透過個別應用程式VPN配置Jamf Connect Zero Trust Network Access功能可讓您在應用程式層級(而非裝置層級)管理網路流量。常見的使用案例包括:
您正從另一個 VPN 執行遷移作業,其中個別應用程式 VPN 是標準且理想的行為。
您只想允許某些應用程式使用 VPN,並出於安全性目的將工作與個人資料分開。
由於隱私或透明度原因 (例如 BYOD 裝置或重視隱私權的組織),您不想要裝置通用的 VPN。
您不使用Jamf Protect 的內容篩選或端點和網路防護功能,而且僅打算在受管理裝置上啟用零信任存取。
部署Zero Trust Network Access時,請留意以下幾點:
個別應用程式VPN僅可用於受管理的iOS、iPadOS或macOS裝置。
只有您指定的源應用程式和Safari網域會受Jamf Protect 的功能服務限制。任何裝置通用的功能(如端點和網路防護,或網際網路內容篩選和使用量控制項)都需要二次配置裝置,例如,全域HTTP代理伺服器或DNS描述檔。
來自指定源應用程式的所有流量都會透過Zero Trust Network Access微通道,從裝置路由到Jamf Security Cloud雲端。您必須為每個應用程式使用的所有目的地 (主機名稱) 定義存取原則。出於安全原因,系統會捨棄未分類的流量 (即未歸因於存取原則的流量)。
每當管理員變更個別應用程式 VPN 配置時,使用者必須開啟 Jamf Trust 應用程式才能套用新配置。
Jamf Security Cloud WireGuard VPN 支援Apple的個別App VPN安全網路模式。
在 Apple 平台上,個別應用程式 VPN 要求 MDM 伺服器需配置並管理使用 Jamf Security Cloud VPN 的應用程式和 Safari 網域。
將個別應用程式VPN配置描述檔從您組織的MDM伺服器部署至目標裝置,即可達成此目標。此設定檔包含:
將 Jamf Trust 應用程式定位為個別應用程式 VPN 連線提供者的資訊
將要使用個別應用程式 VPN 的應用程式對應 (透過其 UEM 伺服器發出的識別碼) (如有)
將要使用個別應用程式 VPN 的 Safari 網域清單 (如有)
建立和管理此設定檔的方式會因 UEM 解決方案供應商的管理員使用者介面而異,但最終用來驅動個別應用程式 VPN 行為的設定描述檔是相同的。
推送到最終用戶裝置後,Jamf Trust將在用戶啟用App時「採用」UEM提供的每個App VPN配置,而不是建立整個裝置的VPN配置。這會保留管理員配置的App和Safari網域定義,從而有效地將App部署到裝置上的每個App VPN模式。
此後,個別應用程式 VPN 將僅啟用並處理來自已定義應用程式和 Safari 網域的流量,無需任何特定的使用者動作去啟用或停用 VPN。
Zero Trust網路存取政策引擎仍適用此流量。這表示,雖然應用程式/Safari 網域流量從個別應用程式 VPN 周遊至 Jamf Security Cloud 雲端,此流量仍須滿足存取原則定義的存取和安全性要求才能成功路由到企業目的地。