SaaS セキュリティ その他

Intune管理のmacOSへのNetskopeの配信手順

はじめに

どうもkakeruです。今回は、Intune管理されているmacOSへのNetskope配布手順についてまとめています。弊社環境においては、Jamf proより配信しているのですが、お客様の中には、macOSはIntuneで管理している場合もあると思いますので、本ブログを書いています。

前提

  • 本手順では、AD参加していない端末へUPNモードでの配布方法を記載しています。その他の配布オプションに関しては、公式ドキュメントを参照ください。
  • 作業実施者は、下記においてそれぞれ権限を有すること
    • Netskope管理コンソール
      • Tenannt Admin
    • Intune
      • Intune管理者 or グローバル管理者
  • macOSがIntuneに登録されていること
  • macOSバージョンがVentura以降であること
  • 事前にIDP等からNetskopeにユーザープロビジョニングされていること

事前準備

テナント名の取得

Netksope管理コンソールにログインします。ログイン後のURLからテナント名を取得しメモします。

  • https://<テナント名>.goskope.com/ns#/dashboard

CERTIFICATEの取得と拡張子修正

  • Netskope管理コンソールにログインし、Settings > Manage > Certificates > SIGNING CAの順に遷移します。
  • 下記をそれぞれクリックして、ルート証明書と中間証明書をダウンロードします。
    • Download Netskope Root Certificate
    • Download Netskope Intermediate Certificate
  • ダウンロードしたRoot証明書と中間証明書の拡張子を.pemから.cerへ変更します。
    • Root証明書
      • rootcaCert.pem → rootcaCert.cer
    • 中間証明書
      • caCert.pem → caCert.cer

enrollauthtokenの取得

インストールコマンドに使用する認証トークンを取得します。
Netskope管理コンソール > Settings > Security Cloud Platform > MDM Distributionsにて、認証トークンをコピーします。

Organization IDの取得

Netskope管理コンソール > Settings > Security Cloud Platform > MDM Distributionsにて、[Create VPN Configuration]の項目に記載のある[Organization ID]をメモします。

必要なファイルのダウンロード

  • Netskopeサポートポータルから下記必要ファイルをダウンロードします。
    • Netskope Intune 構成スクリプト(MAC-MDM-script.zip)
    • VPN Config設定用ファイル(NetskopeClient.mobileconfig)
    • mac版Netskopeのpkgファイル(NSClient_バージョン_macOS.pkg)

こちらは購入者のみ登録できるサイトになりますので、アカウントを所持していない場合、購入元代理店にお問い合わせください。

Netskope Intune 構成スクリプトの修正

NetskopeサポートポータルからダウンロードしたMAC-MDM-script.zipを解凍して、テキストエディタなどで開きます。Update here for Intune deployment行の下にスクリプトオプションを追記して保存します。

  • set -- 0 0 0 addon-<tenant-Name>.goskope.com <ORG ID> com.netskope.client.Netskope-Client.plist preference_email enrollauthtoken=<認証トークン>
    • <tenant-Name> に事前にメモした自社テナント名を入力すること
    • <ORG ID> に事前に取得したOrganization IDを入力すること
    • <認証トークン>に事前にメモした認証トークンを入力すること

下記は、スクリプトファイルの一部を抜粋

# Update here for Intune deployment.
# please refer https://docs.netskope.com/en/microsoft-intune.html for more details.
#
# example for IDP mode
# set -- 0 0 0 idp <Domain name> <Tenant name> <Email Address request option - 0/1>
#
# example for UPN mode - AD joined machine
# set -- 0 0 0 <addon-host> <org-key> upn
#

set -- 0 0 0 addon-<tenant-Name>.goskope.com <ORG ID> com.netskope.client.Netskope-Client.plist preference_email enrollauthtoken=<認証トークン>

plistファイルの作成

配布するplistファイルを作成します。

ファイル名:com.netskope.client.Netskope-Client.plist

<key>email</key>
<string>{{mail}}</string>

配布設定

配布対象の全体像

  • 構成プロファイル
    • Netskope Root証明書
    • Netskope 中間証明書
    • Netskope System Extension
    • Netskope VPN Config
    • Netskope plist
    • Netskope Managed Login Item
    • Netskope Full disk access permission for macOS Sonoma
  • スクリプト
    • Netskope Install Script
  • Netskope アプリ

