Microsoft Entra를 위한 증명 장치 준수

많은 조직이 관리되고 준수하는 장치만 민감한 회사 리소스에 액세스하도록 허용하는 제로 트러스트 전략을 추구했습니다.

이것은 여러 가지 이유로 수행됩니다:

공격자가 도난당한 자격 증명(MFA 코드 포함)을 사용하여 로그인하려면 실제 회사 장치가 필요하도록 요구하여 피싱 공격을 극적으로 줄입니다.
해당 제어가 설치된 시스템에서만 리소스에 액세스하도록 허용하여 DLP(Data Loss Protection) 제어를 강화합니다.
장치가 준수를 벗어나거나 손상되면 승인된 사용자에 대한 액세스를 취소합니다.

대부분의 조직은 ID 제공자(IdP)를 사용하여 로그인 시 이러한 제어를 강제합니다. 하지만 ID 제공자는 장치가 관리되는지 여부를 어떻게 안정적으로 결정할 수 있습니까?

Microsoft Entra를 IdP로 사용하는 조직의 경우 Jamf는 Microsoft Partner Compliance API 통합을 구현했으며, 이는 Entra가 Jamf Pro에 따라 관리되고 준수하는 Apple 장치를 식별할 수 있게 합니다.

이 통합은 전 세계의 소규모 및 대규모 프로덕션 환경에 광범위하게 배포되고 사용되지만, 통합은 다음을 포함한 많은 내재적 설계 요소로 인한 최종 사용자 환경 문제가 발생합니다:

최종 사용자가 Entra에 올바르게 장치를 등록하기 위해 장치에서 특정 단계를 따라야 함
사용자가 액세스할 수 있어야 할 때 리소스에 액세스할 수 있는 능력을 방해할 수 있는 타이밍 및 업데이트 지연
장치가 잘못된 준수 상태로 표시되어 help desk 개입이 필요한 간헐적 서비스 오류

새로운 Apple 및 Jamf 플랫폼 기술 덕분에 Jamf는 이제 이러한 최종 사용자 환경 문제를 제거할 수 있어 Partner Compliance API가 제공하는 기능을 손상시키지 않으면서 사용자 환경을 극적으로 개선할 수 있습니다!

증명 장치 준수 소개

Microsoft Partner Compliance API 기반 통합은 Entra/Intune 내 각 Jamf Pro 관리 장치의 명시적 등록 및 리소스 액세스를 위해 "준수"로 표시되기 전에 대역 외 신호에 의존합니다. 반대로 증명 장치 준수는 Apple의 관리 장치 증명 기술로 뒷받침된 안전하고 제로터치 배포 네트워킹을 활용하여 Entra 등록이나 최종 사용자 상호 작용을 요구하지 않고 로그인 요청과 인라인으로 장치의 관리 및 준수 상태를 신호합니다.

이 접근 방식은 Partner Compliance API 업데이트가 특히 처음 온보딩하거나 준수 문제를 해결할 때 사용자가 예상하는 것보다 오래 걸릴 때 겪는 많은 사용자 경험 액세스 문제를 해결합니다. 증명 장치 증명을 통해 액세스가 거의 실시간으로 해결될 수 있지만 Partner Compliance는 계층화된 보호를 위해 극히 민감한 애플리케이션 및 Entra/Intune의 단일 창 끝점 준수 감사 목적으로 함께 사용되어야 합니다.

높은 수준에서, Partner Compliance API를 통해 신호된 "준수" 플래그를 활용하여 Entra 조건부 액세스 정책을 사용하여 리소스를 장치에서 사용할 수 있도록 하는 대신 "명명된 위치"가 대신 사용됩니다. 이 명명된 위치는 Entra에서 Jamf의 Security Cloud 서비스에 의해 조직에 발급된 IP 주소 쌍으로 정의됩니다. 실제로 이러한 IP 주소 중 하나를 사용하여 로그인하려는 모든 장치가 "준수"로 간주되며, 이것이 증명 장치 준수가 들어오는 곳입니다.

증명 장치 준수 아키텍처 다이어그램

이러한 IP 주소 중 하나를 사용하려면 주어진 장치가 다음이어야 합니다:

Jamf Pro로 등록됨
Apple의 진정한 Apple 하드웨어로 증명됨
특정 Jamf 테넌트로 등록된 장치와 일치하는 증명 장치 식별자를 사용하여 암호화 방식으로 식별됨
만족스러운 준수 상태와 일치하는 Jamf Pro Smart Group에 있음
Jamf Security Cloud에서 정의된 위협 범주로서 위협이 없음

위의 any를 실패하면 장치는 신뢰할 수 있는 IP를 사용하는 능력을 잃게 되어 문제가 해결될 때까지 Entra에 따라 신뢰할 수 없는 장치로 나타나 액세스가 차단됩니다. 해결되면 장치는 약 1분 내에 자동으로 신뢰할 수 있는 IP를 사용하는 능력을 복원합니다.

