JAMF Pro の統合

次の手順に従って、JAMF Pro でクライアント ID とシークレットを作成し、JAMF Pro アカウントを Juniper Mist™ 組織にリンクして、統合を確認します。

Mist Access Assuranceを使用すると、JAMF Pro Endpoint Managementプラットフォームにネイティブに統合して、管理対象エンドポイントのコンプライアンス状態を確認できます。

JAMFは、JAMF管理デバイス(MacBook、iPad、iPhone、その他のiOSデバイス)のコンプライアンスを評価します。評価は、MACbook のスマートコンピューターグループと iPad および iOS デバイスのスマートデバイスグループを使用して、ウイルス対策の有無、ファイアウォールの状態、ソフトウェアバージョンなどについて行われます。Mist Access Assuranceは、デバイスのコンプライアンス状態を取得し、認証ポリシールールでその状態を活用してポスチャ評価を実行します。

図1:管理対象デバイスのJAMF評価 JAMF Evaluation of Managed Devices

JAMFデバイスデータの取得

Mist Access Assuranceは、以下の方法でJAMF管理デバイスデータを取得します。

Access Assuranceは、以前に認証されたすべての管理対象クライアントに対して、2時間ごとにJAMFに対してAPIベースのポーリングメカニズムを使用します。コンプライアンス状態の情報は、高速に取得できるようにキャッシュされます。
情報の取得は、さらなる遅延を避けるために、アウトオブバンド、つまり認証プロセスの後に実行されます。最初のデバイスをオンボーディングした後、情報は 2 時間ごとに更新されます。
デバイスのコンプライアンスステータスが変更された場合、Mist Access Assuranceは自動的に認可変更をトリガーしてポリシーを再実行し、それぞれのアクションを適用します。
JAMF 管理対象デバイスをワイヤレスネットワークに接続する Juniper Mist アクセスポイント (AP) には、ファームウェアバージョン 0.14 以降が必要です。

Mist Access Assuranceは、クライアント認証時に以下の情報を使用して、クライアントをJAMFのデバイスレコードと照合します。

非ランダム化MACアドレス:この方法は、EAP-TTLSまたはEAP-TLS認証で使用できます。クライアント MAC デバイスは、JAMF に存在するデバイス MAC と一致します。ワイヤレスプロファイルの場合は、MACのランダム化またはローテーションが無効になっていることを確認します。
手記：
iOS デバイスにはネイティブのイーサネット NIC がないため、この方法はワイヤレスで接続されている iOS デバイスでのみ役立ちます。
SAN:DNS 証明書属性でエンコードされた JAMF デバイス UDID。図 2 は、構成プロファイルでの UDID の場所を示しています。
図2:一意のデバイスIDの場所

JAMF Pro でクライアント ID とシークレットを作成する

JAMF Pro との統合には、クライアント ID とシークレットが必要です。

JAMF Pro ダッシュボードで、[Settings (設定)] > [API roles and clients (API ロールとクライアント)] に移動します。
Mist Access Assuranceコネクタのロールを作成し、権限を割り当てます。

図 3: API ロールとクライアントの構成
次の読み取り専用権限を割り当てます。
- コンピュータのチェックインを読む
- モバイルデバイスを読む
- コンピュータを読む
- モバイルデバイスインベントリ収集を読む
- 静的ユーザーグループの読み取り
- 静的コンピューター・グループの読み取り
- モバイルデバイスセルフサービスを読む
- 条件付きアクセスの読み取り
- スマートコンピュータグループの読み取り
- コンピュータインベントリの収集を確認。
- スマートモバイルデバイスグループの読み取り
- スマートユーザーグループの読み取り
- ユーザーの読み取り
- Webhook の読み取り
[API クライアント] タブに移動し、新しいクライアントを追加します。

図 4: 新しい API クライアントを構成する

前の手順で作成した API ロールを選択し、入力しトークンの更新時間 (例: 24 時間) を設定します。次に、[ Enable / disable API Client ] をクリックして [Enable API Client] に切り替えます。
詳細を保存し、次のページで [クライアントシークレットの生成] をクリックします。

図 5: クライアントシークレットの生成

クライアントシークレットが生成されます。
クライアント ID とシークレットの両方をコピーし、後で取得できるように安全な場所に保存します。

図 6: クライアントシークレットの詳細

JAMF Pro アカウントを Mist Access Assurance にリンクする

ダッシュボードJuniper Mist、[Organization > Access > Identity Providers]に移動します。
[Identity Providers (ID プロバイダ)] ページで、[Linked Account (リンクされたアカウント)] セクションまで下にスクロールし、[Link Account (アカウントをリンク)] をクリックして [JAMF Pro (JAMF Pro)] を選択します。

図7:JAMF Proアカウントへのリンク
[アカウントのリンク] ポップアップウィンドウで、詳細を入力します。図 8 は、リンクアカウントの詳細のサンプルを示しています。
図 8: JAMF Pro をリンクするための詳細
- インスタンス URL—JAMF Pro インスタンスの URL。例: https://<yourjamfurl>.com。
  [インスタンス URL] フィールドの末尾の / を削除します。
- クライアント ID—JAMF Pro ダッシュボードでクライアント ID とシークレットを作成する際に生成されたクライアント ID。
- Client Secret(クライアントシークレット)—JAMF Pro ダッシュボードでクライアント ID とシークレットを作成する際に生成されたクライアントシークレット。
- [スマートグループ名(Smart Group Name)]:照合するスマートグループ名。JAMF Pro では、管理対象コンピュータ、モバイルデバイス、またはユーザのグループを作成できます。スマートグループ(コンピューターとモバイルデバイスの両方のスマートグループ)は、ソフトウェアの実行、管理対象デバイスのOSバージョンなどのポリシーを設定できる、動的なルールベースのマッチングを提供します。クライアントが JAMF で検出され、選択したスマートグループの一部である場合は、MDM 準拠と見なされます。

リンクが完了すると、最後の同期の状態と時刻を確認できます ( 図 9 参照)。

図9:JAMP Pro 同期ステータス JAMP Pro Sync Status

検証

Juniper Mist ポータルで、 [> Insights > Client Events の監視] に移動して情報を表示します。[Client Insights] では、iOS で管理されているデバイスに対して MDM 参照が実行されていることがわかります ( 図 10 参照)。

図 10: MDM ルックアップの詳細 MDM Lookup Details

新しいクライアントの初期 MDM 検索中に、検索は初期認証後に実行されることに注意してください。MDMの状態が変更されると、Mist Access AssuranceはCoAを開始してクライアントを再認証し、正しいポリシーを適用します。その後の認証では、NAC は MDM キャッシュを使用します。このキャッシュは 2 時間ごとに変更を反映するために定期的に更新されます。図 11 は、コンプライアンス状態の変更の例を示しています。

図 11: MDM ルックアップの詳細 - MDM ステータス変更 MDM Lookup Details- MDM Status Change