Veel organisaties hebben een zero trust-strategie nagestreefd die inhoudt dat alleen beheerde en conforme apparaten toegang krijgen tot gevoelige bedrijfsbronnen.
Dit wordt om verschillende redenen gedaan:
Phishing-aanvallen drastisch verminderen door te vereisen dat een aanvaller een fysiek bedrijfsapparaat heeft om in te loggen met gestolen inloggegevens (inclusief MFA-codes).
Data Loss Protection (DLP)-controles verbeteren door alleen toegang tot bronnen toe te staan op machines met die controles.
Toegang intrekken voor geautoriseerde gebruikers als hun apparaat niet meer conform is of gecompromitteerd raakt.
De meeste organisaties gebruiken hun Identity Provider (IdP) om deze controles af te dwingen op het moment van inloggen. Maar hoe kan de identity provider betrouwbaar bepalen of een apparaat beheerd is of niet?
Voor organisaties die Microsoft Entra als hun IdP gebruiken, heeft Jamf een Microsoft Partner Compliance API-integratie geïmplementeerd die Entra in staat stelt Apple-apparaten te identificeren die beheerd en conform zijn volgens Jamf Pro.
Hoewel deze integratie breed wordt geïmplementeerd en gebruikt in kleine en grote productieomgevingen wereldwijd, is de integratie onderhevig aan eindgebruikerservaringsuitdagingen vanwege een aantal inherente ontwerpfactoren, waaronder:
Eindgebruikers die specifieke stappen op hun apparaat moeten volgen om hun apparaat correct bij Entra te registreren
Timing- en updatevertragingen die het vermogen van een gebruiker om toegang te krijgen tot een bron kunnen belemmeren wanneer ze dat zouden moeten kunnen
Intermitterende servicefouten die resulteren in apparaten die worden gemarkeerd met de onjuiste compliance-status, waarvoor helpdesk-interventie nodig is om te corrigeren
Dankzij nieuwe Apple- en Jamf-platformtechnologieën kan Jamf nu deze eindgebruikerservaringsuitdagingen elimineren, waardoor de gebruikerservaring drastisch verbetert zonder de mogelijkheden die de Partner Compliance API levert in gevaar te brengen!
Introductie van Geattesteerde Apparaatcompliance
De op Microsoft Partner Compliance API gebaseerde integratie vertrouwt op expliciete registratie van elk Jamf Pro-beheerd apparaat binnen Entra/Intune en out-of-band signalering voordat toegang kan worden verleend tot bronnen die vereisen dat een apparaat is gemarkeerd als "compliant". Daarentegen maakt Geattesteerde Apparaatcompliance gebruik van veilige en zero-touch geïmplementeerde netwerking ondersteund door Apple's Managed Device Attestation-technologie om de beheer- en compliance-status van een apparaat in-line te signaleren met inlogverzoeken, zonder Entra-registratie of enige eindgebruikersinteractie.
Deze aanpak adresseert veel van de gebruikerservaringstoegangsuitdagingen die werden ondervonden wanneer Partner Compliance API-updates langer duurden dan de gebruiker verwachtte, vooral bij het voor de eerste keer onboarden of bij het oplossen van een compliance-probleem. Hoewel toegang bijna in realtime kan worden opgelost met Geattesteerde Apparaatattestatie, moet Partner Compliance nog steeds parallel worden gebruikt voor gelaagde bescherming van extreem gevoelige applicaties en voor single-pane-of-glass endpoint compliance-auditdoeleinden in Entra/Intune.
Op hoog niveau, in plaats van de "Compliant"-vlag te gebruiken zoals gesignaleerd via de Device Compliance Partner API voordat een bron beschikbaar is voor een bepaald apparaat met behulp van een Entra Conditional Access-beleid, wordt in plaats daarvan een "Named Location" gebruikt. Deze Named Location wordt in Entra gedefinieerd door paren IP-adressen die aan uw organisatie zijn uitgegeven door Jamf's Security Cloud-dienst. In feite zal elk apparaat dat probeert in te loggen via een van deze IP-adressen als "compliant" worden beschouwd, en dit is waar Geattesteerde Apparaatcompliance om de hoek komt kijken.
Geattesteerde Apparaatcompliance Architectuurdiagram
Om een van deze IP-adressen te gebruiken om de compliance-controle te doorstaan, MOET een bepaald apparaat:
Ingeschreven zijn bij Jamf Pro
Geattesteerd zijn door Apple als authentieke Apple-hardware
Cryptografisch geïdentificeerd zijn met behulp van geattesteerde apparaat-identifiers die overeenkomen met een apparaat dat is ingeschreven bij uw specifieke Jamf-tenant
In een Jamf Pro Smart Group zitten die overeenkomt met een bevredigende compliance-status
Vrij zijn van bedreigingen zoals gedefinieerd door bedreigingscategorieën in Jamf Security Cloud
Het niet voldoen aan een van het bovenstaande zal resulteren in het verlies van het vermogen van het apparaat om een vertrouwd IP-adres te gebruiken, waardoor het als een niet-vertrouwd apparaat verschijnt volgens Entra (toegang blokkeren) totdat het probleem is verholpen. Eenmaal opgelost, herstelt het apparaat automatisch zijn vermogen om het vertrouwde IP weer te gebruiken binnen ongeveer een minuut.
