Jamf Concepts
Guías

Guías

Cumplimiento de dispositivos atestiguados para Microsoft Entra

~22 min read

Muchas organizaciones han adoptado una estrategia de confianza cero que implica permitir que solo dispositivos administrados y compatibles accedan a recursos confidenciales de la empresa.

Esto se realiza por varias razones:

  • Reducir drásticamente los ataques de phishing al requerir que un atacante tenga un dispositivo físico de la empresa para iniciar sesión con credenciales robadas (incluidos códigos MFA).

  • Mejorar los controles de Protección contra pérdida de datos (DLP) permitiendo el acceso a recursos solo en máquinas que cuenten con estos controles.

  • Revocar el acceso de usuarios autorizados si su dispositivo deja de ser compatible o se ve comprometido.

La mayoría de las organizaciones utilizan su Proveedor de identidad (IdP) para hacer cumplir estos controles en el momento del inicio de sesión. Pero, ¿cómo puede el proveedor de identidad determinar de manera confiable si un dispositivo está administrado o no?

Para organizaciones que usan Microsoft Entra como su IdP, Jamf ha implementado una integración de API de cumplimiento de asociados de Microsoft que permite a Entra identificar dispositivos Apple que están administrados y son compatibles según Jamf Pro.

Aunque esta integración se ha implementado ampliamente y se utiliza en entornos de producción pequeños y grandes en todo el mundo, la integración está sujeta a desafíos de experiencia del usuario final debido a una serie de factores de diseño inherentes, incluidos:

  • Los usuarios finales deben seguir pasos específicos en su dispositivo para registrar correctamente su dispositivo con Entra

  • Retrasos de actualización y sincronización que pueden impedir que un usuario acceda a un recurso cuando debería poder hacerlo

  • Errores de servicio intermitentes que resultan en dispositivos marcados con el estado de cumplimiento incorrecto, lo que requiere intervención del servicio de asistencia técnica

Gracias a las nuevas tecnologías de plataforma de Apple y Jamf, ¡Jamf ahora puede eliminar estos desafíos de experiencia del usuario final, mejorando dramáticamente la experiencia del usuario sin comprometer las capacidades proporcionadas por la API de cumplimiento de asociados!

Presentación del cumplimiento de dispositivos atestiguados

La integración basada en API de cumplimiento de asociados de Microsoft se basa en el registro explícito de cada dispositivo administrado por Jamf Pro dentro de Entra/Intune y señalización fuera de banda antes de que se pueda otorgar acceso a recursos que requieren que un dispositivo esté marcado como "compatible". En contraste, el cumplimiento de dispositivos atestiguados aprovecha las redes desplegadas seguras y sin intervención respaldadas por la tecnología de atestiguamiento de dispositivos administrados de Apple para señalar el estado de administración y cumplimiento de un dispositivo en línea con solicitudes de inicio de sesión, sin requerir registro de Entra ni interacción del usuario final.

Este enfoque aborda muchos de los desafíos de acceso de experiencia del usuario que se enfrentan cuando las actualizaciones de la API de cumplimiento de asociados tardaron más de lo esperado, especialmente al incorporarse por primera vez o resolver un problema de cumplimiento. Si bien el acceso se puede resolver en tiempo casi real con atestiguamiento de dispositivo atestiguado, la compatibilidad de asociados aún debe usarse en conjunto para protección en capas de aplicaciones extremadamente confidenciales y para propósitos de auditoría de cumplimiento de puntos finales en un único panel de vidrio en Entra/Intune.

De alto nivel, en lugar de aprovechar la bandera "Compatible" señalada a través de la API de cumplimiento de dispositivos de asociados antes de que un recurso esté disponible para un dispositivo determinado utilizando una política de acceso condicional de Entra, se usa una "ubicación con nombre" en su lugar. Esta ubicación con nombre se define en Entra mediante pares de direcciones IP que ha emitido el servicio en la nube de seguridad de Jamf a su organización. En efecto, cualquier dispositivo que intente iniciar sesión a través de una de estas direcciones IP se considerará "compatible", y aquí es donde entra en juego el cumplimiento de dispositivos atestiguados.

