許多組織已採用零信任策略,僅允許受管且合規的設備存取敏感公司資源。
這樣做的原因有幾個:
透過要求攻擊者必須擁有實體公司設備才能使用被盜認證(包括 MFA 代碼)登入,大幅減少網路釣魚攻擊。
透過僅允許在已部署這些控制措施的機器上存取資源,增強資料遺失防護 (DLP) 控制。
如果授權使用者的設備不符合合規性或遭到入侵,則撤銷其存取權限。
大多數組織使用其身分識別提供者 (IdP) 在登入時強制執行這些控制措施。但身分識別提供者如何能可靠地判斷設備是否受到管理?
對於使用 Microsoft Entra 作為 IdP 的組織,Jamf 已實作 Microsoft 合作夥伴合規性 API 整合,使 Entra 能識別由 Jamf Pro 管理且符合合規性的 Apple 設備。
雖然此整合已在全球中小型生產環境中廣泛部署和使用,但由於多個固有的設計因素,該整合會遇到最終使用者體驗的挑戰,包括:
最終使用者必須按照其設備上的特定步驟才能正確向 Entra 註冊設備
可能會妨礙使用者在應該能夠存取資源時進行存取的時序和更新延遲
間歇性服務錯誤導致設備標示為不正確的合規性狀態,需要技術服務台干預才能修復
得益於 Apple 和 Jamf 平台的新技術,Jamf 現已能消除這些最終使用者體驗的挑戰,大幅改善使用者體驗,同時不會損害合作夥伴合規性 API 所提供的功能!
推出證明設備合規性
基於 Microsoft 合作夥伴合規性 API 的整合依賴於在 Entra/Intune 中明確註冊每個 Jamf Pro 受管設備,以及在授予存取需要將設備標示為「合規」的資源前進行帶外訊號傳輸。相反地,證明設備合規性利用由 Apple 受管設備證明技術支援的安全且零接觸部署的網路功能,在同步登入要求的過程中發出設備的管理和合規性狀態訊號,無需任何 Entra 註冊或任何最終使用者互動。
此方法解決了當合作夥伴合規性 API 更新花費比使用者預期更長的時間時所面臨的許多使用者體驗存取挑戰,尤其是在首次上線或解決合規性問題時。雖然使用證明設備證明可以在接近實時的情況下解決存取問題,但合作夥伴合規性仍應與超敏感應用程式的分層保護以及 Entra/Intune 中單一窗格端點合規性審計目的配合使用。
從高層次來看,不是利用透過設備合規性合作夥伴 API 發出的「合規」旗標在 Entra 條件式存取原則中的資源可供特定設備使用前進行訊號傳輸,而是改為使用「命名位置」。此命名位置在 Entra 中由 Jamf Security Cloud 服務向您的組織發出的 IP 位址對定義。實際上,任何嘗試透過這些 IP 位址之一登入的設備都將被視為「合規」,這就是證明設備合規性發揮作用的地方。
證明設備合規性架構圖
為了使用這些 IP 位址之一通過合規性檢查,特定設備必須:
已註冊至 Jamf Pro
由 Apple 證明為真正的 Apple 硬體
使用證明設備識別碼透過密碼方式識別,這些識別碼與已註冊至您特定 Jamf 租戶的設備相符
位於符合令人滿意的合規性狀態的 Jamf Pro 智慧群組中
不存在 Jamf Security Cloud 中威脅類別所定義的威脅
如果上述任何一項失敗,設備將失去使用信任 IP 位址的能力,導致其根據 Entra 顯示為不信任的設備(阻止存取),直到問題得到修復。修復後,設備會在大約一分鐘內自動恢復使用信任 IP 的能力。
設備合規性功能和特性
下表比較了合作夥伴合規性與證明設備合規性,包括將兩者一起使用。
| Entra 合作夥伴合規性 | 證明設備合規性 | Entra 合作夥伴合規性 + 證明設備合規性 (建議) | |
|---|---|---|---|
| 整合方法 | 基於 API,在登入流程外進行 | 基於網路,與登入流程同步 | 存取原則:基於網路 |
Entra/Intune 合規性審計:基於 API | | 使用的條件式存取準則 | 設備合規旗標 | 命名位置 | 命名位置
