App ごとの VPN を経由して Jamf Connectゼ ロトラストネットワークアクセス 機能を構成すると、デバイスレベルではなく App レベルでネットワークトラフィックを管理できます。一般的な使用例は以下の通りです。
App ごとの VPN が標準かつ望ましい動作であった他の VPN から移行する。
セキュリティ上の理由から、仕事データと個人データを分離するために、特定の App でのみ VPN を使用できるようにする必要がある。
プライバシーや透明性を確保する必要があるため、デバイス全体の VPN を使用することが望ましくない (BYOD デバイスやプライバシーが重視される組織など)。
Jamf Protect コンテンツフィルタリングや、エンドポイントとネットワーク保護機能を使用せず、管理対象デバイス上で ゼ ロトラストアクセスを有効にすることのみを意図しています。
ゼ ロトラストネットワークアクセス を展開する際は、以下のことに留意してください。
App ごとの VPN は、iOS、iPadOS、macOS の管理対象デバイスでのみ使用可能です。
指定したソースアプリケーションと Safari ドメインのみが Jamf Protect 機能サービスの対象となります。デバイス全体の機能 (エンドポイントとネットワーク保護やインターネットコンテンツフィルタリングと使用量コントロールなど) を使用するには、グローバル HTTP プロキシや DNS プロファイルなど、デバイスの二次構成が必要になります。
指定したソースアプリケーションからのすべてのトラフィックは、ゼ ロトラストネットワークアクセスマイクロトンネルを経由して、デバイスから Jamf Security Cloud クラウドにルーティングされます。各 App で使用されるすべての宛先 (ホスト名) に対して、アクセスポリシーを定義する必要があります。セキュリティ上の理由から、未分類のトラフィック (アクセスポリシーに属さないトラフィック) は除外されます。
App ごとの VPN 構成が管理者によって変更されるたびに、ユーザは Jamf Trust App を開き、新しい構成を適用する必要があります。
Jamf Security Cloud WireGuard VPN は、Apple の App ごとの VPN によるセキュアなネットワークモードをサポートしています。
Apple のプラットフォームで、App ごとの VPN を使用する際は、Jamf Security Cloud VPN を使用する App および Safari ドメインを MDM サーバで構成し、管理する必要があります。
これを行うには、所属する組織の MDM サーバから対象デバイスに App ごとの VPN 構成プロファイルを展開します。このプロファイルには、以下が含まれます。
App ごとの VPN 接続の提供元として Jamf Trust App を対象にした情報
該当する場合、App ごとの VPN を使用する App のマッピング (UEM サーバで発行される識別子による)
該当する場合、App ごとの VPN を使用する Safari ドメインのリスト
このプロファイルの作成と管理は、UEM ソリューションベンダーの管理用 管理者ユーザインターフェイスにより異なりますが、App ごとの VPN の動作を駆動するために作成される構成プロファイルは、最終的に同じになります。
エンドユーザのデバイスにプッシュされた後、Jamf Trust は、ユーザが App をアクティブ化した際にデバイス全体の VPN 構成を作成するのではなく、UEM が配信した App ごとの VPN 構成を「採用」します。これにより、管理者によって構成された App と Safari ドメイン定義が保持され、デバイス上の App ごとの VPN モードで App が効果的に展開されます。
それ以降は、App ごとの VPN では、VPN を有効または無効にするために特別なユーザ操作を必要とせず、定義された App および Safari ドメインからのトラフィックのみがアクティベートされ、処理されます。
ゼ ロトラストネットワークアクセスポリシーエンジンは、このトラフィックにも適用されます。つまり、App および Safari ドメインのトラフィックは App ごとの VPN を経由して Jamf Security Cloud クラウドに送信されますが、このトラフィックが企業の宛先に正常にルーティングされるようにするには、アクセスポリシーで定義されたアクセス要件とセキュリティ要件を満たす必要があります。