Diagrama de arquitectura del cumplimiento de dispositivos atestiguados

Para usar una de estas direcciones IP para pasar la verificación de cumplimiento, un dispositivo determinado DEBE:

  • Estar inscrito en Jamf Pro

  • Ser atestiguado por Apple como hardware genuino de Apple

  • Ser identificado criptográficamente utilizando identificadores de dispositivo atestiguados que coincidan con un dispositivo inscrito en su inquilino específico de Jamf

  • Estar en un grupo inteligente de Jamf Pro que coincida con el estado de cumplimiento satisfactorio

  • Estar libre de amenazas según se define por categorías de amenazas en Jamf Security Cloud

Si no se cumple alguno de los anteriores, el dispositivo perderá su capacidad de usar una dirección IP de confianza, haciendo que aparezca como un dispositivo que no es de confianza según Entra (bloqueando el acceso) hasta que se corrija el problema. Una vez solucionado, el dispositivo restaura su capacidad de usar la IP de confianza automáticamente en aproximadamente un minuto.

Capacidades y características de cumplimiento de dispositivos

La siguiente tabla compara el cumplimiento de asociados con el cumplimiento de dispositivos atestiguados, incluyendo el uso conjunto de los dos.

Cumplimiento de asociados de Entra Cumplimiento de dispositivos atestiguados Cumplimiento de asociados de Entra + cumplimiento de dispositivos atestiguados (Recomendado)
Método de integración Basado en API, fuera de banda del flujo de inicio de sesión Basado en red, en línea con el flujo de inicio de sesión Políticas de acceso: basadas en red

Auditoría de cumplimiento de Entra/Intune: basada en API | | Criterios de acceso condicional utilizados | Bandera de dispositivo compatible | Ubicación con nombre | Ubicación con nombre

(+ bandera de cumplimiento de dispositivo para aplicaciones altamente confidenciales) | | Requisitos de interacción del usuario | Inicio de sesión de usuario interactivo a través de la aplicación de Microsoft | Ninguno, parte de la inscripción de MDM | Inicio de sesión: ninguno

Bandera compatible: se requiere inicio de sesión de usuario | | Cumplimiento del cambio de aplicación | Minutos a horas | < 1 minuto | Inicio de sesión: < 1 minuto

Bandera compatible: minutos a horas | | Punto de cumplimiento de aplicación | Política de acceso condicional de Entra | Jamf Security Cloud + política de acceso condicional de Entra | Jamf Security Cloud + política de acceso condicional de Entra | | Marca el dispositivo como "Compatible" en Entra | Sí | No | Sí | | Protección del tráfico de inicio de sesión de Entra | Solo TLS del servidor | TLS mutuo: ofuscación y cifrado secundario de todo el tráfico de Entra

(Resistente a vigilancia y ataques de intermediario) |

Descripción general de la solución

Esta sección profundiza en los detalles técnicos de cómo el cumplimiento de dispositivos atestiguados con cumplimiento de dispositivos asociados de Entra funciona y se implementa en su entorno.

El cumplimiento de dispositivos atestiguados funciona mediante:

  • Un mecanismo de vectorización de tráfico nativo, con hardware vinculado y siempre activo, desplegado sin intervención (relé de red) para transmitir datos confidenciales desde el punto final a Entra.

  • Una red de enrutamiento de tráfico global altamente disponible y basada en políticas que proporciona conectividad rápida desde cualquier red en cualquier lugar del mundo.

  • Direcciones de salida de IP global privado dedicado de Internet (pares de IP de alta disponibilidad), así como opciones de túnel IPSec de sitio a sitio privado para mayor seguridad/control según sea necesario.