(+ 針對高度敏感應用程式的設備合規旗標) | | 使用者互動要求 | 透過 Microsoft 應用程式進行互動式使用者登入 | 無,MDM 註冊的一部分 | 登入:無
合規旗標:需要使用者登入 | | 合規性變更強制執行 | 數分鐘至數小時 | < 1 分鐘 | 登入:< 1 分鐘
合規旗標:數分鐘至數小時 | | 合規性強制執行點 | Entra 條件式存取原則 | Jamf Security Cloud + Entra CA 原則 | Jamf Security Cloud + Entra CA 原則 | | 在 Entra 中將設備標示為「合規」 | 是 | 否 | 是 | | Entra 登入流量保護 | 僅限伺服器 TLS | 相互 TLS:所有 Entra 流量的混淆和次要加密
(監控和中間人攻擊防護) |
解決方案概述
本節進一步詳細說明證明設備合規性與 Entra 合作夥伴設備合規性如何運作以及在您的環境中部署的方式。
證明設備合規性透過使用以下方式運作:
零接觸部署、持續啟用、硬體綁定的原生流量向量機制 (Network Relay),用於將敏感資料從端點傳輸至 Entra。
高可用性的原則型全球流量路由網路,提供從世界任何網路位置的快速連線。
專用私有全球 IP 位址網際網路出口 (HA 來源 IP 對) 以及可用於額外安全性/控制的私有 IPSec 站台對站台通道選項。
高層級的端對端體驗包括:
系統管理員設定 Network Relay 部署設定、定義一個或多個網路出口(網際網路 IP 或 IPSec 通道),以及 Entra Microsoft 驗證存取原則的定義。
Apple 設備已註冊至 Jamf Pro。
Relay 設定會根據 Pro 中合規性型智慧群組成員資格自動部署並在設備上啟用。設備證明使用 Apple 伺服器進行,設備在 Jamf Pro 中的租約會進行密碼驗證。無需使用者互動或登入。
來自設備上瀏覽器或應用程式的 Entra 關聯網路流量已加密,並在 Jamf Global Cloud Edge 上進行密碼驗證。設備的內容根據存取準則進行評估,例如風險等級和群組成員資格。
如果允許存取,設備產生的流量將透過以下方式路由至 Entra:
一個專用 IP 網際網路出口閘道。這使用 NAT 使設備的流量顯示為源自兩個高可用性公用(全球)IP 位址之一。
一個專用 IPSec 通道。這使用站台對站台 IPSec VPN 路由將設備封包直接傳送至企業自有網路。NAT 用於向設備顯示源自 LAN/DMZ/VPC 上設定的私有子網路的來源 IP。
如果拒絕存取(例如因設備不符合合規性),流量將透過「公用」IP 位址轉發,該位址不受組織信任。
條件式存取原則配對以允許來自設備的登入,其流量來自信任的 IP 位址(使用命名位置),並阻止源自不信任 IP 的流量。
使用者根據目標應用程式的條件式存取原則的使用者驗證要求進行登入(例如 MFA)。他們能夠存取應用程式。
使用 Microsoft 合作夥伴設備合規性 API,設備的「合規」狀態會在以下情況更新至 Entra/Intune:
設備透過 Platform Single Sign On 向 Entra 進行註冊。
- 使用者在自助服務中註冊其設備,例如取得超越核心生產力應用程式的更敏感應用程式的存取權。
如需 Jamf ZTNA 路由架構如何運作以提供對特定資源的最小特權微通道存取(不會向端點公開內部 IP 或子網路)的技術深入探討,請參閱 Jamf Connect ZTNA 網路工程師指南。
「我的 IP 在地圖上」範例應用程式設定步驟
感謝 Jamf 的雲端原生和整合式平台,設定證明設備合規性非常直接。在將 Entra 條件式存取原則新增至之前,我們將先設定範例 SaaS 應用程式以驗證 Relay 型路由。
具有適當的存取權限和權利,此設定可在一小時內完成。
