注意
本ブログは、2024/09/06までの情報をもとに記載しています。
実際の設定の際に不明点が発生した場合は、公式ドキュメントをご参照ください。
Netskope初期設定の大まかな流れと本ブログの立ち位置
設定作業の全体像は以下の通りです。今回のブログは「Netskope Client配布~Intune Windows編~」について記載しています。
- 管理コンソール初期設定
- 管理コンソールへのSSO設定
- 管理者SSO~Entra ID(Azure AD)編~
- 管理者SSO~Okta編~
- ユーザープロビジョニング
- ユーザープロビジョニング~Entra ID(Azure AD)~
- ユーザープロビジョニング~Okta~
- Netskope Client 配布
- Client配布~Intune windows~ ←今日のブログはここ!
- Client配布~Jamf macOS~
- Client配布~Email Invite iOS~
- Client配布~Jamf iOS~
- Client配布~Intune iOS~
- ポリシー設定
- ポリシー設定~Real time Protection~
- API 連携~ Google Drive~
- API連携~ Box~
- API連携 ~ Gmail~
- ポリシー設定 ~API Introspection~
- ポリシー設定 ~ DLP~
- NPA
- NPA~ Publisher構成 AWS~
- NPA ~ アプリ登録、ポリシー設定~
- NPA ~ Publisher自動更新~
- NPA ~ Prelogon検証~
参考URL
本手順は、下記公式のドキュメントを参考に設定を行います。
- Netskope公式ドキュメント
- 公式ドキュメントではmsi形式で配布しておりますが、本記事ではIntunewin形式で配布する方法を記載しています
事前準備
- アプリ配布設定作業
- 権限
- Netskope 管理コンソールにアクセスできる権限が付与されていること
- Netskope Client のインストーラーをダウンロードする場合は Netskope サポートサイトへアクセスできる権限が付与されていること
- Intune を管理できる権限が付与されていること
- 権限
- Netskope Client アプリ動作前提
- IdPやAD等を通して Netskope を利用するユーザーが Netskope へのプロビジョニングが完了していること
- アプリ配布対象 (ユーザー、端末) 事前準備
- 端末のサインインユーザーと Netskope にプロビジョニングしたユーザーの UPN が一致していること
- Intune のアプリ配布を利用するユーザーに Intune ライセンスが割り当たっていること
- Netskope Client を配布する端末が Azure AD Join (Intune) で登録されていること
3. 設定手順
[4-2. 配布対象端末での動作確認] 以外の手順は、任意の端末で設定作業を行います。
3-1. Token (organization id、Authentication token) の取得
- Netskope の管理コンソールにサインインします。
- [Settings] > [Security Cloud Platform] > [MDM Distributions] の順に遷移します。
- Secure Enrollmentの項に記載の[Enforce authentication of Netskope Client enrollment]にチェックを入れます。
- Secure Enrollmentを有効時の注意点についてはこちらのブログも参照ください
- Authentication token をメモしておきます。
- Create VPN Configuration の項に記載の Organization ID をメモしておきます。
3-2. テナント名の取得
- 画像の赤枠部分をメモしておきます。
- 例:<テナント名>.goskope.com
3-3. intunewin ファイル準備
- 以下のサイトより Windows 用の Netskope Client をダウンロードします。 https://support.netskope.com/s/article/Download-Netskope-Client-and-Scripts
- 以下のサイトより [code] > [Download ZIP] より intunewin の作成ツールをダウンロードします。 https://github.com/Microsoft/Microsoft-Win32-Content-Prep-Tool
- 以下のように端末のローカルにフォルダの作成および Netskope Clinet のインストーラーファイル、ダウンロードした Zip ファイルに含まれている intunewin のツール(IntuneWinAppUtil.exe) を配置します。
- 配置例:
C:\intunewin\IntuneWinAppUtil.exe