장치 준수 기능 및 특징

아래 표는 두 가지를 함께 사용하는 경우를 포함하여 Partner Compliance와 증명 장치 준수를 비교합니다.

	Entra Partner Compliance	증명 장치 준수	Entra Partner Compliance + 증명 장치 준수 (권장)
통합 방법	API 기반, 로그인 흐름 외부	네트워크 기반, 로그인 흐름과 인라인	액세스 정책: 네트워크 기반

솔루션 개요

이 섹션은 증명 장치 준수가 Entra Partner Device Compliance와 함께 작동하고 환경에서 배포되는 방법에 대한 추가 기술 세부 사항으로 이동합니다.

증명 장치 준수는 다음을 사용하여 작동합니다:

제로터치 배포, 항상 활성, 하드웨어 바운드 및 네이티브 트래픽 벡터화 메커니즘(Network Relay)을 사용하여 끝점에서 Entra로 민감한 데이터를 전송합니다.
세계 어디에서나 모든 네트워크에서 빠른 연결을 제공하는 고가용성 정책 기반 글로벌 트래픽 라우팅 네트워크입니다.
필요에 따라 추가 보안/제어를 위한 개인 IPSec 사이트 간 터널 옵션뿐만 아니라 전용 개인 글로벌 IP 주소 인터넷 이그레스(HA 소스 IP 쌍).

높은 수준의 종단 간 환경은 다음을 포함합니다:

관리자가 Network Relay 배포 구성을 구성하고 하나 이상의 네트워크 이그레스(인터넷 IP 또는 IPSec 터널)를 정의하며 Entra Microsoft Authentication Access Policy의 정의를 정의합니다.
Apple 장치가 Jamf Pro에 등록됩니다.
릴레이 구성이 Pro에서 준수 기반 Smart Group 멤버십에 따라 장치에 자동으로 배포 및 활성화됩니다. 장치 증명은 Apple의 서버로 수행되며 Pro에서 장치의 테넌시가 암호화 방식으로 검증됩니다. 사용자 상호 작용 또는 로그인이 필요하지 않습니다.
Entra 바운드 네트워크 트래픽이 장치의 브라우저 또는 앱에서 생성되고 Jamf의 Global Cloud Edge에서 암호화되고 암호화 방식으로 검증됩니다. 장치의 컨텍스트는 위험 수준 및 그룹 멤버십과 같은 액세스 기준에 대해 평가됩니다.
액세스가 허용되면 장치에서 생성된 트래픽이 다음을 통해 Entra로 라우팅됩니다:

전용 IP 인터넷 이그레스 게이트웨이. 이것은 NAT를 사용하여 장치의 트래픽이 두 개의 높은 가용성 공용(글로벌) IP 주소 중 하나에서 발생하도록 표시합니다.

전용 IPSec 터널. 이것은 사이트 간 IPSec VPN 경로를 사용하여 장치의 패킷을 엔터프라이즈 자신의 네트워크에 직접 전달합니다. NAT는 LAN/DMZ/VPC에 구성된 개인 서브넷에 속하는 소스 IP를 가진 장치에 표시하는 데 사용됩니다.
액세스가 거부되면(예: 준수되지 않은 장치로 인해) 트래픽이 "공용" IP 주소를 통해 전달되며, 이는 조직에서 신뢰하지 않습니다.
조건부 액세스 polices는 신뢰할 수 있는 IP 주소(명명된 위치 사용)에서 발생한 트래픽을 가진 장치의 로그인을 허용하고 신뢰할 수 없는 IP에서 발생하는 트래픽을 차단하도록 맞춰집니다.
사용자는 대상 앱의 조건부 액세스 정책의 사용자 인증 요구 사항(예: MFA)에 따라 로그인합니다. 애플리케이션에 액세스할 수 있습니다.
Microsoft Parter Device Compliance API를 사용하여 장치의 "준수" 상태가 다음을 수행할 때 Entra/Intune으로 업데이트됩니다:

장치가 Platform Single Sign On을 통해 Entra에 등록됩니다.

사용자가 Self Service에서 장치를 등록합니다(예: 핵심 생산성 앱 이상의 민감한 앱에 액세스하도록).

Jamf의 ZTNA 라우팅 아키텍처가 제로 신뢰 액세스를 제공하는 방법에 대한 기술적 깊이에 대해서는 Network Engineer's Guide to Jamf Connect ZTNA를 참조하십시오.