先決條件
若要設定此解決方案,您需要以下項目:
- 一個或多個 Apple 測試設備
注意:您可以使用 iOS、iPadOS、macOS 或 visionOS 設備進行測試。它們在證明設備合規性中的運作方式完全相同。
- 設備已註冊至 Jamf Pro
這些步驟是 Jamf 特定的,但也可能適用於 Intune 受管設備。
- 存取 Jamf Pro 和 Jamf Security Cloud 入口網站
具有建立能夠管理行動設備、行動設備智慧群組、電腦和電腦智慧群組的 API 用戶端認證能力的 Jamf Pro 系統管理員帳戶。
- 具有全域系統管理員或存取系統管理員權利的 Jamf Security Cloud 系統管理員帳戶。
如果您沒有 Jamf Security Cloud 環境,請聯絡您的 Jamf 代表或合作夥伴。
- 網路邊緣基礎結構原則管理。
根據您如何連接到基礎結構(IdP 和/或防火牆整合),具有適當原則或基礎結構設定權限的系統管理員將需要允許來自 Jamf Security Cloud 的流量。
注意:您可以在沒有此操作的情況下完全設定設備路由,但在完成這些步驟前,您的存取和功能本質上將受到限制。
設定 Jamf Pro
步驟 1:在 Jamf Pro 中建立或複製合規性智慧群組
建立此智慧群組將有助於簡化本指南中的指派。如果您已建立想要使用的智慧群組,您可能會改為使用該群組。
使用您的 Jamf 帳戶 SSO 或其他認證登入 Jamf Pro。
瀏覽至設備並選擇智慧設備群組。
按一下 + 新增按鈕以建立新智慧群組。
提供適當的顯示名稱,我們建議 「合規設備」。視需要提供說明。
在螢幕頂部選擇準則標籤,然後按一下 + 新增。
定義一個或多個準則來定義「合規」設備。
如果進行測試,請考慮將範圍限定於單一設備或一組測試設備,然後再擴展到更廣泛的使用者群。
- 按一下儲存以建立智慧群組。
設定並部署 Network Relay 設定
在本節中,我們設定 Jamf 平台以設定和部署 Network Relay 設定至受管 Apple 設備。
步驟 1:在 Jamf Security Cloud 中設定 UEM Connect
此步驟將 Jamf Security Cloud 與 Jamf Pro 相連結,以協助部署和持續驗證設備註冊,以確保只有具有適當風險等級的受管設備可能使用 Network Relay 服務。
使用您的 Jamf 帳戶 SSO 或其他認證登入 Jamf Security Cloud。
瀏覽至整合並選擇 UEM Connect。
依照 為 Jamf Pro 設定 UEM Connect 中的步驟進行,並驗證設定報告連線成功。
強烈建議完成 webhook 設定,以確保新設備註冊後立即獲得無縫使用者體驗。
步驟 2:設定 Network Relay 啟用設定檔
瀏覽至設備 > 啟用設定檔。選擇建立設定檔按鈕。
選擇網路存取功能,然後按一下「下一步」。
您可以選擇部署安全性(網路威脅防護和行動威脅防禦)和/或內容控制(類別內容篩選)功能,但這些需要部署本文件範圍內未涵蓋的 Jamf Trust 應用程式的額外步驟。
- 出現驗證提示時,選擇受管設備證明,然後按一下「下一步」。
如果您需要使用者無法停用的持續啟用連線,請選擇鎖定。
為啟用設定檔提供名稱以便於參考。我們建議「證明設備合規性 Network Relay」
定義群組以新增使用此設定檔啟用的設備。我們建議 「證明設備合規性設備」,除非您已有替代設備群組原則。您稍後可以隨時變更此設定。按一下下一步。
檢閱設定,然後選擇儲存並建立。
步驟 3:將啟用設定檔部署至設備
此步驟需要成功設定 UEM Connect。
在出現的畫面上,確保已選擇 Jamf Pro 和 iOS/iPadOS/tvOS/visionOS 按鈕。展開設定設定檔。