C:\intunewin\source\NSClient_XX.X.X.XXXX.msi
C:\intunewin\output\
- 配置例:
- コマンドプロンプトを起動し、以下のコマンドを実行します。
- コマンド例:
cd C:\intunewin
IntuneWinAppUtil.exe -c C:\intunewin\source\ -s
NSClient_XX.X.X.XXXX.msi -o C:\intunewin\output\
- コマンド例:
- 「C:\intunewin\output\」配下に「NSClient_XX.X.X.XXXX.intunewin」ファイルが作成されていることを確認します。
3-4. Win32 アプリ配布設定
- 必要な権限を持つアカウントで Microsoft Intune管理センターにサインインします。
- 左メニューより [アプリ] > [Windows] > [追加] をクリックします。
- アプリの種類を「Windows アプリ (Win32)」を選び、[選択] をクリックします。
- [アプリ パッケージ ファイルの選択] で事前に作成した intunewin ファイルを指定します。
- [アプリ情報] タブの名前、説明、発行元は任意の値を入力して次に進みます。
- [プログラム] タブで以下の値を入力して次に進みます。
- インストールコマンド
- シングルユーザーモードの場合:
msiexec /i "NSClient_XX.X.X.XXXX.msi" host=addon-<テナント名>.goskope.com token=<Organization ID> enrollauthtoken=<Authentication token> /qn /l*v %PUBLIC%\nscinstall.log
- マルチユーザーモードの場合:
msiexec /i "NSClient_XX.X.X.XXXX.msi" host=addon-<テナント名>.goskope.com token=<Organization ID> mode=peruserconfig enrollauthtoken=<Authentication token> /qn /l*v %PUBLIC%\nscinstall.log
- シングルユーザーモードの場合:
- アンインストールコマンド:
msiexec /x "{<Product Code>}" /qn
- インストールコマンド
- [必須条件] タブで以下の値を入力して次に進みます。
- オペレーティングシステム システムのアーキテクチャ:対象のビットを選択
- 最低限のオペレーティング システム:任意
- [検出規則] タブで任意の値を入力して次に進みます。
- 規則の形式:検出規則を手動で構成する
- 規則の種類:
ファイル
- パス:
C:\Program Files (x86)\Netskope\STAgent
- ファイルまたはフォルダー:
stAgentSvc.exe
- 検出方法:
ファイルまたはフォルダーが存在する
- 64 ビット クライアント上で 32 ビット アプリに関連付ける:
いいえ
- 規則の種類:
- 規則の形式:検出規則を手動で構成する
- グループの割り当てを行い、アプリ配布設定を作成します。
- アプリ配布時に従業員端末にてアプリ配布通知をさせたくない場合はグループ割り当ての中で以下のエンドユーザーの通知設定で「すべてのトースト通知を非表示にする」を設定します。
4. 動作確認
4-1. Intune でのアプリ配布状況確認
- 必要な権限を持つアカウントでMicrosoft Intune管理センターにサインインします。
- 左メニューより [アプリ] > [Windows] より作成した Netskope Clinet の配布ポリシーを選択します。
- [概要] やモニターにある項目から対象端末 / ユーザーのインストール状態が確認できます。
補足
アプリ配布の状況が評価されるまで時間がかかる場合があります。
4-2. 配布対象端末での動作確認
- 割り当てにて配布対象としたグループの対象ユーザーにて Windows 端末にサインインします
- Netskope Client が配布されることを確認します。
- アプリ配布後、タスクトレイにある [Netskope Client] アイコンが有効になっていることを確認します。
- 有効化されるとアイコンの色がグレーから色付きに変わります。
- タスクトレイにある [Netskope Client] アイコン右クリック > [Configuration] をクリックして下記のように正しく構成されていることを確認します。
ヒント
アプリ配布の検証では、端末のサービスより「Microsoft Intune Management Extention」を再起動することでアプリ配布確認を早めることができます。
終わりに
今回は、Netskope Client配布~Intune Windows編~についてまとめました。 Netskopeの設定についてシリーズでブログを書いていきます。 それではまた。