La experiencia de alto nivel de extremo a extremo incluye:

  • Un administrador configura una configuración de implementación de relé de red, define una o más salidas de red (IPs de Internet o túneles IPSec) y la definición de una política de acceso de autenticación de Microsoft Entra.

  • Los dispositivos Apple se inscriben en Jamf Pro.

  • La configuración del relé se implementa automáticamente y se activa en el dispositivo en función de la pertenencia al grupo inteligente basada en cumplimiento en Pro. Se realiza el atestiguamiento de dispositivo con los servidores de Apple y se verifica criptográficamente la tenencia del dispositivo en Jamf Pro. No se requiere interacción del usuario ni inicio de sesión.

  • El tráfico de red vinculado a Entra generado desde navegadores o aplicaciones en el dispositivo se cifra y se valida criptográficamente en el borde de nube global de Jamf. Se evalúa el contexto del dispositivo según criterios de acceso, como nivel de riesgo y pertenencia al grupo.

  • Si se permite el acceso, el tráfico generado por el dispositivo se enruta hacia Entra a través de:

Una puerta de enlace de salida de Internet IP dedicada. Esto utiliza NAT para presentar el tráfico del dispositivo de modo que parezca originarse desde una de dos direcciones IP públicas (globales) de alta disponibilidad.

  • Un túnel IPSec dedicado. Esto utiliza una ruta VPN IPSec de sitio a sitio para enviar los paquetes del dispositivo directamente a la propia red de una empresa. Se utiliza NAT para presentar dispositivos con una dirección IP de origen perteneciente a una subred privada configurada en la LAN/DMZ/VPC.

  • Si se deniega el acceso (por ejemplo, debido a un dispositivo que no es compatible), el tráfico se reenvía a través de una dirección IP "pública", que no es de confianza para la organización.

  • Las políticas de acceso condicional se emparejan para permitir inicios de sesión desde dispositivos cuyo tráfico proviene de direcciones IP de confianza (usando ubicaciones con nombre), y bloquean tráfico que se origina desde IPs que no son de confianza.

  • El usuario inicia sesión de acuerdo con los requisitos de autenticación de usuario de la política de acceso condicional de la aplicación de destino (por ejemplo, MFA). Pueden acceder a la aplicación.

  • Utilizando la API de cumplimiento de dispositivos asociados de Microsoft, el estado "Compatible" del dispositivo se actualiza a Entra/Intune cuando:

El dispositivo se registra con Entra a través de inicio de sesión único de plataforma.

  • El usuario registra su dispositivo en autoservicio, por ejemplo, para obtener acceso a una aplicación más confidencial más allá de aplicaciones de productividad básicas.

Para un análisis técnico profundo de cómo funciona la arquitectura de enrutamiento ZTNA de Jamf para proporcionar acceso de menor privilegio basado en micro túneles a recursos específicos únicamente, sin exponer IPs o subredes internas a puntos finales, consulte guía del ingeniero de redes para Jamf Connect ZTNA.

Pasos de configuración de la aplicación de ejemplo "Mi IP en un mapa"

Gracias a la plataforma integrada y nativa en la nube de Jamf, configurar el cumplimiento de dispositivos atestiguados es muy sencillo. Primero configuraremos una aplicación SaaS de ejemplo para validar el enrutamiento basado en relé antes de agregar políticas de acceso condicional de Entra.

Con los privilegios y derechos de acceso apropiados, esta configuración se puede completar dentro de una hora.

Requisitos previos

Para configurar esta solución, necesitará lo siguiente:

  • Uno o más dispositivos Apple de prueba

Nota: puede usar dispositivos iOS, iPadOS, macOS o visionOS para probar la configuración. Todos funcionan de manera idéntica con cumplimiento de dispositivos atestiguados.

  • Los dispositivos están inscritos en Jamf Pro

Estos pasos son específicos de Jamf, pero también pueden aplicarse a dispositivos administrados por Intune.

