ソフトブレーン・インテグレーション株式会社
iPhoneやiPadなどのスマートデバイス導入コンサルティング
​ソフトブレーン・インテグレーション株式会社 
​お問い合わせ: 03-6892-1180(平日9:00~17:30)
  • ホーム
  • トピックス
  • サービス案内
    • Jamf >
      • Jamf Pro
      • Jamf Now
      • Jamf Now リモート導入支援
      • [Jamf×Mac] オフィス内の管理されていないMacが企業に脅威をもたらす
      • Jamf Protect
      • Jamf Connect
    • iOS ビジネスコネクト >
      • スマートフォン導入支援サービス
      • iPhone/iPad/Macキッティング
    • AMC (Advanced Mobile Center)
    • Ivanti Neurons for MDM >
      • ACCESS / SENTRY
      • Threat Defense
      • UEM
    • Zoom (Web会議システム)
    • Okta (ID管理クラウドサービス)
    • RemoteOperator Helpdesk
    • iOS 教育サービス >
      • iOS アーキテクチャ講習会
      • iOS ユーザー向け講習会
  • 会社案内
    • 会社概要
    • ご挨拶
    • 企業理念
    • 所在地
    • 採用情報
  • ブログ
  • お問い合せ

JamfPro で Microsoft Endpoint Manager の条件付きアクセスのための iOS デバイス・コンプライアンスを構成する

10/13/2021

0 コメント

 

JamfPro で Microsoft Endpoint Manager の条件付きアクセスのための iOS デバイス・コンプライアンスを構成する

今日はちょっと長いですが、「JamfPro で Microsoft Endpoint Manager の条件付きアクセスのための iOS デバイス・コンプライアンスを構成する」のをやってみたいと思います。Intune のこと、Azure AD のこと、Endpoint Manager のことなんて詳しいから説明不要!って方は、途中の手順まですっ飛ばしていただいてOKです。
​

そもそも Microsoft Endpoint Manager の条件付きアクセスのためのデバイスコンプライアンスとは何なのか?

画像Microsoft Ignite "条件付きアクセスとは" より
最近「Intune の条件付きアクセス」という言葉をよく耳にします。実際には「Azure AD の条件付きアクセス」が正しい言葉なのでしょうが、マイクロソフト社はあたかもそれが Intiune で実現されているかのように表現しようとしている感じを受けます。

 条件付きアクセスでは、Microsoft365 へのアクセスとして、以下のような条件に応じたアクセス許可を行うことで、様々なシーンに応じたアクセス許可を与えることができるようになります。
  • 社内のネットワークからアクセスしているPCまたはMacのみアクセス可能
  • 社外の場合はデバイスコンプライアンス準拠の iOS デバイスのみ MFA と組合せてアクセス可能
  • 等など

 ここ数年のコロナ禍での働き方の特徴で、Microsoft365 にアクセスしたり、経費精算をするとか、今までPCでやっていた仕事の多くがモバイルデバイスから行われるようになりました。

 さて、​Azure AD の条件付きアクセスのためのシナリオを構成する1つの条件として、デバイスコンプライアンスと呼ばれるものがあります。Azure AD の立場は設定されtた条件に合致するかどうかを判断して、然るべきユーザに、然るべきタイミングで、然るべきサービスへのアクセスを許可するかどうか判断することにあります。Azure AD は差し出されたものを判断しますが、判定はしません。

 例えば、オフィスの前に立っている守衛さんは、入る人がちゃんとした社員証や許可証を持っていることを判断して、入室を許可しますが、社員証を発行したりはしません。Azure AD はこの守衛さんの役割だと思えば良いでしょう。

デバイスコンプライアンスに準拠してると判定するのは MDM の役割だけど Intune は何のために必要なの?

そうなんです。やっとここでMDMの話しをできるようになるのですが、社員証を発行する=デバイスがコンプライアンス準拠していると判定するのは MDM の役割なのです。ここで初めて Intune というサービスが出てきます。

Microsoft Ignite の「Microsoft Endpoint Manager の Intune のチュートリアル」を読んでみると、冒頭に以下のような記載があります。

“Microsoft Endpoint Manager の一部である Microsoft Intune によって、クラウド インフラストラクチャ、クラウドベースのモバイル デバイス管理 (MDM)、クラウドベースのモバイル アプリケーション管理 (MAM)、クラウドベースの PC 管理が組織に提供されます。” 

簡単に言ってしまえば Intune は MDM なんですね。あれれ?デバイス管理の MDM は共存できない筈なのに?と思ってしまいますね。

では、Microsoft Endpoint Manager とは何なのか?というと、Microsoft Ignite の「Microsoft Endpoint Manager の概要」に複合サービスを統合したサービス名称だということが書いてあります。私たちが普段アクセスしている、Endpoint Manager 管理センターもそのサービスのうちの1つということ。