"내 IP on a Map" 샘플 앱 구성 단계

Jamf의 클라우드 네이티브 및 통합 플랫폼 덕분에 증명 장치 준수를 설정하는 것은 매우 간단합니다. 먼저 Entra 조건부 액세스 정책을 추가하기 전에 릴레이 기반 라우팅을 검증하도록 샘플 SaaS 애플리케이션을 구성합니다.

적절한 액세스 권한 및 권리를 가지고 이 구성은 1시간 내에 완료할 수 있습니다.

전제 조건

이 솔루션을 구성하려면 다음이 필요합니다:

하나 이상의 Apple 테스트 장치

참고: iOS, iPadOS, macOS 또는 visionOS 장치를 사용하여 구성을 테스트할 수 있습니다. 모두 증명 장치 준수와 동일하게 작동합니다.

장치(들)이 Jamf Pro에 등록됨

이 단계는 Jamf에 특정하지만 Intune 관리 장치에도 적용될 수 있습니다.

Jamf Pro 및 Jamf Security Cloud 포털에 액세스

모바일 장치, 모바일 장치 Smart Group, 컴퓨터 및 컴퓨터 Smart Group을 관리할 수 있는 능력을 가진 Jamf Pro 관리자 계정.

Jamf Security Cloud 관리자 계정(전역 관리자 또는 액세스 관리자 권한 포함).

Jamf Security Cloud 환경이 없으면 Jamf 담당자 또는 파트너에게 문의하십시오.

네트워크 엣지 인프라 정책 관리.

IdP 및/또는 방화벽 통합에 연결하는 방법에 따라 Jamf Security Cloud의 트래픽을 허용할 적절한 정책 또는 인프라 구성 권한을 가진 관리자가 필요합니다.

참고: 이 없이 장치 라우팅을 완전히 구성할 수 있지만 이러한 단계를 완료할 때까지 액세스 및 기능이 본질적으로 제한됩니다.

Jamf Pro 구성

1단계: Jamf Pro에서 준수 Smart Group 생성 또는 복사

이 smart group을 만들면 이 가이드 전체에서 할당을 단순화하는 데 도움이 됩니다. 이미 장치에 사용할 Smart Group을 만든 경우 대신 사용할 수 있습니다.

Jamf Account SSO 또는 다른 자격 증명을 사용하여 Jamf Pro에 로그인합니다.
Devices로 이동하고 Smart Device Groups를 선택합니다.
+ New 버튼을 클릭하여 새 smart group을 만듭니다.
적절한 Display Name을 제공합니다. *"Compliant Devices"*를 권장합니다. 원하는 대로 설명을 제공합니다.
화면 상단의 Criteria 탭을 선택한 다음 + Add를 클릭합니다.
"준수" 장치를 정의하는 하나 이상의 기준을 정의합니다.

테스트 중인 경우: 더 광범위한 모집단으로 확장하기 전에 단일 장치 또는 테스트 장치 그룹으로 범위를 좁히는 것을 고려하십시오.

Save를 클릭하여 Smart Group을 생성합니다.

Network Relay 구성 및 배포

이 섹션에서는 관리되는 Apple 장치에 Network Relay 구성을 설정하고 배포하도록 Jamf 플랫폼을 구성합니다.

1단계: Jamf Security Cloud에서 UEM Connect 구성

이 단계는 Jamf Jamf Security Cloud를 Jamf Pro와 연결하여 배포 및 장치 등록의 지속적인 검증을 지원하여 적절한 위험 수준을 가진 관리되는 장치만 Network Relay 서비스를 사용할 수 있도록 합니다.

Jamf Account SSO 또는 다른 자격 증명을 사용하여 Jamf Security Cloud에 로그인합니다.
Integrations로 이동하고 UEM Connect를 선택합니다.
Jamf Pro에 대한 UEM Connect 구성의 단계를 따르고 설정이 성공적인 연결을 보고하는지 확인합니다.

새 장치 등록 직후 원활한 사용자 환경을 보장하기 위해 webhook 구성을 완료하는 것이 강력히 권장됩니다.

2단계: Network Relay 활성화 프로필 구성

Devices > Activation Profiles로 이동합니다. Create profile 버튼을 선택합니다.
Network access 기능을 선택한 다음 다음을 클릭합니다.

선택적으로 Security (네트워크 위협 보호 및 모바일 위협 방어) 및/또는 Content controls (카테고리 콘텐츠 필터링) 기능을 배포할 수 있지만 이러한 기능에는 이 문서의 범위에 없는 Jamf Trust 앱 배포의 추가 단계가 필요합니다.

Authentication을 선택하라는 메시지가 표시되면 Managed device attestation을 선택한 다음 다음을 클릭합니다.

