Jamf Concepts
Guides

Guides

Activation de l'accès pour les appareils de confiance

~6 min read

Après avoir établi la confiance des appareils et configuré vos politiques de menace et de risque, vous êtes prêt à fournir à ces appareils « autorisés et sécurisés » un accès sécurisé à vos ressources d'entreprise.

La solution Trusted Access nécessite l'utilisation de Jamf Connect, produit d'accès réseau Zero Trust natif du cloud de Jamf, pour faciliter une connectivité performante et conviviale tout en offrant des capacités de sécurité réseau avancées pour toute application SaaS, cloud privé ou sur site.

Vous pouvez également utiliser des intégrations partenaires qui utilisent la signalisation API pour indiquer l'état de gestion et de conformité d'un appareil donné. Ces intégrations ne s'appliquent qu'à un sous-ensemble d'applications et peuvent être utilisées à la place de ou en plus de Jamf Connect selon vos besoins.

Info : Qu'en est-il de mon VPN existant ?

Jamf Connect ne doit pas être confondu avec d'autres produits VPN et ZTNA. Bien qu'il offre un accès à distance sécurisé aux ressources comme un VPN, il active Trusted Access de manière unique et très significative :

  • Il est natif du cloud, utilise la technologie de tunnelage Wireguard de nouvelle génération et adopte des intégrations d'identité avancées, qui ensemble offrent une expérience utilisateur quasi invisible et appréciée.
  • Il est conçu dès le départ selon les principes d'accès avec privilèges minimum, garantissant que les utilisateurs autorisés ne peuvent accéder que aux données dont ils ont besoin, pas à tout ce qui se trouve sur le réseau interne.
  • Il s'intègre nativement aux produits de gestion et de sécurité Jamf pour garantir que seuls les appareils autorisés et sécurisés peuvent accéder aux ressources en fonction de votre propre définition de politique basée sur les risques.

Par conséquent, l'utilisation d'une solution VPN tierce ne peut pas satisfaire aux exigences nécessaires pour réaliser Trusted Access.

Pour les appareils macOS, vous pouvez configurer davantage l'accès conditionnel partenaire via Jamf Pro pour permettre aux services partenaires d'autoriser ou de refuser l'accès en fonction de l'état de conformité de l'appareil (par exemple, l'appartenance à un groupe intelligent).

Déploiement de Jamf Connect

En déployant Jamf Connect, vous créez un chemin réseau privé et de confiance entre les points de terminaison gérés et toutes les applications de votre organisation.

Info : Remarque

Vous aurez besoin d'accès à un compte Jamf Security Cloud (RADAR) concédé en licence pour Jamf Connect afin de terminer ces étapes.

Si vous n'avez pas de compte, veuillez contacter votre équipe de compte Jamf afin qu'elle puisse vous créer un compte de démonstration gratuit !

Suivez ces étapes pour mettre en place Jamf Connect dans votre environnement et établir une connectivité rapide et sécurisée :

  1. Consultez et comprenez l'architecture de Jamf Connect, ou regardez cette vidéo JNUC'21 de 20 minutes qui vous la présente.

  2. Connectez-vous à votre compte Jamf Security Cloud et liez votre fournisseur d'identité pour permettre aux utilisateurs finaux d'activer Private Access via l'application Jamf Trust en utilisant leurs identifiants d'entreprise.

  3. Créez un profil d'activation qui configure les capacités de service Accès réseau, Contrôles de contenu et Sécurité et utilise votre fournisseur d'identité pour l'authentification. JSC-ActivationProfile-TA.png

    1. Assurez-vous de désactiver l'approvisionnement basé sur l'identité pour votre profil d'activation nouvellement créé. Cela garantira que seuls les appareils gérés peuvent s'activer en l'utilisant.
    2. Vous pouvez créer d'autres profils d'activation qui utilisent cette fonctionnalité pour couvrir les appareils des entrepreneurs ou d'autres appareils qui ne peuvent pas être inscrits à MDM, mais qui ne devraient avoir qu'un accès très limité à la place.

  4. Définissez les groupes d'appareils qui seront utilisés pour mapper les utilisateurs et leurs appareils aux applications spécifiques auxquelles ils doivent (ou ne doivent pas) pouvoir accéder (par exemple, « Cadres », « Ingénierie », « Ventes »).

  5. Configurez l'intégration avec Jamf Pro.

    1. Configurez le mappage des groupes pour mapper les groupes intelligents Jamf Pro aux groupes appropriés que vous avez définis ci-dessus.
    2. (Optionnel) Définissez les mappages de champs d'appareil selon les besoins.

  6. Établissez un accès sécurisé à vos applications et ressources de données en configurant une ou plusieurs passerelles d'interconnexion privées entre Jamf Security Cloud et votre ou vos centre(s) de données et cloud(s) privé(s).

  7. Configurez une ou plusieurs zone(s) DNS personnalisée(s) si vous utilisez un serveur de noms interne ou un DNS à cerveau partagé pour accéder aux ressources internes.

  8. Configurez les politiques d'accès qui définissent les applications de votre organisation, leurs politiques d'accès et leur accessibilité (soit via Internet public, soit via une passerelle d'interconnexion privée configurée).

    1. Si l'application que vous définissez contient des données sensibles, assurez-vous de limiter l'accès uniquement aux groupes qui en ont besoin dans l'onglet Utilisateurs et groupes, et définissez le niveau de risque maximal tolérable dans l'onglet Sécurité de la politique d'accès.
    2. Remarque : vous pouvez personnaliser la gravité de chaque catégorie de menace qui détermine le score de risque d'un appareil en utilisant la configuration de politique de sécurité de RADAR.

  9. Déployez Jamf Trust sur les appareils (l'agent de point de terminaison Jamf Connect) en utilisant Jamf Pro ou d'autres outils de gestion d'appareils applicables pour les plates-formes de vos appareils inscrits.

    1. Pour les appareils iOS/iPadOS BYOD, assurez-vous de suivre les instructions spécifiques « Déployer Jamf Trust » pour l'inscription utilisateur.

Lorsque Jamf Connect est correctement déployé et configuré, toute la connectivité des applications d'entreprise est chiffrée vers Jamf Security Cloud et soumise aux politiques d'accès qui ont été définies.

Pour une explication technique détaillée de la façon dont Private Access fonctionne, consultez notre Guide de l'ingénieur réseau pour Private Access.

Intégrations des états de gestion des partenaires

Bien que Jamf Connect soit utilisé pour activer la connectivité et le contrôle d'accès basés sur le réseau à toute application TCP ou UDP – y compris les applications SaaS et sur site privées – il est possible de signaler l'état de gestion d'un appareil et d'autres métadonnées via des intégrations avec certains partenaires.

Cela permet à la plateforme du partenaire de déterminer si un appareil donné est géré par Jamf Pro et répond à des exigences de conformité spécifiques. Elle peut également être utilisée pour signaler l'état de conformité ou le niveau de risque de l'appareil pour favoriser un accès basé sur les risques aux données de l'entreprise. Ces signaux sont utilisés pour informer les politiques telles que définies dans la plateforme d'accès du partenaire.

Les intégrations de gestion des partenaires de Jamf incluent :

Restriction de l'accès pour les appareils anonymes

Après avoir implémenté l'une ou les deux stratégies ci-dessus pour identifier les appareils de confiance, l'étape suivante consiste à configurer les applications pour n'autoriser les connexions que provenant de ces appareils « de confiance ».

Consultez Restriction de l'accès pour les appareils anonymes pour plus de détails.