Mogelijkheden en Functies van Apparaatcompliance
De onderstaande tabel vergelijkt Partner Compliance met Geattesteerde Apparaatcompliance, inclusief het samen gebruiken van beide.
| Entra Partner Compliance | Geattesteerde Apparaatcompliance | Entra Partner Compliance + Geattesteerde Apparaatcompliance (Aanbevolen) | |
|---|---|---|---|
| Integratiemethode | API-gebaseerd, out-of-band van inlogstroom | Netwerkgebaseerd, in-line met inlogstroom | Toegangsbeleid: Netwerkgebaseerd |
Entra/Intune Compliance-audit: API-gebaseerd | | Gebruikte Conditional Access-criteria | Device Compliant-vlag | Named Location | Named Location
(+ Device Compliance-vlag voor zeer gevoelige applicaties) | | Vereisten voor Gebruikersinteractie | Interactieve gebruikersaanmelding via Microsoft-app | Geen, onderdeel van MDM-inschrijving | Inloggen: Geen
Compliant-vlag: Gebruikersaanmelding vereist | | Handhaving bij Compliance-wijziging | Minuten tot uren | < 1 minuut | Inloggen: < 1 minuut
Compliant-vlag: Minuten tot uren | | Compliance-handhavingspunt | Entra Conditional Access-beleid | Jamf Security Cloud + Entra CA-beleid | Jamf Security Cloud + Entra CA-beleid | | Markeert apparaat als "Compliant" in Entra | Ja | Nee | Ja | | Entra Login Verkeersbescherming | Alleen Server TLS | Mutual TLS: Verhulling en secundaire encryptie van al het Entra-verkeer (Surveillance- en MitM-bestendig) |
Oplossingsoverzicht
Deze sectie gaat dieper in op de technische details van hoe Geattesteerde Apparaatcompliance met Entra Partner Device Compliance werkt en wordt geïmplementeerd in uw omgeving.
Geattesteerde Apparaatcompliance werkt door gebruik te maken van:
Een zero-touch geïmplementeerd, always-on, hardware-gebonden en native verkeersrouteringsmechanisme (Network Relay) om gevoelige gegevens van het endpoint naar Entra te verzenden.
Een zeer beschikbaar, beleidsgebaseerd globaal verkeersrouteringsnetwerk dat snelle connectiviteit biedt vanaf elk netwerk overal ter wereld.
Dedicated private globale IP-adres Internet-egress (HA bron-IP-paren) evenals privé IPSec Site-to-Site tunnelopties voor extra beveiliging/controle indien nodig.
De high-level end-to-end ervaring omvat:
Een beheerder configureert een Network Relay-implementatieconfiguratie, definieert een of meer netwerkuitgangen (Internet-IP's of IPSec-tunnels) en de definitie van een Entra Microsoft Authentication Access Policy.
Apple-apparaten worden ingeschreven bij Jamf Pro.
De Relay-configuratie wordt automatisch geïmplementeerd en geactiveerd op het apparaat op basis van compliance-gebaseerd Smart Group-lidmaatschap in Pro. Device Attestation wordt uitgevoerd met Apple's servers en de tenant van het apparaat in Jamf Pro wordt cryptografisch geverifieerd. Geen gebruikersinteractie of aanmelding is vereist.
Entra-gebonden netwerkverkeer gegenereerd door browsers of apps op het apparaat wordt versleuteld en cryptografisch gevalideerd op Jamf's Global Cloud Edge. De context van het apparaat wordt geëvalueerd aan de hand van toegangscriteria, zoals risiconiveau en groepslidmaatschap.
Als toegang wordt toegestaan, wordt het verkeer gegenereerd door het apparaat gerouteerd naar Entra via:
Een dedicated IP Internet Egress-gateway. Dit gebruikt NAT om het verkeer van het apparaat te laten lijken alsof het afkomstig is van een van twee zeer beschikbare openbare (globale) IP-adressen.
Een dedicated IPSec-tunnel. Dit gebruikt een Site-to-Site IPSec VPN-route om de pakketten van het apparaat direct op het eigen netwerk van een onderneming te laten landen. NAT wordt gebruikt om apparaten te presenteren met een bron-IP dat behoort tot een privé subnet geconfigureerd op het LAN/DMZ/VPC.
Als toegang wordt geweigerd (bijv. vanwege een niet-conform apparaat), wordt het verkeer doorgestuurd via een "openbaar" IP-adres, dat niet wordt vertrouwd door de organisatie.