사용자가 비활성화할 수 없는 항상 켜진 연결이 필요한 경우 Locked-down을 선택합니다.

활성화 프로필에 대한 Name을 제공합니다. "Attested Device Compliance Network Relay"를 제안합니다.
이 프로필을 사용하여 활성화할 장치를 추가할 Group을 정의합니다. *"Attested Device Compliance Devices"*를 제안하거나 대체 장치 그룹 정책이 있는 경우. 나중에 언제든지 변경할 수 있습니다. 다음을 클릭합니다.
구성을 검토한 다음 Save and Create를 선택합니다.

3단계: 장치에 활성화 프로필 배포

이 단계를 수행하려면 UEM Connect가 성공적으로 구성되어야 합니다.

표시되는 화면에서 Jamf Pro 및 iOS/iPadOS/tvOS/visionOS 버튼이 선택되었는지 확인합니다. Configuration profiles를 확장합니다.
UEM actions에서 UEM group 끌어당김 메뉴를 선택하고 이전 단계에서 Pro에서 만든 준수 smart group을 선택합니다.

참고: 클릭했을 때 그룹이 표시되지 않으면 smart group의 이름 입력을 시작하면 나타나야 합니다.

이 단계를 건너뛰면 Jamf Pro에 푸시되는 모바일 구성 프로필을 smart group으로 수동으로 범위를 지정해야 합니다.
준비가 되면 Deploy to Jamf Pro를 클릭합니다. 이것은 정의된 Smart Group의 기준과 일치하는 모든 장치에 Relay 구성을 배포합니다.

참고: 이 시점에서 액세스 정책이 정의되지 않았으므로 Relay 구성이 장치에 푸시되는 동안 이를 사용하여 트래픽이 라우팅되지 않습니다. 다음으로 구성하겠습니다.

macOS를 플랫폼 유형으로 선택하여 위의 단계를 반복합니다(Mac으로 테스트하는 경우).

샘플 액세스 정책 구성

이 섹션에서는 Entra 조건부 액세스 정책을 도입하기 전에 릴레이 기반 라우팅이 작동하는지 검증하도록 라우팅 구성 및 정책을 구성합니다.

이 가이드는 간단히 하기 위해 "Shared Internet Gateway"를 사용합니다.

프로덕션 사용의 경우 연결 및 보안 요구 사항에 따라 전용 인터넷 게이트웨이 또는 전용 IPSec 게이트웨이를 구성하고 사용하는 것이 강력히 권장됩니다. Jamf Security Cloud에서 Integrations > Access gateways로 이동하여 개인 게이트웨이를 구성한 다음 이 가이드에서 구성된 공유 게이트웨이 대신 쉽게 사용할 수 있습니다.

1단계: My IP on a Map 액세스 정책 구성

Jamf Security Cloud에서 Policies > Access policy로 이동하고 Create policy를 클릭합니다.
Predefined App을 선택하고 사용 가능한 애플리케이션에서 My IP on a Map을 선택한 다음 Next를 클릭합니다.
선택적으로 Category를 정의한 다음 Next를 클릭합니다.
My IP on a Map 애플리케이션에 대한 샘플 호스트명이 이미 정의되었습니다. 계속하려면 Next를 클릭합니다.
선택적으로 이 앱에 액세스할 수 있어야 하는 장치 그룹을 선택합니다. 모두가 선택되지 않은 경우 이전에 정의한 준수 장치 그룹을 포함해야 합니다.
Access requires device to be managed를 활성화한 다음 Next를 클릭합니다.

테스트를 단순화하기 위해 위험 검증을 비활성화된 상태로 두는 것을 권장합니다. 배포가 검증되고 위험 기반 검증이 잘 이해되면 활성화할 수 있는 좋은 기능입니다!

Application traffic routing 화면에서 Encrypt and route via ZTNA: 가 선택되고 Nearest Data Center를 선택해야 합니다.

이 특정 My IP on a Map 테스트 앱의 경우 사용자 정의 액세스 게이트웨이를 사용하지 않는 것을 권장합니다.

다른 구성을 기본 설정으로 두고 Next를 클릭합니다.
구성을 검토한 다음 Save and create app을 클릭합니다.

2단계: Network Relay 액세스 정책 재배포

Devices > Activation Profiles로 이동하고 이전에 정의한 활성화 프로필을 선택합니다.
Configuration profiles를 확장한 다음 Deploy to Jamf Pro를 클릭합니다.

3단계: 장치의 Relay 라우팅 확인

테스트 장치에서 Safari를 엽니다.
map.wandera.com으로 이동합니다.
IP 주소와 지도가 보이면 축하합니다! 릴레이 구성이 올바르게 작동하고 있습니다.