  • Acceso a los portales de Jamf Pro y Jamf Security Cloud

Una cuenta de administrador de Jamf Pro con la capacidad de crear una credencial de cliente de API que pueda administrar dispositivos móviles, grupos inteligentes de dispositivos móviles, computadoras y grupos inteligentes de computadoras.

  • Una cuenta de administrador de Jamf Security Cloud con derechos de administrador global o administrador de acceso.

Si no tiene un entorno de Jamf Security Cloud, comuníquese con su representante o socio de Jamf.

  • Administración de políticas de infraestructura perimetral en red.

Dependiendo de cómo se conectará a su infraestructura (integración de IdP o firewall), un administrador con privilegios de configuración de infraestructura o política apropiados deberá permitir tráfico desde Jamf Security Cloud.

Nota: puede configurar completamente el enrutamiento de dispositivos sin esto, pero sus capacidades y capacidades serán inherentemente limitadas hasta que se completen estos pasos.

Configurar Jamf Pro

Paso 1: crear o copiar un grupo inteligente de cumplimiento en Jamf Pro

La creación de este grupo inteligente ayudará a simplificar la asignación a lo largo de esta guía. Si ya ha creado un grupo inteligente que le gustaría usar para sus dispositivos, puede usar ese en su lugar.

  • Inicie sesión en Jamf Pro con su SSO de cuenta de Jamf u otras credenciales.

  • Navegue a dispositivos y seleccione grupos inteligentes de dispositivos.

  • Haga clic en el botón + nuevo para crear un nuevo grupo inteligente.

  • Proporcione un nombre para mostrar apropiado, le recomendamos "dispositivos compatibles". Proporcione una descripción según lo desee.

  • Seleccione la pestaña criterios en la parte superior de la pantalla y luego haga clic en + agregar.

  • Defina uno o más criterios que definan un dispositivo "compatible".

Si está probando: considere limitar el alcance a un solo dispositivo o grupo de dispositivos de prueba antes de extender a una población más amplia.

  • Haga clic en guardar para crear el grupo inteligente.

Configurar e implementar una configuración de relé de red

En esta sección, configuramos la plataforma Jamf para configurar e implementar una configuración de relé de red en dispositivos Apple administrados.

Paso 1: configurar la conexión UEM en Jamf Security Cloud

Este paso vincula Jamf Security Cloud con Jamf Pro para ayudar con la implementación y validación continua de la inscripción de dispositivos para garantizar que solo los dispositivos administrados con niveles de riesgo apropiados puedan usar el servicio de relé de red.

Se recomienda encarecidamente completar la configuración del webhook para garantizar una experiencia del usuario perfecta inmediatamente después de las nuevas inscripciones de dispositivos.

Paso 2: configurar un perfil de activación de relé de red

  • Navegue a dispositivos > perfiles de activación. Seleccione el botón crear perfil.

  • Seleccione la capacidad de acceso de red y luego haga clic en siguiente.

Opcionalmente, puede implementar las capacidades de seguridad (protección contra amenazas de red y defensa contra amenazas móviles) y/o controles de contenido (filtrado de contenido de categoría), sin embargo, requieren pasos adicionales de implementación de la aplicación Jamf Trust que está fuera del alcance de este documento.

  • Cuando se le pida autenticación, seleccione atestiguamiento de dispositivo administrado y luego haga clic en siguiente.

Si requiere conectividad siempre activada que el usuario no pueda deshabilitar, seleccione bloqueado.

  • Proporcione un nombre para el perfil de activación para referencia fácil. Le sugerimos "relé de red de cumplimiento de dispositivos atestiguados"

  • Defina un grupo para agregar los dispositivos que se activan usando este perfil. Le sugerimos "dispositivos de cumplimiento de dispositivos atestiguados" a menos que tenga una política de grupo de dispositivos alternativa. Siempre puede cambiar esto más tarde. Haga clic en siguiente.

  • Revise la configuración y luego seleccione guardar y crear.

