Jamf Concepts
Anleitungen

Anleitungen

Attested Device Compliance für Microsoft Entra

~15 min read

Viele Organisationen verfolgen eine Zero-Trust-Strategie, die nur verwalteten und konformen Geräten den Zugriff auf sensitive Unternehmensressourcen ermöglicht.

Dies geschieht aus mehreren Gründen:

  • Phishing-Angriffe drastisch reduzieren, indem ein Angreifer ein physisches Unternehmensgerät haben muss, um sich mit gestohlenen Zugangsdaten anzumelden (einschließlich MFA-Codes).

  • Data Loss Protection (DLP)-Kontrollen verbessern, indem der Zugriff auf Ressourcen nur auf Maschinen mit diesen Kontrollen ermöglicht wird.

  • Den Zugriff für autorisierte Benutzer widerrufen, wenn ihr Gerät nicht mehr konform ist oder kompromittiert wurde.

Die meisten Organisationen nutzen ihren Identity Provider (IdP), um diese Kontrollen zum Zeitpunkt der Anmeldung durchzusetzen. Aber wie kann der Identity Provider zuverlässig feststellen, ob ein Gerät verwaltet wird oder nicht?

Für Organisationen, die Microsoft Entra als ihren IdP nutzen, hat Jamf eine Microsoft Partner Compliance API-Integration implementiert, die es Entra ermöglicht, Apple-Geräte zu identifizieren, die von Jamf Pro verwaltet und konform sind.

Während diese Integration weltweit in kleinen und großen Produktionsumgebungen weit verbreitet ist und verwendet wird, unterliegt die Integration Herausforderungen bei der Endbenutzererfahrung aufgrund mehrerer inhärenter Designfaktoren, darunter:

  • Endbenutzer müssen bestimmte Schritte auf ihrem Gerät befolgen, um ihr Gerät ordnungsgemäß bei Entra zu registrieren

  • Timing- und Aktualisierungsverzögerungen, die die Fähigkeit eines Benutzers beeinträchtigen können, auf eine Ressource zuzugreifen, wenn dies möglich sein sollte

  • Intermittierende Servicefehler, die dazu führen, dass Geräte mit einem falschen Konformitätsstatus gekennzeichnet werden, was einen Helpdesk-Eingriff erfordert

Dank neuer Apple- und Jamf-Plattformtechnologien kann Jamf diese Herausforderungen der Endbenutzererfahrung nun beseitigen und die Benutzererfahrung dramatisch verbessern, ohne die Funktionen der Partner Compliance API zu beeinträchtigen!

Einführung von Attested Device Compliance

Die auf der Microsoft Partner Compliance API basierende Integration verlässt sich auf die explizite Registrierung jedes von Jamf Pro verwalteten Geräts in Entra/Intune und Out-of-Band-Signalisierung, bevor der Zugriff auf Ressourcen gewährt werden kann, die erfordern, dass ein Gerät als „konform" gekennzeichnet ist. Im Gegensatz dazu nutzt Attested Device Compliance sichere und Zero-Touch-bereitgestellte Netzwerke, die von Apples Managed Device Attestation-Technologie unterstützt werden, um den Verwaltungs- und Konformitätsstatus eines Geräts inline mit Anmeldeanforderungen zu signalisieren, ohne dass eine Entra-Registrierung oder Benutzerinteraktion erforderlich ist.

Dieser Ansatz behebt viele der Zugriffsprobleme bei der Endbenutzererfahrung, die auftraten, wenn Partner Compliance API-Aktualisierungen länger dauerten als der Benutzer erwartete, besonders bei der erstmaligen Onboarding oder beim Beheben eines Konformitätsproblems. Während der Zugriff in nahezu Echtzeit mit Attested Device Attestation aufgelöst werden kann, sollte Partner Compliance weiterhin parallel für mehrschichtige Schutzmaßnahmen bei extrem empfindlichen Anwendungen und für Single-Pane-of-Glass-Endpoint-Compliance-Audit-Zwecke in Entra/Intune verwendet werden.

