改訂版 Intuneを使ってmacOSをOkta Identity Engine Device Trustしてみた

こんにちは！たつみんです。

以前IntuneとmacOSを組み合わせてDevice Trustを実現するブログを執筆した時に、Okta CAが利用できなかったのでSCEPmanを利用する方法をご紹介しました。

Okta CA（認証局：Certificate Authority）はデバイスを認証するための証明書を発行するのに利用できるのですが、検証当初はmacOSとJamfの組み合わせでは利用できたものの、Intuneとの組み合わせでは利用できませんでした。

Intuneを使ってmacOSをOkta Identity Engine Device Trustしてみた

こんにちは！たつみんです。 タイトルで言い切った感がありますが、今日はmacOSをJamf ProでなくInt…

blog.cloudnative.co.jp

しかし現時点では以下のドキュメントのようにSCEPmanを利用せずともIntuneとmacOSの組み合わせでもOkta CAを利用できるようになっていました。今日はこのドキュメントに沿って検証した結果をご紹介します

MEM（旧Intune）を使用して、macOSの委任済みSCEPチャレンジを使用するCAとしてOktaを構成する | Okta

help.okta.com

設定方法

Azureでアプリの登録

1. Azure Active Directoryのアプリの登録から新規登録をクリックします。
   
2. 名前をわかりやすいものを設定します。（今回はOkta Device Trustとしました）
3. サポートされるアカウントの種類でこの組織ディレクトリのみに含まれるアカウントを選択し、登録をクリックします。
   
4. 登録情報のアプリケーション（クライアント）IDを控えておきます。
   
5. 左側のメニューから証明書とシークレットへ移動しします。新しいクライアントシークレットをクリックし、追加をクリックします。（今回は有効期限についてはデフォルト値の推奨：6ヶ月のままとしました）
   
6. 生成された値を控えておきます。
   
7. 左側メニューのAPIのアクセス許可へ移動し、アクセス許可の追加をクリックし、Intuneをクリックします。
   
   
8. APIアクセス許可の要求でアプリケーションの許可をクリックします。
9. scep_challenge_providerを選択し、アクセス許可の追加をクリックします。
   
10. 再度、アクセス許可の追加をクリックし、Microsoft Graphをクリックします。
    
11. APIアクセス許可の要求でアプリケーションの許可をクリックします。
12. Application.Read.Allを選択し、アクセス許可の追加をクリックします。
    
13. xxxxxに管理者の同意を与えますをクリックします。（xxxxxの部分はそれぞれの環境により異なります）
    
14. 正常に完了すると以下のようになります。
    

OktaでSCEP URLを生成

1. OktaのSecurity>Device integrations>Endpoint Management>Add Platformをクリックします。
   
2. Desktop (Windows and macOS only)を選択し、Nextをクリックします。
   
3. SCEP URL challenge typeをDynamic SCEP URLのMicrosoft Intuneを選択します。
4. AAD client IDにAzureでアプリの登録で控えておいたアプリケーション（クライアント）IDを入力します。
5. AAD tenantはAADテナント名.onMicrosoft.comを入力します。
6. AAD secretにアプリの登録で控えておいた生成された値を入力します。
7. Generateをクリックします。
   
8. 生成されたSCEP URLを控えて、Saveをクリックします。
   

Okta証明書取得

1. OktaのSecurity>Device integrations>Device Management>Certificate Authority>ActionsからOkta CAをダウンロードします。
   
2. ダウンロードした証明書の拡張子が.cerでない場合は手動で変更を行います。
   今回はOkta.cerとしました。

Intuneで証明書の構成

1. デバイス>構成プロファイル>プロファイルの作成をクリックします。
   
2. プラットフォームをmacOSを選択します。
3. プロファイルの種類はテンプレートを選択します。
4. テンプレート名で信頼済み証明書を選択し、作成をクリックします。
   
5. 名前を入力し、次へをクリックします。（今回はOkta Device Trust macOSとしました）
   
6. Okta証明書取得でダウンロードした証明書ファイルをアップロードします。
   
7. 組み込まれたグループに検証用セキュリティグループを選択し、次へをクリックします。
   
8. 設定内容を確認し、作成をクリックします。
   
   

IntuneでSCEPの構成

1. デバイス>構成プロファイル>プロファイルの作成をクリックします。
2. プラットフォームをmacOSを選択します。
3. プロファイルの種類はテンプレートを選択します。
4. SCEP証明書を選択し、作成をクリックします。
   
5. 名前を入力し次へをクリックします。（今回はOkta Device Trust macOS SCEPとしました）
   
6. 証明書の種類をユーザーを選択します。
7. サブジェクト名の形式は以下を入力します。この内容はOktaのドキュメントの内容ではうまく動作しなかったため変更をしています。
   CN={{UserName}},E={{EmailAddress}}
8. キー使用法はデジタル署名を選択します。
9. キーサイズは2048を選択します。
   
   
10. ルート証明書をクリックし、先の工程でIntuneに登録した信頼済み証明書を選択し、OKをクリックします。
    
11. 拡張キー使用法の定義済みの値でクライアント認証を選択します。（名前とオブジェクト識別子は自動的に反映されます）
12. SCEPサーバーのURLにOktaで生成したSCEP URLを入力します。
13. Allow all apps access to private key（すべてのアプリが秘密鍵にアクセスできるようにする）］：［Enable（有効化）］を選択し、次へをクリックします。
    
