.png?width=50&name=95a02ab47cca4cbb678427922c962e63%20(1).png)
Non-Golden Release BuildsなNetskope Clientを用いたIdPモードによるユーザーのデプロイ手順を記載しています。
はじめに
ネクストモードの赤井です。
ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています
今回はPCなどの端末にインストールするNetskope ClientをMDMが無い環境で、社員にできるだけ意識させずに導入する方法を考えてみたので、ご紹介します
Netskopeとは
Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです
詳細は下記を御覧ください
Netskope Clientの配布方法
まず、Netskope Clientの端末へのインストール方法をご紹介します
① Eメールでの配布
Netskope管理画面よりユーザーに招待メールを送信することができます
メールにはユーザーに紐づいたClientインストーラーのダウンロードリンクが送られ、リンクからパッケージファイルを展開することでインストールが完了します
② IdPエンロールメント
ダウンロードしたパッケージファイルを展開し、OktaなどのIdPによりユーザー認証を実施することでユーザーの紐づけを実施する方法です
手動かCLIによるパッケージファイルの展開方法があるのですが、CLIの場合はオプションパラメーター指定によりマルチユーザーモード等の指定が可能です
③ サイレントインストール
MDMにより端末管理をしている場合は、MDMによりNetskope Clientを配布することができます
こちらの方法ではユーザーに意識させずにClientを展開することが可能です
※例:Jamf ProでのClient配布のドキュメント
Netskope Client配布における課題
まず、MDMによるサイレントインストールを利用できる場合は、MDMにて配布設定をすることで大きな課題は出ないでしょう
MDMが無い環境ではEメールでの配布やIdPエンロールメントによる展開となりますが、少人数であればEメールでの配布で対応することが多い印象です
配布時に稼働はかかるもののなんとかやり切ることはできるのではないでしょうか
一番の課題は配布対象が多い&MDMでの配布ができないケースです
この場合は社員一人ひとりにEメールで配布しても見逃してしまう方もいるかと思いますので、PCキッティング時にできる限りセットアップして社員にお渡しし、Netskope Clientインストールについてできるかぎり意識しないで済むような運用を考える必要があります
PCキッティング自体を社員で実施するケースは下記エントリーに記載していますので是非御覧ください!
MDMが無い場合のNetskope Client配布案
上記の課題を解決する方法を下記のケースを想定して、Client配布を考えてみました
- PCキッティングは情報システム部門にて実施
- 情報システム部門で社員のEメール確認はできない(PC更改等のタイミングなので見てはいけないなどの事情)
- MDMでの配布はできない
- NetskopeはIdP(今回はOkta)と連携済み
- Windows端末に展開したい(※Macでも可能)
全体の作業の流れとしては、一度ダミーユーザーでNetskope ClientをIdPモードでインストールし、Unenrollした上で社員にPCを渡します
そうすることで、CLIでのインストールによるシングルモード/マルチモードの両方が使えることや、Clientパッケージ展開自体を社員が意識する必要がなるというメリットがあります
事前作業
Netskope ClientをIdPモードでインストールするためのOktaの設定は下記で紹介した弊社ブログをご参照ください
情報システム部門が一時的に利用するダミーユーザーをOktaで作成し、ダミーグループ(今回はDemo-Netskope)に所属させてNetskopeにグループ同期します
次に、ダミーユーザーが所属するグループ用のClient Configurationを作成し、Allow User to Unenrollにチェックを入れます
ここが今回の大事なポイントです!
PCキッティング
まずNetskope Clientをダウンロードします(ファイル名は任意ですが、NSClient.msiとします)
サポートページからNetskope ClientのLatest releaseやLatest golden releaseのパッケージファイルをダウンロードできます
※ Latest releaseバージョンのパッケージファイルは下記ダウンロードリンクで取得可能です(Netskopeへのログインによる認証が必要)
Windows の場合: https://download-[tenant].goskope.com/dlr/win/get
Mac の場合: https://download-[tenant].goskope.com/dlr/mac/get
次に、ダウンロードしたパッケージファイルをMSIEXECコマンドで展開します
[シングルユーザモード]
msiexec /I NSClient.msi tenant=[tenant] domain=goskope.com installmode=IDP
[マルチユーザモード]
オプションにmode=peruserconfigを指定することでマルチユーザモードでのインストールが可能になり、PCを複数のユーザで利用することが可能になります
msiexec /I NSClient.msi tenant=[tenant] domain=goskope.com installmode=IDP mode=peruserconfig
Netskope Clientインストール
展開するとセットアップウィザードが起動します
その後、Oktaの認証画面に移動しますので、準備したダミーユーザーで認証し、Enroll完了します
Netskope Clientがダミーユーザーに紐づいてインストールされたことが確認できましたので動作確認やAgentの状態などを確認しておきましょう
Netskope ClientのUnenroll
ダミーユーザーでインストールして動作確認まで終了したら、ダミーユーザーのUnenrollを実施します
Netskope Clientの常駐アプリからUnenrollをクリックします
そうすると、Netskope ClientがDisableとなり、再度Enrollができる状態となります
この状態でPCをシャットダウンし、Netskopeのキッティングは完了です
社員の作業
社員がPCを受け取り、起動するとNetskope ClientのEnrollのためのOktaの認証画面が自動的に立ち上がります
この画面はプロセスから終了する以外には消せません
Oktaの認証を実施するとSuccessの画面が出て、Netskope Clientが実ユーザーに紐づいた形で正常に起動します
社員の作業としてはIdP(Okta)での認証だけなので、Netskopeはほぼ意識しないで進められますね!
さいごに
Netskope Clientの配布対象が多いが、MDMがなく、Eメールでの招待も難しい場合の社員へのClient配布方法について考えてみました
最初は同一のClient Configurationでダミーユーザーを作ってUnenroll→Enrollで設定変更することも考えていたのですが、Client Configuration自体を分けてしまうことで運用的により楽になることが分かりました
MDMでの配布ができるのが理想かもしれませんが、既存の構成をうまく組み合わせつつIdP Enrollmentで社員の負荷なくNetskope Clientをインストールできる方法もあることが分かったので大規模の導入もハードルが少し低くなったのではないでしょうか
