Jamf Concepts
Guides

Guides

Sprawdzona Zgodność Urządzeń dla Microsoft Entra

~24 min read

Wiele organizacji podążyło za strategią zero trust, która obejmuje zezwolenie tylko zarządzanym i zgodnym urządzeniom na dostęp do czułych zasobów firmy.

Jest to robione z kilka powodów:

  • Drastycznie zmniejszyć ataki phishingowe poprzez wymuszenie na atakującym posiadania fizycznego urządzenia firmy do logowania przy użyciu skradzionych poświadczeń (w tym kodów MFA).

  • Wzmocnić kontroli Data Loss Protection (DLP) poprzez zezwolenie dostępu do zasobów tylko na maszynach, które mają te kontrole.

  • Wycofać dostęp dla autoryzowanych użytkowników, jeśli ich urządzenie wypadnie z zgodności lub zostanie skompromitowane.

Większość organizacji używa dostawcy tożsamości (IdP) do wymuszenia tych kontroli w momencie logowania. Ale jak dostawca tożsamości może niezawodnie określić, czy urządzenie jest zarządzane czy nie?

Dla organizacji używających Microsoft Entra jako IdP, Jamf wdrożył Microsoft Partner Compliance API integration, które umożliwia Entra identyfikowanie urządzeń Apple, które są zarządzane i zgodne zgodnie z Jamf Pro.

Chociaż ta integracja jest szeroko wdrażana i używana w małych i dużych środowiskach produkcyjnych na całym świecie, integracja jest przedmiotem wyzwań doświadczenia użytkownika końcowego ze względu na wielu czynników inherentnego projektu:

  • Użytkownicy końcowi muszą postępować zgodnie z konkretnymi krokami na ich urządzeniu, aby prawidłowo zarejestrować swoje urządzenie w Entra

  • Opóźnienia czasowania i aktualizacji, które mogą utrudniać zdolność użytkownika do dostępu do zasobu, gdy powinien być w stanie to zrobić

  • Sporadyczne błędy usług skutkujące urządzeniami, które są oznaczane z niepoprawnym stanem zgodności, wymagającym interwencji help desku

Dzięki nowym technologiom Apple i platformy Jamf, Jamf jest teraz w stanie wyeliminować te wyzwania doświadczenia użytkownika końcowego, dramatycznie poprawiając doświadczenie użytkownika bez kompromisów w możliwościach dostarczonych przez Partner Compliance API!

Przedstawiamy Attested Device Compliance

Integracja oparta na Microsoft Partner Compliance API opiera się na jawnej rejestracji każdego urządzenia zarządzanego przez Jamf Pro w Entra/Intune i out-of-band sygnalizacji zanim dostęp można przyznać do zasobów, które wymagają urządzenia, aby było oznaczone jako "zgodne". W przeciwieństwie, Attested Device Compliance wykorzystuje bezpieczną i zero-touch wdrażaną sieć wspartą przez technologię Apple Managed Device Attestation do sygnalizacji stanu zarządzania i zgodności urządzenia w linii z żądaniami logowania, bez konieczności żadnej rejestracji Entra lub żadnej interakcji użytkownika końcowego.

To podejście rozwiązuje wiele z wyzwań dostępu doświadczenia użytkownika napotkanymi, gdy aktualizacje Partner Compliance API trwały dłużej niż oczekiwały użytkownicy, szczególnie podczas onboardingu po raz pierwszy lub rozwiązywania problemu zgodności. Chociaż dostęp może być rozwiązany prawie w czasie rzeczywistym z Attested Device Attestation, Partner Compliance powinien być nadal używany w tandemie do warstwowej ochrony niezwykle czułych aplikacji i do audytu zgodności punktu końcowego pojedynczej puli szkła w Entra/Intune.

Na wysokim poziomie, zamiast wykorzystywania flagi "Zgodne" jako sygnalizowane poprzez Device Compliance Partner API zanim zasób jest dostępny dla danego urządzenia, korzystając z polityki dostępu warunkowego Entra, zamiast tego używana jest "Named Location". Ta Named Location jest zdefiniowana w Entra przez pary adresów IP, które zostały wydane organizacji przez usługę Jamf Security Cloud. W efekcie, każde urządzenie, które próbuje zalogować się za pośrednictwem jednego z tych adresów IP, będzie uważane za "zgodne", i tutaj wkracza Attested Device Compliance.

Diagram Architektury Attested Device Compliance

Aby użyć jednego z tych adresów IP do przejścia kontroli zgodności, dane urządzenie MUSI:

  • Być wpisane do Jamf Pro

  • Być zaatestowane przez Apple jako autentyczne sprzęt Apple

  • Być identyfikowanym kryptograficznie przy użyciu atestowanych identyfikatorów urządzenia, które pasują do urządzenia wpisanego do Twojej konkretnej dzierżawy Jamf

  • Znajdować się w grupy inteligentnej Jamf Pro, która pasuje do zadowalającego stanu zgodności

  • Być wolnym od zagrożeń zdefiniowanych przez kategorie zagrożeń w Jamf Security Cloud

Brak któregokolwiek z powyższych będzie skutkować utratą przez urządzenie możliwości użycia zaufanego adresu IP, czyniąc go niezaufanym urządzeniem zgodnie z Entra (blokując dostęp) do czasu skorygowania problemu. Po naprawie, urządzenie przywraca swoją zdolność do ponownego użycia zaufanego adresu IP automatycznie w ciągu około minuty.

