Microsoft Entra 的受证实设备合规性

许多组织已采用零信任策略，该策略仅允许受管理且合规的设备访问敏感公司资源。

采取此措施的原因有以下几点：

通过要求攻击者拥有公司物理设备才能使用被盗凭据（包括 MFA 代码）登录，从而大幅降低网络钓鱼攻击风险。
通过仅在安装了这些控制的机器上允许访问资源，增强数据丢失防护 (DLP) 控制。
如果授权用户的设备不再合规或被入侵，撤销其访问权限。

大多数组织使用其身份提供商 (IdP) 在登录时强制执行这些控制。但身份提供商如何才能可靠地确定设备是否受到管理？

对于使用 Microsoft Entra 作为 IdP 的组织，Jamf 已实现 Microsoft 合作伙伴合规性 API 集成，使 Entra 能够识别根据 Jamf Pro 受管理且合规的 Apple 设备。

虽然此集成在全球小型和大型生产环境中被广泛部署和使用，但由于许多固有设计因素，该集成可能会面临最终用户体验挑战，包括：

最终用户必须按照设备上的特定步骤才能正确向 Entra 注册其设备
可能会阻碍用户在应该能够访问资源时的访问能力的计时和更新延迟
间歇性服务错误导致设备标记为不正确的合规状态，需要帮助台人员介入修复

得益于 Apple 和 Jamf 平台的新技术，Jamf 现在能够消除这些最终用户体验挑战，在不损害合作伙伴合规性 API 所提供功能的情况下，大幅改善用户体验！

受证实设备合规性简介

基于 Microsoft 合作伙伴合规性 API 的集成依靠在 Entra/Intune 中对每个 Jamf Pro 托管设备进行显式注册和带外信号传递，然后才能授予对需要将设备标记为"合规"的资源的访问权限。相比之下，受证实设备合规性利用由 Apple 的托管设备证明技术支持的安全且零接触部署网络，在与登录请求内联的情况下，在不需要任何 Entra 注册或任何最终用户交互的情况下，发出设备的管理和合规状态信号。

此方法解决了当合作伙伴合规性 API 更新所需的时间超过用户预期时，尤其是在首次入职或解决合规问题时所面临的许多用户体验访问挑战。虽然使用受证实设备证明可以在接近实时的情况下解决访问问题，但仍应将合作伙伴合规性与其他措施结合使用，以对极其敏感的应用程序进行分层保护，并在 Entra/Intune 中实现单一窗格式端点合规性审计。

从高级别来看，与其利用在资源可用于给定设备之前通过设备合规性合作伙伴 API 信号传递的"合规"标志，而是使用"命名位置"代替。该命名位置在 Entra 中由 Jamf 的安全云服务为贵组织分配的 IP 地址对定义。实际上，任何尝试通过这些 IP 地址之一登录的设备都将被视为"合规"，这就是受证实设备合规性的用武之地。

受证实设备合规性架构图

为了使用其中一个 IP 地址通过合规性检查，给定设备必须：

注册到 Jamf Pro
由 Apple 证实为真正的 Apple 硬件
使用与您特定 Jamf 租户中注册的设备匹配的证实设备标识符进行加密识别
在与令人满意的合规状态相匹配的 Jamf Pro 智能组中
不存在 Jamf Security Cloud 中定义的威胁类别中的威胁

未能满足上述任何条件将导致设备失去使用受信任 IP 地址的能力，使其在 Entra 中显示为不受信任的设备（阻止访问），直到问题得到修复。修复后，设备会在约一分钟内自动恢复使用受信任 IP 的能力。

设备合规性功能和特性

下表比较了合作伙伴合规性与受证实设备合规性，包括将两者一起使用的情况。

	Entra 合作伙伴合规性	受证实设备合规性	Entra 合作伙伴合规性 + 受证实设备合规性（推荐）
集成方法	基于 API，超出登录流程	基于网络，与登录流程内联	访问策略：基于网络

（抵御监视和中间人攻击） |

解决方案概述

本部分进一步详细说明了受证实设备合规性与 Entra 合作伙伴设备合规性的工作方式以及在您的环境中的部署方式。

受证实设备合规性通过使用以下方式工作：

零接触部署、始终开启、硬件绑定和原生流量矢量机制 (Network Relay)，用于将敏感数据从端点传输到 Entra。
高可用策略基础全球流量路由网络，提供来自世界任何地方任何网络的快速连接。
专用私有全球 IP 地址 Internet 出口（HA 源 IP 对）以及私有 IPSec 站点到站点隧道选项，可根据需要获得额外的安全/控制。

