前回のブログで、Workspace ONE UEM/AccessとMicrosoft 365(Office 365)を連携し、Workspace ONE UEMのユーザーでMicrosoft 365(Office 365)へシングルサインオン(SSO)を行う環境についてご紹介してきました。
今回はこの環境に設定を追加し、「Workspace ONE UEMによって管理されているWindows10デバイスからだけMicrosoft 365(Office 365)にログイン可能」といった環境を実現する設定をご紹介します。
■環境イメージ
構成イメージはこんな感じです。
前回のブログの絵から、Workspace ONE UEMからデバイスを管理している旨を表す矢印やWorkspace ONE AccessからWorkspace ONE UEMへデバイス状態を確認する矢印が追加されています。
また、今回のブログではWindows 10の手順について紹介します。
※デバイス種別によって設定が異なりますのでご注意下さい。
■必要な設定
今回の環境を構成する場合、ユーザーがMicrosoft 365(Office 365)にアクセスする際の認証方式は、Workspace ONE UEMで配信した証明書で認証するように設定します。
環境を実現するために必要な設定を整理します。
- Workspace ONE Accessで証明書(クラウドデプロイ)認証の設定追加
- Workspace ONE Accessでコンプライアンスチェック機能の有効化
- Workspace ONE Accessでアクセスポリシー(条件付きアクセス)の設定追加
- Workspace ONE UEMで証明書配信プロファイルの追加
それぞれの設定を順番に紹介していきます。
1.Workspace ONE Accessで証明書(クラウドデプロイ)認証の設定追加
まず、Workspace ONE UEMの管理コンソールを開き、[グループと設定]-[構成]-[Workspace ONE Access]-[構成]の順にクリックして開きます。
“証明書”を [有効化]し、[エクスポート]をクリックします。CA証明書がダウンロードされます。
次にWorkspace ONE Accessの管理コンソールを開きます。
[IDとアクセス管理]-[認証方法]タブを開き、[証明書(クラウドデプロイ)]の構成ボタンをクリックします。
“証明書アダプタを有効にする”にチェックをいれます。ルートおよび中間CA証明書、先程Workspace ONE UEMでダウンロードしたCA証明書をアップロードします。その他設定はデフォルトのまま[保存]をクリックします。
これで、Workspace ONE UEMで配信した証明書による認証方法の”証明書(クラウドデプロイ)”が利用できるようになります。
2.Workspace ONE Accessでコンプライアンスチェック機能の有効化
次に、Workspace ONE Accessでの認証時にWorkspace ONE UEMへデバイス状態のチェックを行う”コンプライアンスチェック”を有効化します。
Workspace ONE Accessの管理コンソールを開きます。[IDとアクセス管理]-[セットアップ]-[VMware Workspace ONE UEM]を開き、”コンプライアンスチェック”の [有効]をクリックし、[保存] をクリックします。
[IDとアクセス管理]-[認証方法]タブを開き、”Workspace ONE UEMとのデバイス順守”が有効になっていることを確認します。
※ついでに先程有効化した”証明書(クラウドデプロイ)”も有効になっていることを確認します。
これで、コンプライアンスチェック機能の有効化は完了です。
3.Workspace ONE Accessでアクセスポリシー(条件付きアクセス)の設定追加
有効化した認証機能をアクセスポリシーとして設定します。
設定前に整理すると、以下の様なポリシーを設定します。
- 対象アプリ:Office365
- 場所:すべての場所
- 対象ユーザー:すべてのユーザー
- 対象デバイス種別:Windows 10
- 認証ルール:Workspace ONE UEMで配信した証明書で認証+コンプライアンスチェック
まず、有効化した認証機能を対象ユーザーのIDプロバイダで有効化します。
Workspace ONE Accessの管理コンソールを開きます。[IDとアクセス管理]-[IDプロバイダ]タブを開きます。今回の対象ユーザーはWorkspace ONE UEMから同期されたユーザーなので、”UEMLocalDirectory_xxx”というディレクトリが含まれている[Built-in]というIDプロバイダをクリックして開きます。
下部にスクロールし、”認証方法”の[Workspace ONE UEMとのデバイス順守][証明書(クラウドデプロイ)]を有効化して設定を保存します。
次にポリシーを作成します。
[IDとアクセス管理]-[ポリシー]タブを開き、[ポリシーを追加]をクリックします。
ポリシーの名前を入力し、適用先のリストから[Office365]を選択します。[次へ]をクリックします。
[ポリシールールを追加]をクリックします。
ポリシールールを編集します。
今回の対象はWindows 10のため、デバイス種別を[Windows 10]で選択します。
認証方法でまず[証明書(クラウドデプロイ)]を選択し、右側の[+]をクリックして追加条件欄を表示します。