Paso 3: implementar el perfil de activación en dispositivos

Este paso requiere que la conexión UEM se configurara correctamente.

  • En la pantalla que aparece, asegúrese de que los botones Jamf Pro e iOS/iPadOS/tvOS/visionOS estén seleccionados. Expanda perfiles de configuración.

  • En acciones UEM, seleccione el menú desplegable grupo UEM y seleccione el grupo inteligente de cumplimiento que creó en Pro en un paso anterior.

Nota: si su grupo no aparece cuando se hace clic, comience a escribir el nombre del grupo inteligente y debería aparecer.

  • Si omite este paso, deberá alcance manualmente el perfil de configuración móvil que se envía a Pro en un grupo inteligente.

  • Cuando esté listo, haga clic en implementar en Jamf Pro. Esto implementará la configuración de relé en todos los dispositivos que coincidan con los criterios del grupo inteligente definido.

Nota: En este punto, no se han definido políticas de acceso, por lo que si bien la configuración de relé se enviará al dispositivo, ningún tráfico se enrutará mediante ella. Configuraremos eso a continuación.

  • Repita los pasos anteriores, pero seleccionando macOS como tipo de plataforma si prueba con Macs.

Configurar una política de acceso de ejemplo

En esta sección, configuramos la configuración de enrutamiento y las políticas para enrutar tráfico empresarial seleccionado desde el dispositivo a destinos de ejemplo de SaaS para validar que el enrutamiento funciona correctamente antes de introducir políticas de acceso condicional de Entra.

Esta guía usa una "puerta de enlace de Internet compartida" para simplificar el enrutamiento basado en relé y ponerlo en funcionamiento.

Para uso en producción, se recomienda encarecidamente configurar y usar una puerta de enlace de Internet dedicada o una puerta de enlace IPSec dedicada en función de sus requisitos de conectividad y seguridad. Navegue a integraciones > puertas de enlace de acceso en Jamf Security Cloud para configurar puertas de enlace privadas, que luego pueden usarse fácilmente en lugar de una puerta de enlace compartida como se configura en esta guía.

Paso 1: configurar la política de acceso "Mi IP en un mapa"

  • En Jamf Security Cloud, navegue a políticas > política de acceso y haga clic en crear política.

  • Seleccione aplicación predefinida, elija Mi IP en un mapa de las aplicaciones disponibles y luego haga clic en siguiente.

  • Opcionalmente defina una categoría y luego haga clic en siguiente.

  • Los nombres de host de ejemplo para la aplicación Mi IP en un mapa ya están definidos. Haga clic en siguiente para proceder.

  • Opcionalmente seleccione los grupos de dispositivos que deben tener acceso a esta aplicación, que deben incluir el grupo de dispositivos de cumplimiento que puede haber definido anteriormente (si no está seleccionado todo).

  • Habilite acceso requiere que el dispositivo sea administrado y luego haga clic en siguiente.

Para simplificar las pruebas, recomendamos dejar la validación de riesgo deshabilitada en este punto. Una vez que la implementación se valide y se entienda bien la validación basada en riesgos, ¡es una característica excelente para habilitar!

  • En la pantalla enrutamiento de tráfico de aplicación, asegúrese de que cifrar y enrutar a través de ZTNA: esté seleccionado y luego seleccione centro de datos más cercano.

Para esta aplicación de prueba específica de Mi IP en un mapa, le recomendamos no usar una puerta de enlace de acceso personalizada.

  • Dejando otras configuraciones en su configuración predeterminada, haga clic en siguiente.

  • Revise la configuración y luego haga clic en guardar y crear aplicación.

Paso 2: reimplementar la política de acceso del relé de red

  • Navegue a dispositivos > perfiles de activación y seleccione el perfil de activación que definió anteriormente.

  • Expanda perfiles de configuración y luego haga clic en implementar en Jamf Pro.

