Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Intégration de JAMF Pro

Suivez ces étapes pour créer votre ID client et votre secret sur JAMF Pro, lier votre compte JAMF Pro à votre organisation Juniper Mist™ et vérifier l’intégration.

Mist Access Assurance vous permet de l’intégrer nativement à la plateforme JAMF Pro Endpoint Management pour vérifier l’état de conformité des terminaux gérés.

JAMF évalue la conformité des appareils gérés par JAMF (MacBook, iPad, iPhone et autres appareils iOS). L’évaluation est effectuée à l’aide de groupes d’ordinateurs intelligents pour les MACbooks et de groupes d’appareils intelligents pour les iPads et les appareils iOS pour la présence d’antivirus, l’état du pare-feu, la version du logiciel, etc. Mist Access Assurance obtient l’état de conformité des appareils et exploite cet état dans les règles de stratégie d’authentification pour évaluer la posture.

Figure 1 : Évaluation JAMF des équipements JAMF Evaluation of Managed Devices gérés

Récupération des données de l’appareil JAMF

Mist Access Assurance récupère les données des appareils gérés par JAMF de la manière suivante :

  • Access Assurance utilise un mécanisme d’interrogation basé sur des API vers JAMF toutes les deux heures pour chaque client géré précédemment authentifié. Les informations relatives aux états de conformité sont mises en cache pour une récupération rapide.

  • La récupération des informations est effectuée hors bande, c’est-à-dire après le processus d’authentification pour éviter tout retard supplémentaire. Après l’intégration initiale des appareils, les informations sont mises à jour toutes les deux heures.

  • Si l’état de conformité de l’appareil change, Mist Access Assurance déclenche automatiquement une modification d’autorisation pour réexécuter la stratégie et appliquer l’action correspondante.

  • Les points d’accès (AP) Juniper Mist, qui connectent les appareils gérés par JAMF au réseau sans fil, doivent disposer de la version 0.14 ou supérieure du micrologiciel.

Mist Access Assurance utilise les informations suivantes lors de l’authentification du client pour faire correspondre un client à un enregistrement d’appareil dans JAMF :

  • adresse MAC non randomisée : cette méthode peut être utilisée avec l’authentification EAP-TTLS ou EAP-TLS. Le périphérique MAC client est mis en correspondance avec un MAC de périphérique présent dans JAMF. Pour le profil sans fil, assurez-vous que la randomisation ou la rotation MAC est désactivée.
    Remarque :

    Les appareils iOS n’ont pas de NIC Ethernet natif, cette méthode n’est donc utile qu’avec les appareils iOS connectés via sans fil.

  • Périphérique JAMF UDID encodé dans l’attribut de certificat SAN :DNS. La figure 2 montre l’emplacement de l’UDID dans le profil de configuration.
    Figure 2 : localisation de l’ID d’équipement Locating Unique Device ID unique

Créer un ID client et un secret sur le JAMF Pro

Pour l’intégration avec JAMF Pro, vous avez besoin d’un identifiant client et d’un secret.
Remarque :

Les captures d’écran des applications tierces sont correctes au moment de la publication. Nous n’avons aucun moyen de savoir quand ou si les captures d’écran seront exactes à l’avenir. Veuillez vous référer au site Web tiers pour obtenir des conseils sur les modifications apportées à ces écrans ou aux workflows impliqués.
  1. Dans le tableau de bord de JAMF Pro, accédez à Paramètres > rôles d’API et clients.
  2. Créez un rôle pour le connecteur Mist Access Assurance et attribuez les autorisations.
    Figure 3 : configuration des rôles et des clients Configuring API Roles and Clients d’API
    Attribuez les autorisations en lecture seule suivantes :
    • Lire l’enregistrement de l’ordinateur
    • Lire les appareils mobiles
    • Lire les ordinateurs
    • Lire la collecte de l’inventaire des appareils mobiles
    • Lire les groupes d’utilisateurs statiques
    • Lire les groupes d’ordinateurs statiques
    • Lire Équipement mobile en libre-service
    • Lire l’accès conditionnel
    • Lire les groupes d’ordinateurs intelligents
    • Lire la collecte de l’inventaire des ordinateurs
    • Lire Groupes d’appareils mobiles intelligents
    • Lire les groupes d’utilisateurs intelligents
    • Lire l’utilisateur
    • Lire les webhooks
  3. Accédez à l’onglet Clients API et ajoutez un nouveau client.
    Figure 4 : Configurer un nouveau client Configure New API Client API
    Sélectionnez le rôle d’API créé à l’étape précédente et définissez le temps d’actualisation du jeton d’accès (par exemple, 24 heures). Cliquez ensuite sur Activer/désactiver API Client pour basculer sur Activer API Client.
  4. Enregistrez les détails et cliquez sur Générer la clé secrète client sur la page suivante.
    Figure 5 : Générer une clé secrète Generate Client Secret client