"Forbidden"이 표시되면 위의 단계를 다시 확인하고 Settings 앱(또는 macOS의 System Preferences)에서 VPN & Relays 아래의 장치에 Relay 구성이 배포되었는지 확인합니다.

Microsoft 조건부 액세스: 증명 장치 준수 구성

Jamf의 Relay 서비스를 Microsoft 조건부 액세스 정책과 함께 사용하면 프로세스를 향상시키면서 원활한 사용자 환경으로 신뢰할 수 있는 Apple 장치에 대한 액세스를 제한할 수 있습니다.

작동 방식

관리되는 장치에는 Network Relay 및 ACME 페이로드가 있는 모바일 구성 프로필이 배포됩니다.
Managed Device Attestation을 사용하면 Apple의 증명 서버로 하드웨어가 검증된 후 ACME 인증서가 장치에 발급됩니다. 인증서의 개인 키는 장치의 Secure Enclave에 잠겨 있으며 볼 수 없거나 공유할 수 없습니다.
상호 TLS QUIC/HTTP3 (MASQUE) Relay 터널을 사용하여 장치에서 나가는 모든 Microsoft Entra 인증 트래픽을 캡슐화합니다. 이 터널은 모든 Entra 트래픽을 난독화하고, 중간자 TLS 공격으로부터 보호하며, QRC가 지원되는 경우 활용합니다.
Jamf의 릴레이 서비스는 인바운드 MASQUE 터널을 종료하고 클라이언트 TLS 인증서를 통해 장치의 식별자의 무결성을 검증하면서 장치가 고객의 연결된 Jamf Pro 테넌트로 등록되고 다른 준수 및 액세스 정책을 충족하는지 검증합니다. 이 프로세스에서 Entra 트래픽이 해독되거나 수정되지 않습니다!
이러한 모든 확인이 전달되면 Entra 트래픽이 테넌트 전용 글로벌 HA 테넌트 전용 IP 주소를 사용하여 인터넷으로 이그레스됩니다. 즉, 고객의 연결된 Jamf Pro 환경에서 적극적으로 등록되고 준수하는 진정한 Apple 장치만 이러한 전용 인터넷 IP 주소를 사용할 수 있습니다.
이러한 IP 주소는 Microsoft 조건부 액세스 구성에서 명명된 위치로 구성됩니다.
이러한 명명된 위치는 Jamf 관리되지 않은(또는 승인되지 않은) Apple 장치에 사용되는 일반적인 Jamf Device Compliance 정책을 우회하는 데 사용됩니다. 동일한 명명된 위치는 명명된 위치(IP)에서 발생한 장치의 로그인을 허용하는 새 조건부 액세스 정책에 사용됩니다 Device Compliance를 요구하지 않고.

순효과는 효과적으로 동일합니다: 장치 준수 비트를 Entra로 보내는 대신 준수 확인이 Jamf 플랫폼에서 발생합니다. 관리되고 준수하는 장치만 신뢰할 수 있는 IP / 명명된 위치를 사용할 수 있습니다. 이 접근 방식은 또한 Entra 트래픽을 캡슐화하고 보호함으로써 장치가 신뢰할 수 있거나 신뢰할 수 없는 네트워크 위에서 상당한 사용자 경험 개선을 추가합니다.

Entra 조건부 액세스 정책을 증명 장치 증명용으로 구성

전제 조건

My IP on a Map 샘플 SaaS 앱을 성공적으로 구성하고 배포했습니다.
귀하 또는 협력 가능한 동료 — Microsoft 조건부 액세스 정책을 구성할 수 있는 권한이 있습니다.

1단계: Jamf Security Cloud에서 전용 인터넷 이그레스 게이트웨이 생성

이 단계에서는 조직에만 고유하게 사용할 수 있는 전용 글로벌(공용) IP 주소 쌍을 생성합니다.

Jamf Security Cloud에서 Integrations > Access gateways로 이동합니다.
Dedicated internet gateway 옆에 Create Gateway를 선택합니다.
게이트웨이에 대한 Name을 제공하고 선택 사항의 Egress region을 정의합니다.

참고: 여러 개의 전용 인터넷 게이트웨이를 생성한 다음 "그룹"할 수 있습니다. 이를 통해 해당 영역의 Jamf 가용성 지점에 연결 중인 사용자에 대해 가장 가까운 이그레스 게이트웨이를 사용할 수 있습니다. 이 구성은 이 문서의 범위를 벗어나므로 추가 지원이 필요한 경우 Jamf Support에 문의하십시오.

생성되면 반환된 두 개의 Public IPs를 기록해둡니다. Microsoft Entra의 명명된 위치 구성에 사용됩니다.