Conditional Access-beleid wordt gematcht om aanmeldingen toe te staan van apparaten met hun verkeer afkomstig van vertrouwde IP-adressen (met Named Locations), en verkeer te blokkeren dat afkomstig is van niet-vertrouwde IP's.
De gebruiker logt in volgens de gebruikersauthenticatievereisten van het Conditional Access-beleid van de doel-app (bijv. MFA). Ze krijgen toegang tot de applicatie.
Met behulp van de Microsoft Partner Device Compliance API wordt de "Compliant"-status van het apparaat bijgewerkt naar Entra/Intune wanneer:
Het apparaat is geregistreerd bij Entra via Platform Single Sign On.
- De gebruiker registreert hun apparaat in Self Service, bijv. om toegang te krijgen tot een gevoeliger app naast kern-productiviteitsapps.
Voor een technische deep dive in hoe Jamf's ZTNA-routeringsarchitectuur werkt om least-privilege, micro-tunnel gebaseerde toegang tot specifieke bronnen alleen te bieden – zonder interne IP's of subnets aan endpoints bloot te stellen – zie Netwerkingenieur's Gids voor Jamf Connect ZTNA.
"Mijn IP op een Kaart" Voorbeeld-App Configuratiestappen
Dankzij Jamf's cloudnative en geïntegreerde platform is het instellen van Geattesteerde Apparaatcompliance zeer eenvoudig. We zullen eerst een voorbeeld-SaaS-applicatie configureren om Relay-gebaseerde routering te valideren voordat we Entra conditional access-beleid toevoegen.
Met de juiste toegangsrechten kan deze configuratie binnen een uur worden voltooid.
Vereisten
Om deze oplossing te configureren, hebt u het volgende nodig:
- Een of meer Apple-testapparaten
Opmerking: u kunt iOS-, iPadOS-, macOS- of visionOS-apparaten gebruiken om de configuratie te testen. Ze werken allemaal identiek met Geattesteerde Apparaatcompliance.
- Appara(a)t(en) zijn ingeschreven bij Jamf Pro
Deze stappen zijn specifiek voor Jamf, maar kunnen ook worden toegepast op door Intune beheerde apparaten.
- Toegang tot Jamf Pro en Jamf Security Cloud-portals
Een Jamf Pro-beheerdersaccount met de mogelijkheid om een API-clientreferentie te maken die Mobile Devices, Mobile Device Smart Groups, Computers en Computer Smart Groups kan beheren.
- Een Jamf Security Cloud-beheerdersaccount met Global Administrator- of Access Administrator-rechten.
Als u geen Jamf Security Cloud-omgeving hebt, neem dan contact op met uw Jamf-vertegenwoordiger of partner.
- Beheer van netwerkrandbeleidsinfrastructuur.
Afhankelijk van hoe u verbinding maakt met uw infrastructuur (IdP- en/of Firewall-integratie), moet een beheerder met de juiste beleids- of infrastructuurconfiguratieprivileges verkeer van Jamf Security Cloud toestaan.
Opmerking: U kunt apparaatroutering volledig configureren zonder dit, maar uw toegang en mogelijkheden zullen inherent beperkt zijn totdat deze stappen zijn voltooid.
Jamf Pro Configureren
Stap 1: Maak of kopieer een Compliance Smart Group in Jamf Pro
Het maken van deze smart group zal helpen bij het vereenvoudigen en toewijzen gedurende deze gids. Als u al een Smart Group hebt gemaakt die u wilt gebruiken voor uw apparaten, kunt u die in plaats daarvan gebruiken.
Log in op Jamf Pro met uw Jamf Account SSO of andere inloggegevens.
Navigeer naar Devices en selecteer Smart Device Groups.
Klik op de knop + New om een nieuwe smart group te maken.
Geef een passende Display Name, we raden "Compliant Devices" aan. Geef een beschrijving naar wens.
Selecteer het tabblad Criteria bovenaan het scherm en klik vervolgens op + Add.
Definieer een of meer criteria die een "Conform" apparaat definiëren.
Bij het testen: overweeg om te scopen naar een enkel apparaat of groep testapparaten voordat u uitbreidt naar een bredere populatie.
- Klik op Save om de Smart Group te maken.
Een Network Relay-configuratie Configureren en Implementeren
In deze sectie configureren we het Jamf-platform om een Network Relay-configuratie in te stellen en te implementeren naar beheerde Apple-apparaten.
Stap 1: Configureer UEM Connect in Jamf Security Cloud
Deze stap koppelt Jamf Security Cloud met Jamf Pro om te helpen bij implementatie en doorlopende validatie van apparaatinschrijving om ervoor te zorgen dat alleen beheerde apparaten met de juiste risiconiveaus de Network Relay-dienst mogen gebruiken.
Log in op Jamf Security Cloud met uw Jamf Account SSO of andere inloggegevens.
Navigeer naar Integrations en selecteer UEM Connect.
Volg de stappen in Configuring UEM Connect for Jamf Pro en verifieer dat de setup een succesvolle verbinding rapporteert.
