こんにちは!たつみんです。
先日、Jamf Proを利用したiOS端末について、Okta Identity Engine(以下OIE)のDevice Trustを構成する方法をご案内いたしました。
今日は、Jamf ProではなくIntuneの場合はどのような構成となるかをご紹介していきます。
2021年11月18日現在、OIEは新規発行されるテナントに限り適用されます。これまでのOkta Classic EngineからOIEへ移行する時期や方法については別途Okta社からのアナウンスをお待ちください。
設定方法
Okta事前準備
- OktaのSecurity>Device integrations>Endpoint Management>Add Platformをクリックします。
- iOSを選択し、Nextをクリックします。
- Secret keyを控えておきます。
- Device management providerにわかりやすい名前を入力します。(今回はIntuneとしました)
- Enrollment linkはMDM登録されていない場合の誘導先となるURLを入力します。(今回はOktaダッシュボードのURLとしました)
Intuneで配布するOkta Verifyの準備
- アプリ>iOS/iPadOS>追加をクリックします。
- アプリの種類でiOSストアアプリを選び、選択をクリックします。
- アプリストアを検索しますをクリックし、日本を選択した上でOkta Verifyを検索し、選択をクリックします。
- アプリ情報が表示されます。特に変更せずに次へをクリックします。
- 必須内のグループの追加をクリックし、セキュリティグループを追加します。
- 確認と作成で設定内容を確認し、保存をクリックします。
アプリ構成ポリシー
- アプリ>アプリ構成ポリシー>追加>マネージドデバイスをクリックします。
- 名前をわかりやすいものを設定します。(今回はOkta Verify for iOSとしました)
- プラットフォームにiOS/iPadOSを選択します。
- 対象アプリ>アプリの選択>Okta Verifyを選択し、次へをクリックします。
- 構成設定の形式>構成デザイナーを使用するを選択します。
- 構成キーにmanagementHintを入力し、値の型は文字列を選択します。
- 構成値にOkta事前準備で発行したSecret keyを入力し、次へをクリックします。
- 組み込まれたグループにセキュリティグループを追加し、次へをクリックします。
- 確認および作成で設定内容を確認し、作成をクリックします。
Okta Verifyアプリの設定
- iOSデバイスのIntuneポータルアプリで更新を実行します。
- Okta Verifyがすでにインストールされている場合は以下のように管理対象とするか確認が表示された場合は、管理をタップします。
Okta Authentication policiesの設定
Device Trust用のAuthentication policyを作成していない場合は以下の手順で作成するか、DefaultのラベルがついているAny two factorsなどのポリシーに以下のようなルールを組み込みます。
今回は検証結果をわかりやすく確認するために新規でポリシーおよびルールを作成しています。
- Okta管理画面のSecurity>Authentication policiesからAdd a policyをクリックします。
- 名前をDevice Trust Policyなどわかりやすいものを設定します。
- Add Ruleをクリックします。
- Rule nameをDevice Trust Ruleなどわかりやすいものを設定し、Device state isをRegisteredにしDevice management isをManagedにし、Saveをクリックします。
- 最初からあるCath-all Ruleを編集し、Access isをDeniedとしSaveをクリックします。最終的に以下のような2つのルールから構成されるポリシーとなっているかを確認します。
- Applicationsタブ内のAdd appをクリックします。
- 作成したポリシーを割り当てるアプリケーションのAddボタンをクリックし、最後にCloseをクリックします。
作成したポリシーは上から順番に判定され、ルールに該当しない場合に次のルールに一致するかどうかを確認します。今回の例ではDevice Trust Ruleに合致しない場合はCatch-all Ruleにて合致し、結果としてアクセスを拒否する設定としています。
動作確認
Oktaアプリケーション制御の確認
- Oktaにログインしている場合は一度、ログアウトしてから再度ログインをします。
- 対象アプリケーションにアクセス可能かを確認します。
Devices上の確認
Okta管理画面のDirectory内のDevicesに該当端末のStatusがManagedとなっていることを確認します。
最後に
Intuneを利用した場合でもiOSにアプリ配布と構成ポリシーを構築することで無事にDevice Trustを行うことができました。iOSの管理といえばJamf Proばかりが思い浮かびますが、今回の要件ではIntuneだけでも十分に機能することが確認できました。
次はIntuneによるmacOSのOIE Device Trustの方法をご紹介いたします。こちらは一筋縄ではなかなかいかず大変でした。
それではまた次の記事でお会いしましょう?