Możliwości i Funkcje Zgodności Urządzeń

Poniższa tabela porównuje Partner Compliance z Attested Device Compliance, w tym używanie obu razem.

Entra Partner Compliance Attested Device Compliance Entra Partner Compliance + Attested Device Compliance (Rekomendowane)
Metoda Integracji API-based, out-of-band przepływu logowania Network-based, w linii z przepływem logowania Access Policies: Network-based

Entra/Intune Compliance Audit: API-based | | Kryteria Dostępu Warunkowego Używane | Flaga Zgodności Urządzenia | Named Location | Named Location

(+ Flaga Zgodności Urządzenia dla niezwykle czułych aplikacji) | | Wymagania Interakcji Użytkownika | Interaktywne logowanie użytkownika za pośrednictwem aplikacji Microsoft | Brak, część rejestracji MDM | Logowanie: Brak

Flagą Zgodności: Wymagane logowanie użytkownika | | Wymuszanie Zmiany Zgodności | Minuty do godzin | < 1 minuta | Logowanie: < 1 minuta

Flagą Zgodności: Minuty do godzin | | Punkt Wymuszania Zgodności | Polityka Dostępu Warunkowego Entra | Jamf Security Cloud + polityka dostępu warunkowego Entra | Jamf Security Cloud + polityka dostępu warunkowego Entra | | Oznacza urządzenie jako "Zgodne" w Entra | Tak | Nie | Tak | | Ochrona Ruchu Logowania Entra | Tylko TLS serwera | Mutual TLS: Zaciemnianie i wtórne szyfrowanie całego ruchu Entra (Odporny na nadzór i MITM) |

Przegląd Rozwiązania

Ta sekcja wchodzi w dalsze szczegóły techniczne, jak Attested Device Compliance z Entra Partner Device Compliance działa i jest wdrażany w Twoim środowisku.

Attested Device Compliance działa poprzez użycie:

  • Zero-touch wdrażanego, zawsze włączonego, powiązanego z sprzętem i natywnego mechanizmu wektoryzacji ruchu (Network Relay) do transmisji czułych danych z punktu końcowego do Entra.

  • Wysoce dostępnej sieci routingu ruchu opartej na polityce, która zapewnia szybką łączność z dowolnej sieci gdziekolwiek na świecie.

  • Dedykowanego prywatnego globalne IP Internet wyjścia (pary źródłowe HA) a także prywatnych opcji tunelu IPSec Site-to-Site dla dodatkowego bezpieczeństwa/kontroli wymaganej.

Doświadczenie end-to-end na wysokim poziomie obejmuje:

  • Administrator konfiguruje konfigurację wdrażania Network Relay, definiuje jeden lub więcej wyjść sieciowych (Internet IPs lub IPSec Tunnels) i definicję polityki dostępu uwierzytelniania Microsoft Entra.

  • Urządzenia Apple są wpisane do Jamf Pro.

  • Konfiguracja Relay jest automatycznie wdrażana i aktywowana na urządzeniu na podstawie członkostwa Smart Group opartego na zgodności w Pro. Atestacja Urządzenia jest wykonywana z serwerami Apple i dzierżawa urządzenia w Jamf Pro jest kryptograficznie weryfikowana. Nie jest wymagana żadna interakcja użytkownika ani logowanie.

  • Ruch sieciowy powiązany z Entra generowany z przeglądarek lub aplikacji na urządzeniu jest szyfrowany i kryptograficznie walidowany na brzegu Jamf Global Cloud Edge. Kontekst urządzenia jest oceniany względem kryteriów dostępu, takich jak poziom ryzyka i członkostwo grupy.

  • Jeśli dostęp jest dozwolony, ruch generowany przez urządzenie jest kierowany do Entra poprzez:

Dedykowaną bramę Internet Egress. Używa NAT do prezentacji ruchu urządzenia, aby wydawało się, że pochodzi z jednego z dwóch wysoce dostępnych publicznych (globalnych) adresów IP.

  • Dedykowany tunel IPSec. Wykorzystuje trasę tunelu VPN Site-to-Site IPSec do lądowania pakietów urządzenia bezpośrednio w sieci przedsiębiorstwa. NAT jest używany do prezentacji urządzeń z adresem źródłowym należącym do podsieć prywatnej skonfigurowanej na sieci LAN/DMZ/VPC.

  • Jeśli dostęp jest odmówiony (np. z powodu niezgodnego urządzenia), ruch jest przesyłany dalej poprzez "publiczny" adres IP, który nie jest zaufany przez organizację.

  • Polityki dostępu warunkowego są dopasowywane do zezwolenia logowań z urządzeń z ich ruchem pochodzącym z zaufanych adresów IP (używając Named Locations) i blokowaniem ruchu pochodzącego z niezaufanych IP.