Het wordt sterk aanbevolen om de webhook-configuratie te voltooien om een naadloze gebruikerservaring direct na nieuwe apparaatinschrijvingen te garanderen.
Stap 2: Configureer een Network Relay Activation Profile
Navigeer naar Devices > Activation Profiles. Selecteer de knop Create profile.
Selecteer de Network access-mogelijkheid en klik vervolgens op Next.
U kunt optioneel de Security (Netwerkdreigingsbescherming en mobiele dreigingsverdediging) en/of Content controls (categorie-inhoudsfiltering) mogelijkheden implementeren, maar deze vereisen extra stappen voor het implementeren van de Jamf Trust-app die buiten het bereik van dit document vallen.
- Wanneer gevraagd wordt naar Authentication, selecteer Managed device attestation en klik vervolgens op Next.
Als u always-on connectiviteit nodig hebt die de gebruiker niet kan uitschakelen, selecteer dan Locked-down.
Geef een Name voor het activation profile voor gemakkelijke referentie. We raden "Attested Device Compliance Network Relay" aan
Definieer een Group om de apparaten aan toe te voegen die activeren met dit profiel. We raden "Attested Device Compliance Devices" aan tenzij u al een alternatief apparaatgroepbeleid hebt. U kunt dit later altijd wijzigen. Klik op Next.
Bekijk de configuratie en selecteer vervolgens Save and Create.
Stap 3: Implementeer het Activation Profile naar Apparaten
Deze stap vereist dat UEM Connect succesvol is geconfigureerd.
Op het scherm dat verschijnt, zorg ervoor dat de Jamf Pro- en iOS/iPadOS/tvOS/visionOS-knoppen zijn geselecteerd. Vouw Configuration profiles uit.
Onder UEM actions, selecteer het UEM group-dropdown menu en selecteer de Compliance smart group die u in Pro hebt gemaakt in een eerdere stap.
Opmerking: als uw groep niet verschijnt wanneer erop wordt geklikt, begin dan met het typen van de naam van de smart group, en deze zou moeten verschijnen.
Als u deze stap overslaat, moet u het mobiele configuratieprofiel dat naar Pro wordt gepusht handmatig scopen naar een smart group.
Wanneer gereed, klik op Deploy to Jamf Pro. Dit zal de Relay-configuratie implementeren naar alle apparaten die voldoen aan de criteria van de gedefinieerde Smart Group.
Opmerking: Op dit moment zijn er geen toegangsbeleidsregels gedefinieerd, dus hoewel de Relay-configuratie naar het apparaat wordt gepusht, zal er geen verkeer worden gerouteerd met behulp ervan. Dat configureren we hierna.
- Herhaal de bovenstaande stappen, maar selecteer macOS als platformtype als u test met Macs.
Configureer een Voorbeeld Toegangsbeleid
In deze sectie configureren we routeringsconfiguratie en -beleid om geselecteerd enterprise-verkeer van het apparaat naar een voorbeeld-SaaS-bestemming te routeren om te valideren dat routering correct werkt voordat Entra Conditional Access-beleid wordt geïntroduceerd.
Deze gids gebruikt een "Shared Internet Gateway" voor eenvoud om Relay-gebaseerde routering aan de praat te krijgen.
Voor productiegebruik wordt het sterk aanbevolen om een Dedicated Internet Gateway of Dedicated IPSec-gateway te configureren en te gebruiken op basis van uw connectiviteits- en beveiligingsvereisten. Navigeer naar Integrations > Access gateways in Jamf Security Cloud om privé gateways te configureren, die vervolgens gemakkelijk kunnen worden gebruikt in plaats van een Shared Gateway zoals geconfigureerd in deze gids.
Stap 1: Configureer het My IP on a Map Toegangsbeleid
In Jamf Security Cloud, navigeer naar Policies > Access policy en klik op Create policy.
Selecteer Predefined App, kies My IP on a Map uit de beschikbare applicaties en klik vervolgens op Next.
Definieer optioneel een Category en klik vervolgens op Next.
De voorbeeldhostnamen voor de My IP on a Map-applicatie zijn al gedefinieerd. Klik op Next om door te gaan.
Selecteer optioneel de apparaatgroepen die toegang moeten hebben tot deze app, die de compliance-apparaatgroep moet bevatten die u mogelijk eerder hebt gedefinieerd (als All niet is geselecteerd).
Schakel Access requires device to be managed in en klik vervolgens op Next.
Om het testen te vereenvoudigen, raden we aan om risicovalidatie op dit moment uitgeschakeld te laten. Zodra de implementatie is gevalideerd en risicogebaseerde validatie goed wordt begrepen, is het een geweldige functie om in te schakelen!
- Op het scherm Application traffic routing, zorg ervoor dat Encrypt and route via ZTNA: is geselecteerd en selecteer vervolgens Nearest Data Center,
Voor deze specifieke My IP on a Map test-app raden we aan om geen aangepaste toegangsgateway te gebruiken.