Paso 3: confirmar el enrutamiento de relé en el dispositivo

  • En un dispositivo de prueba, abra Safari.

  • Navegue a map.wandera.com

  • Si ve una dirección IP y un mapa, ¡felicitaciones! Su configuración de relé funciona correctamente.

Si ve "prohibido", revise los pasos anteriores y asegúrese de que la configuración de relé se implementara en su dispositivo en la aplicación configuración (o preferencias del sistema para macOS) en VPN y relés.

Microsoft Conditional Access: configuración del cumplimiento de dispositivos atestiguados

Usando el servicio de relé de Jamf en combinación con políticas de acceso condicional de Microsoft, el acceso se puede restringir a dispositivos Apple de confianza con una experiencia de usuario perfecta, mientras se mejora la seguridad en el proceso.

Cómo funciona

  • Un dispositivo administrado se implementa un perfil de configuración móvil con cargas útiles de relé de red y ACME.

  • Utilizando atestiguamiento de dispositivo administrado, el certificado ACME se emite al dispositivo después de que Apple valida el hardware en sus servidores de atestiguamiento. La clave privada del certificado se bloquea en el enclave seguro del dispositivo y nunca se puede ver ni compartir.

  • Se utiliza un túnel de relé QUIC/HTTP3 (MASQUE) TLS mutuo para encapsular todo el tráfico de autenticación de Microsoft Entra que sale del dispositivo. Este túnel ofusca todo el tráfico de Entra, lo protege de ataques TLS de intermediarios adversarios y aprovecha QRC cuando se admite.

  • El servicio de relé de Jamf termina el túnel MASQUE de entrada, verificando la integridad del identificador del dispositivo a través del certificado TLS del cliente mientras también verifica que el dispositivo esté inscrito en el inquilino vinculado de Jamf Pro del cliente y satisface otras políticas de cumplimiento y acceso. ¡El tráfico de Entra no se descifra ni se modifica de otra manera en este proceso!

  • Suponiendo que se hayan aprobado todas esas verificaciones, el tráfico de Entra se egresa a Internet usando direcciones IP de alta disponibilidad dedicadas a inquilinos. En otras palabras, solo dispositivos Apple genuinos que están activamente inscritos y son compatibles en el entorno Jamf Pro vinculado del cliente pueden usar estas direcciones IP de Internet dedicadas.

  • Estas direcciones IP se configuran como ubicaciones con nombre en la configuración de acceso condicional de Microsoft.

  • Estas ubicaciones con nombre se utilizan para omitir la política de cumplimiento de dispositivos típica de Jamf utilizada para dispositivos Apple no administrados por Jamf (o no autorizados). Las mismas ubicaciones con nombre se utilizan para una nueva política de acceso condicional que permite el acceso desde dispositivos que se originan desde la ubicación con nombre (IPs) sin requerir cumplimiento de dispositivos.

El efecto neto es efectivamente el mismo: en lugar de enviar el bit de cumplimiento de dispositivo a Entra para determinar la política de acceso condicional, la verificación de cumplimiento ocurre en la plataforma de Jamf. Solo los dispositivos administrados y compatibles podrán usar el IP de confianza / ubicación con nombre. Este enfoque también agrega mejoras significativas de experiencia del usuario (no se requieren pasos específicos de configuración del usuario final) mientras que mejora enormemente la seguridad encapsulando y protegiendo el tráfico de Entra en cualquier red de confianza o que no es de confianza en la que se encuentre el dispositivo.

Configuración de políticas de acceso condicional de Entra para atestiguamiento de dispositivos atestiguados

Requisitos previos

  • Ha configurado e implementado exitosamente la aplicación de ejemplo SaaS Mi IP en un mapa.

  • Usted, o un colega con el que pueda trabajar, tiene acceso para configurar políticas de acceso condicional de Microsoft.