  • Użytkownik loguje się zgodnie z wymaganiami uwierzytelniania użytkownika polityki dostępu warunkowego aplikacji docelowej (np. MFA). Mogą uzyskać dostęp do aplikacji.

  • Korzystając z Microsoft Parter Device Compliance API, stan "Zgodności" urządzenia jest aktualizowany do Entra/Intune, gdy:

Urządzenie jest zarejestrowane w Entra za pośrednictwem Platform Single Sign On.

  • Użytkownik rejestruje swoje urządzenie w Self Service, np. aby uzyskać dostęp do bardziej czułej aplikacji poza podstawowymi aplikacjami produktywnościowymi.

Aby uzyskać techniczne głębokie nurkowanie w sposób, w jaki architektura routingu ZTNA Jamf pracuje w celu zapewnienia dostępu o minimalnych uprawnieniach, opartego na mikro-tunelu do określonych zasobów tylko - bez ujawniania wewnętrznych IP lub podsieci do punktów końcowych - zobacz Network Engineer's Guide to Jamf Connect ZTNA.

Konfiguracja Przykładowej Aplikacji "My IP on a Map"

Dzięki natywnej i zintegrowanej platformie Jamf, konfigurowanie Attested Device Compliance jest bardzo proste. Będziemy najpierw konfigurować przykładową aplikację SaaS, aby walidować routing oparty na Relay zanim wprowadzić polityki dostępu warunkowego Entra.

Z odpowiednimi uprawnieniami dostępu i prawami, ta konfiguracja może być ukończona w ciągu godziny.

Pre-Requisities

Aby skonfigurować to rozwiązanie, będziesz potrzebować:

  • Jedno lub więcej urządzeń testowych Apple

Uwaga: możesz użyć urządzeń iOS, iPadOS, macOS lub visionOS do testowania konfiguracji. Wszystkie działają identycznie z Attested Device Compliance.

  • Urządzenie(a) są wpisane do Jamf Pro

Te kroki są specyficzne dla Jamf, ale mogą być zastosowane do urządzeń zarządzanych przez Intune również.

  • Dostęp do portali Jamf Pro i Jamf Security Cloud

Konto administratora Jamf Pro z możliwością tworzenia poświadczenia klienta API, które mogą zarządzać urządzeniami mobilnymi, grupami inteligentnych urządzeń mobilnych, komputerami i grupami inteligentnych komputerów.

  • Konto administratora Jamf Security Cloud z uprawnieniami Global Administrator lub Access Administrator.

Jeśli nie masz środowiska Jamf Security Cloud, skontaktuj się z reprezentantem Jamf lub partnerem.

  • Administracja polityka infrastruktury brzegowej sieciowej.

W zależności od tego, jak będziesz się łączyć z infrastrukturą (integracja IdP i/lub zapory), administrator z odpowiednimi uprawnieniami polityki lub konfiguracji infrastruktury będzie musiał zezwolić na ruch z Jamf Security Cloud.

Uwaga: Możesz w pełni skonfigurować routing urządzeń bez tego, ale Twoje możliwości dostępu i możliwości będą inherentnie ograniczone, dopóki te kroki nie zostaną ukończone.

Skonfiguruj Jamf Pro

Krok 1: Utwórz lub skopiuj Compliance Smart Group w Jamf Pro

Utworzenie tej grupy inteligentnej pomoże uprościć przypisanie w całym przewodniku. Jeśli już utworzyłeś Smart Group, którą chcesz użyć dla swoich urządzeń, możesz zamiast tego użyć tego.

  • Zaloguj się do Jamf Pro używając loginu SSO Jamf Account lub innych poświadczeń.

  • Przejdź do Devices i wybierz Smart Device Groups.

  • Kliknij przycisk + New, aby utworzyć nową grupę inteligentną.

  • Podaj odpowiadającą Display Name, rekomendujemy "Compliant Devices". W razie potrzeby podaj opis.

  • Wybierz kartę Criteria u góry ekranu, a następnie kliknij + Add.

  • Zdefiniuj jeden lub więcej kryteriów, które definiują urządzenie "Zgodne".

Jeśli testujesz: rozważ ograniczenie do jednego urządzenia lub grupy urządzeń testowych, zanim rozszerzy się do szerszej populacji.

  • Kliknij Save, aby utworzyć Smart Group.

Skonfiguruj i Wdrażaj Konfigurację Network Relay

W tej sekcji konfigurujemy platformę Jamf, aby skonfigurować i wdrożyć konfigurację Network Relay na zarządzanych urządzeniach Apple.

Krok 1: Skonfiguruj UEM Connect w Jamf Security Cloud

To kroki łączy Jamf Jamf Security Cloud z Jamf Pro, aby ułatwić wdrażanie i bieżącą walidację rejestracji urządzenia, aby zapewnić, że tylko zarządzane urządzenia z odpowiednimi poziomami ryzyka mogą używać usługi Network Relay.

  • Zaloguj się do Jamf Security Cloud, korzystając z loginu SSO Jamf Account lub innych poświadczeń.

  • Przejdź do Integrations i wybierz UEM Connect.

  • Postępuj zgodnie z krokami w Configuring UEM Connect for Jamf Pro i zweryfikuj, że konfiguracja raportu pomyślnie się połączyła.