    La clé secrète client est générée.

  5. Copiez l’ID client et le secret et enregistrez-les dans un endroit sûr pour les récupérer plus tard.
    Figure 6 : Détails Client Secret Details de la clé secrète client

Lier un compte JAMF Pro à Mist Access Assurance

  1. Juniper tableau de bord Mist, accédez à Organization > Access > Identity Providers.
  2. Sur la page Fournisseurs d’identité, faites défiler jusqu’à la section Compte lié et cliquez sur Lier le compte pour sélectionner JAMF Pro.
    Figure 7 : Liaison au compte Linking to JAMF Pro Account JAMF Pro
  3. Dans la fenêtre contextuelle Associer un compte, saisissez les détails. La figure 8 montre un exemple de détails de comptes liés.
    Figure 8 : Détails de la liaison de JAMF Pro Details for Linking JAMF Pro
    • URL de l’instance : URL de l’instance JAMF Pro. Exemple : https://<yourjamfurl>.com.

      Supprimez tout / de fin dans le champ URL de l’instance.

    • ID client : ID client généré lors de la création de l’ID client et du secret sur le tableau de bord JAMF Pro.
    • Secret client : secret client généré lors de la création de l’ID client et du secret sur le tableau de bord JAMF Pro.
    • Nom du groupe intelligent : nom du groupe intelligent auquel il faut faire correspondre. JAMF Pro vous permet de créer des groupes pour les ordinateurs gérés, les appareils mobiles ou les utilisateurs. Les groupes intelligents (groupes intelligents d’ordinateurs et d’appareils mobiles) offrent une correspondance dynamique basée sur des règles, ce qui vous permet de définir des stratégies telles que l’exécution de versions logicielles et de systèmes d’exploitation de vos appareils gérés. Si un client est trouvé dans JAMF et fait partie du Smart Group sélectionné, il est considéré comme conforme à la MDM.
      Remarque : Lors de la liaison de comptes JAMB, Access Assurance valide uniquement le nom du groupe intelligent par rapport aux groupes intelligents d’ordinateurs dans JAMF Pro. Bien que JAMF prenne en charge les groupes intelligents pour les ordinateurs et les appareils mobiles, le groupe intelligent doit exister sous Ordinateurs pour terminer la liaison. Si seuls les appareils mobiles sont gérés, créez un groupe intelligent ordinateur portant le même nom (un groupe fictif suffit).

Une fois la liaison terminée, vous pouvez voir l’état et l’heure de la dernière synchronisation, comme indiqué à la figure 9.

Figure 9 : État JAMP Pro Sync Status de synchronisation JAMP Pro

Vérification

Sur le portail Juniper Mist, accédez à Surveillance des informations > > Événements client pour afficher les informations. Sous Client Insights, vous pouvez voir que des recherches MDM sont effectuées pour les appareils gérés iOS, comme illustré à la figure 10.

Figure 10 : détails MDM Lookup Details d’une recherche MDM

Notez que lors de la recherche MDM initiale d’un nouveau client, la recherche est effectuée après l’authentification initiale. Une fois que l’état du MDM change, Mist Access Assurance déclenche le CoA pour réauthentifier le client et appliquer la politique appropriée. Lors des authentifications suivantes, le NAC utilise le cache MDM qui est mis à jour périodiquement pour refléter tout changement toutes les 2 heures. La figure 11 montre un exemple de changement d’état de conformité.

Figure 11 : Détails d’une recherche MDM - Changement de MDM Lookup Details- MDM Status Change statut MDM

Voir aussi