Laat andere configuraties op hun standaardinstellingen en klik op Next.
Bekijk de configuratie en klik vervolgens op Save and create app.
Stap 2: Herimplementeer het Network Relay Toegangsbeleid
Navigeer naar Devices > Activation Profiles en selecteer het activation profile dat u eerder hebt gedefinieerd.
Vouw Configuration profiles uit en klik vervolgens op Deploy to Jamf Pro.
Stap 3: Bevestig Relay-routering op het Apparaat
Open Safari op een testapparaat.
Navigeer naar map.wandera.com
Als u een IP-adres en een kaart ziet, gefeliciteerd! Uw relay-configuratie werkt correct.
Als u "Forbidden" ziet, controleer dan de bovenstaande stappen opnieuw en zorg ervoor dat de Relay-configuratie is geïmplementeerd op uw apparaat in de app Settings (of System Preferences voor macOS) onder VPN & Relays.
Microsoft Conditional Access: Geattesteerde Apparaatcompliance Configureren
Met behulp van Jamf's Relay-dienst in combinatie met Microsoft Conditional Access-beleid kan toegang worden beperkt tot vertrouwde Apple-apparaten met een naadloze gebruikerservaring, terwijl de beveiliging in het proces wordt verbeterd.
Hoe het Werkt
Een beheerd apparaat krijgt een mobiel configuratieprofiel met Network Relay- en ACME-payloads geïmplementeerd.
Met behulp van Managed Device Attestation wordt het ACME-certificaat aan het apparaat uitgegeven nadat de hardware is gevalideerd door Apple's attestatieservers. De privésleutel voor het certificaat is vergrendeld in de Secure Enclave van het apparaat en kan nooit worden bekeken of gedeeld.
Een mutual-TLS QUIC/HTTP3 (MASQUE) Relay-tunnel wordt gebruikt om al het Microsoft Entra-authenticatieverkeer dat het apparaat verlaat te encapsuleren. Deze tunnel verhult al het Entra-verkeer, beschermt het tegen Adversary in the Middle TLS-aanvallen en maakt gebruik van QRC waar ondersteund.
Jamf's relay-dienst beëindigt de inkomende MASQUE-tunnel, verifieert de integriteit van de identifier van het apparaat via het client TLS-certificaat terwijl ook wordt geverifieerd dat het apparaat is ingeschreven bij de gekoppelde Jamf Pro-tenant van de klant en voldoet aan andere compliance- en toegangsbeleidsregels. Het Entra-verkeer wordt niet ontsleuteld of anderszins gewijzigd in dit proces!
Ervan uitgaande dat al die controles worden doorstaan, wordt het Entra-verkeer ge-egressed naar het internet met behulp van tenant-dedicated globale HA tenant-dedicated IP-adressen. Met andere woorden, alleen echte Apple-apparaten, die actief zijn ingeschreven en conform zijn in de gekoppelde Jamf Pro-omgeving van de klant, kunnen deze dedicated Internet IP-adressen gebruiken.
Deze IP-adressen worden geconfigureerd als Named Locations in Microsoft Conditional Access-configuratie.
Deze named locations worden gebruikt om het typische Jamf Device Compliance-beleid te omzeilen dat wordt gebruikt voor niet-Jamf-beheerde (of ongeautoriseerde) Apple-apparaten. Dezelfde Named Locations worden gebruikt voor een nieuw Conditional Access-beleid dat toegang toestaat van apparaten afkomstig van de Named Location (IP's) zonder Device Compliance te vereisen.
Het netto-effect is in feite hetzelfde: in plaats van de device compliance-bit naar Entra te sturen om Conditional Access-beleid te bepalen, vindt de compliance-controle plaats op het Jamf-platform. Alleen beheerde en conforme apparaten zullen ooit het vertrouwde IP / Named Location kunnen gebruiken. Deze aanpak voegt ook significante verbeteringen in de gebruikerservaring toe (geen specifieke eindgebruiker-setupstappen vereist) terwijl de beveiliging aanzienlijk wordt verbeterd door Entra-verkeer te encapsuleren en te beschermen over elk vertrouwd of niet-vertrouwd netwerk waarop het apparaat zich bevindt.
Entra Conditional Access-beleid Configureren voor Geattesteerde Apparaatattestatie
Vereisten
U hebt de My IP on a Map voorbeeld-SaaS-app succesvol geconfigureerd en geïmplementeerd.
U – of een collega waarmee u kunt samenwerken – heeft toegang om Microsoft Conditional Access-beleid te configureren.
Stap 1: Maak een Dedicated Internet Egress Gateway in Jamf Security Cloud
In deze stap maakt u een paar dedicated globale (openbare) IP-adressen die uniek beschikbaar zullen zijn voor uw organisatie en niemand anders.
In Jamf Security Cloud, navigeer naar Integrations > Access gateways.
Naast Dedicated internet gateway selecteer Create Gateway.
Geef een Name voor de gateway en definieer een Egress region naar keuze.