高级别的端到端体验包括：

管理员配置 Network Relay 部署配置，定义一个或多个网络出口（Internet IP 或 IPSec 隧道），以及 Entra Microsoft 身份验证访问策略的定义。
Apple 设备注册到 Jamf Pro。
根据 Pro 中的基于合规性的智能组成员资格，Relay 配置会自动部署和激活到设备。设备证明通过 Apple 的服务器进行，设备在 Jamf Pro 中的租赁以加密方式验证。不需要用户交互或登录。
来自设备上的浏览器或应用程序的 Entra 绑定网络流量在 Jamf 的全球云边缘进行加密和加密验证。设备的上下文根据访问条件（如风险级别和组成员资格）进行评估。
如果允许访问，由设备生成的流量将通过以下方式路由到 Entra：

专用 IP Internet 出口网关。它使用 NAT 使设备的流量看起来源自两个高可用性公共（全球）IP 地址之一。

专用 IPSec 隧道。这使用站点到站点 IPSec VPN 路由将设备数据包直接放置在企业自己的网络上。NAT 用于向设备显示属于 LAN/DMZ/VPC 上配置的私有子网的源 IP。
如果访问被拒绝（例如，由于不合规的设备），流量将通过"公共"IP 地址转发，该地址不受组织信任。
条件访问策略匹配以允许来自设备的登录，其流量来自受信任的 IP 地址（使用命名位置），并阻止源自不受信任 IP 的流量。
用户根据目标应用程序的条件访问策略的用户身份验证要求进行登录（例如 MFA）。他们能够访问该应用程序。
使用 Microsoft 合作伙伴设备合规性 API，设备的"合规"状态在以下情况下更新到 Entra/Intune：

设备通过 Platform Single Sign On 向 Entra 注册。

用户在自助服务中注册其设备，例如获得对核心生产力应用程序之外更敏感应用程序的访问权限。

有关 Jamf 的 ZTNA 路由架构如何工作以提供对特定资源的最小权限、微隧道基础访问的技术深入研究（不向端点公开内部 IP 或子网），请参阅 Jamf Connect ZTNA 网络工程师指南。

"我的 IP 在地图上"样本应用程序配置步骤

得益于 Jamf 的云原生和集成平台，设置受证实设备合规性非常简单。我们将首先配置一个样本 SaaS 应用程序来验证基于 Relay 的路由，然后再添加 Entra 条件访问策略。

具备适当的访问特权和权限，此配置可在一小时内完成。

前提条件

要配置此解决方案，您需要以下内容：

一个或多个 Apple 测试设备

注：您可以使用 iOS、iPadOS、macOS 或 visionOS 设备来测试配置。它们在受证实设备合规性中的运作方式完全相同。

设备已注册到 Jamf Pro

这些步骤是针对 Jamf 的，但也可应用于 Intune 托管设备。

访问 Jamf Pro 和 Jamf Security Cloud 门户

具有创建 API 客户端凭据能力的 Jamf Pro 管理员帐户，可以管理移动设备、移动设备智能组、计算机和计算机智能组。

具有全局管理员或访问管理员权限的 Jamf Security Cloud 管理员帐户。

如果您没有 Jamf Security Cloud 环境，请联系您的 Jamf 代表或合作伙伴。

网络边缘基础设施策略管理。

根据您连接基础设施（IdP 和/或防火墙集成）的方式，具有适当策略或基础设施配置权限的管理员需要允许来自 Jamf Security Cloud 的流量。

注：您可以在不执行此操作的情况下完全配置设备路由，但您的访问和功能将受到限制，直到完成这些步骤。

配置 Jamf Pro

步骤 1：在 Jamf Pro 中创建或复制合规性智能组

创建此智能组将有助于简化本指南中的分配。如果您已经创建了想要使用的智能组，可以改用该组。

使用 Jamf 帐户 SSO 或其他凭据登录 Jamf Pro。
导航到设备并选择智能设备组。
单击**+ 新建**按钮创建新的智能组。
提供适当的显示名称，我们建议*"合规设备"*。根据需要提供描述。
选择屏幕顶部的条件选项卡，然后单击**+ 添加**。
定义一个或多个定义"合规"设备的条件。

如果测试：考虑在扩展到更广泛的群体之前限定到单个设备或一组测试设备。

单击保存以创建智能组。

配置和部署 Network Relay 配置

在本部分中，我们配置 Jamf 平台以设置 Network Relay 配置并将其部署到托管的 Apple 设备。

步骤 1：在 Jamf Security Cloud 中配置 UEM Connect

此步骤将 Jamf Security Cloud 与 Jamf Pro 链接，以帮助部署和持续验证设备注册，以确保只有管理且具有适当风险级别的设备才能使用 Network Relay 服务。

使用 Jamf 帐户 SSO 或其他凭据登录 Jamf Security Cloud。
导航到集成并选择UEM Connect。
按照 为 Jamf Pro 配置 UEM Connect 中的步骤进行操作，并验证设置报告连接成功。

