Es gibt gelegentliche Szenarien, in denen die Etablierung von Geräteverwaltung auf einem Gerät, das Zugriff auf Organisationsressourcen benötigt, nicht möglich ist. Dies umfasst:
- Contractor-Geräte, bei denen die Geräteverwaltung an eine andere Geräteverwaltungsinstanz gebunden ist.
- BYO Mac / BYO PC-Szenarien, in denen die Geräteverwaltung aus Datenschutzgründen nicht bereitgestellt werden kann.
Fehler: Sicherheitswarnung
Wenn der Zugriff auf Datenressourcen auf nicht verwaltete Geräte ausgeweitet wird, verringern Sie die Wirksamkeit des Trusted Access-Sicherheitsmodells für diese Daten erheblich.
Wenn Sie nicht mehr verlangen, dass ein genehmigtes oder sicheres Gerät auf diese Datenressource zugreift, ist die Ressource notwendigerweise für jedes Gerät verfügbar, was sie anfälliger für benutzerberechtigungsbasierte Angriffe macht.
Wenn Sie diese Methode verwenden, beachten Sie bitte die Sensibilität der offengelegten Daten und definieren Sie den Zugriff auf nur-Benutzer-registrierte Geräte so eng wie möglich.
Bei dieser Registrierungsmethode installiert ein Benutzer Jamf Trust und aktiviert es mit seinen IdP-Anmeldedaten. Datenressourcen stehen dem Benutzer und dem Gerät dann basierend auf ihren zugewiesenen Zugriffsrichtlinien zur Verfügung.
Aktivieren Sie den Nur-Benutzer-Datenzugriff über Jamf Trust
Die Konfiguration dieses Bereitstellungsmodells umfasst die Konfiguration identitätsbasierter Registrierungen, um Geräten ohne Verwaltung die Aktivierung von Jamf Trust mit nur IdP-Anmeldedaten zu ermöglichen.
- Führen Sie die Schritte in Enabling Access for Trusted Devices durch, um Private Access in RADAR zu konfigurieren, mit den folgenden Änderungen:
- Erstellen Sie ein neues Activation Profile mit dem Titel
Unmanaged Devicesmit den folgenden Konfigurationen:- Setzen Sie die Device Group auf eine neue Gruppe namens
Unmanaged User-Only Devices - Wählen Sie den Identity Provider aus, den Benutzer dieses Aktivierungsprofils verwenden sollen.
- Wählen Sie für Capabilities mindestens Zero Trust Network Access aus.
- Setzen Sie die Device Group auf eine neue Gruppe namens
- Konfigurieren Sie Identity-Based Provisioning für das gerade erstellte Aktivierungsprofil
Unmanaged Devices. - Ändern Sie Ihre Zugriffsrichtlinien in RADAR wie folgt:
- Stellen Sie bei sensiblen Anwendungen sicher, dass
Everyonein der Konfiguration Users and Groups der Richtlinie NICHT ausgewählt ist. - Wählen Sie für Anwendungen, die für nur-Benutzer-Geräte zugänglich sein sollen, die Option Limited für Users and Groups und stellen Sie sicher, dass Sie die oben erstellte Gruppe
Unmanaged User-Only Deviceseinschließen. - Es wird DRINGEND empfohlen, dass Zugriffsrichtlinien, die für
Unmanaged User-Only Devicesverfügbar sind, mit beliebigen subnetzweiten Verkehrsdefinitionen (z. B./24) in der Konfiguration Traffic Matching konfiguriert werden.
- Stellen Sie bei sensiblen Anwendungen sicher, dass
- Erstellen Sie ein neues Activation Profile mit dem Titel
Benutzer können nun die Jamf Trust-App aus dem öffentlichen App Store ihrer Plattform herunterladen (oder hier für Windows) und sich dann wie aufgefordert mit ihren IdP-Anmeldedaten anmelden. Die App wird aktiviert und der Netzwerkzugriff ist für die in den Zugriffsrichtlinien für das Gerät konfigurierten Anwendungen verfügbar.
Der Zugriff kann dem Benutzer jederzeit widerrufen werden, indem sein Geräteeintrag in RADAR > Devices > Manage gelöscht wird. Beachten Sie, dass der Benutzer sich erneut registrieren kann, wenn seine Anmeldedaten noch gültig sind und Ihre Konfiguration der Identity Provider-Integration dies zulässt.