証明書の配布

注意

※ 本作業は、Root証明書用と中間証明書用に二つ作成してください。

  • Intune管理コンソールへログインします。
  • デバイス > macOS > 構成プロファイルの順に遷移して、[+プロファイルの作成]をクリックします。
  • プロファイルの作成にて、下記を選択して、[作成]をクリックします。
    • プロファイルの種類
      • テンプレート
    • テンプレート名
      • 信頼済み証明書
  • 信頼済み証明書の設定にて、それぞれ下記の通り入力して、[作成]をクリックします。
    • 基本
      • 名前
        • 任意で設定
          • 例:Netskope Root証明書、Netskope 中間証明書
    • 構成設定
      • 取得したCERTIFICATEをアップロード
    • スコープタブ
      • 設定なし
    • 割り当て
      • 組み込まれたグループ
        • 配布対象グループを選択
注意

※ 本作業は、Root証明書用と中間証明書用に二つ作成してください。

システム拡張の配布

  • Intune管理コンソールにて、デバイス > macOS > 構成の順に遷移して、[+新しいポリシー]をクリックします。
  • プロファイルの作成にて、下記を選択して、[作成]をクリックします。
    • プロファイルの種類
      • テンプレート
    • テンプレート名
      • 拡張機能
  • 拡張機能の設定にて、それぞれ下記の通り入力して、[作成]をクリックします。
    • 基本
      • 名前
        • Netskope System Extension
    • 構成設定
      • システムの拡張設定
        • 許可するシステム拡張機能
          • バンドル識別子
            • com.netskope.client.Netskope-Client.NetskopeClientMacAppProxy
          • チーム識別子
            • 24W52P9M7W
      • スコープタブ
        • 設定なし
      • 割り当て
        • 組み込まれたグループ
          • 配布対象グループを選択

VPN Configの配布

  • Intune管理コンソールにて、デバイス > macOS > 構成プロファイルの順に遷移して、[+プロファイルの作成]をクリックします。
  • プロファイルの作成にて、下記を選択して、[作成]をクリックします。
    • プロファイルの種類
      • テンプレート
    • テンプレート名
      • カスタム
  • 拡張機能の設定にて、それぞれ下記の通り入力して、[作成]をクリックします。
    • 基本
      • 名前
        • Netskope VPN Config
    • 構成設定
      • カスタム構成プロファイル名
        • Netskope VPN Config
      • 展開チャネル
        • デバイスチャネル
      • 構成プロファイル ファイル
        • Netskopeサポートサイトよりダウンロードした[NetskopeClient.mobileconfig]をアップロードする
        • スコープタブ
          • 設定なし
        • 割り当て
          • 組み込まれたグループ
            • 配布対象グループを選択

plistファイルの配布

  • Intune管理コンソールにて、デバイス > macOS > 構成プロファイルの順に遷移して、[+プロファイルの作成]をクリックします。
  • プロファイルの作成にて、下記を選択して、[作成]をクリックします。
    • プロファイルの種類
      • テンプレート
    • テンプレート名
      • 設定ファイル
  • 設定ファイルの設定にて、それぞれ下記の通り入力して、[作成]をクリックします。
    • 基本
      • 名前
        • Netskope plist
    • 構成設定
      • 優先ドメイン名:
        • com.netskope.client.Netskope-Client
        • プロパティ リスト ファイル
          • 作成したplistファイルをアップロード
      • スコープタブ
        • 設定なし
      • 割り当て
        • 組み込まれたグループ
          • 配布対象グループを選択

Managed Login Itemの設定配布

  • Intune管理コンソールにて、デバイス > macOS > 構成プロファイルの順に遷移して、[+プロファイルの作成]をクリックします。
  • プロファイルの作成にて、下記を選択して、[作成]をクリックします。
    • プロファイルの種類
      • 設定カタログ
  • プロファイルの作成の[基本]にて、名前の設定を行い、[次へ]をクリックします。
    • 例:Netskope Managed Login Item
  • 構成設定にて、[+設定の追加]をクリックし、検索窓に[Managed]と入力して検索します。
  • 検索結果に表示される[ログイン] > [マネージドログイン項目]を選択し、設定名の[ルールの種類]と[ルール値]にチェックを入れ、右上の[×]をクリックします。
  • ルールにて、下記を選択して、[次へ]をクリックします。
    • ルールの種類
      • チーム識別子
    • ルール値
      • 24W52P9M7W
  • スコープタグ、割り当てにて、それぞれ下記のように設定して、[作成]をクリックします。
    • スコープタブ
      • 設定なし
    • 割り当て
      • 組み込まれたグループ
        • 配布対象グループを選択

