【Netskope】Secure Enrollmentで詰まった時に読む記事

NetskopeのSecure Enrollmentで発生する一般的な問題とその解決方法を解説します。

(せっかくなので文字列を0から書きたい欲を抑えて生成AIをフル活用してみています)

結論

本日のお料理はこちらになります。

創作

Secure Enrollmentの基本理解

Secure Enrollmentは、NetskopeをMDM（モバイルデバイス管理）から安全に登録するためのプロセスです。これにより、デバイスが企業のセキュリティポリシーに準拠し、データ保護を強化します。

この基本的な理解を持つことで、導入時のトラブルを未然に防ぐことができます。Secure Enrollmentがどのように機能するかを理解し、適切に設定することが重要です。

一般的なトラブルとその対策

Secure Enrollment時に発生しやすいトラブルとしては、登録失敗や認証エラーなどがあります。これらの問題は、日々アップデートされるNetskopeのガイドに巷の静的なブログ記事がついていけないことなどで起こるパラメタ不一致が原因となることが多いです。

対策としては、事前にネットワーク環境を確認し、必要な設定を行うことが重要です。また、エラーメッセージを詳細に確認し、適切な対処を行いましょう。

ネットワーク設定の確認ポイント

Secure Enrollmentを成功させるためには、ネットワーク設定が適切であることが前提となります。特に、ファイアウォールの設定やプロキシの使用状況を確認することが重要です。

また、必要なポートが開放されているか、ネットワークの帯域幅が十分であるかを確認することで、接続トラブルを防ぐことができます。

サポートに連絡する前に準備すべきこと

サポートチームに連絡する前に、エラーログや発生している問題の詳細を整理しておくことが重要です。これにより、サポートチームが迅速かつ正確に問題を特定し、解決策を提供できます。

また、事前にNetskopeの公式ドキュメントを参照し、基本的なトラブルシューティングを試みることも有効です。

メーカー純正ドキュメントの重要性

メーカー純正のドキュメントは、最新の情報や正確な設定手順が記載されているため、トラブルシューティングにおいて非常に重要なリソースとなります。

公式ドキュメントをプライマリの参照先にすることで、正確な情報に基づいた対応が可能となり、問題の早期解決に繋がります。

本編

Windowsの場合、正しく設定されていないMDMからEnrollされた端末は、このようになります。

原因を調べるために、MDMを使わずにまず手動で切り分けを行うことをお勧めします。

Ctrl+rを押下し、cmdと入力します。
管理者モードで起動するため、Ctrl+Shift+エンターを押します。

MDMで配布しようとしているセットアップファイル(https://download-xxxxx.goskope.com/dlr/win/getなどから取得)を適切なパスに格納してコマンドを実行します。
ログから原因が分かる場合もあるため、コマンド末尾に以下を追記します。

このオプションは公式のガイドに記載してあります。
ここへ辿り着ければ、後は簡単です。

テナント設定から、以下の値を使います。
https://xxxx.goskope.com/ns#/settings?view=mdmDistribution

必須事項とオプション項目を正しく認識してください。

• /I …msiexecのインストールオプション、省略可(msiexec自体が省略可)
• tenant…IDPエンロールのオプションなので今回未使用
• domain…IDPエンロールのオプションなので今回未使用
• installmode…IDPエンロールのオプションなので今回未使用
• 必須:host…addon-hogehoge.goskope.com
• 必須:token…https://xxxxx.goskope.com/ns#/settings?view=mdmDistribution にあるOrganization IDの値を書く
• 必須:enrollauthtoken…Secure EnrollmentのAuthentication Token
  
• enrollencryptiontoken…Secure EnrollmentのEncryption Token
• mode…オプション、マルチユーザー用
• npavdimode…オプション、VDI用
• userconfiglocation…オプション、ユーザー設定ファイルのパス
• fail-close=disable|no-npa…オプション、フェイルクローズ設定
• prelogonuser…オプション、NPA事前ログオン設定
• autoupdate…オプション、自動更新設定
• /l*v…オプション、ログ出力設定
• /qn…オプション、サイレントモード設定