Opmerking: u kunt meerdere dedicated internet gateways maken en deze vervolgens "groeperen". Dit maakt het mogelijk dat de dichtstbijzijnde egress-gateway wordt gebruikt voor een gebruiker die mogelijk verbinding maakt met een Jamf point-of-presence in die regio. Deze configuratie valt buiten het bereik van dit document, neem contact op met Jamf Support als extra hulp nodig is.
- Eenmaal gemaakt, noteer de twee Public IPs die worden geretourneerd. Deze zullen worden gebruikt in de Named Locations-configuratie in Microsoft Entra.
Stap 2: Maak een Microsoft Entra Toegangsbeleid met behulp van de Dedicated IP Gateway
In Jamf Security Cloud, navigeer naar Policies > Access Policies en klik vervolgens op Create Policy.
Selecteer Predefined App en selecteer vervolgens Microsoft Authentication uit de lijst met apps die verschijnen.
Opmerking: Het is niet vereist om andere Microsoft-apps te configureren zoals weergegeven in de toegangsbeleidsregels voor Conditional Access-controles om te werken.
Definieer optioneel een Category en klik vervolgens op Next.
De hostnamen voor Microsoft Entra zijn al gedefinieerd. Tenzij u een zeer gespecialiseerde Entra-configuratie gebruikt, klik op Next om door te gaan.
Selecteer optioneel de apparaatgroepen die toegang moeten hebben tot deze app, die de compliance-apparaatgroep moet bevatten die u mogelijk eerder hebt gedefinieerd (als All niet is geselecteerd).
Schakel Access requires device to be managed in en klik vervolgens op Next.
Om het testen te vereenvoudigen, raden we aan om risicovalidatie op dit moment uitgeschakeld te laten. Zodra de implementatie is gevalideerd en risicogebaseerde validatie goed wordt begrepen, is het een geweldige functie om in te schakelen!
Op het scherm Application traffic routing, zorg ervoor dat Encrypt and route via ZTNA: is geselecteerd en selecteer vervolgens de Dedicated Internet Gateway die u in de vorige stap hebt gemaakt.
Laat andere configuraties op hun standaardinstellingen en klik op Next.
Bekijk de configuratie en klik vervolgens op Save and create app.
Stap 3: Herimplementeer Relay-configuratie en Valideer op het Apparaat
In Jamf Security Cloud, navigeer naar Devices > Activation Profiles en selecteer het activation profile dat u eerder hebt gedefinieerd.
Vouw Configuration profiles uit en klik vervolgens op Deploy to Jamf Pro.
Open op het testapparaat de app Settings en navigeer naar VPNs & Relays. Selecteer de "i"-optie naast de Network Relay en verifieer dat u login.microsoftonline.com ziet in de lijst met hostnamen.
Stap 4: Maak een Named Location in Microsoft Entra
Log met een correct geautoriseerde Microsoft Entra-referentie in op Microsoft Entra.
In de linkerzijnavigatie onder Entra ID, navigeer naar Conditional Access.
Onder Manage, selecteer Named locations.
Klik op + IP ranges location.
Definieer een Name, we raden Jamf Relay-Compliant Devices aan en vink het selectievakje Mark as trusted location aan
Klik op de +-knop om elk IP-adres toe te voegen dat u eerder hebt gekopieerd uit de Dedicated Internet Egress-configuratie in Jamf Security Cloud
Zorg ervoor dat u /32 toevoegt aan het einde van elk IP-adres dat wordt ingevoerd.
- Wanneer klaar, klik op Create om de Named Location te maken.
Stap 5: Maak een Geattesteerde Apparaatcompliance Conditional Access-beleid
In deze stap maken we het beleid dat Jamf-beheerde apparaten – met hun verkeer ge-egressed via de dedicated Jamf IP's van uw tenant – toegang zal geven tot de apps en bronnen waartoe ze geautoriseerd zijn.
In Entra > Conditional Access, navigeer naar Policies.
Klik op + New Policy
Geef een Name, we raden Jamf Attested Device Compliance Conditional Access aan
Selecteer Users en selecteer vervolgens All users
U kunt hier meer specifieke gebruikers definiëren, maar aangezien dit beleid alleen van toepassing is op apparaten die zijn ingeschreven bij Jamf Pro met het Relay-profiel geïmplementeerd, is dit meestal niet nodig.
Selecteer Target resources en specificeer vervolgens de bronnen/apps waartoe gebruikers op de beheerde apparaten toegang moeten hebben.
Selecteer Network en stel vervolgens Configure in op Yes. Selecteer Selected networks and locations en selecteer vervolgens de Jamf Dedicated IPs Named Location die u eerder hebt gemaakt.
Onder Conditions, definieer optioneel User/Sign-in/Insider risk naar gelang van toepassing. Laat andere instellingen Not configured.
Onder Access controls > Grant, zorg ervoor dat Require device to be marked as compliant NIET is aangevinkt. Het wordt sterk aanbevolen om Require multifactor authentication of Require authentication strength-instellingen te configureren om Microsoft Authenticator en biometrische mogelijkheden te benutten.