追加の条件欄で[Workspace ONE UEMとのデバイス順守]を選択し、その他はデフォルトのまま[保存]します。
今回のポリシーはこの1つで完了です。[次へ]をクリックし、サマリ画面で確認して保存します。
以上で、アクセスポリシー(条件付きアクセス)設定変更は完了です。
4.Workspace ONE UEMで証明書配信プロファイルの追加
最後に、Workspace ONE UEMに加入したデバイスに認証用の証明書を配信するプロファイルを追加します。
Workspace ONE UEMのプロファイル作成手順はこちらの過去ブログをご参考下さい。
プロファイル作成画面のコンテキスト選択で、[ユーザープロファイル]を選択します。
次にプロファイルの名前や割り当て対象のグループを指定します。
今回はすべてのデバイスを対象にしてしまっています。
次に[SCEP]をクリックして構成します。
“資格情報ソース””認証局”で[AirWatch認証局]を指定します。”証明書テンプレート”では[シングルサインオン]を選択します。
キーの位置は任意の値を選択して下さい。今回は検証用にWindows 10環境がTPMのない仮想マシンのため[TPM(存在する場合)]を指定しています。
作成したプロファイルを[保存して公開]して完了です。
これで環境の準備は完了です。
■動作確認
では動作確認をしていきます。
<Workspace ONE UEMに加入していないWindows 10からの場合>
まず、Workspace ONE UEMに加入していない状態のWindows 10でWorkspace ONE Accessのポータル(Intelligent Hub)にアクセスします。
ポータルにアクセスする際に判断されるポリシーは[default_access_policy_set]のため、問題なくポータルにアクセスできます。[Office365]アプリをクリックします。
設定通り、Workspace ONE UEMに管理されていないデバイスのためOffice365はアクセスが拒否されました。
<Workspace ONE UEMに加入したWindows 10からの場合>
ではこのWindows 10をWorkspace ONE UEMに加入させます。
Windows 10の加入手順はこちらの過去ブログをご参考下さい。
今回は前回のブログで作成した[uem01.ws1]のユーザーで加入しました。
デバイスの詳細、[プロファイル]タブを確認し、証明書配信設定のプロファイルがインストール済みになっていることを確認します。加入後、すべてのセットアップが完了するまで時間がかかる場合があるので、しばらく待ってから確認します。
では、Workspace ONE UEMへの加入処理が完了したWindows 10から再度Office 365にアクセスしてみます。今回はIntelligent Hubアプリ(Workspace ONEのAgent)から[Office365]をクリックして起動します。
ブラウザが開き、証明書認証の確認画面が表示されます。[OK]をクリックします。
今回はブロックされずに、Office365にアクセスすることができました。
■おわりに
以上で、Workspace ONE UEMによって管理されているWindows10デバイスからだけMicrosoft 365(Office 365)にログイン可能にするための設定は完了です。
次回ブログでは、順守ポリシーを使ったデバイスコンプライアンスによる条件付きアクセスを確認したいと思います。
■Appendix
●Windows 10以外のデバイスの設定は?
Windows 10とmacOSは今回紹介した[証明書(クラウドデプロイ)]でポリシーを構成する方法になります。
iOS/Androidの場合は、[モバイルSSO]という別の認証方法の設定が必要です。
ちなみに、今回の私の検証環境ではいろいろ設定変更済みの環境だったからかうまく設定できなかったのですが、Workspace ONE UEMの[はじめに]-[Workspace ONE]にある[モバイルシングルサインオン]の項目から今回のWindows 10の証明書(SCEP)プロファイルやポリシー設定、iOS/AndroidなどのモバイルSSO設定がまとめて簡単に設定できます。
●今回の目的を達成するのに[Workspace ONE UEMとのデバイス順守]はいるのか?
Workspace ONE Accessのポリシー設定で[Workspace ONE UEMとのデバイス順守]を使いましたが、 [証明書(クラウドデプロイ)]だけでも今回のブログで紹介した認証の動きは実現できます。
ただ、[証明書(クラウドデプロイ)]は、登録した証明書を使って認証する機能のため、デバイスがWorkspace ONE UEMに存在するのかどうかのチェックはしていません。
よって「Workspace ONE UEMによって管理されているWindows10デバイス」=「Workspace ONE UEMで配信した証明書がインストールされている」という解釈でOKであれば[証明書(クラウドデプロイ)]のみがWorkspace ONE Accessのポリシーに設定されていれば問題ありません。
[Workspace ONE UEMとのデバイス順守]の機能は、次回ブログで書こうと思っている「デバイスコンプライアンスによる条件付きアクセス」を実現する設定ですが、Workspace ONE UEMにデバイスが存在するか、デバイスの状態が問題ないか、をチェックしに行くので今回のブログでは両方あわせて設定しています。