フルディスクアクセス権限付与設定の配布(Sonoma以降)

  • Intune管理コンソールにて、デバイス > macOS > 構成プロファイルの順に遷移して、[+プロファイルの作成]をクリックします。
  • プロファイルの作成にて、下記を選択して、[作成]をクリックします。
    • プロファイルの種類
      • 設定カタログ
  • プロファイルの作成の[基本]にて、名前の設定を行い、[次へ]をクリックします。
    • 例:Netskope Full disk access permission for macOS Sonoma
  • 構成設定にて、[+設定の追加]をクリックし、検索窓に[privacy]と入力して検索します。
  • 検索結果に表示される[プライバシー] > [プライバシー設定ポリシーの制御]を選択し、[サービス]の下の
    [システム ポリシーのすべてのファイル] チェックボックスを選択し、右上の[×]をクリックします。
  • プライバシー設定ポリシーの制御にて下記を設定します。
    • IDの種類
      • バンドル ID
    • コードの要件
      • anchor apple generic and identifier “com.netskope.client.Netskope-Client.NetskopeClientMacAppProxy” and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = “24W52P9M7W”)
    • 許可
      • True
    • 認可
      • [-]をクリックして消す
    • 識別子
      • com.netskope.client.Netskope-Client.NetskopeClientMacAppProxy
    • 静的コード
      • False
  • スコープタグ、割り当てにて、それぞれ下記のように設定して、[作成]をクリックします。
    • スコープタブ
      • 設定なし
    • 割り当て
      • 組み込まれたグループ
        • 配布対象グループを選択

スクリプトの配布

  • Intune管理コンソールにて、デバイス > macOS > シェルスクリプトの順に遷移して、[+追加]をクリックします。
  • スクリプトの追加にて、それぞれ下記の通り入力して、[追加]をクリックします。
    • 基本
      • 名前
        • Netskope Install Script
    • スクリプト設定
      • スクリプトのアップロード
        • 修正したmac_mdm_install.shをアップロードする
      • サインインしたユーザーとしてスクリプトを実行する
        • いいえ
      • デバイスでスクリプトの通知を非表示にする
        • はい
      • スクリプトの頻度
        • 未構成
      • スクリプトが失敗した場合の再試行回数の最大値
        • 3回
    • スコープタブ
      • 設定なし
    • 割り当て
      • 組み込まれたグループ
        • 配布対象グループを選択

アプリの配布

注意

アプリの配布前に全ての構成プロファイル、スクリプトが端末に配布完了していることを確認後にアプリの配布を実施してください。

  • Intune管理コンソールにて、アプリ > macOSの順に遷移して、[+追加]をクリックします。
  • アプリの種類を[業務期間アプリ]に設定して、[選択]をクリックします。
  • アプリの追加にて、それぞれ下記の通り入力して、[作成]をクリックします。
    • アプリ情報
      • ファイルの選択
        • 事前にダウンロードしたmac版Netskopeのpkgファイルを取得し選択
      • 発行元
        • Netskope
      • 最低限のオペレーティングシステム
        • macOS Ventura
    • スコープタブ
      • 設定なし
    • 割り当て
      • 組み込まれたグループ
        • 配布対象グループを選択

動作確認

  • アプリが配布されると端末の右上にNetskopeのアイコンが表示されます。
  • アイコンがグレーから色付きに変わると有効化が完了しています。

終わりに

今回は、Intune管理されているmacOSへのNetskope配布手順についてまとめました。次も何かNetksope関連のブログを出す予定です。

kakeru

こんにちは、セキュリティチーム所属の新米エンジニアkakeruです。業務で少しでも役に立つ情報をブログに書いていきますので、よろしくお願いします。

記事一覧