Auf hoher Ebene wird statt der Nutzung des „Compliant"-Flags, das über die Device Compliance Partner API signalisiert wird, bevor eine Ressource einem Gerät mithilfe einer Entra Conditional Access-Richtlinie verfügbar ist, stattdessen ein „Named Location" verwendet. Dieser Named Location ist in Entra durch IP-Adresspaare definiert, die Ihrer Organisation vom Jamf Security Cloud-Dienst zugewiesen wurden. Tatsächlich wird jedes Gerät, das versucht, sich über eine dieser IP-Adressen anzumelden, als „konform" betrachtet. Hier kommt Attested Device Compliance ins Spiel.

Attested Device Compliance-Architekturdiagramm

Um eine dieser IP-Adressen zur Durchführung der Konformitätsprüfung nutzen zu können, muss ein Gerät:

  • In Jamf Pro registriert sein

  • Von Apple als genuine Apple-Hardware attestiert sein

  • Kryptografisch mit attestierten Geräteidentifiern identifiziert werden, die einem in Ihrem spezifischen Jamf-Mandanten registrierten Gerät entsprechen

  • In einer Jamf Pro Smart Group, die einen zufriedenstellenden Konformitätsstatus erfüllt

  • Frei von Bedrohungen gemäß der in Jamf Security Cloud definierten Bedrohungskategorien sein

Ein Fehler bei einem dieser Punkte führt dazu, dass das Gerät seine Fähigkeit verliert, eine vertrauenswürdige IP-Adresse zu verwenden, wodurch es für Entra als nicht vertrauenswürdiges Gerät (blockierender Zugriff) angezeigt wird, bis das Problem behoben ist. Nach der Behebung stellt das Gerät seine Fähigkeit, die vertrauenswürdige IP automatisch innerhalb von etwa einer Minute wiederzuerlangen, automatisch wieder her.

Funktionen und Features der Gerätekonformität

Die folgende Tabelle vergleicht Partner Compliance mit Attested Device Compliance, einschließlich der gemeinsamen Nutzung beider.

Entra Partner Compliance Attested Device Compliance Entra Partner Compliance + Attested Device Compliance (empfohlen)
Integrationsmethode API-basiert, außerhalb des Anmeldeflusses Netzwerkbasiert, inline mit dem Anmeldefluss Zugriffsrichtlinien: Netzwerkbasiert

Entra/Intune Compliance-Audit: API-basiert | | Verwendete Conditional Access-Kriterien | Gerätekonformitäts-Flag | Named Location | Named Location

(+ Gerätekonformitäts-Flag für hochsensible Anwendungen) | | Anforderungen zur Benutzerinteraktion | Interaktive Benutzeranmeldung über Microsoft-App | Keine, Teil der MDM-Registrierung | Anmeldung: Keine

Konformität: Benutzeranmeldung erforderlich | | Durchsetzung der Konformitätsänderung | Minuten bis Stunden | < 1 Minute | Anmeldung: < 1 Minute

Konformität: Minuten bis Stunden | | Konformitäts-Durchsetzungspunkt | Entra Conditional Access-Richtlinie | Jamf Security Cloud + Entra CA-Richtlinie | Jamf Security Cloud + Entra CA-Richtlinie | | Markiert Gerät als „Konform" in Entra | Ja | Nein | Ja | | Entra Login Traffic Protection | Nur Server TLS | Gegenseitiges TLS: Verschleierung und sekundäre Verschlüsselung des gesamten Entra-Verkehrs (Überwachungs- und MitM-resistent) |

Lösungsübersicht

Dieser Abschnitt behandelt technische Details darüber, wie Attested Device Compliance mit Entra Partner Device Compliance funktioniert und in Ihrer Umgebung bereitgestellt wird.

Attested Device Compliance funktioniert durch die Verwendung von:

  • Einem Zero-Touch-bereitgestellten, immer aktiven, hardwaregebundenen und nativen Verkehrsvektorierungsmechanismus (Network Relay), um vertrauliche Daten vom Endpunkt zu Entra zu übertragen.

