セキュリティチームのぐっちーです。先日、Netskope iOS/iPadOSアプリがβ版として登場しました。以前からNetskopeをiOS/iPadOSに導入することは可能でしたが、CASB/SWGとNPAで展開手段が分かれている等々、展開/管理が大変だという側面がありました。今回のアプリ版はそれらの機能を統合し管理しやすくしたものです。
Netskope iOS/iPadOSアプリ(β)は現在、当社内でも鋭意検証中ではありますが、お客様から「気になる」「触ってみたい」という声をいただいているため、分かっている部分から小出しでブログにしていきたいと思います。本ブログはその第一弾ということでJamf Proでのアプリ配信に関わる内容です。読者の皆様としては、「どう配信するか」よりも「配信した結果どうだったか?」が関心が高いと思いますが、その内容は続編の記事をお待ちください。
<シリーズ一覧>
・【本記事】Netskope iOS/iPadOSアプリ(β)を配信してみた(Jamf Pro編)
・Netskope iOS/iPadOSアプリ(β)を配信してみた(Intune編)
・Netskope iOS/iPadOSアプリ版「Unified Netskope Client(β)」を検証してみた
前提条件
- 現在提供されているのはβ版です。動作保証はされておらず、本番運用には適しません。あくまで、小規模のPoCでのみご利用ください。
- Netskope iOSアプリがGAされた後、β版のアプリが配布済みの端末に、GA版のアプリを配布する際は、再配布などが必要となる可能性がございます。詳細については、GA後にご確認ください。
- Netskope iOSアプリがGAされた後、MDMを使った配布設定や、アプリの仕様等が変更になる可能性がございます。
- 通信要件はPC版のNetskope Clientと同様の通信要件となります[*1]。
本ブログの内容は、2023年2月27日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
事前準備
ルート証明書/中間証明書の取得
まずはNetskope 管理コンソールからNetskopeの証明書をダウンロードします。
①. Netskope 管理コンソールにて、[Settings] > [Security Cloud Platform] > [MDM Distribution] の順番に遷移します。
②. [MDM Distribution] の [Certificate Setup]のセクションにて、ルート証明書と中間証明書を取得します。
Netskopeからダウンロードする証明書の拡張子は .pem
形式ですが、後続の手順にてMDMにアップロードする前に .cer
形式に変換する必要があります。ファイル名を変更し、.pem
から .cer
形式に変換してください。
OrgKey(OrgID)の取得
次に、以下の手順でNetskopeの自社テナントのOrgKey(OrgID)を取得します。
①. Netskope 管理コンソールにて、[Settings] > [Security Cloud Platform] > [MDM Distribution] の順番に遷移します。
②. [MDM Distribution] ページで、[Create VPN Configuration]セクションまで下にスクロールして、OrgKey(OrgID)をコピーして手元に控えておきます。
Jamf ProのデバイスにEメールアドレスが設定されているか確認
Netskopeはユーザー単位でクラウドサービスへのアクセスログを取得したりポリシーを制御できますが、ユーザーの識別にはJamf Proに登録されているEメールアドレスを利用します。そのため、設定前にJamf ProのデバイスにEメールアドレスが設定されているか確認しましょう。私が検証した際には、ここが設定されていないとNetskopeが有効化できませんでした。
手順1:構成プロファイルの作成
[Jamf Pro管理コンソール] > [デバイス] > [構成プロファイル] > [New] にて、Netskope iOS/iPadOSで利用する構成プロファイルを作成し、配布対象のiOS/iPadOSデバイスを割り当てます。
General
Generalは以下のように設定します。
①. [名称] には任意の分かりやすい名前を設定ください。
②. [配布方法] は [Install Automatically] を選択します。
VPN
VPNは以下のように設定します。
①. [接続名] には任意の分かりやすい名前を設定ください。
②. [VPNタイプ] は [VPN] を選択します。
③. [接続タイプ] は [Custom SSL] を選択します。
④. [認識子] には [com.netskope.Netskope] を入力します。
⑤. [サーバー] には [gateway-{tenant_hostname}.goskope.com] を入力します。{tenant_hostname}の部分はNetskopeのClient Configurationで確認することもできます。
⑥. [ユーザー認証] は [Password] を選択します。
⑦. [プロバイダタイプ] は [Packet-tunnel] を選択します。
⑧. [オンデマンド VPN を有効にする] はチェックを入れておきます。
⑨. [オンデマンドルール構成 XML ファイル] には以下の値を入力します。
<array>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>
⑩. 今回の趣旨はβ版を使ったPoCなので、[ユーザがオンデマンドの VPN 設定を無効にするのを禁止] のチェックを入れないでおきます。
Certificate
Certificateでは事前準備で入手した、Netskopeのルート証明書と中間証明書をアップロードします。
手順2:「Unified Netskope iOS」を配布
[Jamf Pro管理コンソール] > [デバイス] > [モバイルデバイス App] > [New] にて、Netskope iOS/iPadOSアプリ版である「Unified Netskope iOS」の配布設定を行います。その後、タイプ選択では [App Store app or apps purchased in volume] を選択し、「Unified Netskope iOS」を追加します。
一般
一般は以下のように設定します。
①. [表示名] には任意の分かりやすい名前を設定ください。
②. [配布方法] は [Install Automatically/Prompt Users to Install] を選択します。
③. [インストール後に Self Service 内で App を表示] にはチェックを入れておきます。
④. [可能な場合は App を管理対象にする] にはチェックを入れておきます。
⑤. 今回の趣旨はβ版を使ったPoCなので、[App を削除することをユーザに許可 (iOS 14 以降)] にはチェックを入れておきます。
管理配布
Apple IDを利用せずに配布したい場合は、[管理配布] の [一括購入コンテンツを割り当て] にチェックを入れておきます。尚、その場合は事前に「Unified Netskope iOS(無料アプリ)」を一括購入しておく必要があります。
App の構成
[App の構成] は以下の様に設定します。
<dict>
<key>OrgKey</key>
<string>XXX</string>
<key>UserEmail</key>
<string>$EMAIL</string>
<key>AddonHost</key>
<string>addon-{tenant_hostname}.goskope.com</string>
</dict>
[OrgKey] の直下のXXX
の部分には、事前準備で取得したOrgKey(OrgID)を入力していください。
[AddonHost] の直下の{tenant_hostname}
の部分には、自社テナントの名称(「手順1:構成プロファイルの作成」のVPN-⑤と同じ情報)を入力してください。
手順3:設定の有効化
上記の構成プロファイルとアプリ配布設定が適用されたら、iOS/iPadOSデバイスにて、NetskopeiOS/iPadOSアプリを起動し、設定を有効化します。アプリを起動すると、通知を[許可]し、最初に現れる画面で[OK]を押すという2クリックだけで完了します。
ちょっと見にくいですが、画面上部に[VPN]というマークが出現したら、有効化が完了しているサインです。
終わりに
新しいNetskope iOS/iPadOSアプリ版では、比較的設定項目も少なく、MDMを使ってiOSにNetskopeを導入することができました。まだβ版で本番運用に適さないステータスですが、読者の皆様も是非とも検証環境を使って試して、Netskopeさんに沢山FBをしていただけたら幸いです。
注釈
- Netskope Client Network Configuration https://docs.netskope.com/en/netskope-client-network-configuration.html