在 UEM 動作下,選擇 UEM 群組下拉選單並選擇您在前面步驟中在 Pro 中建立的合規性智慧群組。
注意:如果按一下時您的群組未出現,請開始鍵入智慧群組的名稱,它應該會出現。
如果跳過此步驟,您將需要手動將推送至 Pro 的行動設定設定檔範圍限定為智慧群組。
準備就緒後,按一下部署至 Jamf Pro。這將把 Relay 設定部署至所有符合定義之智慧群組準則的設備。
注意:此時尚未定義存取原則,因此雖然 Relay 設定將被推送至設備,但不會使用它路由任何流量。我們接下來將設定該。
- 重複上述步驟,但選擇 macOS 作為平台類型(如果使用 Mac 進行測試)。
設定範例存取原則
在本節中,我們設定路由設定和原則,以將選擇的企業流量從設備路由至範例 SaaS 目的地,以在引入 Entra 條件式存取原則前驗證路由是否正常運作。
本指南使用「共用網際網路閘道」以簡化目的來啟動並執行 Relay 型路由。
為了生產使用,強烈建議設定並使用專用網際網路閘道或專用 IPSec 閘道,根據您的連線和安全要求。瀏覽至 Jamf Security Cloud 中的整合 > 存取閘道以設定私有閘道,這些閘道可輕鬆替換本指南中設定的共用閘道。
步驟 1:設定我的 IP 在地圖上存取原則
在 Jamf Security Cloud 中,瀏覽至原則 > 存取原則並按一下建立原則。
選擇預定義應用程式,從可用應用程式中選擇我的 IP 在地圖上,然後按一下「下一步」。
選擇性地定義類別,然後按一下「下一步」。
我的 IP 在地圖上應用程式的主機名稱已定義。按一下「下一步」以繼續。
選擇性地選擇應具有此應用程式存取權的設備群組,其中必須包含您可能稍早定義的合規設備群組(如果未選擇全部)。
啟用存取需要設備受到管理,然後按一下「下一步」。
為了簡化測試,我們建議此時停用風險驗證。部署驗證後以及風險型驗證得到很好理解後,這是啟用的絕佳功能!
- 在應用程式流量路由畫面上,確保已選擇 Encrypt and route via ZTNA:,然後選擇最近的資料中心。
對於此特定我的 IP 在地圖上測試應用程式,我們建議不要使用自訂存取閘道。
將其他設定保留在預設值,按一下「下一步」。
檢閱設定,然後按一下儲存並建立應用程式。
步驟 2:重新部署 Network Relay 存取原則
瀏覽至設備 > 啟用設定檔並選擇您稍早定義的啟用設定檔。
展開設定設定檔,然後按一下部署至 Jamf Pro。
步驟 3:在設備上確認 Relay 路由
在測試設備上,開啟 Safari。
瀏覽至 map.wandera.com
如果您看到 IP 位址和地圖,恭喜!您的 Relay 設定運作正常。
如果您看到「禁止」,重新檢查上述步驟,並確保 Relay 設定已部署至您在設定應用程式(或 macOS 的系統偏好設定)中VPN 和 Relay 下的設備。
Microsoft 條件式存取:設定證明設備合規性
結合使用 Jamf Relay 服務和 Microsoft 條件式存取原則,可限制存取為信任的 Apple 設備,同時提供無縫使用者體驗,進而增強安全性。
運作方式
受管設備已部署包含 Network Relay 和 ACME 承載的行動設定設定檔。
使用受管設備證明,ACME 憑證在 Apple 證明伺服器驗證硬體後會發出至設備。憑證的私鑰鎖定在設備的安全隔離區中,永遠無法檢視或共享。
使用相互 TLS QUIC/HTTP3 (MASQUE) Relay 通道來封裝離開設備的所有 Microsoft Entra 驗證流量。此通道會混淆所有 Entra 流量,保護它免受中間人 TLS 攻擊,並在支援時利用 QRC。
Jamf Relay 服務終止傳入的 MASQUE 通道,驗證裝置標識符透過用戶端 TLS 憑證的完整性,同時驗證設備已註冊至客戶的連結 Jamf Pro 租戶並滿足其他合規性和存取原則。在此過程中,Entra 流量不被解密或以其他方式修改!