  • Ein hochverfügbares, richtliniengestütztes globales Datenverkehrsroutingnetzwerk, das schnelle Konnektivität von jedem Netzwerk weltweit bereitstellt.

  • Dedizierte private globale IP-Adressen-Internet-Ausgänge (HA-Quell-IP-Paare) sowie private IPSec-Site-to-Site-Tunnel-Optionen für zusätzliche Sicherheit/Kontrolle nach Bedarf.

Das umfassende End-to-End-Erlebnis umfasst:

  • Ein Administrator konfiguriert eine Network Relay-Bereitstellungskonfiguration, definiert einen oder mehrere Netzwerk-Ausgänge (Internet-IPs oder IPSec-Tunnel) und die Definition einer Entra Microsoft Authentication Access Policy.

  • Apple-Geräte werden in Jamf Pro registriert.

  • Die Relay-Konfiguration wird automatisch auf dem Gerät bereitgestellt und aktiviert, basierend auf der Zugehörigkeit zur Konformitäts-basierten Smart Group in Pro. Die Device Attestation wird mit Apples Servern durchgeführt und die Zugehörigkeit des Geräts zu Ihrem Jamf Pro-Mandanten wird kryptografisch überprüft. Keine Benutzerinteraktion oder Anmeldung erforderlich.

  • An Entra gebundener Netzwerkverkehr, der von Browsern oder Apps auf dem Gerät generiert wird, wird auf Jamfs Global Cloud Edge verschlüsselt und kryptografisch validiert. Der Kontext des Geräts wird anhand von Zugriffskriterien wie Risikostufe und Gruppenzugehörigkeit bewertet.

  • Wenn der Zugriff zulässig ist, wird der vom Gerät generierte Verkehr zu Entra weitergeleitet über:

Ein dediziertes Internet-Ausgangstransponder. Dies verwendet NAT, um den Verkehr des Geräts so darzustellen, dass er von einer von zwei hochverfügbaren öffentlichen (globalen) IP-Adressen stammt.

  • Ein dedizierter IPSec-Tunnel. Dies verwendet eine Site-to-Site-IPSec-VPN-Route, um die Pakete des Geräts direkt in einem Unternehmenseigenen Netzwerk zu platzieren. NAT wird verwendet, um Geräten eine Quell-IP-Adresse aus einem auf dem LAN/DMZ/VPC konfigurierten privaten Subnetz bereitzustellen.

  • Wenn der Zugriff verweigert wird (z. B. aufgrund eines nicht konformen Geräts), wird der Verkehr über eine „öffentliche" IP-Adresse weitergeleitet, der von der Organisation nicht vertraut wird.

  • Conditional Access-Richtlinien werden abgeglichen, um Anmeldungen von Geräten mit ihrem Verkehr von vertrauenswürdigen IP-Adressen (unter Verwendung von Named Locations) zu ermöglichen und Verkehr von nicht vertrauenswürdigen IPs zu blockieren.

  • Der Benutzer meldet sich gemäß den Anforderungen der Benutzerauthentifizierung der Conditional Access-Richtlinie der Zielanwendung an (z. B. MFA). Er kann auf die Anwendung zugreifen.

  • Mithilfe der Microsoft Partner Device Compliance API wird der „Compliant"-Status des Geräts bei Entra/Intune aktualisiert, wenn:

Das Gerät wird über Platform Single Sign On bei Entra registriert.

  • Der Benutzer registriert sein Gerät in Self Service, z. B. um Zugriff auf eine empfindlichere App über Core-Produktivitäts-Apps hinaus zu erhalten.

Einen technischen Tiefgang zur Funktionsweise der ZTNA-Routing-Architektur von Jamf, um den am wenigsten privilegierten, Micro-Tunnel-basierten Zugriff nur auf bestimmte Ressourcen bereitzustellen – ohne interne IPs oder Subnetze an Endpunkte bereitzustellen – finden Sie unter Network Engineer's Guide to Jamf Connect ZTNA.