Tenzij er een specifieke reden is om dit te doen, laat alle instellingen niet aangevinkt in de Session-instellingen van het beleid.
Verifieer uw instellingen en stel vervolgens Enable policy in op On. Klik op Create.
Stap 6: Sluit de Jamf Named Location uit van Bestaande Device Compliance Conditional Access-beleidsregels
Om toegangsvergrendelingen of andere eindgebruikersimpacts te voorkomen, zorg ervoor dat u deze stappen zeer zorgvuldig volgt!
Deze stap is alleen vereist als u Jamf Partner Device Compliance tot nu toe in uw omgeving hebt gebruikt.
Er zal geen impact zijn op andere apparaten en geen ongeautoriseerde apparaten zullen toegang krijgen door deze stappen te volgen.
Deze stap wijzigt bestaande Conditional Access-beleidsregels om apparaten uit te sluiten die hun verkeer afkomstig hebben van de dedicated Jamf IP's van uw tenant van het onderworpen zijn aan conditional access-beleidsregels die vereisen dat de device compliance-vlag is ingesteld door Jamf Partner Compliance.
In Entra > Conditional Access, navigeer naar Policies.
Voor elk Conditional Access-beleid dat device compliance vereist maar bruikbaar zou moeten zijn met Geattesteerde Apparaatcompliance, doe het volgende:
Klik op de Policy name om deze te openen.
Onder Assignments, selecteer Network.
Als nog niet geconfigureerd, stel Configure in op Yes.
Als niet eerder specifiek geconfigureerd, zorg ervoor dat Any network location onder het tabblad Include is geselecteerd.
Selecteer het tabblad Exclude en kies de optie Selected networks and locations.
Onder Select, definieer de Named Location die u in de vorige stap hebt gemaakt.
Klik op Save wanneer
Op dit punt zal er geen netto-impact zijn op het vermogen van enig apparaat om toegang te krijgen tot bronnen via Conditional Access. Effectief beleid is exact hetzelfde als voorheen.
Stap 7: Verifieer Conditional Access-beleidsregels met What If Tester
In deze stap gaan we valideren dat alle benodigde conditional access-beleidsregels zijn aangepast voor een Jamf-beheerd apparaat om in te loggen op een bepaalde Entra-app met Geattesteerde Apparaatcompliance.
In Entra > Conditional Access, navigeer naar Policies.
Kies de knop What if bovenaan het scherm
Onder User, definieer een voorbeeldgebruiker die overeenkomt in het Geattesteerde Apparaatcompliance Conditional Access-beleid dat zojuist is gemaakt.
Onder target resource, selecteer een app/bron die overeenkomt in het Geattesteerde Apparaatcompliance Conditional Access-beleid dat zojuist is gemaakt.
Onder device platform, selecteer iOS (of ander Apple-platform per uw test)
Onder Client app, selecteer Modern apps and desktop clients - modern authentication clients
Onder IP address, specificeer een van de Public IPs die zijn gemaakt voor de Named Location in een eerdere stap.
Onder country, selecteer een land dat in de buurt is van het gedefinieerde IP-adres.
Dit is een vereiste stap door de What if-simulator
Klik op de knop What if.
In de resulterende beleidsregels zou u alleen het Geattesteerde Apparaatcompliance Conditional Access-beleid moeten zien dat eerder is gemaakt. Als u andere beleidsregels ziet:
Als het beleid aangeeft dat het device compliance vereist, bewerk dat beleid en voeg de Jamf Named Location toe als een Network exception per Stap 6 hierboven.
- Als het beleid geen device compliance vereist, hoeft het niet te worden gewijzigd, maar het Apple-apparaat en zijn gebruiker zullen onderworpen zijn aan welke extra beleidsregels daar zijn gedefinieerd.
Stap 8: Log in op een Zakelijke App op het Apple-apparaat
Met de bovenstaande configuratie op zijn plaats bent u nu klaar om in te loggen op Microsoft-bronnen op uw Apple-apparaat met Geattesteerde Apparaatcompliance.
Open een native app (bijv. Teams) of een browsergebaseerde app die inloggen met Entra vereist.
Log in zoals normaal, volg MFA-prompts indien nodig.
Als alles werkt, bent u ingelogd!
Als u de foutmelding "You can't get there from here" ziet, is er een probleem met uw Conditional Access-beleidsregels voor de app die u probeert te openen. Controleer de configuratie nogmaals met Entra's "What if"-tool.
Stap 9: Monitor Gebruik en Stream Toegangsgebeurtenissen naar SIEM (optioneel)
Nu uw Apple-apparaten authenticeren met Geattesteerde Apparaatcompliance, kunt u Jamf Security Cloud gebruiken om toegangslogs te bekijken en toegangsgebeurtenissen te streamen naar uw SIEM voor InfoSec-zichtbaarheid in hun SOC.
