Jamf Concepts
指南

指南

为受信任设备启用访问

~2 min read

在您建立设备信任并配置威胁和风险策略后,您已准备好向这些"获批准和安全保护"的设备提供安全访问公司资源的权限。

Trusted Access 解决方案需要使用 Jamf Connect,这是 Jamf 的云原生零信任网络访问产品,可在提供任何 SaaS、私有云或本地应用的高级网络安全功能的同时,促进高性能和用户友好的连接。

您也可以使用利用 API 信号的合作伙伴集成来指示给定设备的管理和合规状态。这些集成仅适用于应用的子集,可根据您的要求与 Jamf Connect 结合使用或作为替代方案使用。

信息:我现有的 VPN 怎么办?

Jamf Connect 不应与其他 VPN 和 ZTNA 产品混淆。虽然它确实提供对 VPN 等资源的安全远程访问,但它在以下几个重要方面独特地启用了 Trusted Access:

  • 它是云原生的,利用下一代 Wireguard 隧道技术并采用高级身份集成,这些结合在一起提供了几乎无形但备受欢迎的用户体验。
  • 它从根本上按照最小权限访问原则设计,确保授权用户只能访问他们需要的数据,而不是内部网络上的所有内容。
  • 它与 Jamf 管理和安全产品本地集成,确保只有获批准和安全的设备能够根据您自己的基于风险的策略定义访问资源。

因此,使用第三方 VPN 解决方案无法满足实现 Trusted Access 所需的要求。

对于 macOS 设备,您可以通过 Jamf Pro 进一步配置合作伙伴条件访问,以使这些合作伙伴服务能够基于设备合规状态(例如智能组成员资格)允许或拒绝访问。

部署 Jamf Connect

通过部署 Jamf Connect,您正在创建受管终端点和所有组织应用程序之间的受信任和私有网络路径。

信息:注意

您需要访问获得 Jamf Connect 许可的 Jamf Security Cloud (RADAR) 账户来完成这些步骤。

如果您没有账户,请联系您的 Jamf 账户团队,他们可以为您设置一个免费演示账户!

按照以下步骤在您的环境中启动并运行 Jamf Connect,建立快速和安全的连接:

  1. 查看并理解 Jamf Connect 架构,或观看这个 20 分钟的 JNUC'21 视频来了解它。

  2. 登录您的 Jamf Security Cloud 账户并链接您的身份提供者,允许最终用户使用公司凭据通过 Jamf Trust 应用激活私有访问。

  3. 创建激活配置文件,配置网络访问内容控制安全服务功能,并使用您的身份提供者进行身份验证。 JSC-ActivationProfile-TA.png

    1. 确保为新创建的激活配置文件禁用 基于身份的预配置。这将确保只有受管设备可以使用它进行激活。
    2. 您可以创建其他确实使用此功能的激活配置文件,以覆盖承包商设备或其他无法注册到 MDM 的设备,但应该只有非常有限的访问权限。

  4. 定义设备组,用于将用户及其设备映射到他们应该(或不应该)能够访问的特定应用(例如"高管"、"工程"、"销售")

  5. 配置与 Jamf Pro 的集成

    1. 配置组映射,将 Jamf Pro 智能组映射到您上面定义的适当组。
    2. (可选)根据需要定义设备字段映射

  6. 通过在 Jamf Security Cloud 和您的数据中心及私有云之间配置一个或多个私有互连网关来建立对应用和数据资源的安全访问。

  7. 如果您使用内部域名服务器或分割式 DNS 来访问内部资源,请配置自定义 DNS 区域

  8. 配置访问策略,定义组织的应用、其访问策略和可达性(通过公共互联网或配置的私有互连网关)。

    1. 如果您定义的应用包含敏感数据,请确保在用户和组选项卡中仅限制需要访问的组的访问权限,并在访问策略的安全选项卡中定义最大可容忍风险级别。
    2. 注意:您可以使用 RADAR 的安全策略配置自定义每个威胁类别的严重程度,该类别确定设备的风险评分。

  9. 将 Jamf Trust 部署到设备(Jamf Connect 端点代理)。使用 Jamf Pro 或其他适用于您的已注册设备平台的设备管理工具。

    1. 对于 BYOD iOS/iPadOS 设备,请确保遵循用户注册的特定"部署 Jamf Trust"说明。

正确部署和配置 Jamf Connect 后,所有企业应用连接都将加密到 Jamf Security Cloud,并受到已定义的访问策略约束。

有关私有访问如何工作的技术内部说明,请查看我们的网络工程师私有访问指南

合作伙伴管理状态集成

虽然 Jamf Connect 用于启用网络级连接和访问控制到任何 TCP 或 UDP 应用(包括 SaaS 和私有本地应用),但可以通过与选定合作伙伴的集成来信号设备的管理状态和其他元数据。

这允许合作伙伴的平台确定给定设备是否由 Jamf Pro 管理并满足特定的合规要求。它也可用于信号设备的合规状态或风险级别,以推动对公司数据的基于风险的访问。这些信号用于通知合作伙伴访问平台中定义的策略。

Jamf 的合作伙伴管理集成包括:

限制匿名设备的访问

在实施上述一种或两种策略来识别受信任设备后,下一步是配置应用程序仅允许来自这些"受信任"设备的连接。

有关详细信息,请参阅限制匿名设备的访问