はじめに こんにちは、 ネクストモード株式会社のサイドウです。...
はじめに
こんにちは、ネクストモードtaguです。
ネクストモードでは様々なSaaS製品を組み合わせて業務していますが、ID統合管理(IDaaS)ソリューションとしてOktaを利用し、各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています。
そんなOktaとMDM製品であるMicrosoft Intuneを使ってデバイス制御を試してみたので今回はその内容をまとめてみます。
設定
※前提としてOktaのAdaptive MFAライセンスが必要になります!
大まかな流れは以下です。
- Entra IDでMicrosoft Intuneアプリを用意する
- Oktaから認証局情報と証明書を取得する
- Microsoft Intuneに設定する
手順はOktaで公開されている以下ドキュメントを参考としておりますので、こちらもご参照ください。
やってみる
Entra IDでアプリを作成する
まずEntra IDにMicrosoft Intune用のアプリを登録していきます。アプリケーションからアプリの登録を選び、新規登録を選択します。
適当な名前を入力し、サポートされているアカウントの種類を選びます。今回はシングルテナントで進めていきます。
リダイレクトURIは空白のままでもOKですので、そのまま登録をします。
アプリケーションが出来上がったら、登録したアプリケーションの詳細画面に遷移します。
こちらの画面で概要情報の確認や管理の設定が行えます。
概要の中のアプリケーション (クライアント) IDの値はOktaでSCEP URLを生成する際に使用するため、予めメモっておきます。
つづいてクライアントシークレットを追加していきます。
証明書とシークレットをクリックします。
クライアントシークレットタブ内の新しいクライアントシークレットをクリックします。
有効期限は推奨値として180日(6か月)があらかじめ選択されています。期限は変更も可能で、期限は3か月、6か月、12か月、18か月、24か月の中から選ぶことができます。任意の期限を選んだら追加をおします。
追加されたクライアントシークレットの値もOktaのSCEP URL生成で使用するのでこちらもメモっておきます
続いてMicrosoft Intuneのscep_challenge_provider権限を設定していきます
APIのアクセス許可をひらきます
アクセス許可の追加にてIntuneを選択します
アプリケーションの許可を選択します
アプリケーションの許可を選択すると下部にアクセス許可を選択するという項目がでてくるため、リストからscep_challenge_providerにチェックをいれ、アクセス許可の追加をクリックします。
次にMicrosoft GraphのApplication.Read.All権限を付与します。
再度アクセス許可の追加にてMicrosoft Graphを選択します。
アプリケーションに必要なアクセス許可の種類でアプリケーションの許可を選択します。
Applicationを展開しApplication.Read.Allにチェックをいれ、アクセス許可の追加を選択します。
アクセス権を追加すると画像のように許可の同意が求められます
<テナント名>に管理者の同意を与えますを押し、同意の確認ではいを押すことでAPIのアクセス許可設定が完了です。
Oktaで管理証明を構成してSCEP URLを生成する
Entra側にアプリを作成できたので、次にOktaでSCEP URLを作っていきます。
Oktaの管理コンソールのセキュリティ > デバイス統合を開きます。
エンドポイント管理のプラットフォームを追加を押します。
プラットフォームはデスクトップ(WindowsおよびmacOSのみ)を選びます
認証局は認証局としてOktaを使用を選択し、SCEP URLチャレンジタイプは動的SCEP URLのMicrosoft Intune(委託SCEP)を選択します。
AADクライアントIDにはEntra IDアプリ作成時にコピーしたアプリケーション(クライアントID)を入れます。AADテナントにはEntra IDの<テナント名>.onMicrosoft.comを入れます。AADシークレットにはクライアントシークレットを生成したときの値をいれます。
3項目入力したら生成をクリックします。生成されたSCEP URLは後ほど使用するのでメモしておきます。