Log in op Jamf Security Cloud, navigeer naar Reports > Event Log.
Alle activiteit die via de dienst wordt gerouteerd zal hier verschijnen, inclusief de apparaatnaam, risicopositie en routeringsdispositie.
Navigeer naar Integrations > Data Streams en klik op New Configuration.
Selecteer Network Traffic en specificeer uw SIEM / gegevensbestemming per onze documentatie.
Stap 10: Configureer Microsoft Partner Compliance (aanbevolen)
Als u dit nog niet hebt geconfigureerd, biedt het configureren van Microsoft Partner Compliance extra voordelen:
- Markeren van apparaten als "Compliant" in Entra/Intune op basis van apparaatbeheerstatus en Smart Group-criteria in Jamf Pro.
Dit biedt identiteits- en complianceteams een "single pane of glass" binnen Entra/Intune voor al hun enterprise beheerde apparaten, inclusief die beheerd door Jamf (niet door Intune).
- De mogelijkheid om deze "Compliant"-vlag te gebruiken als een extra vereist criterium om toegang te krijgen tot zeer gevoelige applicaties.
Bijvoorbeeld: Geattesteerde Apparaatcompliance kan geschikt zijn voor toegang tot Outlook en Teams, maar een apparaat moet ook geregistreerd zijn als "Compliant" in Entra/Intune om toegang te kunnen krijgen tot een kernfinanciële app of broncode/tools.
- Stel Jamf Partner Compliance-integratie in door Microsoft's gids te volgen, Integrate Jamf Pro with Microsoft Intune to report device compliance to Microsoft Entra ID, met inachtneming van de volgende configuratie-uitzonderingen:
Voor de meeste kern-productiviteitsapplicaties: Stel de Conditions van het Conditional Access-beleid van de app NIET in om Requires compliance noch Requires a registered device te omvatten.
Voor gevoelige applicaties die vereisen dat het apparaat is gemarkeerd als compliant in Entra/Intune: Configureer de Conditions van het Conditional Access-beleid van de app naar Requires compliance en Requires a registered device zoals gedocumenteerd.
Test en valideer de integratie.
Om de meest naadloze ervaring aan eindgebruikers te bieden en ervoor te zorgen dat alle apparaten automatisch registreren bij Entra/Intune, wordt het sterk aanbevolen dat apparaten worden ingeschreven bij Entra met Platform SSO.
Bij succesvolle inschrijving bij Entra met PSSO op de Mac, is het apparaat niet alleen automatisch gemarkeerd als geregistreerd en compliant via Partner Compliance, maar genieten gebruikers van consument-eenvoudige en snelle biometrische en wachtwoordloze app-aanmeldingen.
- Als u PSSO niet gebruikt of op een iPhone/iPad, moeten gebruikers hun apparaat handmatig registreren bij Entra in de Jamf Self Service-app.
FAQ
**V: Werkt deze aanpak met mijn bestaande VPN?**A: Ja. Relays zijn ontworpen om compatibel te zijn met bestaande VPN's, met Entra-verkeer gerouteerd via Geattesteerde Apparaatcompliance.
**V: Ontsleutelt/inspecteert Geattesteerde Apparaatcompliance mijn IdP-verkeer?**A: Nee. Een beveiligde HTTP/3-tunnel wordt tot stand gebracht tussen het Apple-endpoint en Jamf's edge-servers, waardoor Entra-verkeer stroomt. De originele, ongewijzigde Entra-gebonden pakketten van het endpoint worden vervolgens ge-egressed via een internetgateway met bron-IP-adressen gebonden aan uw organisatie en niet beschikbaar voor iemand anders.
**V: Worden apparaten gemarkeerd als "Compliant" in Entra met Geattesteerde Apparaatcompliance?**A: Nee, echter organisaties die dit vereisen kunnen nog steeds Jamf's Partner Compliance-integratie gebruiken om de compliance-status van een apparaat te signaleren voor auditdoeleinden in Entra. De inlogbaarheid van een apparaat (gebaseerd op beheer- en compliance-status) zal in realtime worden afgedwongen via Geattesteerde Apparaatcompliance, waardoor deze compliance-vlag meer "opportunistisch" in Entra kan worden ingesteld zonder direct de eindgebruikerservaring te beïnvloeden.
**V: Verbetert Platform SSO de Device Compliance-ervaring?**A: Ja, absoluut! Het helpt om het apparaatregistratieproces te versnellen terwijl het ook een geweldige Single Sign On-ervaring in apps bootstrapt. Geattesteerde Apparaatcompliance biedt nog steeds extra beveiligingsgaranties door al het PSSO-apparaatverkeer in een mTLS-tunnel te versleutelen, terwijl het verbeteringen in de gebruikerservaring biedt die ononderbroken toegang tot kritieke apps (bijv. Teams / Helpdesk) faciliteren mocht er een intermitterend of ongebruikelijk probleem zijn met PSSO-gebaseerde device compliance-registratie en -updates.