强烈建议完成 webhook 配置以确保在新设备注册后提供无缝的用户体验。

步骤 2：配置 Network Relay 激活配置文件

导航到设备 > 激活配置文件。选择创建配置文件按钮。
选择网络访问功能，然后单击"下一步"。

您可以选择部署安全（网络威胁防护和移动威胁防御）和/或内容控制（类别内容过滤）功能，但这些需要额外的部署 Jamf Trust 应用程序步骤，不在本文档的范围内。

当提示身份验证时，选择托管设备证明，然后单击下一步。

如果需要用户无法禁用的始终开启连接，请选择锁定。

为激活配置文件提供名称以便于参考。我们建议"受证实设备合规性 Network Relay"
定义组以添加使用此配置文件激活的设备。我们建议*"受证实设备合规性设备"，除非您已有替代设备组策略。您可以稍后随时更改此设置。单击*下一步。
查看配置，然后选择保存并创建。

步骤 3：将激活配置文件部署到设备

此步骤要求 UEM Connect 已成功配置。

在出现的屏幕上，确保选中Jamf Pro 和 iOS/iPadOS/tvOS/visionOS 按钮。展开配置配置文件。
在UEM 操作下，选择 UEM 组下拉菜单并选择您之前在 Pro 中创建的合规性智能组。

注：如果您的组在单击时未出现，开始输入智能组的名称，它应该会出现。

如果跳过此步骤，您将需要手动将推送到 Pro 的移动配置文件范围限定为智能组。
准备就绪后，单击部署到 Jamf Pro。这会将 Relay 配置部署到与定义的智能组条件相匹配的所有设备。

注：此时，还没有定义访问策略，所以虽然 Relay 配置将被推送到设备，但不会使用它路由任何流量。我们接下来将进行配置。

重复上述步骤，但选择 macOS 作为平台类型（如果使用 Mac 进行测试）。

配置示例访问策略

在本部分中，我们配置路由配置和策略，以将选择的企业流量从设备路由到示例 SaaS 目的地，以验证路由在引入 Entra 条件访问策略之前是否正常工作。

本指南出于简单目的使用"共享 Internet 网关"来启动并运行基于 Relay 的路由。

对于生产使用，强烈建议根据您的连接和安全要求配置和使用专用 Internet 网关或专用 IPSec 网关。导航到 Jamf Security Cloud 中的集成 > 访问网关以配置私有网关，然后可以轻松地用来代替本指南中配置的共享网关。

步骤 1：配置我的 IP 在地图上访问策略

在 Jamf Security Cloud 中，导航到策略 > 访问策略并单击创建策略。
选择预定义应用，从可用应用程序中选择我的 IP 在地图上，然后单击下一步。
可选地定义类别，然后单击下一步。
我的 IP 在地图上应用程序的示例主机名已定义。单击下一步以继续。
可选地选择应有权访问此应用程序的设备组，该组必须包括您之前可能定义的合规设备组（如果未选择"全部"）。
启用访问要求设备受管理然后单击下一步。

为了简化测试，我们建议此时禁用领先风险验证。部署验证后，一旦很好地理解了基于风险的验证，这是一个很好的启用功能！

在应用程序流量路由屏幕上，确保选择了加密并通过 ZTNA 路由：，然后选择最近的数据中心。

对于这个特定的我的 IP 在地图上测试应用，我们建议不使用自定义访问网关。

将其他配置保留在其默认设置，单击下一步。
查看配置然后单击保存并创建应用。

步骤 2：重新部署 Network Relay 访问策略

导航到设备 > 激活配置文件并选择您之前定义的激活配置文件。
展开配置配置文件然后单击部署到 Jamf Pro。

步骤 3：确认设备上的 Relay 路由

在测试设备上，打开 Safari。
导航到 map.wandera.com
如果您看到 IP 地址和地图，恭喜！您的中继配置工作正常。

如果您看到"禁止"，请重新检查上述步骤，并确保 Relay 配置已在设置应用（或 macOS 的系统偏好设置）中的 VPN 和中继下部署到您的设备。

Microsoft 条件访问：配置受证实设备合规性

通过结合使用 Jamf 的 Relay 服务和 Microsoft 条件访问策略，可以将访问权限限制为受信任的 Apple 设备，同时提供无缝的用户体验并增强安全性。