Beispielkonfigurationsschritte für „My IP on a Map"

Dank Jamfs Cloud-nativer und integrierter Plattform ist die Einrichtung von Attested Device Compliance sehr einfach. Wir werden zunächst eine Beispiel-SaaS-Anwendung konfigurieren, um die Relay-basierte Weiterleitung zu validieren, bevor wir Entra Conditional Access-Richtlinien hinzufügen.

Mit den entsprechenden Zugriffsrechten kann diese Konfiguration innerhalb einer Stunde abgeschlossen werden.

Voraussetzungen

Um diese Lösung zu konfigurieren, benötigen Sie folgende Elemente:

  • Ein oder mehrere Apple-Testgeräte

Hinweis: Sie können iOS-, iPadOS-, macOS- oder visionOS-Geräte testen. Sie alle funktionieren identisch mit Attested Device Compliance.

  • Gerät/Geräte sind in Jamf Pro registriert

Diese Schritte sind spezifisch für Jamf, können aber auch auf von Intune verwaltete Geräte angewendet werden.

  • Zugriff auf Jamf Pro und Jamf Security Cloud-Portale

Ein Jamf Pro-Administratorkonto mit der Fähigkeit, einen API-Client-Anmeldedaten zu erstellen, der Mobile Devices, Mobile Device Smart Groups, Computers und Computer Smart Groups verwalten kann.

  • Ein Jamf Security Cloud-Administratorkonto mit Global Administrator- oder Access Administrator-Rechten.

Wenn Sie keine Jamf Security Cloud-Umgebung haben, kontaktieren Sie Ihren Jamf-Vertreter oder -Partner.

  • Verwaltung der Netzwerk-Edge-Infrastruktur-Richtlinie.

Je nachdem, wie Sie sich mit Ihrer Infrastruktur verbinden (IdP und/oder Firewall-Integration), muss ein Administrator mit entsprechenden Richtlinien- oder Infrastrukturkonfigurationsrechten Verkehr von Jamf Security Cloud zulassen.

Hinweis: Sie können das Geräte-Routing vollständig konfigurieren, ohne diese Schritte durchzuführen, aber Ihr Zugriff und Ihre Möglichkeiten sind bis dahin von Natur aus begrenzt.

Konfigurieren Sie Jamf Pro

Schritt 1: Erstellen oder kopieren Sie eine Compliance Smart Group in Jamf Pro

Das Erstellen dieser Smart Group vereinfacht die Zuweisung während dieses Leitfadens. Wenn Sie bereits eine Smart Group erstellt haben, die Sie verwenden möchten, können Sie diese stattdessen verwenden.

  • Melden Sie sich mit Ihrem Jamf Account SSO oder anderen Anmeldedaten bei Jamf Pro an.

  • Navigieren Sie zu Geräte und wählen Sie Smart Device Groups.

  • Klicken Sie auf die Schaltfläche + Neu, um eine neue Smart Group zu erstellen.

  • Geben Sie einen angemessenen Anzeigenamen an. Wir empfehlen „Konforme Geräte". Geben Sie nach Bedarf eine Beschreibung ein.

  • Wählen Sie die Registerkarte Kriterien oben auf dem Bildschirm und klicken Sie dann auf + Hinzufügen.

  • Definieren Sie ein oder mehrere Kriterien, die ein „konformes" Gerät definieren.

Berücksichtigen Sie beim Testen die Begrenzung auf ein einzelnes Gerät oder eine Gruppe von Testgeräten, bevor Sie auf eine breitere Population erweitern.

  • Klicken Sie auf Speichern, um die Smart Group zu erstellen.

Konfigurieren und stellen Sie eine Network Relay-Konfiguration bereit

In diesem Abschnitt konfigurieren wir die Jamf-Plattform, um eine Network Relay-Konfiguration auf verwalteten Apple-Geräten einzurichten und bereitzustellen.