14. 組み込まれたグループに検証用セキュリティグループを設定し、次へをクリックします。
    
15. 設定内容を確認し、作成をクリックします。
    

Mac端末上での設定反映確認

証明書のインストール状況の確認

1. システム設定よりプロファイルを開きます。
2. SCEP Profileをクリックし、証明書の項目を確認します。
   
3. キーチェーンアクセスで2.で確認した証明書に項目名で検索を実施します。
4. 以下のように証明書と秘密鍵が存在することを確認します。
   
5. 証明書を開くと以下のような表示がされます。
   
6. 秘密鍵については以下のような表示となっていることを確認します。
   

Okta Authentication policiesの設定

Device Trust用のAuthentication policyを作成していない場合は以下の手順で作成するか、DefaultのラベルがついているAny two factorsなどのポリシーに以下のようなルールを組み込みます。

今回は検証結果をわかりやすく確認するために新規でポリシーおよびルールを作成しています。

1. Okta管理画面のSecurity>Authentication policiesからAdd a policyをクリックします。
2. 名前をDevice Trust Policyなどわかりやすいものを設定します。
   
3. Add Ruleをクリックします。
   
4. Rule nameをDevice Trust Ruleなどわかりやすいものを設定し、Device state isをRegisteredにしDevice management isをManagedにし、Saveをクリックします。
   
5. 最初からあるCath-all Ruleを編集し、Access isをDeniedとしSaveをクリックします。最終的に以下のような2つのルールから構成されるポリシーとなっているかを確認します。
   
6. Applicationsタブ内のAdd appをクリックします。
   
7. 作成したポリシーを割り当てるアプリケーションのAddボタンをクリックし、最後にCloseをクリックします。
   
   

作成したポリシーは上から順番に判定され、ルールに該当しない場合に次のルールに一致するかどうかを確認します。今回の例ではDevice Trust Ruleに合致しない場合はCatch-all Ruleにて合致し、結果としてアクセスを拒否する設定としています。

動作確認

Oktaアプリケーション制御の確認

1. Oktaにログインしている場合は一度、ログアウトしてから再度ログインをします。
2. 対象アプリケーションにアクセス可能かを確認します。

なお、正常にアクセスできなかった場合は以下のような表示となります。

Devices上の確認

Okta管理画面のDirectory内のDevicesに該当端末のStatusがManagedとなっていることを確認します。

クライアントシークレットの入れ替えについて

Azureでアプリの登録の手順5.で有効期限を6ヶ月としたため、有効期限を迎える前に新しいクライアントシークレットを追加し、Okta側の設定を更新する必要があります。有効期限の1ヶ月前を目安にリマインドを行うような仕組みを取るとよさそうです。

弊社の場合はAsanaを利用し、有効期間から-1つまり5ヶ月ごとの繰り返しタスクとしてリマインドを行なっています。このようにすることで有効期限の最低でも1ヶ月前にリマインドされるようになります。

クライアントシークレットの入れ替えについて具体的な手順は以下の通りです。

1. Azure Active Directoryのアプリの登録を開き、すべてのアプリケーションからOkta Device Trust用に作成したアプリケーションを選択します。
2. 証明書とシークレットをクリックします。
   下図のように証明書の有効期限が近い場合や既に期限を迎えている場合はアラートが表示されます。
   
3. 新しいクライアントシークレットをクリックします。
   
4. 有効期限を設定し、追加をクリックします。
   
5. 新しく生成された値を控えておきます。（シークレットIDでなく値を利用します）
   
6. OktaのSecurity>Device integrations>Endpoint Managementを開き、macOS用の設定済みの項目のActionsからEditをクリックします。
   
7. AAD secretに控えておいた新しく生成された値を入力し、Saveをクリックします。
   
   

macOS端末からDevice Trust用のAuthentication policiesが適用されたアプリケーションにアクセスできることを確認しましょう。

確認が完了し、有効期限が切れた古いクライアントシークレットは削除しておきましょう。

以上がクライアントシークレットの入れ替えの流れです。

誤解をしやすいのですが、今回ご紹介したクライアントシークレットの更新は各Mac端末に対して新しい構成プロファイルを配布するということではなく、Azureから見たクライアントであるOktaテナントに対するシークレットの更新を行います。そのため、各Mac端末に対して構成プロファイルを再配布するといったような工程は必要はありません。

今回のスクリーンショットでは2022/09/18に有効期限を迎えており、その2日後の2022/09/20に新しいクライアントシークレットを発行していますが、本来は有効期限を迎える前に作業を実施しましょう。

有効期限を迎える前にクライアントシークレットの更新を行えばダウンタイムを発生させることなくDevice Trustでのアプリケーションへのアクセスを維持することができます。

最後に

2年ほど前に検証した時はできないと思っていましたが、いつの間にかSCEPmanを使わずにDevice Trustを実現できるようになっていたのでいい進化ですね。macOS端末をIntuneで管理している場合のDevice Trustを構成するハードルがずいぶんと下がりましたね。

それではまた別の記事でお会いしましょー?