指南

在某些情况下，无法在需要访问组织资源的设备上建立设备管理。这包括：

• 承包商设备，其中设备管理绑定到另一个设备管理实例。
• 自带 Mac/自带 PC 场景，其中由于隐私原因无法部署设备管理。

错误：安全警告

如果将数据资源访问权限扩展到非托管设备，您将显著降低这些数据的可信访问安全模型的有效性。

由于不再需要获得许可的或安全的设备来访问该数据资源，该资源必然可供任何设备访问，使其更容易受到 用户凭据攻击。

如果您使用此方法，请注意所公开数据的敏感性，并尽可能将对仅限用户注册设备的访问定义得很狭窄。

使用此注册方法，用户安装 Jamf Trust 并使用其 IdP 凭据激活它。然后数据资源可供用户和设备根据其分配的访问策略访问。

通过 Jamf Trust 启用仅限用户的数据访问

此部署模型的配置涉及配置基于身份的注册，使没有管理的设备能够仅使用 IdP 凭据激活 Jamf Trust。

1. 按照为受信任设备启用访问中的步骤进行操作，在 RADAR 中配置专用访问，做以下修改：
   1. 创建一个标题为 Unmanaged Devices 的新激活配置文件，具有以下配置：
      1. 将设备组设置为名称为 Unmanaged User-Only Devices 的新组
      2. 选择此激活配置文件要使用的身份提供商用户。
      3. 对于功能，至少选择零信任网络访问。
   2. 为刚创建的 Unmanaged Devices 激活配置文件配置基于身份的预配。
   3. 按如下方式修改 RADAR 中的访问策略：
      1. 对于敏感应用程序，请确保在策略的用户和组配置中未选择 Everyone。
      2. 对于应可供仅限用户设备访问的应用程序，为用户和组选择有限选项，并确保包括上面创建的 Unmanaged User-Only Devices 组。
      3. 强烈建议将可用于 Unmanaged User-Only Devices 的访问策略配置为在流量匹配配置中包含任何子网范围的流量定义（例如 /24）。

用户现在可以从其平台的公共应用商店（或 此处获取 Windows 版本）下载 Jamf Trust 应用，然后根据提示使用其 IdP 凭据登录。该应用将激活，网络访问将可用于为该设备的访问策略中配置的应用程序。

可以通过在 RADAR > Devices > Manage 中删除用户的设备条目，随时撤销用户的访问权限。请注意，如果用户的凭据仍然有效且您的身份提供商集成配置允许，用户将能够重新注册。