工作原理

托管设备被部署了带有 Network Relay 和 ACME 负载的移动配置文件。
使用托管设备证明，在 Apple 的证明服务器验证硬件后，ACME 证书会颁发给设备。证书的私钥锁定在设备的安全隔区中，永远无法查看或共享。
相互 TLS QUIC/HTTP3 (MASQUE) Relay 隧道用于封装所有 Microsoft Entra 身份验证流量离开设备。此隧道混淆所有 Entra 流量，保护其免受中间人 TLS 攻击，并利用支持的 QRC。
Jamf 的中继服务终止入站 MASQUE 隧道，通过客户端 TLS 证书验证设备标识符的完整性，同时验证设备已注册到客户链接的 Jamf Pro 租户并满足其他合规和访问策略。在此过程中，Entra 流量不会被解密或以其他方式修改！
假设所有这些检查都已通过，Entra 流量将使用租户专用全球 HA 租户专用 IP 地址出口到 Internet。换句话说，只有真正的 Apple 设备（主动注册到客户链接的 Jamf Pro 环境中且合规）才能使用这些专用 Internet IP 地址。
这些 IP 地址在 Microsoft 条件访问配置中配置为命名位置。
这些命名位置用于绕过用于非 Jamf 托管（或未授权）Apple 设备的典型 Jamf 设备合规性策略。相同的命名位置用于允许来自命名位置（IP）的设备访问的新条件访问策略，无需设备合规性。

净效果实际上是相同的：与其向 Entra 发送设备合规位来确定条件访问策略，合规检查发生在 Jamf 平台上。只有托管且合规的设备才能够使用受信任的 IP / 命名位置。此方法还通过在 mTLS 隧道中封装和保护 Entra 流量，同时提供用户体验改进来显著增强安全性，这些改进有助于在设备连接的任何受信任或不受信任的网络上不中断地访问关键应用程序（例如 Teams / 帮助台）如果 PSSO 基础设备合规性注册和更新存在间歇性或异常问题。

为受证实设备证明配置 Entra 条件访问策略

前提条件

您已成功配置并部署了我的 IP 在地图上示例 SaaS 应用。
您或可以与之合作的同事能够配置 Microsoft 条件访问策略。

步骤 1：在 Jamf Security Cloud 中创建专用 Internet 出口网关

在此步骤中，您将创建一对专用全球（公共）IP 地址，这些地址仅供您的组织使用，不对任何其他人开放。

在 Jamf Security Cloud 中，导航到集成 > 访问网关。
在专用 Internet 网关旁边选择创建网关。
为网关提供名称并定义您选择的出口区域。

注：您可以创建多个专用 Internet 网关，然后"分组"它们。这使得最近的出口网关能够用于可能连接到该区域中 Jamf 存在点的用户。此配置超出本文档的范围，如需进一步帮助，请联系 Jamf 支持。

创建后，记下返回的两个公共 IP。这些将用于 Microsoft Entra 中的命名位置配置。

步骤 2：使用专用 IP 网关创建 Microsoft Entra 访问策略

在 Jamf Security Cloud 中，导航到策略 > 访问策略，然后单击创建策略。
选择预定义应用，然后从出现的应用列表中选择 Microsoft 身份验证。

注：不需要配置如访问策略中所示的其他 Microsoft 应用程序，条件访问控制即可生效。

可选地定义类别，然后单击下一步。
Microsoft Entra 的主机名已定义。除非您使用非常专业的 Entra 配置，否则单击下一步以继续。
可选地选择应有权访问此应用程序的设备组，该组必须包括您之前可能定义的合规设备组（如果未选择"全部"）。
启用访问要求设备受管理然后单击下一步。

为了简化测试，我们建议此时禁用领先风险验证。部署验证后，一旦很好地理解了基于风险的验证，这是一个很好的启用功能！

在应用程序流量路由屏幕上，确保选择了加密并通过 ZTNA 路由：，然后选择您在上一步中创建的专用 Internet 网关。
将其他配置保留在其默认设置，单击下一步。
查看配置然后单击保存并创建应用。

步骤 3：重新部署 Relay 配置并在设备上验证

在 Jamf Security Cloud 中，导航到设备 > 激活配置文件并选择您之前定义的激活配置文件。
展开配置配置文件然后单击部署到 Jamf Pro。
在测试设备上，打开设置应用并导航到 VPN 和中继。选择 Network Relay 旁边的**"i"**选项，并验证您在主机名列表中看到 login.microsoftonline.com。

步骤 4：在 Microsoft Entra 中创建命名位置

使用适当授权的 Microsoft Entra 凭据，登录 Microsoft Entra。
在左侧导航中的 Entra ID 下，导航到条件访问。
在管理下，选择命名位置。
单击**+ IP 范围位置**。
定义名称，我们建议 Jamf Relay-合规设备并检查标记为受信任位置复选框
单击**+**按钮以添加您之前从 Jamf Security Cloud 中的专用 Internet 出口配置中复制的每个 IP 地址

请确保在输入的每个 IP 地址末尾附加 /32。

完成后单击创建以创建