Zdecydowanie rekomenduje się ukończenie konfiguracji webhook, aby zapewnić bezproblemowe doświadczenie użytkownika bezpośrednio po nowymi rejestracjami urządzeń.

Krok 2: Skonfiguruj Profil Aktywacji Network Relay

  • Przejdź do Devices > Activation Profiles. Wybierz przycisk Create profile.

  • Wybierz możliwość Network access, a następnie kliknij Next.

Możesz opcjonalnie wdrożyć Security (Network threat protection i mobile threat defense) i/lub Content controls (category content filtering) możliwości, jednak wymagają one dodatkowych kroków wdrażania aplikacji Jamf Trust, która nie jest w zakresie tego dokumentu.

  • Po wyświetleniu monitu o Authentication, wybierz Managed device attestation, a następnie kliknij Next.

Jeśli wymaga zawsze włączonej łączności, którą użytkownik nie może wyłączyć, wybierz Locked-down.

  • Podaj Name dla profilu aktywacji do łatwego odniesienia. Sugerujemy "Attested Device Compliance Network Relay"

  • Zdefiniuj Group do dodania urządzeń, które aktywują ten profil. Sugerujemy "Attested Device Compliance Devices", chyba że masz alternatywną politykę grupy urządzeń. Zawsze możesz to zmienić później. Kliknij** Next**.

  • Przejrzyj konfigurację, a następnie wybierz Save and Create.

Krok 3: Wdrażanie Profilu Aktywacji na Urządzenia

Ten krok wymaga, aby UEM Connect został pomyślnie skonfigurowany.

  • Na wyświetlonym ekranie upewnij się, że przyciski Jamf Pro i iOS/iPadOS/tvOS/visionOS są wybrane. Rozwiń Configuration profiles.

  • W sekcji UEM actions wybierz menu rozwijane UEM group i wybierz grupę zgodności inteligentną, którą utworzyłeś w Pro w poprzednim kroku.

Uwaga: jeśli Twoja grupa się nie pojawia po kliknięciu, zacznij wpisywać nazwę grupy inteligentnej, a powinna się pojawić.

  • Jeśli pominiesz ten krok, będziesz musiał ręcznie rozszczepić profil konfiguracji mobilnej, który jest empchowany do Pro do grupy inteligentnej.

  • Gdy będziesz gotów, kliknij Deploy to Jamf Pro. To wdroży konfigurację Relay na wszystkich urządzeniach pasujących do kryteriów zdefiniowanej grupy inteligentnej.

Uwaga: W tym momencie nie zdefiniowano żadnych polityk dostępu, dzięki czemu konfiguracja Relay będzie wypchnięta do urządzenia, nie będzie routingu ruchu przy jej użyciu. Będziemy konfigurować to dalej.

  • Powtórz powyższe kroki, ale wybierając macOS jako typ platformy, jeśli testujesz z Macs.

Skonfiguruj Przykładową Politykę Dostępu

W tej sekcji konfigurujemy routing konfiguracji i polityk do routowania wybranych ruch przedsiębiorstwa z urządzenia do przykładowych aplikacji SaaS do walidacji, czy routing oparty na Relay działa prawidłowo, zanim wprowadzić polityki dostępu warunkowego Entra.

Ten przewodnik używa "Shared Internet Gateway" dla prostoty, aby uzyskać routing oparty na Relay.

W przypadku użytku produkcyjnego, zdecydowanie rekomenduje się konfigurowanie i używanie dedykowanej bramy internetowej lub dedykowanej bramy IPSec na podstawie Twoich wymagań łączności i bezpieczeństwa. Przejdź do Integrations > Access gateways w Jamf Security Cloud, aby skonfigurować prywatne bramy, które następnie mogą być łatwo używane zamiast Shared Gateway skonfigurowanego w tym przewodniku.

Krok 1: Skonfiguruj Politykę Dostępu My IP on a Map

  • W Jamf Security Cloud przejdź do Policies > Access policy i kliknij Create policy.

  • Wybierz Predefined App, wybierz My IP on a Map z dostępnych aplikacji, a następnie kliknij Next.

  • Opcjonalnie zdefiniuj Category, a następnie kliknij Next.

  • Przykładowe nazwy hostów dla aplikacji My IP on a Map są już zdefiniowane. Kliknij Next, aby kontynuować.

  • Opcjonalnie wybierz grupy urządzeń, które powinny mieć dostęp do tej aplikacji, która musi obejmować grupę urządzenia zgodności, którą mogłeś zdefiniować wcześniej (jeśli All nie jest wybrane).

  • Włącz **Access requires device to be managed **, a następnie kliknij Next.

Aby uprościć testowanie, rekomendujemy pozostawienie walidacji ryzyka wyłączonej w tym momencie. Po zawalidowaniu wdrażania i zrozumieniu walidacji opartej na ryzyku, jest to świetna funkcja do włączenia!

  • Na ekranie **Application traffic routing **, upewnij się, że Encrypt and route via ZTNA: jest wybrane, a następnie wybierz Nearest Data Center,

Dla tej konkretnej aplikacji My IP on a Map testu rekomendujemy, aby nie używać niestandardowej bramy dostępu.

