Sécurité
Cette section explique les principales mesures de sécurité de Jamf Pro :
-
Mots de passe
-
Protocoles de communication
-
Infrastructure à clé publique
-
Applications signées
Mots de passe
Jamf Pro vous permet de stocker des comptes individuels pour des ordinateurs gérés et de réinitialiser les mots de passe si nécessaire.
Les mots de passe stockés dans la base de données sont chiffrés à l'aide d'un algorithme de chiffrement standard AES 256 bits.
Protocoles de communication
Jamf Pro intègre la sécurité dès sa conception. Les connexions entre le serveur Jamf Pro, les autres apps Jamf Pro et les appareils mobiles se font via Secure Socket Layer (SSL) en utilisant le protocole Transport Layer Security (TLS).
L'application Jamf Remote et le scanner de réseau de l'application Recon se connectent aux ordinateurs via Secure Shell (SSH) ou Remote Login.
Secure Shell (SSH)
SSH est un protocole de sécurité réseau intégré à macOS. Pour plus d’informations, voir :
http://openssh.com/
Transport Layer Security (TLS)
TLS est un protocole de sécurité pour la communication sur Internet. Pour plus d’informations, voir :
http://tools.ietf.org/html/rfc5246
Public Key Infrastructure (infrastructure à clé publique)
Une infrastructure à clé publique (PKI) est l’interface par laquelle les certificats numériques sont obtenus, gérés, stockés et distribués pour assurer un échange sécurisé des données sur un réseau public.
Certificate Authority (autorité de certification)
Une autorité de certification (CA) est une entité de confiance qui signe et délivre les certificats requis pour l'authentification par certificat. C'est le composant central de PKI.
Dans Jamf Pro, vous pouvez choisir d'utiliser une CA intégrée, intégrer une CA tierce approuvée (DigiCert ou Active Directory Certificate Services) ou configurer votre propre PKI si vous avez accès à une CA externe qui prend en charge le protocole Simple Certificate Enrollment Protocol (SCEP). Les autorités de certification peuvent être utilisées pour envoyer des certificats aux ordinateurs et aux appareils mobiles.
Remarque : Une CA externe peut également être utilisée pour envoyer des certificats aux ordinateurs, mais elle n'est pas activée par défaut. Pour plus d’informations, contactez votre représentant de compte Jamf.
Pour plus d'informations sur les autorités de certification dans Jamf Pro, voir Certificats PKI.
Simple Certificate Enrollment Protocol (protocole simple d’inscription de certificat)
Simple Certificate Enrollment Protocol (SCEP) obtient les certificats de la CA et les distribue aux appareils mobiles gérés, ce qui simplifie la gestion de la distribution des certificats à grande échelle. Si vous ne voulez pas que les ordinateurs ou les appareils mobiles communiquent directement avec un serveur SCEP, vous pouvez configurer les réglages permettant à Jamf Pro de gérer par proxy le communication entre un serveur SCEP et les ordinateurs et appareils de votre environnement. Jamf Pro peut ainsi communiquer directement avec un serveur SCEP pour obtenir des certificats et les installer sur l'appareil. Pour plus d’informations, consultez le document technique Enabling Jamf Pro as SCEP Proxy (Activation de Jamf Pro en tant que proxy SCEP).
La CA hébergée par Jamf Pro (« CA intégrée ») prend en charge SCEP. Si vous prévoyez d’utiliser une CA externe hébergée par votre organisation ou par un fournisseur tiers, cette CA doit également prendre en charge SCEP.
Certificats
Jamf Pro utilise les certificats suivants pour assurer la sécurité :
-
Certificat SSL : Jamf Pro nécessite un certificat SSL valide pour garantir que les ordinateurs et les appareils mobiles communiquent avec le serveur Jamf Pro et non avec un serveur imposteur. Le certificat SSL que vous pouvez créer à partir de la CA intégrée sécurise la communication en utilisant un chiffrement RSA 2048 bits.
-
Certificats d’appareil : les certificats d’appareil permettent à Jamf Pro de vérifier l'identité des ordinateurs et des appareils mobiles chaque fois qu'ils communiquent avec le serveur Jamf Pro.
-
Certificat CA : ce certificat établit une relation de confiance entre la CA et les ordinateurs, et entre la CA et les appareils mobiles.
-
Certificat de signature : ce certificat est utilisé pour signer les messages échangés entre le serveur Jamf Pro et les ordinateurs Mac, et entre le serveur Jamf Pro et les appareils mobiles.
-
Certificat push : Jamf Pro nécessite un certificat push valide pour communiquer avec le service de notification push d’Apple (APNs).
-
Certificat d'ancrage : ce certificat permet aux appareils mobiles et aux ordinateurs de faire confiance au certificat SSL.
Applications signées
Les applications suivantes sont signées par Jamf :
-
Composer
-
Jamf Admin
-
jamf binary
-
Jamf Helper
-
Jamf Imaging
-
Jamf Remote
-
Jamf Self Service
-
Recon
Informations connexes
Pour plus d’informations, consultez l’article suivant de la Base de connaissances :
Ports réseau utilisés par Jamf Pro
En savoir plus sur les ports réseau utilisés par Jamf Pro.