Guides

조직의 리소스에 액세스하려는 장치에서 장치 관리를 설정할 수 없는 경우가 있습니다. 여기에는 다음이 포함됩니다:

• 다른 장치 관리 인스턴스에 바인딩된 계약자 장치.
• 개인 정보 보호 이유로 장치 관리를 배포할 수 없는 BYO Mac / BYO PC 시나리오.

Error: Security Warning

관리되지 않은 장치에 데이터 리소스에 대한 액세스를 확장하면 해당 데이터에 대한 신뢰할 수 있는 액세스 보안 모델의 효능이 크게 감소합니다.

더 이상 그 데이터 리소스에 액세스할 권한 있는 장치를 요구하지 않음으로써 리소스는 필연적으로 모든 장치에서 사용 가능하므로 사용자 자격 증명 기반 공격에 훨씬 더 취약합니다.

이 방법을 사용하는 경우 노출되는 데이터의 민감성을 유의하고 사용자 전용 등록 장치에 대한 액세스를 최대한 좁게 정의합니다.

이 등록 방법을 사용하면 사용자가 Jamf Trust를 설치하고 IdP 자격 증명을 사용하여 활성화합니다. 그러면 데이터 리소스를 할당된 액세스 정책에 따라 사용자 및 장치에서 사용할 수 있습니다.

Jamf Trust를 통한 사용자 전용 데이터 액세스 활성화

이 배포 모델의 구성에는 Identity 기반 등록을 구성하여 IdP 자격 증명만으로 Jamf Trust를 활성화하는 데 관리를 받지 않은 장치를 사용할 수 있습니다.

1. 신뢰할 수 있는 장치를 위한 액세스 활성화의 단계를 따라 RADAR에서 Private Access를 구성합니다. 다음 수정을 포함합니다:
   1. Unmanaged Devices라는 제목의 새 Activation Profile을 만듭니다. 다음 구성을 포함합니다:
      1. Device Group을 Unmanaged User-Only Devices라는 새 그룹으로 설정합니다.
      2. 이 활성화 프로필을 사용할 ID 제공자 사용자를 선택합니다.
      3. Capabilities의 경우 최소한 Zero Trust Network Access를 선택합니다.
   2. 방금 만든 Unmanaged Devices 활성화 프로필에 대해 Identity-Based Provisioning을 구성합니다.
   3. RADAR에서 액세스 정책을 다음과 같이 수정합니다:
      1. 민감한 애플리케이션의 경우 정책의 Users and Groups 구성에서 Everyone이 선택되지 않았는지 확인합니다.
      2. 사용자 전용 장치에 액세스할 수 있어야 하는 애플리케이션의 경우 Users and Groups에 대해 Limited 옵션을 선택하고 위에서 만든 Unmanaged User-Only Devices 그룹을 포함해야 합니다.
      3. Unmanaged User-Only Devices에서 사용 가능한 액세스 정책이 Traffic Matching 구성에서 모든 서브넷 트래픽 정의(예: /24)를 가지도록 구성하는 것이 STRONGLY 권장됩니다.

사용자는 이제 해당 플랫폼의 공개 App Store(또는 here Windows의 경우)에서 Jamf Trust 앱을 다운로드한 다음 프롬프트에 따라 IdP 자격 증명으로 로그온할 수 있습니다. 앱이 활성화되고 액세스 정책에서 구성된 애플리케이션에 네트워킹 액세스가 제공됩니다.

RADAR > Devices > Manage에서 장치 항목을 삭제하여 언제든지 사용자로부터 액세스를 취소할 수 있습니다. 자격 증명이 여전히 유효하고 ID 제공자 통합 구성이 허용하면 사용자가 다시 등록할 수 있음을 주의하십시오.