組織のリソースへのアクセスが必要なデバイスでデバイス管理を確立できない場合があります。これには以下が含まれます:
- 別のデバイス管理インスタンスにデバイス管理がバインドされている契約社員のデバイス。
- プライバシー上の理由によりデバイス管理を展開できない BYO Mac / BYO PC シナリオ。
エラー: セキュリティ警告
管理されていないデバイスにデータリソースへのアクセスを拡張する場合、そのデータの Trusted Access セキュリティモデルの有効性が 大幅に低下します。
そのデータリソースにアクセスするための認可されたまたは安全なデバイスを要求しなくなることで、リソースは必然的にあらゆるデバイスで利用可能になり、ユーザー認証情報ベースの攻撃にはるかに脆弱になります。
この方法を使用する場合は、公開されるデータの機密性に注意し、ユーザーのみ登録されたデバイスへのアクセスをできるだけ狭く定義してください。
この登録方法では、ユーザーが Jamf Trust をインストールし、IdP 認証情報を使用してアクティベートします。その後、割り当てられたアクセスポリシーに基づいて、ユーザーとデバイスでデータリソースが利用可能になります。
Jamf Trust 経由でユーザーのみのデータアクセスを有効にする
この展開モデルの構成には、Identity-based Enrollments を構成し、IdP 認証情報のみを使用して Jamf Trust をアクティベートできる管理されていないデバイスを有効にする必要があります。
- 信頼済みデバイスへのアクセスを有効にするの手順に従い、RADAR で Private Access を構成します。以下の変更を加えてください:
Unmanaged Devicesというタイトルの新しい Activation Profile を作成し、以下の設定を行います:- Device Group を
Unmanaged User-Only Devicesという名前の新しいグループに設定します。 - このアクティベーションプロファイルを使用する ID プロバイダーユーザーを選択します。
- Capabilities では最小限 Zero Trust Network Access を選択します。
- Device Group を
- 作成したばかりの
Unmanaged Devicesアクティベーションプロファイルに対して Identity-Based Provisioning を構成します。 - RADAR のアクセスポリシーを次のように変更します:
- 機密性の高いアプリケーションについては、ポリシーの Users and Groups 設定で
Everyoneが選択されていないことを確認してください。 - ユーザーのみのデバイスでアクセス可能にする必要があるアプリケーションについては、Users and Groups の Limited オプションを選択し、上記で作成した
Unmanaged User-Only Devicesグループが含まれていることを確認してください。 Unmanaged User-Only Devicesで利用可能なアクセスポリシーは、Traffic Matching 設定のサブネット全体トラフィック定義(例:/24)を使用して構成することが 強く推奨されます。
- 機密性の高いアプリケーションについては、ポリシーの Users and Groups 設定で
ユーザーは、プラットフォームのパブリック App Store から Jamf Trust アプリをダウンロードできます(Windows の場合はこちら)。その後、プロンプトに従って IdP 認証情報でサインオンします。アプリはアクティベートされ、ネットワークアクセスは、デバイス用のアクセスポリシーで構成されたアプリケーションで利用可能になります。
アクセスは RADAR > Devices > Manage でデバイスエントリを削除することで、いつでもユーザーから取り消すことができます。ユーザーの認証情報がまだ有効であり、ID プロバイダー統合の設定がそれを許可している場合、ユーザーは再登録することができる点に注意してください。