Ajout d’une nouvelle application prédéfinie

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR

Vous pouvez configurer et gérer les applications prédéfinies utilisées par votre organisation. Une fois configurées, ces applications permettent de définir la règle et la visibilité des rapports.

Important :

Les applications prédéfinies exigent que tous les noms d’hôtes puissent être résolus publiquement.

Si vous devez définir une application qui utilise des noms d’hôtes qui ne peuvent être résolus qu’en privé (par exemple le DNS « Split-brain »), ou si vous voulez remplacer la réponse DNS publique d’un nom d’hôte donné, créez plutôt une app personnalisée.

  1. Dans Jamf Security Cloud, accédez à Règles > Accès > Règle d’accès.
  2. Cliquez sur Créer une règle.
  3. Dans App prédéfinie, sélectionnez Sélectionner l’app.

    Applications prédéfinies et applications personnalisées

    Une app prédéfinie comprend tous les critères de classification du trafic habituels (par exemple les noms d’hôtes) dont l’accès réseau « zero trust » Jamf Connect a besoin pour associer le trafic des appareils à l’application. Dans la plupart des cas, cela signifie que vous n’avez pas besoin de définir de noms d’hôtes supplémentaires, sauf si vous utilisez un domaine personnalisé pour l’application.

    Une application personnalisée nécessite de spécifier au moins un nom d’hôte, une adresse IPv4 ou un sous-réseau pour pouvoir classer le trafic de l’application. Si ce n’est pas le cas, le trafic ne pourra pas être associé à cette règle d’accès.

  4. Sélectionnez une app dans la liste.
  5. Cliquez sur Suivant.
  6. Sélectionnez Catégorie pour l’application.
  7. Cliquez sur Suivant.
  8. (Optionnel) Dans le champ Noms d’hôtes de l’application, saisissez un nom d’hôte ou collez une liste séparée par des lignes de noms d’hôtes utilisés par l’application, puis cliquez sur Ajouter.
    Remarque : Ignorez cette étape si vous utilisez une app prédéfinie, sauf si vous lui avez appliqué un nom d’hôte personnalisé.

    • Chaque nom d’hôte doit être au format FQDN (nom de domaine entièrement qualifié) et doit pouvoir être résolu publiquement ou en privé en utilisant une zone DNS personnalisée configurée. Les noms d’hôtes au format FQDN sont par exemple app.company.com ou app2.domain.corp. Pour plus d’informations, consultez la section Zones DNS personnalisées du Guide de configuration du portail Jamf Security Cloud.

    • Après avoir configuré un domaine de recherche dans une zone DNS personnalisée, vous pouvez utiliser des noms abrégés. Par exemple, app ou files, auquel le domaine sera automatiquement ajouté.

    • Les caractères de remplacement sont pris en charge, tels que *.company.com, pour acheminer tout le trafic de tous les sous-domaines via cette règle d’accès. Cette règle est utile pour capturer un volume de trafic important, ce qui vous permet de définir des règles plus granulaires au fil du temps.

    • En donnant au nom d’hôte la valeur d’un astérisque (*), vous pouvez acheminer tout le trafic qui utilise le DNS via l’accès réseau « zero trust ». Cela ressemble à un VPN à tunnel complet traditionnel, mais qui ne capture pas le trafic qui utilise directement les adresses IP pour se connecter sur le réseau.

      Remarque :

      • Tous les filtres de sécurité du réseau sont actuellement contournés, car toutes les règles d’accès sont par nature traitées comme du trafic « de confiance ».

      • Cette règle sert de fourre-tout, toutes les autres règles d’accès ayant priorité sur celle-ci.

      • Testez soigneusement le bon fonctionnement de vos applications avec cette configuration, car certains services n’autorisent pas le trafic provenant des centres de données. Le cas échéant, vous pouvez définir des règles d’accès pour ces destinations afin de les acheminer comme il se doit (par exemple via une passerelle privée ou directement depuis l’appareil).