2단계: 전용 IP 게이트웨이를 사용하여 Microsoft Entra 액세스 정책 생성

Jamf Security Cloud에서 Policies > Access Policies로 이동한 다음 Create Policy를 클릭합니다.
Predefined App을 선택한 다음 표시되는 앱 목록에서 Microsoft Authentication을 선택합니다.

참고: Conditional Access 제어가 작동하도록 하려면 액세스 정책에 표시된 다른 Microsoft 앱을 구성할 필요가 없습니다.

선택적으로 Category를 정의한 다음 Next를 클릭합니다.
Microsoft Entra의 호스트명이 이미 정의되었습니다. 매우 특수한 Entra 구성을 사용 중인 경우가 아니면 계속하려면 Next를 클릭합니다.
선택적으로 이 앱에 액세스할 수 있어야 하는 장치 그룹을 선택합니다. 모두가 선택되지 않은 경우 이전에 정의한 준수 장치 그룹을 포함해야 합니다.
Access requires device to be managed를 활성화한 다음 Next를 클릭합니다.

Application traffic routing 화면에서 **Encrypt and route via ZTNA:**가 선택되었는지 확인한 다음 이전 단계에서 만든 전용 인터넷 게이트웨이를 선택합니다.
다른 구성을 기본 설정으로 두고 Next를 클릭합니다.
구성을 검토한 다음 Save and create app을 클릭합니다.

3단계: Relay 구성을 재배포하고 장치의 유효성을 검사

Jamf Security Cloud에서 Devices > Activation Profiles로 이동하고 이전에 정의한 활성화 프로필을 선택합니다.
Configuration profiles를 확장한 다음 Deploy to Jamf Pro를 클릭합니다.
테스트 장치에서 Settings 앱을 열고 VPNs & Relays로 이동합니다. Network Relay 옆의 "i" 옵션을 선택하고 login.microsoftonline.com이 호스트명 목록에 표시되는지 확인합니다.

4단계: Microsoft Entra에서 명명된 위치 생성

적절히 인증된 Microsoft Entra 자격 증명을 사용하여 Microsoft Entra에 로그인합니다.
왼쪽 탐색 메뉴의 Entra ID 아래에서 Conditional Access로 이동합니다.
Manage 아래에서 Named locations를 선택합니다.
+ IP ranges location을 클릭합니다.
Name을 정의합니다. Jamf Relay-Compliant Devices를 제안하고 Mark as trusted location 확인란을 확인합니다.
+ 버튼을 클릭하여 Jamf Security Cloud의 전용 인터넷 이그레스 구성에서 이전에 복사한 각 IP 주소를 추가합니다.

입력된 각 IP 주소의 끝에 /32를 추가해야 합니다.

완료되면 Create를 클릭하여 명명된 위치를 만듭니다.

5단계: 증명 장치 준수 조건부 액세스 정책 생성

이 단계에서는 Jamf 관리 장치 — 테넌트의 전용 Jamf IP를 통해 트래픽이 이그레스되는 — 가 승인된 사용할 리소스에 액세스하도록 허용하는 정책을 만듭니다.

Entra > Conditional Access에서 Policies로 이동합니다.
+ New Policy를 클릭합니다.
Name을 제공합니다. Jamf Attested Device Compliance Conditional Access를 제안합니다.
Users를 선택한 다음 All users를 선택합니다.

여기서 더 좁은 사용자를 정의할 수 있지만 이 정책은 Jamf Pro로 등록된 Relay 프로필이 배포된 장치에만 적용되므로 이것이 일반적으로 필요하지 않습니다.

Target resources를 선택한 다음 관리되는 장치의 사용자가 액세스할 수 있어야 하는 리소스/앱을 지정합니다.
Network를 선택한 다음 Configure를 Yes로 설정합니다. Selected networks and locations를 선택한 다음 이전에 만든 Jamf Dedicated IPs 명명된 위치를 선택합니다.
Conditions 아래에서 선택적으로 사용자/로그인/Insider 위험을 적절히 정의합니다. 다른 설정은 Not configured로 두십시오.
Access controls > Grant 아래에서 Require device to be marked as compliant이 NOT checked인지 확인합니다. Microsoft Authenticator 및 생체 인식 기능을 활용하도록 Require multifactor authentication 또는 Require authentication strength 설정을 구성하는 것이 매우 권장됩니다.
정책의 Session 설정에서 특정 이유가 없는 한 모든 설정을 unchecked로 두십시오.
설정을 확인한 다음 Enable policy를 On으로 설정합니다. Create를 클릭합니다.

6단계: 기존 장치 준수 조건부 액세스 정책에서 Jamf 명명된 위치 제외

액세스 잠금 또는 기타 최종 사용자 영향을 피하기 위해 이러한 단계를 매우 주의깊게 따르십시오!