Oktaからx509証明書をダウンロードする
次に証明書を手に入れましょう。OktaではOkta自身をCAとすることが可能です。
デバイス統合 > 認証局に移動します。ダウンロードボタンを押してx509証明書をダウンロードします。
ダウンロードすると"cert"という名前で手に入ります。Microsoft Intune管理センターで使用するため".cer"の拡張子に修正します。
Intuneで信頼できる証明書プロファイルを作成する
次にMicrosoft Intune管理センターの画面で操作を進めていきます。
デバイスからデバイス管理の構成をクリックします。作成から新しいポリシーを選択します。
プラットフォームはWindows10以降を選択し、プロファイルの種類をテンプレートとします。そうするとテンプレートのリストが表示されるので、
信頼済み証明書を選択し、作成します。
信頼済み証明書の設定ページに遷移するため、引き続き設定を入れていきます。
基本情報の名前と説明欄は任意のものを入れてください
構成設定で先ほどOktaからダウンロードしたx509の証明書(CERファイル)をアップロードしていきます。
保存先ストアはコンピューター証明書ストア - 中間とします。
割り当て設定では証明書を配布したいグループを設定します。ユーザー個人単位での設定はできないため、まだグループを作成できていない場合は事前に作成することをおすすめします。
適用性ルールの設定にて割り当てのルールを指定することができます。こちらの設定は任意のため、特に何も設定しない場合はそのまま作成を押します。
IntuneでSCEPプロファイルを作成する
引き続きSCEPプロファイルを作成していきます。
同じく構成の画面で新しいポリシーを作成します。プラットフォームはWindows10以降、プロファイルの種類はテンプレートを選択し、SCEP証明書を選び作成を押します。
今度はSCEP証明書の設定ページに遷移するので、設定をいれていきます。
基本情報を入力し、構成設定の画面では以下のように入力していきます。
- 証明書の種類:ユーザー
- サブジェクト名の形式: CN={{UserPrincipalName}} managementAttestation {{DeviceId}}
- サブジェクトの別名:任意
- 証明書の有効期間:任意
- キー記憶域プロバイダー(KSP):トラステッドプラットフォームモジュール(TPM)KSPが存在する場合はTPM KSPに登録する(それ以外はソフトウェアKSPに登録する)
- キー使用法:デジタル署名
- キーサイズ(ビット):2048
- ハッシュアルゴリズム:SHA-2
ルート証明書には先ほど登録した信頼済み証明書を登録します。+ルート証明書をクリックし、登録した信頼済み証明書を選択します。
拡張キー使用法では定義済みの値をクライアント証明書にします。すると自動で名前やオブジェクト識別子が入力されます。
登録設定の更新しきい値(%)はそのままでも問題ありません。
SCEPサーバーのURLはOktaで生成したSCEP URLを貼り付けます。
次にグループの割り当てです。こちらは信頼済み証明書を作成したときにアタッチしたグループと同様のグループを設定する必要があります。
適用性ルールを入れたい場合は設定し、問題がなければ作成を押します。
Windowsコンピューターに証明書がインストールされているか確認する
あとは問題なくWindows端末に証明書がインストールされているか証明書ストアを確認してみましょう。
まずクライアント証明書が入っているか確認していきます。個人 から 証明書を開き、クライアント証明書を確認します。
続いて中間認証局 の 証明書を確認してみます。発行者がMicrosoft Intuneとなっている証明書が配られていることがわかります。
Okta管理コンソール上からデバイスの状態も見てみます。無事管理対象の状態になりました。(あらかじめOkta Verifyはインストールされている端末です)
あとはOkta Dashboardなど任意のアプリの認証ポリシーにて、デバイスの状態を登録済み、デバイス管理を管理対象とするデバイス制御のポリシーを組み込めば完成です。
最後に
今回はMicrosoft Intuneによるデバイス管理をご紹介しました。OktaはMicrosoft IntuneのほかにもMDM連携が提供されていますので
気になる方はご確認ください。