ここで順番に補足していきます。

• まず、上に記載のUIがうちと違うんじゃないかという方がいらっしゃるかもしれませんが、メーカーの意向で順次あたあらしいUIへ変更されている状況となります。
  

• 次、StatusをNot Enforcedのままで運用しようなんて思わないでください。

こちらもNetskope社の動きとして全テナントをEnforceにするようになって参ります。
Tier毎にEnforceになる日が分かれておりますが、2025/6/1以降Enforceではない環境は動作サポートされません。
Secure Enrollmentを“Enforcedにしたくない”場合は、Risk Acceptanceの提出が必要です。

• 次、Enforedにすると、Expiration Dateのカウントが始まります。
  こちらは若干の運用負荷に思いますが、後からズンズンと延長しまくれるようです。しかも何度でもおかわり可、押せば押すほど延びます！(今後の仕様アップデートにも注視しましょう)
  

• 次、ちょっと小洒落た方であれば、インストールコマンドオプション「enrollencryptiontoken」を使いたくなることでしょう。
  これは何かと言うと、TLS上に追加の施策としてステアリング設定等を暗号化するためのキーを提供するものです。
  従業員を全く信用していない管理者であれば設定を有効にしましょう。
  ただ、これを有効化すると、IdP Enrollmentも巻き添えになります。
  

誰が言ったか、私ですが、IdP Enrollmentの良いところって、セットアップファイルを自由な場所から取ってきて、管理者の介入なしに、テックなコマンドオプションもなしにダブルクリックでセットアップして、Okta都度認証すれば、あなたですねどうぞとコンフィグが降ってくる、そんなところが良いんじゃないですか？ですよね？ね？な？
enrollencryptiontokenを有効にすると、2つ設定できるうちのどちらがEnforcedだろうが、オプションなしセットアップがリジェクトされてしまいます。
おすすめできないです。

それに固定のキーでアプリ配布するのって、従業員の手数はたしかに減りますが、今っぽくないです。
Secure Enrollmentを設定しつつ、暫定回避用としてIdP Enrollの口も用意しておいたらいいと思っています。

出来上がったコマンドを、ローカルPCで叩いてみてください。

美しいアイコンが立ち上がってきたら成功だと思われます。
気が小さい方はConfigurationの中身を念のため確認してください。
すぐ立ち上がってこなくても焦らないでください。デフォルトでオートアップデートが掛かっているため時間が掛かっている可能性があります。

うまく行ったことが確信できてから、MDMへ載せてみてください。

macOS

macOSのコマンド判例は以下の通りですが、Jamf Proの場合は、端末にユーザーと位置のＥメールアドレスが入っていること、構成プロファイル(.plist)の配布タイミング、スクリプトに設定するパラメタを適切にプロットしていれば、トラブルに至ることはありません。

おわりに

冒頭説明で公式ガイドの重要性について触れていますが、記載の挙動を必ずするとも限りません。
本番に投入する際は、社内である程度操作権限のある者が必ず事前に通しで動作検証を行い、適用範囲も一度に全社適用するのではなく、有識者や小さなグループから徐々に広げていくようにしましょう。
非エンジニアは最後に適用する配慮も大事です。(メンバーに叱られる！)

ドキュメントって、ほとんどの利用者は、97%くらいの環境でうまくいく勝ちパターンが知りたいだけなのに、ドキュメントを幅広ーく対応させようとすると、どうしても読みにくく、歯切れの悪いものができてしまいます。

代理店なら、それを崩せます。(主語デカ)
どしどしご相談ください！

また、序盤の書き出しを筆頭に内容が許せなくてAI生成率が100%になりませんでした。誠に申し訳ございませんでした。

生成AIが仕事を奪う仮説がよく出回っています。何が問題かというと、自分が楽しいと思って精神衛生上取り組んでいる小さい遊びを奪われるからだと思います。

今、仕事を遊びと言ったように聞こえたのは気のせいです。

https://docs.netskope.com/en/secure-enrollment/