Schritt 1: Konfigurieren Sie UEM Connect in Jamf Security Cloud

Diese Schritte verknüpfen Jamf Jamf Security Cloud mit Jamf Pro, um die Bereitstellung zu unterstützen und die laufende Validierung der Geräteregistrierung durchzuführen, um sicherzustellen, dass nur verwaltete Geräte mit angemessenen Risikostufen den Network Relay-Dienst nutzen können.

Es wird dringend empfohlen, die Webhook-Konfiguration abzuschließen, um unmittelbar nach neuen Geräteregistrierungen eine reibungslose Benutzererfahrung zu gewährleisten.

Schritt 2: Konfigurieren Sie ein Network Relay Activation Profile

  • Navigieren Sie zu Geräte > Activation Profiles. Wählen Sie die Schaltfläche Profile erstellen.

  • Wählen Sie die Funktionalität Netzwerkzugriff und klicken Sie dann auf Weiter.

Sie können optional die Funktionalitäten Sicherheit (Netzwerkbedrohungsschutz und Mobile Threat Defense) und/oder Content-Kontrollen (Kategorieninhaltsfilterung) bereitstellen, diese erfordern jedoch zusätzliche Schritte zur Bereitstellung der Jamf Trust-App, die nicht in diesem Dokument enthalten sind.

  • Wenn Sie zur Authentifizierung aufgefordert werden, wählen Sie Managed device attestation und klicken Sie dann auf Weiter.

Wenn Sie ständige Konnektivität benötigen, die der Benutzer nicht deaktivieren kann, wählen Sie Locked-down.

  • Geben Sie einen Namen für das Activation Profile zur einfachen Referenz an. Wir schlagen „Attested Device Compliance Network Relay" vor

  • Definieren Sie eine Gruppe, um die Geräte hinzuzufügen, die mit diesem Profil aktiviert werden. Wir schlagen „Attested Device Compliance Devices" vor, sofern Sie nicht bereits eine alternative Gerätegruppierungsrichtlinie haben. Sie können dies später jederzeit ändern. Klicken Sie auf Weiter.

  • Überprüfen Sie die Konfiguration und wählen Sie dann Speichern und erstellen.

Schritt 3: Stellen Sie das Activation Profile für Geräte bereit

Dieser Schritt setzt voraus, dass UEM Connect erfolgreich konfiguriert wurde.

  • Stellen Sie auf dem angezeigten Bildschirm sicher, dass die Schaltflächen Jamf Pro und iOS/iPadOS/tvOS/visionOS ausgewählt sind. Erweitern Sie Konfigurationsprofile.

  • Wählen Sie unter UEM actions das Pulldown-Menü UEM group und wählen Sie die Compliance Smart Group, die Sie in Pro in einem vorherigen Schritt erstellt haben.

Hinweis: Wenn Ihre Gruppe nicht angezeigt wird, wenn Sie darauf klicken, geben Sie den Namen der Smart Group ein, und er sollte angezeigt werden.

  • Wenn Sie diesen Schritt überspringen, müssen Sie das mobile Konfigurationsprofil, das in Pro verschoben wird, manuell auf eine Smart Group beziehen.

  • Wenn Sie bereit sind, klicken Sie auf In Jamf Pro bereitstellen. Dies stellt die Relay-Konfiguration für alle Geräte bereit, die den Kriterien der definierten Smart Group entsprechen.

Hinweis: An diesem Punkt wurden keine Zugriffsrichtlinien definiert. Obwohl die Relay-Konfiguration zum Gerät verschoben wird, wird kein Verkehr mit ihr weitergeleitet. Wir werden das als Nächstes konfigurieren.

  • Wiederholen Sie die obigen Schritte, aber wählen Sie macOS als Plattformtyp, wenn Sie mit Macs testen.

Konfigurieren Sie eine Beispielzugriffsrichtlinie

In diesem Abschnitt konfigurieren wir die Weiterleitungskonfiguration und -richtlinien, um ausgewählten Unternehmensverkehr vom Gerät zu einer Beispiel-SaaS-Zielgruppe weiterzuleiten, um die Funktionsfähigkeit der Weiterleitung zu überprüfen, bevor wir Entra Conditional Access-Richtlinien einführen.

