您可以使用自訂應用程式來定義和管理尚未在Jamf Security Cloud中預先定義的應用程式。自訂應用程式可用於存取政策和報告。
- 在Jamf Security Cloud中,前往政策 > 存取 > 存取政策。
- 按一下建立政策。
- 在自訂App下面,按一下定義App。
- 輸入應用程式的 Name (名稱)並選取 Category (類別)。
- 按一下下一步。
- 在應用程式主機名稱欄位中,輸入主機名稱或貼上應用程式使用的主機名稱清單(以行分隔)。
這些主機名稱應採用完整網域名稱 (FQDN) 格式,並且可以用任何配置的自訂 DNS 區域公開或私下解析。FQDN 的示例是 app.company.com 或 app2.domain.corp。如需更多資訊,請參閱Jamf Security Cloud設定指南中的自訂DNS。
如果在配置自訂 DNS 區域時配置了搜尋網域,可以使用短名稱。例如,
app或files,網域將被自動附加上去。Zero Trust Network Access支援萬用字元。可以建立
*.company.com之類的項目,來透過存取政策路由來自所有子網域的所有流量。這有助於擷取大量流量,讓您今後能夠定義更精細的政策。- 如果您輸入的主機名稱已在現有的預先定義App之一中定義,則在政策評估期間,此新建立的應用程式將優先於預先定義的App。
Note:使用此配置會繞過所有網路安全篩選條件,因為所有存取原則會因沿襲而被視為「可信任」流量。
此規則會涵蓋所有項目,而其他所有的存取政策都優先於此規則。
使用此配置時徹底測試您的應用程式是否正常運作,因為某些服務不允許來自資料中心的流量。如果發生這種情況,您可以為這些目的地定義存取原則,即可根據需要路由它們 (例如,透過私有閘道或直接從裝置路由)。
- 按一下新增。
- 若主機名稱無法使用,則在直接IP和子網路區域中新增由應用程式使用的IPv4位址或子網路。Note:
使用IPv4位址或子網路需要在相關裝置上安裝Jamf Trust App。
- 按一下下一步。
- 如果您想限制App存取某些裝置群組,請在裝置群組權限下,選取選定裝置群組,從功能表中選取一或多個群組,然後按一下新增。
- 按一下下一步。
- 定義必須滿足的Security(安全性)需求,以允許使用者在其裝置上存取此應用程式。Note:您需要
Jamf Protect
授權才能定義這些需求。- 存取需要管理裝置 —啟用此功能可防止未受管理裝置存取應用程式。選取後,您可以啟用推播通知,以通知非管理式裝置的使用者其存取被拒絕的原因。裝置管理狀態由您所配置的 UEM Connect 同步處理所決定。在連接的 UEM 中主動註冊的裝置均被視為管理式裝置,前提是這些裝置已在所定義的裝置報到閾值內透過 UEM 報到。所有其他裝置均視為非管理式。如果 UEM Connect 未配置或失敗,裝置管理狀態可能不準確。
- 存取需要裝置風險驗證 —啟用此功能可阻止具有指定風險等級(或更高)的裝置存取應用程式。啟用後,您可以設定風險等級並配置推播通知,通知使用者其存取被拒絕的時間和原因。Note:
此選項僅適用於具有網路威脅防護描述檔的管理式 Apple 裝置。
- 存取需要啟用 Jamf Trust —啟用此功能以持續執行應用程式的存取規則。啟用後,如果停用 Jamf Trust App,使用者將無法存取其裝置上的應用程式。
- 按一下下一步。
- 選擇路由方法,指定Zero Trust網路存取服務應如何連接應用程式,然後按一下下一步。
- 透過ZTNA加密和路由 —
應用程式流量應從裝置加密至Jamf Security Cloud,然後透過選定的網路閘道轉寄。
- 預設裝置路由 —
如果是有權存取應用程式的使用者,請將應用程式流量直接路由到主機名稱,不需要透過Zero Trust Network Access加密。
- 透過ZTNA加密和路由 —
- 展開路由模式區段,並選取用戶裝置上App的路由模式。
- 標準流量路由(建議) —適用與 IPv6 相容的應用程式。Note:如果您的使用者在他們的裝置上安裝了Firefox瀏覽器,這可能會導致IPv6的相容應用程式出現DNS效能問題。為了克服這個問題,您的使用者應該在他們的配置設定中停用對Firefox的Happy Eyeballsd支援,如下所示:
about:config → network.http.fast-fallback-to-IPv4=false - 傳統路由 —
適用與IPv6不相容的App。
- 標準流量路由(建議) —
- 按一下下一步。
- 檢視應用程式配置,然後按一下儲存並建立App。
應用程式應已準備好,可供滿足指定存取原則條件的裝置使用。