  • Pozostawiając inne konfiguracje na domyślnych ustawieniach, kliknij Next.

  • Przejrzyj konfigurację, a następnie kliknij Save and create app.

Krok 2: Ponownie Wdrażanie Polityki Dostępu Network Relay

  • Przejdź do Devices > Activation Profiles i wybierz profil aktywacji, który zdefiniowałeś wcześniej.

  • Rozwiń **Configuration profiles **, a następnie kliknij Deploy to Jamf Pro.

Krok 3: Potwierdź Routing Relay na Urządzeniu

  • Na urządzeniu testowym otwórz Safari.

  • Przejdź do map.wandera.com

  • Jeśli widzisz adres IP i mapę, gratulacje! Twoja konfiguracja relay działa prawidłowo.

Jeśli widzisz "Forbidden", ponownie sprawdź powyższe kroki i upewnij się, że konfiguracja Relay jest wdrażana na Twoim urządzeniu w aplikacji Settings (lub System Preferences dla macOS) w VPN & Relays.

Microsoft Conditional Access: Konfigurowanie Attested Device Compliance

Korzystając z usługi Relay Jamf w połączeniu z polityką dostępu warunkowego Microsoft, dostęp może być ograniczony do zaufanych urządzeń Apple z bezproblemowym doświadczeniem użytkownika, jednocześnie polepszając bezpieczeństwo.

Jak to Działa

  • Zarządzane urządzenie jest wdrażane z profilem konfiguracji mobilnej z Network Relay i ładunkami ACME.

  • Korzystając z Managed Device Attestation, certyfikat ACME jest wydawany urządzeniu po walidacji sprzętu przez serwery atestacji Apple. Klucz prywatny certyfikatu jest zablokowany w Secure Enclave urządzenia i nigdy nie może być oglądany ani udostępniany.

  • Mutual-TLS QUIC/HTTP3 (MASQUE) tunel Relay jest używany do hermetyzacji całego ruchu uwierzytelniania Microsoft Entra opuszczającego urządzenie. Ten tunel zaciemniania całego ruchu Entra, chroni go przed atakami TLS Adversary in the Middle, i wykorzystuje QRC tam gdzie jest obsługiwany.

  • Usługa relay Jamf przerywa przychodziący tunel MASQUE, weryfikując integralność identyfikatora urządzenia poprzez certyfikat TLS klienta, jednocześnie weryfikując, że urządzenie jest wpisane do połączonej dzierżawy Jamf Pro klienta i spełnia inne polityki zgodności i dostępu. Ruch Entra nie jest dekryptowany ani w inny sposób modyfikowany w tym procesie!

  • Zakładając, że wszystkie te kontrole zostaną zaliczone, ruch Entra jest egresowany do Internetu przy użyciu dedykowanych dla dzierżawy globalnych adresów IP HA. Innymi słowy, tylko autentyczne urządzenia Apple, które są aktywnie wpisane i zgodne w połączonym środowisku Jamf Pro klienta, mogą używać tych dedykowanych internetowych adresów IP.

  • Te adresy IP są konfigurowane jako Named Locations w konfiguracji Microsoft Conditional Access.

  • Te nazwane lokalizacje są używane do obejścia typowej polityki zgodności urządzenia Jamf używanej dla nieuprawnonych urządzeń Apple zarządzanych przez Jamf (lub nieupoważnionych). Ta sama Named Location jest używana dla nowej polityki dostępu warunkowego, która pozwala na dostęp z urządzeń pochodzących z Named Location (IPs) bez wymagania zgodności urządzenia.

Efekt netto jest efektywnie taki sam: zamiast wysyłania bitu zgodności urządzenia do Entra, aby określić politykę dostępu warunkowego, kontrola zgodności zachodzi na platformie Jamf. Tylko zarządzane i zgodne urządzenia będą kiedykolwiek mogły używać zaufanego adresu IP / Named Location. To podejście również dodaje znaczące ulepszenia doświadczenia użytkownika (brak konkretnych kroków konfiguracji użytkownika końcowego wymagane), jednocześnie znacznie wzmacniając bezpieczeństwo poprzez hermetyzację i ochronę ruchu Entra na dowolnej zaufanej lub niezaufanej sieci, na której znajduje się urządzenie.

Konfigurowanie Polityk Dostępu Warunkowego Entra dla Attested Device Attestation

Pre-Requisities

  • Pomyślnie skonfigurowałeś i wdrażasz przykładową aplikację My IP on a Map SaaS.

  • Ty - lub kolega, z którym możesz pracować - masz dostęp do konfiguracji polityk dostępu warunkowego Microsoft.

Krok 1: Utwórz dedykowaną bramę Internet Egress w Jamf Security Cloud

W tym kroku utworzysz parę dedykowanych globalnych (publicznych) adresów IP, które będą unikatowo dostępne dla Twojej organizacji i nikogo innego.

  • W Jamf Security Cloud przejdź do Integrations > Access gateways.

  • Obok Dedicated internet gateway wybierz Create Gateway.

  • Podaj Name dla bramy i zdefiniuj Egress region do wyboru.

