【Netskope】シングルユーザーモードとマルチユーザーモードの違いを考えてみた

はじめに

ネクストモードの赤井です。

ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています

今回はNetskope Clientの動作モードのシングルユーザーモードとマルチユーザーモードの違いについて調査したので紹介します

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

詳細は下記を御覧ください

Netskope Clientの動作モード

Netskope Clientには２つの動作モードがあります

① シングルユーザーモード

端末を１ユーザーで利用する場合に使う動作モードです

Netskope Clientが単一のユーザに関連付けられ、そのユーザのセキュリティポリシーが適用されます

② マルチユーザーモード

端末を複数ユーザーで利用する場合に使う動作モードです

Netskope Client自体は一つですが、複数のユーザが同じ端末を共有し、それぞれが異なるセキュリティポリシーを持つことができます

参考：Windowsのインストールドキュメント

Netskope Clientデプロイメント方式

まず、動作モードによってデプロイメント方式に違いがあります

Netskopeは様々なデプロイメント方式に対応していますが、マルチユーザーモードではJamf等のMDMによる配布、IdPエンロールメントもしくはコマンドラインによるインストールが対応しています

IdPエンロールメントについては下記エントリーをご参照ください

Netskope Clientのアンインストール

Netskope Clientのアンインストールの挙動についても違いがあります

Client ConfigurationにてUninstall client automatically when users are removed from Netskopeの設定を有効化した場合、シングルユーザーモードではユーザーを削除するとPC再起動後にNetskope Clientは自動的にアンインストールされます

一方でマルチユーザーモードではユーザー削除後でもNetskope クライアントはアンインストールされません

マルチユーザーモードの制約

マルチユーザーモードでOUやグループでSteering Configurationを分けて運用し、同一端末に別Configのユーザーがログインする場合には、端末に最後にログインしたユーザのConfigが適用されます

そのため、一時的に意図しない制御（最後にログインしたユーザーのConfig）が適用される可能性があります

In a multi-user deployment mode, if the logged in users belongs to different OUs or user groups, the Netskope Client applies the steering configuration corresponding to the user most recently logged. Ensure all the users belong to a single OU or User Group for a multi-user machine.

動作モードの比較

ここまでご紹介した内容を簡単にメリット／デメリットとして表にまとめてそれぞれを比較してみます

複数ユーザーで同一端末を使うケースにおいて、対応しているデプロイメント方式を利用できて、Steering Configurationを分けた運用をしていない場合はマルチユーザーモードを使っても問題ないことがわかりました

さいごに

Netskope Clientの動作モードのシングルユーザーモードとマルチユーザーモードの比較をご紹介しました

MDMやIDaaSを利用せず、Neskope単体で利用している場合、Email invitationでのデプロイメントを選択しているケースが多いかと思います

その際にはマルチユーザーモードでのインストールが制限されるため、マルチユーザーモードを利用する際はコマンドラインからのインストールをご検討ください