Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Intégration de JAMF Pro

Suivez ces étapes pour créer votre ID client et votre secret sur JAMF Pro, lier votre compte JAMF Pro à votre organisation Juniper Mist™ et vérifier l’intégration.

Mist Access Assurance vous permet de l’intégrer nativement à la plateforme JAMF Pro Endpoint Management pour vérifier l’état de conformité des terminaux gérés.

JAMF évalue la conformité des appareils gérés par JAMF (MacBook, iPad, iPhone et autres appareils iOS). L’évaluation est effectuée à l’aide de groupes d’ordinateurs intelligents pour les MACbooks et de groupes d’appareils intelligents pour les iPads et les appareils iOS pour la présence d’antivirus, l’état du pare-feu, la version du logiciel, etc. Mist Access Assurance obtient l’état de conformité des équipements et exploite cet état dans les règles de stratégie d’authentification pour effectuer une évaluation de la posture.

Figure 1 : Évaluation JAMF des équipements JAMF Evaluation of Managed Devices gérés

Récupération des données des appareils JAMF

Mist Access Assurance récupère les données des équipements gérés JAMF de la manière suivante :

  • Access Assurance utilise un mécanisme d’interrogation basé sur des API vers JAMF toutes les deux heures pour chaque client géré préalablement authentifié. Les informations sur les états de conformité sont mises en cache pour une récupération rapide.

  • La récupération des informations est effectuée hors bande, c’est-à-dire après le processus d’authentification, afin d’éviter tout retard supplémentaire. Après l’intégration initiale de l’appareil, les informations sont mises à jour toutes les deux heures.

  • En cas de changement de l’état de conformité de l’appareil, Mist Access Assurance déclenche automatiquement une modification d’autorisation afin de réexécuter la stratégie et d’appliquer l’action correspondante.

  • Juniper Mist points d’accès (AP), qui connectent les appareils gérés par JAMF au réseau sans fil, doivent disposer de la version 0.14 ou ultérieure du micrologiciel.

Mist Access Assurance utilise les informations suivantes lors de l’authentification du client pour faire correspondre un client avec un enregistrement d’appareil dans JAMF :

  • Adresse MAC non aléatoire : cette méthode peut être utilisée avec l’authentification EAP-TTLS ou EAP-TLS. Le périphérique MAC du client est mis en correspondance avec un MAC de périphérique présent dans JAMF. Pour le profil sans fil, assurez-vous que la randomisation ou la rotation MAC est désactivée.
    Note:

    Les appareils iOS n’ayant pas de carte réseau Ethernet native, cette méthode n’est utile qu’avec les appareils iOS connectés via un réseau sans fil.

  • UDID de périphérique JAMF encodé dans l’attribut de certificat SAN :DNS. La figure 2 montre l’emplacement de l’UDID dans le profil de configuration.
    Figure 2 : localisation d’un ID d’équipement Locating Unique Device ID unique

Création d’un ID client et d’une clé secrète sur le JAMF Pro

Pour l’intégration avec JAMF Pro, vous avez besoin d’un ID client et d’un secret.
  1. Dans le tableau de bord JAMF Pro, accédez à Paramètres > Rôles et clients de l’API.
  2. Créez un rôle pour le connecteur Mist Access Assurance et attribuez les autorisations.
    Figure 3 : configuration des rôles et des clients Configuring API Roles and Clients d’API
    Attribuez les autorisations en lecture seule suivantes :
    • Lire l’enregistrement de l’ordinateur
    • Lire les appareils mobiles
    • Lire les ordinateurs
    • Lire la collection d’inventaire d’appareils mobiles
    • Lire les groupes d’utilisateurs statiques
    • Lire des groupes d’ordinateurs statiques
    • Lire le libre-service pour les appareils mobiles
    • Lire l’accès conditionnel
    • Lire les groupes d’ordinateurs intelligents
    • Lire la collection d’inventaire informatique
    • Lire les groupes d’appareils mobiles intelligents
    • Lire Groupes d’utilisateurs intelligents
    • Lire l’utilisateur
    • Lire les webhooks
  3. Accédez à l’onglet Clients de l’API, puis ajoutez un nouveau client.
    Figure 4 : configuration d’un nouveau client Configure New API Client API
    Sélectionnez le rôle d’API créé à l’étape précédente et définissez le temps d’actualisation du jeton d’accès (par exemple, 24 heures). Cliquez ensuite sur Activer/désactiver le client API pour le basculer vers Activer le client API.
  4. Enregistrez les détails et cliquez sur Générer une clé secrète client sur la page suivante.
    Figure 5 : génération d’une clé secrète Generate Client Secret client

    La clé secrète client est générée.

  5. Copiez l’ID client et le secret et enregistrez-les dans un endroit sûr pour les récupérer plus tard.
    Figure 6 : détails de Client Secret Details la clé secrète client

Associer un compte JAMF Pro à Mist Access Assurance

  1. Juniper Mist tableau de bord, accédez à Organization > Access > Identity Providers.
  2. Sur la page Fournisseurs d’identité, faites défiler jusqu’à la section Compte lié et cliquez sur Lier le compte pour sélectionner JAMF Pro.
    Figure 7 : Liaison au compte Linking to JAMF Pro Account JAMF Pro
  3. Dans la fenêtre contextuelle Lier le compte, saisissez les détails. La figure 8 montre un exemple de détails de compte de liaison.
    Figure 8 : Détails pour la liaison de JAMF Pro Details for Linking JAMF Pro
    • URL de l’instance : URL de l’instance JAMF Pro. Exemple : https://<votrejamfurl>.com.

      Supprimez tout / de fin dans le champ URL de l’instance.

    • ID client : ID client généré lors de la création de l’ID client et du secret sur le tableau de bord JAMF Pro.
    • Clé secrète client : clé secrète client générée lors de la création de l’ID client et de la clé secrète sur le tableau de bord JAMF Pro.
    • Smart Group Name (Nom du groupe intelligent) : nom du groupe intelligent à comparer. JAMF Pro vous permet de créer des groupes pour les ordinateurs gérés, les appareils mobiles ou les utilisateurs. Les groupes intelligents (groupes intelligents d’ordinateurs et d’appareils mobiles) offrent une correspondance dynamique basée sur des règles, ce qui vous permet de définir des stratégies telles que l’exécution de logiciels, les versions de système d’exploitation de vos appareils gérés. Si un client se trouve dans JAMF et fait partie du groupe Smart sélectionné, il est considéré comme conforme au MDM.

Une fois la liaison terminée, vous pouvez voir l’état et l’heure de la dernière synchronisation, comme illustré à la Figure 9.

Figure 9 : État de la JAMP Pro Sync Status synchronisation JAMP Pro

Vérification

Sur le portail Juniper Mist, accédez à Monitoring > Insights > Client Events pour afficher les informations. Sous Informations sur les clients, vous pouvez voir que les recherches MDM sont effectuées pour les appareils gérés iOS, comme illustré à la figure 10.

Figure 10 : Détails MDM Lookup Details de la recherche MDM

Notez que lors de la recherche MDM initiale d’un nouveau client, la recherche est effectuée après l’authentification initiale. Après des changements d’état MDM, Mist Access Assurance lance une coA pour authentifier à nouveau le client et appliquer la stratégie appropriée. Lors des authentifications suivantes, le NAC utilise le cache MDM, qui est mis à jour régulièrement pour refléter tout changement toutes les 2 heures. La figure 11 montre un exemple de changement de statut de conformité.

Figure 11 : Détails de la recherche MDM - Changement de MDM Lookup Details- MDM Status Change statut MDM

Voir aussi