Hay ocasiones en las que no es posible establecer la administración de dispositivos en un dispositivo que necesita acceso a recursos organizacionales. Esto incluye:
- Dispositivos de contratistas en los que la administración de dispositivos está vinculada a otra instancia de administración de dispositivos.
- Escenarios de BYO Mac / BYO PC donde no se puede implementar la administración de dispositivos por razones de privacidad.
Error: Advertencia de Seguridad
Si extiende el acceso a recursos de datos a dispositivos no administrados, reduce significativamente la eficacia del modelo de seguridad de Acceso Confiable para esos datos.
Al dejar de requerir un dispositivo autorizado o seguro para acceder a ese recurso de datos, el recurso está necesariamente disponible para cualquier dispositivo, lo que lo hace mucho más vulnerable a ataques basados en credenciales de usuario.
Si utiliza este método, tenga cuidado con la sensibilidad de los datos que se exponen y defina el acceso a dispositivos solo de usuario inscritos de la manera más limitada posible.
Con este método de inscripción, un usuario instala Jamf Trust y lo activa utilizando sus credenciales de IdP. Los recursos de datos están entonces disponibles para el usuario y dispositivo en función de sus Políticas de Acceso asignadas.
Habilitar Acceso a Datos Solo de Usuario a través de Jamf Trust
La configuración de este modelo de implementación implica configurar Inscripciones Basadas en Identidad, permitiendo que dispositivos sin administración activen Jamf Trust utilizando únicamente credenciales de IdP.
- Siga los pasos en Habilitar Acceso para Dispositivos Confiables para configurar Private Access en RADAR, con las siguientes modificaciones:
- Cree un nuevo Perfil de Activación titulado
Unmanaged Devicescon las siguientes configuraciones:- Establezca el Grupo de Dispositivos en un nuevo grupo denominado
Unmanaged User-Only Devices - Seleccione el proveedor de identidad que los usuarios de este perfil de activación van a utilizar.
- Para Capacidades seleccione como mínimo Zero Trust Network Access.
- Establezca el Grupo de Dispositivos en un nuevo grupo denominado
- Configure Aprovisionamiento Basado en Identidad para el perfil de activación
Unmanaged Devicesrecién creado. - Modifique sus Políticas de Acceso en RADAR de la siguiente manera:
- Para aplicaciones sensibles, asegúrese de que
EveryoneNO esté seleccionado en la configuración Usuarios y Grupos de la política. - Para aplicaciones que deberían ser accesibles a dispositivos Solo de Usuario, seleccione la opción Limitado para Usuarios y Grupos y asegúrese de incluir el grupo
Unmanaged User-Only Devicescreado arriba. - Se RECOMIENDA FIRMEMENTE que las políticas de acceso disponibles para
Unmanaged User-Only Devicesse configuren con cualquier definición de tráfico de toda la subred (p. ej./24) en la configuración Coincidencia de Tráfico.
- Para aplicaciones sensibles, asegúrese de que
- Cree un nuevo Perfil de Activación titulado
Los usuarios ahora pueden descargar la aplicación Jamf Trust desde la App Store pública de su plataforma (o aquí para Windows) e iniciar sesión con sus credenciales de IdP según se solicite. La aplicación se activará y el acceso de red estará disponible para las aplicaciones configuradas en Políticas de Acceso para el dispositivo.
El acceso puede ser revocado del usuario en cualquier momento eliminando su entrada de dispositivo en RADAR > Devices > Manage. Tenga en cuenta que el usuario podrá reinscribirse si sus credenciales siguen siendo válidas y su configuración de integración de proveedor de identidad lo permite.