指南

在某些情況下，無法在需要存取組織資源的裝置上建立裝置管理。這包括：

• 承包商裝置，其中裝置管理繫結到另一個裝置管理執行個體。
• BYO Mac / BYO PC 情境，由於隱私原因無法部署裝置管理。

警告：安全警告

如果將資料資源的存取權限擴展到未受管理的裝置，您將大幅降低該資料的 Trusted Access 安全模型的有效性。

由於不再要求使用核准或安全的裝置來存取該資料資源，該資源必然可供任何裝置存取，使其更容易受到 使用者認證型攻擊 的影響。

如果您確實使用此方法，請注意所曝露資料的敏感性，並盡可能縮小對僅使用者註冊裝置的存取範圍。

使用此註冊方法時，使用者安裝 Jamf Trust 並使用其 IdP 認證啟動它。然後根據分配的存取原則，資料資源可供使用者和裝置使用。

透過 Jamf Trust 啟用僅使用者資料存取

此部署模型的設定涉及設定身分型註冊，使未受管理的裝置能夠僅使用 IdP 認證啟動 Jamf Trust。

1. 遵循 啟用信任裝置存取 中的步驟在 RADAR 中設定 Private Access，進行下列修改：
   1. 建立標題為 Unmanaged Devices 的新啟用設定檔，其設定如下：
      1. 將裝置群組設定為名為 Unmanaged User-Only Devices 的新群組
      2. 選擇此啟用設定檔要使用的身分提供者使用者。
      3. 針對功能，至少選擇Zero Trust 網路存取。
   2. 針對剛建立的 Unmanaged Devices 啟用設定檔設定 身分型佈建。
   3. 在 RADAR 中修改您的存取原則，如下所示：
      1. 針對敏感應用程式，確保在原則的使用者和群組設定中未選擇 Everyone。
      2. 針對應可供僅使用者裝置存取的應用程式，選擇使用者和群組的限制選項，並確保包含上面建立的 Unmanaged User-Only Devices 群組。
      3. 強烈建議在流量符合設定中為 Unmanaged User-Only Devices 提供的存取原則設定任何子網路寬流量定義（例如 /24）。

使用者現在可以從其平台的公共 App Store 下載 Jamf Trust 應用程式（或針對 Windows 在此處），然後按照提示使用其 IdP 認證登入。應用程式將啟動，網路存取將可用於在裝置的存取原則中設定的應用程式。

您可以隨時透過在 RADAR > Devices > Manage 中刪除使用者的裝置項目來撤銷存取權限。請注意，如果使用者的認證仍然有效且您的身分提供者整合設定允許，使用者將能夠重新註冊。