Uwaga: możesz utworzyć wiele dedykowanych bramy internetowych, a następnie je "zgrupować". To umożliwia najbliższej bramy wyjścia do użytku dla użytkownika, który może łączyć się z punktem Jamf w tym regionie. Ta konfiguracja jest poza zakresem tego dokumentu, skontaktuj się z Jamf Support, jeśli potrzebujesz dodatkowej pomocy.

  • Po utworzeniu zanotuj dwa Public IPs, które są zwracane. Te będą używane w konfiguracji Named Locations w Microsoft Entra.

Krok 2: Utwórz politykę dostępu Microsoft Entra przy użyciu dedykowanej bramy IP

  • W Jamf Security Cloud przejdź do Policies > Access Policies, a następnie kliknij Create Policy.

  • Wybierz Predefined App, a następnie wybierz Microsoft Authentication z listy aplikacji, które się pojawiają.

Uwaga: nie jest wymagane konfigurowanie innych aplikacji Microsoft, jak pokazano w politykach dostępu, aby kontrole dostępu warunkowego działały.

  • Opcjonalnie zdefiniuj Category, a następnie kliknij Next.

  • Nazwy hostów dla Microsoft Entra są już zdefiniowane. Jeśli nie używasz bardzo wyspecjalizowanej konfiguracji Entra, kliknij Next, aby kontynuować.

  • Opcjonalnie wybierz grupy urządzeń, które powinny mieć dostęp do tej aplikacji, która musi obejmować grupę urządzenia zgodności, którą mogłeś zdefiniować wcześniej (jeśli All nie jest wybrane).

  • Włącz **Access requires device to be managed **, a następnie kliknij Next.

Aby uprościć testowanie, rekomendujemy pozostawienie walidacji ryzyka wyłączonej w tym momencie. Po zawalidowaniu wdrażania i zrozumieniu walidacji opartej na ryzyku, jest to świetna funkcja do włączenia!

  • Na ekranie **Application traffic routing **, upewnij się, że Encrypt and route via ZTNA: jest wybrane, a następnie wybierz dedykowaną bramę internetową, którą utworzyłeś w poprzednim kroku.

  • Pozostawiając inne konfiguracje na domyślnych ustawieniach, kliknij Next.

  • Przejrzyj konfigurację, a następnie kliknij Save and create app.

Krok 3: Ponownie Wdrażanie Konfiguracji Relay i Walidacja na Urządzeniu

  • W Jamf Security Cloud przejdź do Devices > Activation Profiles i wybierz profil aktywacji, który zdefiniowałeś wcześniej.

  • Rozwiń **Configuration profiles **, a następnie kliknij Deploy to Jamf Pro.

  • Na urządzeniu testowym otwórz aplikację Settings i przejdź do VPNs & Relays. Wybierz opcję "i" obok Network Relay i zweryfikuj, że widzisz login.microsoftonline.com na liście nazw hostów.

Krok 4: Utwórz Named Location w Microsoft Entra

  • Korzystając z odpowiednio autoryzowanego poświadczenia Microsoft Entra, zaloguj się do Microsoft Entra.

  • W lewej nawigacji w sekcji Entra ID przejdź do Conditional Access.

  • Pod Manage wybierz Named locations.

  • Kliknij + IP ranges location.

  • Zdefiniuj Name, sugerujemy **Jamf Relay-Compliant Devices **i zaznacz pole wyboru Mark as trusted location

  • Kliknij przycisk **+ **, aby dodać każdy adres IP, który skopiowałeś wcześniej z konfiguracji Dedicated Internet Egress w Jamf Security Cloud

Upewnij się, że dodajesz /32 na końcu każdego adresu IP, który jest wpisywany.

  • Gdy skończysz, kliknij Create, aby utworzyć Named Location.

Krok 5: Utwórz politykę dostępu warunkowego Attested Device Compliance

W tym kroku utworzymy politykę, która pozwoli na dostęp urządzeń zarządzanych przez Jamf - z ich ruchem egresującym za pośrednictwem dedykowanych IP dzierżawy Jamf - do aplikacji i zasobów, do których są autoryzowani.

  • W Entra > Conditional Access przejdź do Policies.

  • Kliknij **+ New Policy **

  • Podaj Name, sugerujemy Jamf Attested Device Compliance Conditional Access

  • Wybierz Users, a następnie wybierz All users

Możesz zdefiniować węższych użytkowników tutaj, ale ponieważ ta polityka będzie dotyczyć tylko urządzeń wpisanych do Jamf Pro z wdrożonym profilem Relay, zazwyczaj nie jest wymagane.

  • Wybierz Target resources, a następnie określ zasoby/aplikacje, do których użytkownicy na zarządzanych urządzeniach powinni mieć dostęp.

  • Wybierz Network, a następnie ustaw Configure na Yes. Wybierz Selected networks and locations, a następnie wybierz Named Location Jamf Dedicated IPs, które utworzyłeś wcześniej.

  • Pod Conditions opcjonalnie zdefiniuj User/Sign-in/Insider risk jako odpowiednie. Pozostaw inne ustawienia Not configured.

  • Pod Access controls > Grant upewnij się, że Require device to be marked as compliant jest NOT checked. Zdecydowanie rekomenduje się skonfigurowanie albo **Require multifactor authentication ** lub Require authentication strength ustawień, aby wykorzystać Microsoft Authenticator i możliwości biometryczne.

