Guides

Zdarzają się scenariusze, w których ustanowienie zarządzania urządzeniami na urządzeniu wymagającym dostępu do zasobów organizacyjnych nie jest możliwe. Obejmuje to:

• Urządzenia wykonawców, w przypadku których zarządzanie urządzeniami jest powiązane z inną instancją zarządzania urządzeniami.
• Scenariusze BYO Mac / BYO PC, w których zarządzanie urządzeniami nie może być wdrażane ze względów prywatności.

Błąd: Ostrzeżenie bezpieczeństwa

Jeśli dostęp do zasobów danych zostanie rozszerzony na niezarządzane urządzenia, znacznie zmniejszysz skuteczność modelu bezpieczeństwa Trusted Access dla tych danych.

Ponieważ nie będziesz już wymagać zatwierdzonego lub bezpiecznego urządzenia, aby uzyskać dostęp do tego zasobu danych, zasób jest koniecznie dostępny dla każdego urządzenia, co czyni go znacznie bardziej podatnym na ataki oparte na poświadczeniach użytkownika.

Jeśli będziesz używać tej metody, bądź ostrożny wobec czułości danych, które są narażone, i zdefiniuj dostęp do urządzeń zarejestrowanych tylko dla użytkownika tak wąsko, jak to możliwe.

W przypadku tej metody rejestracji użytkownik instaluje Jamf Trust i aktywuje go, używając swoich poświadczeń dostawcy tożsamości. Zasoby danych są następnie dostępne dla użytkownika i urządzenia w oparciu o przypisane im zasady dostępu.

Włącz dostęp do danych tylko dla użytkownika za pośrednictwem Jamf Trust

Konfiguracja tego modelu wdrażania obejmuje konfigurację rejestracji opartych na tożsamości, umożliwiających urządzeniom bez zarządzania aktywację Jamf Trust przy użyciu wyłącznie poświadczeń dostawcy tożsamości.

1. Postępuj zgodnie z krokami opisanymi w sekcji Włączanie dostępu dla zaufanych urządzeń w celu skonfigurowania dostępu prywatnego w RADAR, z następującymi modyfikacjami:
   1. Utwórz nowy profil aktywacji zatytułowany Unmanaged Devices z następującymi konfiguracjami:
      1. Ustaw grupę urządzeń na nową grupę o nazwie Unmanaged User-Only Devices
      2. Wybierz dostawcę tożsamości, którego użytkownicy mają używać tego profilu aktywacji.
      3. W przypadku możliwości minimalnie wybierz Zero Trust Network Access.
   2. Skonfiguruj provisioning oparty na tożsamości dla właśnie utworzonego profilu aktywacji Unmanaged Devices.
   3. Zmodyfikuj swoje zasady dostępu w RADAR w następujący sposób:
      1. W przypadku poufnych aplikacji upewnij się, że opcja Everyone NIJE zaznaczona w konfiguracji Users and Groups zasady.
      2. W przypadku aplikacji, które powinny być dostępne dla urządzeń User-Only, wybierz opcję Limited dla Users and Groups i pamiętaj, aby uwzględnić wcześniej utworzoną grupę Unmanaged User-Only Devices.
      3. ZDECYDOWANIE zaleca się, aby zasady dostępu dostępne dla grupy Unmanaged User-Only Devices były skonfigurowane z dowolnymi definicjami ruchu w całej podsieci (np. /24) w konfiguracji Traffic Matching.

Użytkownicy mogą teraz pobrać aplikację Jamf Trust z publicznego App Store platformy (lub stąd dla systemu Windows), a następnie zalogować się przy użyciu swoich poświadczeń dostawcy tożsamości. Aplikacja uaktywni się i dostęp do sieci będzie dostępny dla aplikacji skonfigurowanych w zasadach dostępu dla urządzenia.

Dostęp można wycofać od użytkownika w dowolnym momencie, usuwając jego wpis dotyczący urządzenia w RADAR > Devices > Manage. Pamiętaj, że użytkownik będzie mógł ponownie się zarejestrować, jeśli jego poświadczenia są nadal ważne, a konfiguracja integracji dostawcy tożsamości na to pozwala.