Paso 1: crear una puerta de enlace de salida de Internet dedicada en Jamf Security Cloud

En este paso, creará un par de direcciones IP globales (públicas) dedicadas que estarán disponibles únicamente para su organización y nadie más.

  • En Jamf Security Cloud, navegue a integraciones > puertas de enlace de acceso.

  • Al lado de puerta de enlace de Internet dedicada seleccione crear puerta de enlace.

  • Proporcione un nombre para la puerta de enlace y defina una región de salida de su elección.

Nota: puede crear múltiples puertas de enlace de Internet dedicadas y luego "agruparlas". Esto permite que la puerta de enlace de salida más cercana se use para un usuario que puede conectarse a un punto de presencia de Jamf en esa región. Esta configuración está fuera del alcance de este documento, comuníquese con el soporte de Jamf si necesita asistencia adicional.

  • Una vez creada, tome nota de las dos IP públicas que se devuelven. Se utilizarán en la configuración de ubicaciones con nombre en Microsoft Entra.

Paso 2: crear una política de acceso de Microsoft Entra usando la puerta de enlace de IP dedicada

  • En Jamf Security Cloud, navegue a políticas > políticas de acceso y luego haga clic en crear política.

  • Seleccione aplicación predefinida y luego seleccione autenticación de Microsoft de la lista de aplicaciones que aparecen.

Nota: no es necesario configurar otras aplicaciones de Microsoft como se muestra en las políticas de acceso para que funcionan los controles de acceso condicional.

  • Opcionalmente defina una categoría y luego haga clic en siguiente.

  • Los nombres de host para Microsoft Entra ya están definidos. A menos que utilice una configuración de Entra muy especializada, haga clic en siguiente para proceder.

  • Opcionalmente seleccione los grupos de dispositivos que deben tener acceso a esta aplicación, que deben incluir el grupo de dispositivos de cumplimiento que puede haber definido anteriormente (si no está seleccionado todo).

  • Habilite acceso requiere que el dispositivo sea administrado y luego haga clic en siguiente.

Para simplificar las pruebas, recomendamos dejar la validación de riesgo deshabilitada en este punto. Una vez que la implementación se valide y se entienda bien la validación basada en riesgos, ¡es una característica excelente para habilitar!

  • En la pantalla enrutamiento de tráfico de aplicación, asegúrese de que cifrar y enrutar a través de ZTNA: esté seleccionado y luego seleccione la puerta de enlace de Internet dedicada que creó en el paso anterior.

  • Dejando otras configuraciones en su configuración predeterminada, haga clic en siguiente.

  • Revise la configuración y luego haga clic en guardar y crear aplicación.

Paso 3: reconfiguración de relé y validación en el dispositivo

  • En Jamf Security Cloud, navegue a dispositivos > perfiles de activación y seleccione el perfil de activación que definió anteriormente.

  • Expanda perfiles de configuración y luego haga clic en implementar en Jamf Pro.

  • En el dispositivo de prueba, abra la aplicación configuración y navegue a VPN y relés. Seleccione la opción "i" junto al relé de red y verifique que vea login.microsoftonline.com en la lista de nombres de host.

Paso 4: crear una ubicación con nombre en Microsoft Entra

  • Con una credencial de Microsoft Entra autorizada apropiadamente, inicie sesión en Microsoft Entra.

  • En la navegación izquierda en Entra ID, navegue a acceso condicional.

  • En administrar, seleccione ubicaciones con nombre.

  • Haga clic en + ubicación de rangos de IP.

  • Defina un nombre, le sugerimos dispositivos compatibles de relé de Jamf y marque la casilla marcar como ubicación de confianza

  • Haga clic en el botón + para agregar cada dirección IP que copió anteriormente de la configuración de salida de Internet dedicada en Jamf Security Cloud

Asegúrese de anexar /32 al final de cada dirección IP que se ingrese.

  • Cuando termine, haga clic en crear para crear la ubicación con nombre.

Paso 5: crear una política de acceso condicional de cumplimiento de disposit