JamfPro で Microsoft Endpoint Manager の条件付きアクセスのための iOS デバイス・コンプライアンスを構成する
そもそも Microsoft Endpoint Manager の条件付きアクセスのためのデバイスコンプライアンスとは何なのか?
条件付きアクセスでは、Microsoft365 へのアクセスとして、以下のような条件に応じたアクセス許可を行うことで、様々なシーンに応じたアクセス許可を与えることができるようになります。
- 社内のネットワークからアクセスしているPCまたはMacのみアクセス可能
- 社外の場合はデバイスコンプライアンス準拠の iOS デバイスのみ MFA と組合せてアクセス可能
- 等など
ここ数年のコロナ禍での働き方の特徴で、Microsoft365 にアクセスしたり、経費精算をするとか、今までPCでやっていた仕事の多くがモバイルデバイスから行われるようになりました。
さて、Azure AD の条件付きアクセスのためのシナリオを構成する1つの条件として、デバイスコンプライアンスと呼ばれるものがあります。Azure AD の立場は設定されtた条件に合致するかどうかを判断して、然るべきユーザに、然るべきタイミングで、然るべきサービスへのアクセスを許可するかどうか判断することにあります。Azure AD は差し出されたものを判断しますが、判定はしません。
例えば、オフィスの前に立っている守衛さんは、入る人がちゃんとした社員証や許可証を持っていることを判断して、入室を許可しますが、社員証を発行したりはしません。Azure AD はこの守衛さんの役割だと思えば良いでしょう。
デバイスコンプライアンスに準拠してると判定するのは MDM の役割だけど Intune は何のために必要なの?
Microsoft Ignite の「Microsoft Endpoint Manager の Intune のチュートリアル」を読んでみると、冒頭に以下のような記載があります。
“Microsoft Endpoint Manager の一部である Microsoft Intune によって、クラウド インフラストラクチャ、クラウドベースのモバイル デバイス管理 (MDM)、クラウドベースのモバイル アプリケーション管理 (MAM)、クラウドベースの PC 管理が組織に提供されます。”
簡単に言ってしまえば Intune は MDM なんですね。あれれ?デバイス管理の MDM は共存できない筈なのに?と思ってしまいますね。
では、Microsoft Endpoint Manager とは何なのか?というと、Microsoft Ignite の「Microsoft Endpoint Manager の概要」に複合サービスを統合したサービス名称だということが書いてあります。私たちが普段アクセスしている、Endpoint Manager 管理センターもそのサービスのうちの1つということ。
“Microsoft Endpoint Manager は、クラウドとオンプレミスでデータを安全な状態に保つための最新のワークプレースおよび最新の管理を実現するのに役立ちます。 Endpoint Manager には、モバイル デバイス、デスクトップ コンピューター、仮想マシン、組み込みデバイス、およびサーバーを管理および監視するために使用するサービスとツールが含まれています。”
Endpoint Manager の管理センターを操作していると、何故こうも複雑怪奇な入れ子構造になった?と疑問を感じますが、こうして改めて見るとなるほどと納得せざるをえませんね。Azure AD や 旧SCCM も全て統合されたサービス名称だったわけです。
- Microsoft Intune
- Configuration Manager
- 共同管理
- Desktop Analytics
- Windows Autopilo
- Azure Active Directory (AD)
- Endpoint Manager 管理センター
ですので、条件付きアクセスにおける Intune の役割を詳しく言うなら、こういう事になります。
"Azure AD の条件付きアクセスの1つの条件として、モバイルデバイスやデスクトップPCや Mac コンピュータが、コンプライアンスに準拠しているかどうかは、Endpoint Manager の一部である Intiune から報告させることにしよう。"
と言ったかどうか分かりませんが、賢いマイクロソフト社はここに余所者の入る隙を与えてくれません。そのため、コンプライアンスパートナーとして認定された、サードパーティMDMベンダーであれば、デバイス管理しているデバイスのコンプライアンス状況を Intune にレポート可能となりました。Mobileiron , VMWare Workspace ONE , IBM MaaS360 , BlackBerry など名を連ねる中に Jamf 社も入っているというわけです。気を付けたいのは、デバイス コンプライアンス パートナーとのインテグレーションのために Intune を構成する場合、1 OS カテゴリにつき、1社1MDMのみ登録が可能です。しかしまぁ、この Intune に報告させようという仕組みのおかげで、「じゃ Intune でデバイスも管理すればいいんじゃない?」となるのは火を見るよりも明らかで、結果として Intune に乗り換えた方々がとても苦労されているのをよく耳にします。
では、JamfPro で iOS デバイスのデバイスコンプライアンスを設定していきましょう
- Microsoft Intune
- Microsoft Azure AD Premium
- Microsoft 365 アカウント ( onmicrosoft.com ではない存在確認済みドメインのもの)
- 対象のデバイスには Microsoft Authenticator がインストールされている必要があります。
- iOS 11 以降、またはSafariがデフォルトのブラウザとして設定されているiPadOS13以降です。
- 対象のデバイスを Jamf Proへの登録、App として Self Service がインストール必須です。
- User Enrollment デバイス(個人所有)は利用できません
次は Microsoft Endpoint Manager でコンプライアンスパートナーを追加します
Endpoint Manager >[テナント管理] > [コネクタとトークン] > [パートナー コンプライアンス管理] > [コンプライアンス パートナーの追加] とクリックしていきます。
割当先に全てのユーザを指定すると動かないと書いてあるので、グループを作成して指定するのが良いでしょう。
全てが完了すると。図のようにパートナーステータスが「アクティブ化の保留中」から「アクティブ」に変更となります。
設定が終わったらデバイスコンプライアンス対象デバイスにインストールされている Self Service から「Microsoft に登録」を実施
Azure AD に JamfPro から Intune に報告された iPhone と、Intune にダイレクトに登録されている iPhone では、両方とも準拠しているになっているのが確認いただけると思います。
何故か OS の欄が、JamfPro 経由は iOS で、Intune 経由だと iPhone になっていますw (最初 iOS でフィルタしたら出てこなかったので焦りました)
取りあえずこんな感じで、jamfPro から Intune へデバイスコンプライアンスを報告するのはこんなに簡単というレポートでした!