne apps gebruikt worden die zijn ontwikkeld met de Jamf Certificate SDK, zullen verbindingen met de Jamf Pro-server plaatsvinden via HTTPS. Wanneer standaardinstellingen worden gebruikt, gebruiken lokale Jamf Pro-servers poort 8443 en Jamf Cloud-gehoste servers poort 443 | Apps op mobiele apparaten naar de Jamf Pro-server |
SCCM plug-in connecties
De SCCM-plug-in kopieert automatisch de inventaris die door Jamf Pro is verzameld naar de SCCM-server, zodat de gegevens over de door Jamf beheerde apparaten kunnen worden toegevoegd aan SCCM-rapporten.
| Poort | Protocol | Omschrijving | Connectie |
| 80/443 | HTTP/HTTPS | De SCCM-proxyservice verzendt bijgewerkte apparaatinventarisatiegegevens naar de Microsoft Configuration Manager-API | SCCM Plug-In host naar SCCM server |
| 8443/443 | HTTPS | De SCCM Proxy Service zoekt via een REST API naar de Jamf Pro-server om informatie over de beheerde apparaten te verkrijgen. Wanneer de standaardinstellingen worden gebruikt, gebruiken lokale Jamf Pro-servers poort 8443 en gebruiken de Jamf Cloud-gehoste servers poort 443 | SCCM Plug-In host naar de Jamf Pro server |