Anleitungen

Nachdem Sie Gerätevertrauen etabliert und Ihre Threat- und Risk-Richtlinien konfiguriert haben, können Sie diese „genehmigten und gesicherten" Geräte nun mit sicherem Zugriff auf Ihre Unternehmensressourcen bereitstellen.

Die Trusted Access-Lösung sieht die Verwendung von Jamf Connect vor – Jamfs Cloud-natives Zero Trust Network Access-Produkt –, das hochperformante und benutzerfreundliche Konnektivität bei gleichzeitig fortgeschrittenen Netzwerksicherheitsfunktionen für alle SaaS-, Private Cloud- oder On-Prem-Anwendungen bietet.

Sie können auch Partner-Integrationen nutzen, die API-Signalisierung verwenden, um den Management- und Compliance-Status eines bestimmten Geräts anzuzeigen. Diese Integrationen gelten nur für eine Teilmenge von Anwendungen und können je nach Ihren Anforderungen anstelle von oder zusätzlich zu Jamf Connect verwendet werden.

Info: Was ist mit meinem bestehenden VPN?

Jamf Connect sollte nicht mit anderen VPN- und ZTNA-Produkten verwechselt werden. Obwohl es sicheren Remotezugriff auf Ressourcen wie ein VPN bietet, ermöglicht es Trusted Access auf einige sehr bedeutsame Weise auf einzigartige Weise:

• Es ist Cloud-nativ, nutzt Next-Generation Wireguard Tunneling-Technologie und setzt erweiterte Identity-Integrationen ein, die zusammen eine nahezu unsichtbare und beliebte Benutzererfahrung bieten.
• Es wurde von Grund auf auf Least Privilege Access-Prinzipien ausgelegt und stellt sicher, dass autorisierte Benutzer nur auf die Daten zugreifen können, die sie benötigen – nicht auf alles im internen Netzwerk.
• Es lässt sich nativ in Jamf Management- und Security-Produkte integrieren, um sicherzustellen, dass nur genehmigte und sichere Geräte basierend auf Ihrer eigenen risikobasierten Richtliniendefinition auf Ressourcen zugreifen können.

Daher kann die Verwendung einer VPN-Lösung eines Drittanbieters die Anforderungen, die für die Realisierung von Trusted Access notwendig sind, nicht erfüllen.

Für macOS-Geräte können Sie über Jamf Pro zusätzlich Partner Conditional Access konfigurieren, um diesen Partner-Services die Möglichkeit zu geben, Zugriff basierend auf dem Device Compliance-Status (z. B. Smart Group-Mitgliedschaft) zu gewähren oder zu verweigern.

Jamf Connect bereitstellen

Durch die Bereitstellung von Jamf Connect schaffen Sie einen vertrauenswürdigen und privaten Netzwerkpfad zwischen verwalteten Endpunkten und allen Anwendungen Ihrer Organisation.

Info: Hinweis

Sie benötigen Zugriff auf ein Jamf Security Cloud (RADAR)-Konto, das für Jamf Connect lizenziert ist, um diese Schritte abzuschließen.

Wenn Sie kein Konto haben, wenden Sie sich bitte an Ihr Jamf Account-Team, damit es ein kostenloses Demo-Konto für Sie einrichten kann!

Führen Sie diese Schritte aus, um Jamf Connect in Ihrer Umgebung zum Laufen zu bringen und schnelle und sichere Konnektivität herzustellen:

1. Überprüfen und verstehen Sie die Jamf Connect-Architektur oder schauen Sie sich dieses 20-minütige JNUC'21-Video an, das Sie darin einführt.

2. Melden Sie sich bei Ihrem Jamf Security Cloud-Konto an und verbinden Sie Ihren Identity Provider, um Endbenutzern die Aktivierung von Private Access über die Jamf Trust App mit ihren Unternehmensanmeldedaten zu ermöglichen.

3. Erstellen Sie ein Aktivierungsprofil, das die Servicefunktionen Netzwerkzugriff, Content Controls und Security konfiguriert und Ihren Identity Provider für die Authentifizierung nutzt.

