【手順】Netskope ClientをIntuneで静かに展開したい！

はじめに

こんにちは、 ネクストモード株式会社のサイドウです。

今回は弊社取扱製品の一つ「Netskope」について、Netskopeエージェントの配布方法の中で、マスデプロイ向きの方式をご紹介したいと思います。

Netskopeエージェントを展開する中で必要な作業がざっくり三つありますが、今回の手順は三つ全てを自動かつサイレントに実施できるものになっています。環境が整っている場合は、ぜひ参考いただければと思います。

• Netskopeにユーザーを作成する
• エージェントを端末にインストールする
• エージェントにNetskopeテナントの情報およびユーザー情報を登録する

目次

• 実施可能な環境
  
  • 本手順の前提事項
  • 構成概要
• 作業手順

実施可能な環境

・本手順の前提事項

本手順を実施するにあたり、必要な環境を以下に記載します。

• • 端末
    • WindowsOS
    • Entra ID Joinされていること
    • Intuneで管理されていること
  • Netskope
    • EntraIDとSAML連携が完了していること（本ブログに手順有）
    • EntraID→Netskopeにユーザーがプロビジョニングされていること（本ブログに手順有）
  • Intune
    
    • 配布対象のユーザーにIntuneライセンスが割り当てられていること
      
      

・構成概要

構築していく環境は図の通りです。Netskopeエージェントのエンロールには[接続先テナント]と[ユーザー]の情報が必要となりますが、それぞれ以下のようにクリアします。

接続先テナント　…　クライアントのインストールコマンドの引数としてテナント情報を記載する

ユーザー　…　端末のログインID（Microsoftアカウント）から受け取る

実装手順は大きく以下の通りです。詳細手順は次章以降をご確認ください。

　① EntraIDに認証委任（SAML認証）

　② Entra IDからNetskopeにユーザー連携

　③ Microsoft Intuneより端末にエージェント配布

　④ エージェント配布後の確認作業

Entra IDに認証委任（SAML認証）

本手順により、Netskopeのユーザー認証がEntraIDで実施される動作となります。

・Entra ID作業

1．Entra ID管理画面で[エンタープライズアプリケーション]をクリックする

2．[新しいアプリケーション]をクリックする

3．検索欄に[Netskope User Authentication]と入力し、[Netskope User Authentication]をクリックする

4．[名前]欄に任意の名称を記載し、[作成]をクリックする

5．数秒待機後、下記画面に遷移するため[シングルサインオンの設定]をクリックする

6．[SAML]をクリックする

7．[SAML証明書]の[編集]をクリックし、[PEM証明書のダウンロード]より証明書をダウンロードする

8．[｛アプリの名称｝のセットアップ]より、[ログインURL]と[Microsoft Entra 識別子]をコピーする

・Netskope作業

1．[Settings]-[Security Cloud Platform]-[Forward Proxy]-[SAML]を開き、[NEW ACCOUNT]をクリックする

2．ポップアップが表示されるため、以下情報を入力し[SAVE]をクリックする

NAME：任意の名称
ACCESS METHOD：ALL
IDP SSO URL：EntraIDでコピーした[ログインURL]
IDP ENTITY ID：EntraIDでコピーした[Microsoft EntraID 識別子]
IDP CERTIFICATE：EntraIDでダウンロードしたPEM証明書

3．[Netskope Settings]をクリックし、[SAML Entity ID]と[SAML Proxy ACS URL]をコピーしておく

・Entra ID作業

1．[基本的なSAML構成]-[編集]を開き、以下情報を入力後[保存]をクリックする

識別子(エンティティID)：Netskopeでコピーした[SAML Entity ID]
応答URL(Assertion Consumer Service URL)：Netskopeでコピーした[SAML Proxy ACS URL]

2．[ユーザーとグループ]より、SAMLを有効化するユーザーおよびグループを割り当てる

EntraIDとのSAML認証設定が完了。

Entra IDからNetskopeにユーザー連携

本手順により、EntraID上のMicrosoftアカウントがNetskopeに連携され、Netskopeのアカウントが自動的に作成されます。

・Netskope作業

1．[Settings]-[Tools]-[REST API v2]を開き、[NEW TOKEN]をクリックする

2．[TOKEN NAME]に任意の名称を記載し、[ADD-ENDPOINT]でキャプチャの通り二つを追加(Read + Write権限)し、[SAVE]する

3. ホップアップより、作成されたトークンをコピーしておく

・Entra ID作業

1. SAML設定で作成したエンタープライズアプリケーションを開き、[プロビジョニング]タブをクリックする

2. 下記の通り設定し、[保存]をクリックする

プロビジョニングモード：自動
テナントのURL：https://<tenant-name>.goskope.com/api/v2/scim
IDP SSO URL：Netskopeでコピーしたトークン

3. [プロビジョニングの開始]をクリックし、プロビジョニングが成功することを確認する

4. Netskopeより[Security Cloud Platform]-[Users]にエンタープライズアプリケーションに割り当てたユーザーが作成されていることを確認する。

EntraIDからNetskopeへのユーザー連携設定が完了。

Microsoft Intuneより端末にエージェント配布

本手順により、Netskopeエージェントが端末にサイレントインストールされ、端末上で稼働します。

1. 以下URLにアクセスし、インストーラを取得する

https://download-{tenant-name}.goskope.com/dir/win/get

2. Microsoft Intune管理センターより[アプリ]-[すべてのアプリ]-[追加]をクリックする

3. アプリの種類で[基幹業務アプリ]を選択する

4. [アプリパッケージファイルの選択]をクリックし、1でダウンロードした[NSClient.msi]をアップロードする

5. 以下を設定し、[次へ]をクリックする

発行元：Netskope Inc
アプリのバージョンを無視する：はい
コマンドライン引数：token=<organization id> host=addon-<tenant-name>.goskope.com autoupdate=on /qn

※Netskope側でSecure Enrollmentを強制している場合、コマンドライン引数に[enrollauthtoken={Authentication token}]を追加する

6. [必須]部で[グループの追加]から割り当てるグループを選択する。

7. [確認と作成]画面で、[作成]をクリックする

Intuneから端末にNetskopeエージェントが配布されます。

エージェント配布後の確認作業

配布対象の端末で以下を確認します。※配布完了後はタスクバーにNetskopeアイコンが表示されます。

[Internet Security]：青チェック（Enable）
[Configuration]をクリックーUser Emailがログイン中のMicrosoftアカウントになっていること

おわりに

今回はNetskopeのマスデプロイ向きな配信手順をまとめました。Microsoftのライセンス等の必要条件はありますが、環境が整っていれば展開がとてもスムーズに進む方式となっています。ぜひご検討ください！