Intégration à Google BeyondCorp Enterprise

Google BeyondCorp Enterprise permet aux organisations de s’assurer que seuls les utilisateurs autorisés d’appareils conformes peuvent accéder aux ressources de l’organisation. L’intégration de Jamf Pro à BeyondCorp Enterprise pour macOS permet aux administrateurs de construire une infrastructure de conformité et de sécurité autour des appareils des utilisateurs finaux plutôt que d’utiliser un périmètre réseau.
L’intégration à BeyondCorp Enterprise vous permet d’effectuer les opérations suivantes :
  • Partager le statut de conformité défini par Jamf avec BeyondCorp.

  • Restreindre l’accès aux applications protégées par les règles contextuelles de BeyondCorp Enterprise.

Exigences générales

Pour réaliser l’intégration à BeyondCorp Enterprise, vous devez disposer des éléments suivants :
  • Un compte client Google Workspace

  • Un SKU Google Workspace Enterprise ou Cloud Identity Premium

  • Un compte administrateur Google

  • Un compte utilisateur Jamf Pro avec les privilèges Accès conditionnel et Groupe intelligent pour les utilisateurs

  • Google Chrome avec l’extension Endpoint Verification

Important :

Une licence BeyondCorp Enterprise est nécessaire si des règles de niveau d’accès doivent être utilisées sur des applications dans le cloud et sur site ainsi que sur des VM fonctionnant sur la plateforme Google Cloud avec l’Identity Aware Proxy de Google Cloud.

Étape 1 : Création de groupes intelligents dans BeyondCorp Enterprise

Jamf Pro vous permet de créer des groupes intelligents pour des ordinateurs gérés ou des utilisateurs. Pour réussir l’intégration à BeyondCorp Enterprise, vous devez créer à la fois un groupe applicable et un groupe de conformité.
  • Groupe applicable

    Groupe intelligent contenant tous les appareils que Jamf Pro utilise pour envoyer un statut de conformité à Google BeyondCorp, que les appareils soient conformes ou non.

  • Groupe de conformité

    Groupe intelligent contenant tous les appareils dont le statut est conforme et que Jamf Pro enverra à Google BeyondCorp.

Créez un groupe intelligent pour votre groupe applicable BeyondCorp et votre groupe de conformité BeyondCorp. Pour plus d’informations, consultez Groupes intelligents.

Étape 2 : Activation de l’intégration à BeyondCorp Enterprise

  1. Accédez à l’entité Appareils de la page web de la console d’administration Google.
  2. Cliquez sur Mobiles et points de terminaison.
  3. Cliquez sur Paramètres.
  4. Cliquez sur Intégrations tierces.
  5. Cliquez sur l’icône Modifier dans le volet Partenaires MDM et de sécurité.
  6. Cliquez sur Gérer.
  7. Cliquez sur Établir la connexion pour Jamf.
    Remarque :

    Vous serez alors redirigé vers la page Web de Jamf. L’Identifiant client s’affiche alors dans l’URL. Enregistrez votre Identifiant client.

  8. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  9. Dans la section Gestion globale, cliquez sur Intégration de BeyondCorp Enterprise à macOS.
  10. Utiliser le commutateur pour activer l’intégration.
  11. Copiez et collez votre Identifiant client Google à partir de l’URL Jamf ci-dessus dans le champ Identifiant client.
  12. Sélectionnez le Groupe de conformité.
  13. Sélectionnez le Groupe applicable.
  14. Cliquez sur Enregistrer .
  15. Revenez à Console d’administration Google > Appareils > Mobiles et points terminaux sur la page Web de la console d’administration Google et sélectionnez votre appareil.

Étape 3 : Inscription d’un appareil avec Google

Remarque : L’inscription d’un appareil est réalisée avec Google Chrome et son extension Endpoint Verification. Il existe plusieurs méthodes pour gérer les extensions de Google Chrome en tant qu’administrateur. Jamf recommande de procéder selon la section Gestion cloud du navigateur Chrome de l’aide Google. Pour plus d’informations, consultez le guide Guide de Google Chrome pour le parc Apple de l’entreprise dans Jamf.
  1. Connectez-vous à l’extension Endpoint Verification à l’aide de Google Identity.
  2. Cliquez sur Activer la synchronisation dans l’onglet Endpoint Verification.
  3. Connectez-vous au compte de votre appareil.
  4. Revenez à l’entité Appareils de la page Web de la console d’administration Google.
  5. Cliquez sur Mobiles et points terminaux.
  6. Cliquez sur Appareils.
    Remarque : Votre appareil devrait maintenant s’afficher sur la page Appareils.

Étape 4 : Création et attribution d’une règle contextuelle

  1. Accédez à votre compte administrateur Google.
  2. Cliquez sur l’entité Sécurité.
  3. Cliquez sur Contrôle des accès et des données
  4. Cliquez sur Accès contextuel.
  5. Cliquez sur Niveaux d’accès.
  6. Cliquez sur Créer un niveau d’accès.
  7. Donnez à votre nouveau niveau d’accès un nom unique et ajoutez une description.
  8. Dans le volet Conditions, cliquez sur l’onglet Avancé et saisissez votre condition.
    Jamf recommande de commencer par la condition suivante :
    !has(device.vendors.Jamf) || device.vendors["Jamf"].is_compliant_device == true
    Remarque :

    Pour plus d’informations relatives aux conditions, consultez la section Spécification de niveaux d’accès personnalisés de la documentation Google.

    Important : Jamf ne partage avec Google que le statut de conformité de l’appareil et de gestion de l’appareil. Aucune donnée d’inventaire n’est transmise à Google.
  9. Revenez dans le volet Accès contextuel.
  10. Cliquez sur Attribuer des niveaux d’accès.
  11. Attribuez des niveaux d’accès à une ou plusieurs apps.
  12. Cliquez sur Attribuer.
  13. Cochez les cases correspondant aux règles auxquelles vous voulez appliquer les niveaux d’accès.
  14. Cliquez sur Enregistrer.
  15. Cliquez sur Services tiers et vérifiez que votre appareil est désormais géré par Jamf et marqué comme conforme.