이 단계는 환경에서 Jamf Partner Device Compliance를 사용한 경우에만 필요합니다.

다른 장치에는 영향이 없으며 승인되지 않은 장치가 이러한 단계를 따름으로써 액세스 권한을 얻지 못합니다.

이 단계는 기존 조건부 액세스 정책을 수정하여 테넌트의 전용 Jamf IP에서 발생한 트래픽을 가진 장치를 Jamf Partner Compliance에서 설정한 장치 준수 플래그를 요구하는 조건부 액세스 정책의 대상에서 제외합니다.

Entra > Conditional Access에서 Policies로 이동합니다.
장치 준수를 요구하지만 증명 장치 준수를 사용할 수 있어야 하는 각 조건부 액세스 정책에 대해 다음을 수행합니다:

Policy name을 클릭하여 엽니다.

Assignments 아래에서 Network를 선택합니다.
이미 구성되지 않은 경우 Configure를 Yes로 설정합니다.

이전에 구체적으로 구성되지 않은 경우 Include 탭 아래의 Any network location이 선택되어 있는지 확인합니다.

Exclude 탭을 선택하고 Selected networks and locations 옵션을 선택합니다.
Select 아래에서 이전 단계에서 만든 명명된 위치를 정의합니다.
완료되면 Save를 클릭합니다.

이 시점에서 모든 장치의 리소스 액세스 능력에 순 영향이 없습니다. 효율적인 정책은 이전과 정확히 동일합니다.

7단계: What If Tester로 조건부 액세스 정책 확인

이 단계에서는 Jamf 관리 장치가 증명 장치 준수를 사용하여 주어진 Entra 앱에 로그인할 수 있도록 필요한 모든 조건부 액세스 정책이 조정되었는지 검증합니다.

Entra > Conditional Access에서 Policies로 이동합니다.
화면 상단의 What if 버튼을 선택합니다.
User 아래에서 방금 생성한 증명 장치 준수 조건부 액세스 정책과 일치하는 샘플 사용자를 정의합니다.
target resource 아래에서 방금 생성한 증명 장치 준수 조건부 액세스 정책과 일치하는 앱/리소스를 선택합니다.
device platform 아래에서 iOS(또는 테스트하는 다른 Apple 플랫폼) 선택
Client app 아래에서 Modern apps and desktop clients - modern authentication clients 선택
IP address에서 이전 단계에서 명명된 위치용으로 만든 공용 IP 중 하나를 지정합니다.
country 아래에서 정의된 IP 주소 근처에 있는 국가를 선택합니다.

이것은 What if 시뮬레이터의 필수 단계입니다.

What if 버튼을 클릭합니다.
결과 정책에서 이전에 생성한 증명 장치 준수 조건부 액세스 정책만 표시되어야 합니다. * 다른 정책이 표시되는 경우*:

정책이 장치 준수를 요구한다면 위의 6단계에 따라 Jamf 명명된 위치를 Network exception으로 추가하여 해당 정책을 편집합니다.

정책이 장치 준수를 요구하지 않으면 수정할 필요가 없지만 Apple 장치 및 해당 사용자가 거기에 정의된 추가 정책의 대상이 될 것입니다.

8단계: Apple 장치의 비즈니스 앱에 로그인

위의 구성이 준비되면 증명 장치 준수를 사용하여 Apple 장치의 Microsoft 리소스에 로그인할 준비가 되었습니다.

기본 앱(예: Teams) 또는 Entra로 로그인이 필요한 브라우저 기반 앱을 열 것입니다.
필요에 따라 MFA 프롬프트를 따라 일반적으로 로그인합니다.
모든 것이 작동하면 로그인됩니다!

"You can't get tvhere from here" 오류가 표시되면 액세스하려는 앱에 대한 조건부 액세스 정책에 문제가 있습니다. Entra의 "What if" 도구를 사용하여 구성을 다시 확인하십시오.

9단계: 사용 모니터링 및 SIEM에 액세스 이벤트 스트리밍 (선택 사항)

이제 Apple 장치가 증명 장치 준수로 인증되고 있으므로 Jamf Security Cloud를 사용하여 액세스 로그를 검토하고 액세스 이벤트를 SIEM으로 스트리밍하여 InfoSec 시야를 SOC에 제공할 수 있습니다.

Jamf Security Cloud에 로그인하고 Reports > Event Log로 이동합니다.
서비스를 통해 라우팅되는 모든 활동이 여기에 나타나므로 장치 이름 위험 태세 및 라우팅 처리를 포함합니다.
Integrations > Data Streams로 이동하고 New Configuration을 클릭합니다.
Network Traffic을 선택하고 our documentation에 따라 SIEM / 데이터 대상을 지정합니다.