Dieses Handbuch verwendet zu Vereinfachungszwecken ein „Shared Internet Gateway", um die Relay-basierte Weiterleitung zum Laufen zu bringen.

Für die Verwendung in der Produktion wird dringend empfohlen, ein Dedicated Internet Gateway oder ein Dedicated IPSec-Gateway basierend auf Ihren Konnektivitäts- und Sicherheitsanforderungen zu konfigurieren und zu verwenden. Navigieren Sie zu Integrations > Access gateways in Jamf Security Cloud, um private Gateways zu konfigurieren, die dann statt des in diesem Handbuch konfigurierten Shared Gateway einfach verwendet werden können.

Schritt 1: Konfigurieren Sie die My IP on a Map Access Policy

  • Navigieren Sie in Jamf Security Cloud zu Policies > Access policy und klicken Sie auf Create policy.

  • Wählen Sie Predefined App, wählen Sie My IP on a Map aus den verfügbaren Anwendungen und klicken Sie dann auf Weiter.

  • Definieren Sie optional eine Kategorie und klicken Sie dann auf Weiter.

  • Die Beispiel-Hostnamen für die Anwendung „My IP on a Map" sind bereits definiert. Klicken Sie auf Weiter, um fortzufahren.

  • Wählen Sie optional die Gerätegruppen aus, die Zugriff auf diese App haben sollten, was die Compliance-Gerätegruppe einschließen muss, die Sie möglicherweise zuvor definiert haben (wenn nicht alles ausgewählt ist).

  • Aktivieren Sie Zugriff erfordert Gerät, das verwaltet wird, und klicken Sie dann auf Weiter.

Um die Tests zu vereinfachen, empfehlen wir, die Risiko-Validierung zu diesem Zeitpunkt deaktiviert zu lassen. Sobald die Bereitstellung validiert ist und die risikobasierte Validierung gut verstanden wird, ist dies eine großartige Funktion zum Aktivieren!

  • Stellen Sie auf dem Bildschirm Anwendungsverkehr-Weiterleitung sicher, dass Encrypt and route via ZTNA: ausgewählt ist, und wählen Sie dann Nearest Data Center.

Für diese spezifische „My IP on a Map"-Test-App empfehlen wir, kein benutzerdefiniertes Access Gateway zu verwenden.

  • Belassen Sie andere Konfigurationen bei ihren Standardeinstellungen und klicken Sie auf Weiter.

  • Überprüfen Sie die Konfiguration und klicken Sie dann auf Speichern und App erstellen.

Schritt 2: Stellen Sie die Network Relay Access Policy erneut bereit

  • Navigieren Sie zu Geräte > Activation Profiles und wählen Sie das Activation Profile aus, das Sie zuvor definiert haben.

  • Erweitern Sie Configuration profiles und klicken Sie auf In Jamf Pro bereitstellen.

Schritt 3: Bestätigen Sie die Relay-Weiterleitung auf dem Gerät

  • Öffnen Sie auf einem Testgerät Safari.

  • Navigieren Sie zu map.wandera.com

  • Wenn Sie eine IP-Adresse und eine Karte sehen, glückwunsch! Ihre Relay-Konfiguration funktioniert ordnungsgemäß.

Wenn Sie „Forbidden" (Verboten) sehen, überprüfen Sie die obigen Schritte erneut und stellen Sie sicher, dass die Relay-Konfiguration auf Ihrem Gerät in der App Einstellungen (oder Systemeinstellungen für macOS) unter VPN & Relays bereitgestellt wird.

Microsoft Conditional Access: Konfigurieren von Attested Device Compliance

Durch die Verwendung von Jamfs Relay-Dienst in Kombination mit Microsoft Conditional Access-Richtlinien kann der Zugriff auf vertrauenswürdige Apple-Geräte mit reibungsloser Benutzererfahrung eingeschränkt werden und gleichzeitig die Sicherheit verbessern.