  • Jeśli nie ma konkretnego powodu, aby to zrobić, pozostaw wszystkie ustawienia unchecked w Session ustawieniach polityki.

  • Zweryfikuj ustawienia, a następnie ustaw Enable policy na On. Kliknij Create.

Krok 6: Wyklucz Named Location Jamf z Istniejących Polityk Dostępu Warunkowego Zgodności Urządzenia

Aby uniknąć blokad dostępu lub innych wpływów na użytkownika końcowego, upewnij się, że wykonujesz te kroki bardzo ostrożnie!

Ten krok jest wymagany tylko, jeśli użytkowniesz Jamf Partner Device Compliance w swoim środowisku do tej pory.

Nie będzie żadnego wpływu na inne urządzenia i żadne nieupoważnione urządzenia nie zyska dostępu poprzez wykonanie tych kroków.

Ten krok modyfikuje istniejące polityki dostępu warunkowego, aby wyklucz urządzenia, które mają ruch pochodzący z dedykowanych IP dzierżawy Jamf, z polityk dostępu warunkowego, które wymagają ustawienia flagi zgodności urządzenia przez Jamf Partner Compliance.

  • W Entra > Conditional Access przejdź do Policies.

  • Dla każdej polityki dostępu warunkowego, która wymaga zgodności urządzenia, ale powinna być możliwa do użycia, korzystając z Attested Device Compliance, wykonaj następujące czynności:

Kliknij Policy name, aby go otworzyć.

  • Pod Assignments wybierz Network.

  • Jeśli nie jest jeszcze skonfigurowany, ustaw Configure na Yes.

Jeśli nie został konkretnie skonfigurowany, upewnij się, że **Any network location ** w karcie Include jest wybrana.

  • Wybierz kartę Exclude, i wybierz opcję Selected networks and locations.

  • Pod Select zdefiniuj Named Location, którą utworzyłeś w poprzednim kroku.

  • Kliknij Save, gdy

W tym momencie nie będzie żadnego wpływu netto na zdolność dowolnego urządzenia do dostępu do zasobów za pośrednictwem dostępu warunkowego. Polityka efektywna jest dokładnie taka sama jak poprzednio.

Krok 7: Walidacja Polityk Dostępu Warunkowego za pomocą What If Tester

W tym kroku będziemy walidować, że wszystkie niezbędne polityki dostępu warunkowego zostały dostosowane dla zarządzanego urządzenia Jamf w celu zalogowania się do aplikacji Entra przy użyciu Attested Device Compliance.

  • W Entra > Conditional Access przejdź do Policies.

  • Wybierz przycisk What if u góry ekranu

  • Pod User zdefiniuj przykładowego użytkownika, który pasuje do polityki dostępu warunkowego Attested Device Compliance, która została właśnie utworzona.

  • Pod target resource wybierz aplikację/zasób, która pasuje do polityki dostępu warunkowego Attested Device Compliance, która została właśnie utworzona.

  • Pod device platform wybierz iOS (lub inną platformę Apple w zależności od testowania)

  • Pod Client app wybierz Modern apps and desktop clients - modern authentication clients

  • Pod IP address, określ jeden z publicznych IP, które zostały utworzone dla Named Location w poprzednim kroku.

  • Pod country, wybierz kraj, który jest blisko adresu IP zdefiniowanego.

To jest wymagany krok przez symulator What if

  • Kliknij przycisk What if.

  • W wynikowych politykach powinnaś zobaczyć tylko politykę dostępu warunkowego Attested Device Compliance utworzoną wcześniej. * Jeśli widzisz inne polityki*:

Jeśli polityka wskazuje, że wymaga zgodności urządzenia, edytuj tę politykę i dodaj Named Location Jamf jako Network exception na Krok 6 powyżej.

  • Jeśli polityka nie wymaga zgodności urządzeń, nie musi być modyfikowana, ale urządzenie Apple i jego użytkownik będą objęte wszelkimi dodatkowymi politykami zdefiniowanymi tam.

Krok 8: Zaloguj się do Aplikacji Biznesowej na Urządzeniu Apple

Mając powyższą konfigurację w miejscu, jesteś teraz gotów do zalogowania się do zasobów Microsoft na urządzeniu Apple przy użyciu Attested Device Compliance.

  • Otwórz natywną aplikację (np. Teams) lub aplikację opartą na przeglądarce, która wymaga logowania za pośrednictwem Entra.

  • Zaloguj się normalne, postępując zgodnie z podpowiedziami MFA w razie potrzeby.

  • Jeśli wszystko działa, będziesz zalogowany!

Jeśli widzisz błąd "You can't get tvhere from here", jest problem z politykami dostępu warunkowego dla aplikacji, którą próbujesz uzyskać. Ostrożnie sprawdź konfigurację za pomocą narzędzia "What if" Entra.

Krok 9: Monitoruj użycie i Stream Access Events do SIEM (opcjonalnie)

Teraz z urządzeniami Apple uwierzytelniającymi za pośrednictwem Attested Device Complaince, możesz użyć Jamf Security Cloud, aby przejrzeć dzienniki dostępu i transmitować zdarzenia dostępu do SIEM w celu widoczności InfoSec w ich SOC.

