Il existe des scénarios occasionnels dans lesquels l'établissement de la gestion des appareils sur un appareil nécessitant l'accès aux ressources organisationnelles n'est pas possible. Cela inclut :
- Les appareils des sous-traitants pour lesquels la gestion des appareils est liée à une autre instance de gestion des appareils.
- Les scénarios BYO Mac / BYO PC où la gestion des appareils ne peut pas être déployée pour des raisons de confidentialité.
Erreur : Avertissement de sécurité
Si l'accès aux ressources de données est étendu à des appareils non gérés, vous diminuez considérablement l'efficacité du modèle de sécurité Trusted Access pour ces données.
En n'exigeant plus un appareil autorisé ou sûr pour accéder à cette ressource de données, la ressource est nécessairement disponible sur n'importe quel appareil, ce qui la rend beaucoup plus vulnérable aux attaques basées sur les identifiants d'utilisateur.
Si vous utilisez cette méthode, soyez conscient de la sensibilité des données exposées et définissez l'accès aux appareils inscrits réservés aux utilisateurs de manière aussi étroite que possible.
Avec cette méthode d'inscription, un utilisateur installe Jamf Trust et l'active en utilisant ses identifiants IdP. Les ressources de données sont ensuite disponibles pour l'utilisateur et l'appareil en fonction de leurs stratégies d'accès attribuées.
Activation de l'accès aux données réservé aux utilisateurs via Jamf Trust
La configuration de ce modèle de déploiement implique la configuration des inscriptions basées sur l'identité, en permettant aux appareils sans gestion d'activer Jamf Trust en utilisant uniquement les identifiants IdP.
- Suivez les étapes décrites dans Activation de l'accès pour les appareils de confiance pour configurer Private Access dans RADAR, avec les modifications suivantes :
- Créez un nouveau Profil d'activation intitulé
Unmanaged Devicesavec les configurations suivantes :- Définissez le Groupe d'appareils sur un nouveau groupe nommé
Unmanaged User-Only Devices - Sélectionnez le fournisseur d'identité que les utilisateurs de ce profil d'activation doivent utiliser.
- Pour Fonctionnalités, sélectionnez au minimum Zero Trust Network Access.
- Définissez le Groupe d'appareils sur un nouveau groupe nommé
- Configurez Provisionnement basé sur l'identité pour le profil d'activation
Unmanaged Devicesque vous venez de créer. - Modifiez vos stratégies d'accès dans RADAR comme suit :
- Pour les applications sensibles, assurez-vous que
Everyonen'est PAS sélectionné dans la configuration Utilisateurs et groupes de la stratégie. - Pour les applications qui doivent être accessibles aux appareils réservés aux utilisateurs, sélectionnez l'option Limité pour Utilisateurs et groupes et assurez-vous d'inclure le groupe
Unmanaged User-Only Devicescréé ci-dessus. - Il est FORTEMENT recommandé que les stratégies d'accès disponibles pour
Unmanaged User-Only Devicessoient configurées avec toute définition de trafic à l'échelle du sous-réseau (par exemple/24) dans la configuration Correspondance de trafic.
- Pour les applications sensibles, assurez-vous que
- Créez un nouveau Profil d'activation intitulé
Les utilisateurs peuvent maintenant télécharger l'application Jamf Trust depuis l'App Store public de leur plateforme (ou ici pour Windows), puis se connecter avec leurs identifiants IdP comme indiqué. L'application s'activera et l'accès réseau sera disponible pour les applications configurées dans les stratégies d'accès pour l'appareil.
L'accès peut être révoqué de l'utilisateur à tout moment en supprimant son entrée d'appareil dans RADAR > Appareils > Gérer. Notez que l'utilisateur sera en mesure de se réinscrire si ses identifiants sont toujours valides et que la configuration de votre intégration du fournisseur d'identité le permet.