10단계: Microsoft Partner Compliance 구성(권장)

아직 구성하지 않은 경우 Microsoft Partner Compliance를 구성하면 다음과 같은 추가 이점을 제공합니다:

Jamf Pro의 장치 관리 상태 및 Smart Group 기준에 따라 Entra/Intune에 "준수"로 장치 표시.

이는 ID 및 준수 팀에 Intune이 아닌 Jamf(포함 Jamf가 아닌 Jamf에서 관리하는 경우)에서 관리하는 모든 엔터프라이즈 관리 장치에 대해 Entra/Intune 내에서 "단일 창"을 제공합니다.

매우 민감한 애플리케이션에 액세스하기 위해 이 "준수" 플래그를 추가 필수 기준으로 사용할 수 있습니다.

예를 들어: 증명 장치 준수는 Outlook 및 Teams에 대한 액세스에 적합할 수 있지만 장치가 Entra/Intune에서 "준수"로도 등록되어야 핵심 금융 앱이나 소스 코드/도구에 액세스할 수 있습니다.

다음과 같은 Microsoft 가이드에 따라 Jamf Partner Compliance 통합을 설정합니다. Integrate Jamf Pro with Microsoft Intune to report device compliance to Microsoft Entra ID를 인수하세요:

대부분의 core-productivity 애플리케이션의 경우: Don't 앱의 조건부 액세스 정책 Conditions에 Requires compliance 또는 Requires a registered device를 포함하십시오.

준수 Entra/Intune에 표시되도록 요구하는 sensitive 애플리케이션의 경우: 설명서에 따라 앱의 조건부 액세스 정책의 Conditions을 Requires compliance 및 Requires a registered device로 구성합니다.
통합을 테스트하고 검증합니다.
최종 사용자가 가능한 가장 원활한 경험을 제공하고 모든 장치가 자동으로 Entra/Intune에 등록되는지 확인하려면 Platform SSO를 사용하여 장치를 Entra에 등록하도록 하는 것이 매우 권장됩니다.

PSSO on Mac를 사용하여 Entra로 성공적으로 등록되면 장치는 Partner Compliance를 통해 자동으로 등록 및 준수로 표시될 뿐만 아니라 사용자는 소비자 간단하고 빠른 생체 인식 및 비밀번호 없는 앱 로그인을 즐길 수 있습니다.

PSSO를 사용하지 않는 경우 또는 iPhone/iPad에서 사용자는 Jamf Self Service 앱에서 Entra에 장치를 수동으로 등록해야 합니다.

FAQ

**Q: 이 접근 방식이 기존 VPN과 작동하는가?**A: 예. 릴레이는 기존 VPN과 호환되도록 설계되었으며 Entra 트래픽이 증명 장치 준수를 통해 라우팅됩니다.

**Q: 증명 장치 준수가 내 IdP 트래픽을 해독/검사하는가?**A: 아니요. 보안 HTTP/3 터널이 Apple 끝점과 Jamf의 에지 서버 사이에 설정되며, 이를 통해 Entra 트래픽이 흐릅니다. 원본 미수정 끝점의 Entra 바운드 패킷은 조직에 연결되지 않은 소스 IP 주소를 가진 인터넷 게이트웨이를 통해 이그레스됩니다.

**Q: 증명 장치 준수를 사용하여 Entra에서 "준수"로 표시될 장치는 무엇입니까?**A: 아니요. 하지만 이를 요구하는 조직은 Jamf의 Partner Compliance 통합을 계속 사용하여 Entra에서 감사 목적으로 장치의 준수 상태를 신호할 수 있습니다. 증명 장치 준수를 통해 장치의 로그인 가능성(관리 및 준수 상태 기반)이 실시간으로 강제되므로 이 준수 플래그가 최종 사용자 환경에 직접적으로 영향을 주지 않고도 Entra에서 더 "기회주의적으로" 설정될 수 있습니다.

**Q: Platform SSO가 장치 준수 환경을 개선하는가?**A: 예, 절대적으로! 장치 등록 프로세스를 신속화하는 데 도움이 되며 앱에 훌륭한 Single Sign On 환경을 부트스트랩합니다. 증명 장치 준수는 모든 PSSO 장치 트래픽을 mTLS 터널에서 암호화하면서 추가 보안 보증을 제공하며, PSSO 기반 장치 준수 등록 및 업데이트에서 간헐적이거나 비정상적인 문제가 발생해야 하는 경우 중요한 앱(예: Teams / Helpdesk)에 대한 중단 없는 액세스를 용이하게 하는 사용자 경험 개선을 제공합니다.

Guides