  • Zaloguj się do Jamf Security Cloud, przejdź do Reports > Event Log.

  • Wszystkie działania, które routują za pośrednictwem usługi, pojawią się tutaj, w tym nazwa urządzenia postura ryzyka i dyspozycja routingu.

  • Przejdź do Integrations > Data Streams i kliknij New Configuration.

  • Wybierz Network Traffic i określ docelową SIEM / dane zgodnie z naszą dokumentacją.

Krok 10: Skonfiguruj Microsoft Partner Compliance (rekomendowane)

Jeśli jeszcze nie skonfigurowałeś, konfigurowanie Microsoft Partner Compliance zapewnia dodatkowe korzyści:

  • Oznaczenie urządzeń jako "Zgodne" w Entra/Intune na podstawie stanu zarządzania urządzeniami i kryteriów Smart Group w Jamf Pro.

To oferuje zespołom tożsamości i zgodności z "pojedynczą szybą" w Entra/Intune dla wszystkich ich przedsiębiorstw zarządzanych urządzeń, w tym tych zarządzanych przez Jamf (nie przez Intune).

  • Możliwość użycia tej flagi "Zgodne" jako dodatkowego wymagającego kryterium dostępu do niezwykle czułych aplikacji.

Na przykład: Attested Device Compliance może być odpowiednie dla dostępu do Outlook i Teams, ale urządzenie musi być również zarejestrowane jako "Zgodne" w Entra/Intune, aby móc uzyskać dostęp do aplikacji głównej finansów lub narzędzi kodu źródłowego.

Dla większości core-productivity aplikacji: NIE ustawiaj polityki dostępu warunkowego aplikacji Conditions, aby obejmowały Requires compliance ani Requires a registered device.

  • Dla sensitive aplikacji, które wymagają od urządzenia, aby było oznaczone jako zgodne w Entra/Intune: Skonfiguruj Conditions polityki dostępu warunkowego aplikacji, aby Requires compliance i Requires a registered device zgodnie z dokumentacją.

  • Test i waliduj integrację.

  • Aby zapewnić możliwie najbezproblemowe doświadczenie użytkownika końcowego i upewnić się, że wszystkie urządzenia automatycznie rejestrują się w Entra/Intune, zdecydowanie rekomenduje się, aby urządzenia były wpisane do Entra przy użyciu Platform SSO.

Po pomyślnej rejestracji do Entra przy użyciu PSSO na Mac, urządzenie jest nie tylko automatycznie oznaczone jako zarejestrowane i zgodne za pośrednictwem Partner Compliance, ale użytkownicy cieszą się proste jako konsument i szybkie logowania aplikacji biometryczne i bez hasła.

  • Jeśli nie używasz PSSO lub na iPhone/iPad, użytkownicy będą musieli ręcznie zarejestrować swoje urządzenie w Entra w aplikacji Jamf Self Service.

FAQ

**Q: Czy to podejście działa z moim istniejącym VPN?**A: Tak. Relay są projektowane, aby były zgodne z istniejącymi VPN, z ruchem Entra kierowanym za pośrednictwem Attested Device Compliance.

**Q: Czy Attested Device Compliance dekryptuje/sprawdza mój ruch IdP?**A: Nie. Bezpieczny tunel HTTP/3 jest ustanowiony między punktem końcowym Apple i serwerami brzegowymi Jamf, przez które przepływa ruch Entra. Oryginalne, niezmodyfikowane pakiety Entra z punktu końcowego są następnie egresowane za pośrednictwem bramy internetowej z adresami IP źródłowymi powiązanymi z Twoją organizacją i niedostępnymi dla nikogo innego.

**Q: Czy urządzenia będą oznaczone jako "Zgodne" w Entra przy użyciu Attested Device Compliance?**A: Nie, jednak organizacje wymagające tego mogą nadal używać integracji Jamf Partner Compliance, aby sygnalizować stan zgodności urządzenia do celów audytu w Entra. Zdolność logowania urządzenia (na podstawie stanu zarządzania i zgodności) będzie wymuszana w czasie rzeczywistym poprzez Attested Device Compliance, pozwalając tej flagi zgodności być ustawioną w Entra bardziej "oportunistycznie" bez bezpośredniego wpływu na doświadczenie użytkownika końcowego.

**Q: Czy Platform SSO poprawia doświadczenie Device Compliance?**A: Tak, absolutnie! Pomaga przyspieszyć proces rejestracji urządzenia, jednocześnie załadowując doskonałe Single Sign On doświadczenie do aplikacji. Attested Device Compliance zapewnia dalsze zapewnienia bezpieczeństwa poprzez szyfrowanie całego ruchu urządzenia PSSO w tunelu mTLS, jednocześnie zapewniając ulepszenia doświadczenia użytkownika, które ułatwiają nieprzerwany dostęp do krytycznych aplikacji (np. Teams / Helpdesk), jeśli pojawi się sporadyczny lub niezwykły problem z rejestracją i aktualizacjami zgodności opartymi na PSSO.