Funktionsweise

  • Ein verwaltetes Gerät wird ein mobiles Konfigurationsprofil mit Network Relay und ACME-Payloads bereitgestellt.

  • Mithilfe von Managed Device Attestation wird das ACME-Zertifikat auf dem Gerät ausgestellt, nachdem die Hardware von Apples Attestationsservern validiert wurde. Der private Schlüssel für das Zertifikat ist in der Secure Enclave des Geräts gesperrt und kann nie angezeigt oder freigegeben werden.

  • Ein gegenseitiger TLS-QUIC/HTTP3 (MASQUE) Relay-Tunnel wird verwendet, um den gesamten Microsoft Entra-Authentifizierungsverkehr vom Gerät zu kapseln. Dieser Tunnel verdeckt den gesamten Entra-Verkehr, schützt ihn vor Adversary-in-der-Middle-TLS-Angriffen und nutzt QRC, wo unterstützt.

  • Der Jamf-Relay-Dienst beendet den eingehenden MASQUE-Tunnel, überprüft die Integrität der Gerätekennung über das Client-TLS-Zertifikat und überprüft gleichzeitig, dass das Gerät in den Jamf Pro-Mandanten des Kunden registriert ist und andere Konformitäts- und Zugriffsrichtlinien erfüllt. Der Entra-Verkehr wird in diesem Prozess nicht entschlüsselt oder anderweitig geändert!

  • Sofern alle diese Prüfungen erfolgreich sind, wird der Entra-Verkehr über ein Internet-Gateway mit Mandanten-dedizierten globalen HA-Mandanten-dedizierten IP-Adressen ins Internet geleitet. Mit anderen Worten, nur genuine Apple-Geräte, die aktiv registriert und konform in der verknüpften Jamf Pro-Umgebung des Kunden sind, können diese dedizierten Internet-IP-Adressen verwenden.

  • Diese IP-Adressen werden als Named Locations in der Microsoft Conditional Access-Konfiguration konfiguriert.

  • Diese Benannten Orte werden verwendet, um die typische Jamf Device Compliance-Richtlinie zu umgehen, die für nicht von Jamf verwaltete (oder nicht autorisierte) Apple-Geräte verwendet wird. Dieselben Benannten Orte werden für eine neue Conditional Access-Richtlinie verwendet, die den Zugriff von Geräten erlaubt, deren Verkehr von dem Benannten Ort (IPs) stammt, ohne dass die Gerätekonformität erforderlich ist.

Das Netto-Ergebnis ist praktisch dasselbe: Statt das Gerätekonformitäts-Bit an Entra zu senden, um die Conditional Access-Richtlinie zu bestimmen, wird die Konformitätsprüfung auf der Jamf-Plattform durchgeführt. Nur verwaltete und konforme Geräte können jemals die vertrauenswürdige IP/den Benannten Ort verwenden. Dieser Ansatz bietet auch erhebliche Verbesserungen der Benutzerfreundlichkeit (keine spezifischen Schritte des Endbenutzers erforderlich) und verbessert die Sicherheit erheblich, indem Entra-Verkehr in einem mTLS-Tunnel gekapselt und geschützt wird, während sich das Gerät auf einem vertrauenswürdigen oder nicht vertrauenswürdigen Netzwerk befindet.

Konfigurieren von Entra Conditional Access-Richtlinien für Attested Device Attestation

Voraussetzungen

  • Sie haben die Beispiel-SaaS-App „My IP on a Map" erfolgreich konfiguriert und bereitgestellt.

  • Sie – oder ein Kollege, mit dem Sie zusammenarbeiten können – haben Zugriff auf die Konfiguration von Microsoft Conditional Access-Richtlinien.

Schritt 1: Erstellen Sie ein Dedicated Internet Egress Gateway in Jamf Security Cloud

In diesem Schritt erstellen Sie ein Paar dedizierter globaler (öffentlicher) IP-Adressen, die ausschließlich für Ihre Organisation verfügbar sind.

  • Navigieren Sie in Jamf Security Cloud zu Integrations > **Access