假設所有這些檢查都通過,Entra 流量將使用租戶專用全球 HA 租戶專用 IP 位址出口至網際網路。換句話說,只有真正的 Apple 設備,主動在客戶連結的 Jamf Pro 環境中註冊且合規,才能使用這些專用網際網路 IP 位址。
這些 IP 位址在 Microsoft 條件式存取設定中設定為命名位置。
這些命名位置用於略過針對非 Jamf 受管(或未授權)Apple 設備使用的典型 Jamf 設備合規性原則。相同的命名位置用於新條件式存取原則,允許來自設備的存取源自命名位置 (IP),無需設備合規性。
淨效應實際上是相同的:與其將設備合規性位元傳送至 Entra 以判斷條件式存取原則,合規性檢查發生在 Jamf 平台上。只有受管且合規的設備能夠使用信任 IP / 命名位置。此方法還透過在 mTLS 通道中封裝和保護 Entra 流量,同時提供使用者體驗改善,在設備所處的任何信任或不信任網路上促進對重要應用程式(例如 Teams / 技術服務台)的中斷存取,以防 PSSO 型設備合規性註冊和更新發生間歇性或異常的問題,從而大幅增強安全性。
為證明設備證明設定 Entra 條件式存取原則
先決條件
您已成功設定並部署我的 IP 在地圖上範例 SaaS 應用程式。
您或您可以合作的同事擁有設定 Microsoft 條件式存取原則的存取權。
步驟 1:在 Jamf Security Cloud 中建立專用網際網路出口閘道
在此步驟中,您將建立一對專用全球(公用)IP 位址,該位址對您的組織唯一可用,對其他任何人都不可用。
在 Jamf Security Cloud 中,瀏覽至整合 > 存取閘道。
在專用網際網路閘道旁邊選擇建立閘道。
為閘道提供名稱並定義您選擇的出口區域。
注意:您可以建立多個專用網際網路閘道,然後將其「分組」。這使位於該地區 Jamf 存在點的使用者能夠使用最近的出口閘道。此設定超出本文件的範圍,如需額外協助,請聯絡 Jamf 支援。
- 建立後,記下傳回的兩個公用 IP。這些將用於 Microsoft Entra 中的命名位置設定。
步驟 2:使用專用 IP 閘道建立 Microsoft Entra 存取原則
在 Jamf Security Cloud 中,瀏覽至原則 > 存取原則,然後按一下建立原則。
選擇預定義應用程式,然後從出現的應用程式清單中選擇 Microsoft 驗證。
注意:不需要設定其他 Microsoft 應用程式,如存取原則中所示,條件式存取控制才能運作。
選擇性地定義類別,然後按一下「下一步」。
Microsoft Entra 的主機名稱已定義。除非您使用非常特殊的 Entra 設定,否則按一下「下一步」以繼續。
選擇性地選擇應具有此應用程式存取權的設備群組,其中必須包含您可能稍早定義的合規設備群組(如果未選擇全部)。
啟用存取需要設備受到管理,然後按一下「下一步」。
為了簡化測試,我們建議此時停用風險驗證。部署驗證後以及風險型驗證得到很好理解後,這是啟用的絕佳功能!
在應用程式流量路由畫面上,確保已選擇 Encrypt and route via ZTNA:,然後選擇您在前面步驟中建立的專用網際網路閘道。
將其他設定保留在預設值,按一下「下一步」。
檢閱設定,然後按一下儲存並建立應用程式。
步驟 3:重新部署 Relay 設定並在設備上驗證
- 在 Jamf Security Cloud 中,瀏覽至 Devices > Activation Profiles,