    • Si vous saisissez un nom d’hôte déjà défini dans l’une de vos apps prédéfinies existantes, lors de l’évaluation de la règle, cette nouvelle app aura la priorité sur l’app prédéfinie.

  9. Si un nom d’hôte n’est pas disponible, ajoutez les adresses IPv4 ou les sous-réseaux utilisés par l’application dans la section Adresses IP directes et sous-réseaux.
    Remarque :

    • L’utilisation des adresses IPv4 ou des sous-réseaux nécessite l’installation de l’app Jamf Trust sur les appareils concernés.

    • Actuellement, le trafic d’adresse IP directe n’est pas enregistré dans les rapports d’accès de Jamf Security Cloud.

  10. Cliquez sur Suivant.
  11. Pour restreindre l’accès à l’app à certains groupes d’appareils, dans Autorisations pour les groupes d’appareils, sélectionnez Groupes d’appareils sélectionnés, sélectionnez un ou plusieurs groupes dans le menu, puis cliquez sur Ajouter.
  12. Cliquez sur Suivant.
  13. Dans Sécurité, définissez les exigences de sécurité à respecter pour qu’un utilisateur puisse accéder à cette application sur son appareil.
    Remarque :Vous avez besoin d’une

    Jamf Protect

    licence pour définir ces exigences.
    • L’accès nécessite la gestion de l’appareil.Activez cette fonctionnalité pour empêcher les appareils non gérés d’accéder à l’application. Lorsque cette option est activée, vous pouvez configurer une notification push qui informe les utilisateurs d’appareils non gérés de la raison pour laquelle l’accès leur a été refusé. L’état de gestion des appareils est déterminé par la synchronisation d’UEM Connect de votre configuration. Les appareils activement inscrits dans l’UEM connecté sont considérés comme gérés, à condition qu’ils aient effectué un check-in auprès de l’UEM dans le délai défini. Tous les autres appareils sont considérés comme non gérés. Si UEM Connect n’est pas configuré ou échoue, il se peut que l’état de gestion de vos appareils soit inexact.
    • L’accès nécessite la validation des risques de l’appareil.Activez cette fonctionnalité pour empêcher les appareils présentant un niveau de risque spécifié (ou supérieur) d’accéder à l’application. Lorsque cette option est activée, vous pouvez définir le niveau de risque et configurer une notification push pour informer l’utilisateur quand et pourquoi son accès est refusé.
      Remarque :

      Cette option n’est disponible que pour les appareils Apple gérés dotés d’un profil de prévention des menaces réseau.

    • L’accès nécessite l’activation de Jamf Trust.Activez cette fonctionnalité pour appliquer en permanence les règles d’accès à une application. Lorsque cette action est activée, l’utilisateur ne peut pas accéder à l’application sur son appareil pendant que l’app Jamf Trust est désactivée.
  14. Cliquez sur Suivant.
  15. Choisissez une méthode de routage pour définir comment l’accès réseau « zero trust » doit atteindre l’application, puis cliquez sur Suivant.
    • Chiffrer et acheminer via l’accès réseau « zero trust »

      Le trafic de l’application doit être chiffré de l’appareil vers le cloud Jamf Security Cloud, puis acheminé via la passerelle réseau sélectionnée.

    • Routage de l’appareil par défaut

      Pour les utilisateurs autorisés à accéder à l’application, acheminez le trafic de l’application directement vers le nom d’hôte sans le chiffrer via l’accès réseau « zero trust ».

  16. Développez la section Mode de routage et sélectionnez le mode de routage pour les apps et les appareils des utilisateurs finaux.
    • Routage du trafic standard (recommandé)

      Pour les apps compatibles avec IPv4 et IPv6

    • Ancien routage

      Pour les appareils ou les apps de vos utilisateurs incompatibles avec IPv6

  17. Cliquez sur Suivant.
  18. Vérifiez la configuration des apps, puis cliquez sur Enregistrer et créer l’app.

L’application devrait alors être prête à être utilisée par les appareils qui répondent aux conditions de la règle d’accès définie.