   1. Stellen Sie sicher, dass Sie Identity-basierte Bereitstellung für Ihr neu erstelltes Aktivierungsprofil deaktivieren. Dies stellt sicher, dass nur verwaltete Geräte es aktivieren können.
   2. Sie können andere Aktivierungsprofile erstellen, die dieses Feature nutzen, um Auftragnehmergeräte oder andere Geräte abzudecken, die nicht in MDM registriert werden können, aber dennoch sehr eingeschränkten Zugriff haben sollten.

4. Definieren Sie Device Groups, die verwendet werden, um Benutzer und ihre Geräte spezifischen Anwendungen zuzuordnen, auf die sie zugreifen können (oder nicht) (z. B. „Executives", „Engineering", „Sales")

5. Konfigurieren Sie Integration mit Jamf Pro.

   1. Konfigurieren Sie Group Mapping, um Jamf Pro Smart Groups den entsprechenden oben definierten Gruppen zuzuordnen.
   2. (Optional) Definieren Sie Device Field Mappings nach Bedarf.

6. Etablieren Sie sicheren Zugriff auf Ihre Anwendungen und Datenressourcen durch Konfiguration eines oder mehrerer privater Interconnect Gateways zwischen Jamf Security Cloud und Ihrem(en) Rechenzentrum(en) und Private Cloud(s).

7. Konfigurieren Sie benutzerdefinierte DNS-Zonen, wenn Sie einen internen Domain Name Server oder Split-Brain DNS verwenden, um auf interne Ressourcen zuzugreifen.

8. Konfigurieren Sie Access Policies, die die Anwendungen Ihrer Organisation, deren Access Policies und Erreichbarkeit (entweder über das öffentliche Internet oder ein konfiguriertes privates Interconnect Gateway) definieren.

   1. Wenn die Anwendung, die Sie definieren, sensible Daten enthält, begrenzen Sie den Zugriff auf der Registerkarte Users and Groups auf die Gruppen, die Zugriff benötigen, und definieren Sie die maximal tolerierbare Risikostufe auf der Registerkarte Security der Access Policy.
   2. Hinweis: Sie können die Schweregrad jeder Threat-Kategorie, die den Risk Score eines Geräts bestimmt, mithilfe der Security Policy-Konfiguration von RADAR anpassen.

9. Stellen Sie Jamf Trust auf Geräten bereit (der Jamf Connect Endpoint Agent) mit Jamf Pro oder anderen anwendbaren Device Management-Tools für die Plattformen Ihrer registrierten Geräte.

   1. Für BYOD iOS/iPadOS-Geräte folgen Sie bitte den spezifischen „Deploy Jamf Trust"-Anweisungen für User Enrollment.

Wenn Jamf Connect ordnungsgemäß bereitgestellt und konfiguriert ist, wird die gesamte Enterprise Application-Konnektivität zu Jamf Security Cloud verschlüsselt und unterliegt den definierten Access Policies.

Eine technische detaillierte Erklärung zur Funktionsweise von Private Access finden Sie in unserem Network Engineer's Guide to Private Access.

Partner Management State Integrations

Während Jamf Connect zur Aktivierung netzwerkbasierter Konnektivität und Zugriffskontrolle auf alle TCP- oder UDP-Anwendungen – einschließlich SaaS und Private On-Premise-Anwendungen – verwendet wird, ist es möglich, den Management State und andere Metadaten eines Geräts durch Integrationen mit ausgewählten Partnern zu signalisieren.

Dies ermöglicht es der Partner-Plattform, festzustellen, ob ein bestimmtes Gerät von Jamf Pro verwaltet wird und spezifische Compliance-Anforderungen erfüllt. Es kann auch verwendet werden, um den Compliance-Status oder die Risikostufe des Geräts zu signalisieren, um risikobasierten Zugriff auf Unternehmensressourcen zu unterstützen. Diese Signale werden verwendet, um Richtlinien wie in der Access-Plattform des Partners definiert, zu unterstützen.

Jamfs Partner Management Integrations umfassen:

• Device Compliance mit Microsoft Entra und Jamf
• Google BeyondCorp Enterprise Integration mit Jamf Pro

Zugriff für anonyme Geräte einschränken

Nach der Implementierung einer oder beider der oben genannten Strategien zur Identifizierung vertrauenswürdiger Geräte besteht der nächste Schritt darin, Anwendungen so zu konfigurieren, dass sie nur Verbindungen von diesen „vertrauenswürdigen" Geräten erlauben.

Einzelheiten finden Sie unter Zugriff für anonyme Geräte einschränken.