“Microsoft Endpoint Manager は、クラウドとオンプレミスでデータを安全な状態に保つための最新のワークプレースおよび最新の管理を実現するのに役立ちます。 Endpoint Manager には、モバイル デバイス、デスクトップ コンピューター、仮想マシン、組み込みデバイス、およびサーバーを管理および監視するために使用するサービスとツールが含まれています。” 

 Endpoint Manager の管理センターを操作していると、何故こうも複雑怪奇な入れ子構造になった?と疑問を感じますが、こうして改めて見るとなるほどと納得せざるをえませんね。Azure AD や 旧SCCM も全て統合されたサービス名称だったわけです。

  • Microsoft Intune
  • Configuration Manager
  • 共同管理
  • Desktop Analytics
  • Windows Autopilo
  • Azure Active Directory (AD)
  • Endpoint Manager 管理センター

 ですので、条件付きアクセスにおける Intune の役割を詳しく言うなら、こういう事になります。

"Azure AD の条件付きアクセスの1つの条件として、モバイルデバイスやデスクトップPCや Mac コンピュータが、コンプライアンスに準拠しているかどうかは、Endpoint Manager の一部である Intiune から報告させることにしよう。"  

 と言ったかどうか分かりませんが、賢いマイクロソフト社はここに余所者の入る隙を与えてくれません。そのため、コンプライアンスパートナーとして認定された、サードパーティMDMベンダーであれば、デバイス管理しているデバイスのコンプライアンス状況を Intune にレポート可能となりました。Mobileiron , VMWare Workspace ONE , IBM MaaS360 , BlackBerry など名を連ねる中に Jamf 社も入っているというわけです。気を付けたいのは、デバイス コンプライアンス パートナーとのインテグレーションのために Intune を構成する場合、1 OS カテゴリにつき、1社1MDMのみ登録が可能です。しかしまぁ、この Intune に報告させようという仕組みのおかげで、「じゃ Intune でデバイスも管理すればいいんじゃない?」となるのは火を見るよりも明らかで、結果として Intune に乗り換えた方々がとても苦労されているのをよく耳にします。

では、JamfPro で iOS デバイスのデバイスコンプライアンスを設定していきましょう

改めて「デバイス コンプライアンス パートナーと連携するように Intune を構成する」ために必要なものを確認していきましょう。
​
  • Microsoft Intune
  • Microsoft Azure AD Premium
  • Microsoft 365 アカウント ( onmicrosoft.com ではない存在確認済みドメインのもの)
  • 対象のデバイスには Microsoft Authenticator がインストールされている必要があります。
  • iOS 11 以降、またはSafariがデフォルトのブラウザとして設定されているiPadOS13以降です。
  • 対象のデバイスを Jamf Proへの登録、App として Self Service がインストール必須です。
  • User Enrollment デバイス(個人所有)は利用できません
画像
デバイスコンプライアンスのためのスマートデバイスグループを作成
まずは JamfPro 上で登録されているデバイスに対して、デバイスコンプライアンスに準拠する条件をスマートデバイスグループとして作成します。スマートデバイスグループの対象となるデバイスは、マネージド(管理)状態のものだけが対象になりますので、それに加えて iOS バージョンが 13以上、パスコードポリシーが適用されていることなどで条件を作成します。スマートデバイスグループを作成したら、そのグループに含まれるデバイス数が適正か確認をしてください。
​
 JamfPro>設定>一括管理>デバイスコンプライアンスで、作成したスマートデバイスグループと対象となるデバイスグループを指定します。それが完了したら、右下の Connect ボタンをクリックします。
​
画像
1回目の Microsoft との認証
画像
2回目の Microsoft との認証
Connect ボタンをクリックすると、マイクロソフトの認証が開始されます。管理権限をもったユーザで認証を2回実行します。
​

次は Microsoft Endpoint Manager でコンプライアンスパートナーを追加します

先ほどまでの手順で、 JamfPro 側の準備はできたので、今度は MSEM 側に受け口となるコンプライアンスパートナーの追加を実施します。詳細な手順はこちらをご覧ください。

Endpoint Manager >[テナント管理] > [コネクタとトークン] > [パートナー コンプライアンス管理] > [コンプライアンス パートナーの追加] とクリックしていきます。
​
画像
コンプライアンスパートナーとして Jamf Device Compliance を選択し、プラットフォームに iOS を選択します。

割当先に全てのユーザを指定すると動かないと書いてあるので、グループを作成して指定するのが良いでしょう。
​
全てが完了すると。図のようにパートナーステータスが「アクティブ化の保留中」から「アクティブ」に変更となります。

設定が終わったらデバイスコンプライアンス対象デバイスにインストールされている Self Service から「Microsoft に登録」を実施

画像
2021/10/15 追記
Azure AD に JamfPro から Intune に報告された iPhone と、Intune にダイレクトに登録されている iPhone では、両方とも準拠しているになっているのが確認いただけると思います。
何故か OS の欄が、JamfPro 経由は iOS で、Intune 経由だと iPhone になっていますw (最初 iOS でフィルタしたら出てこなかったので焦りました)
取りあえずこんな感じで、jamfPro から Intune へデバイスコンプライアンスを報告するのはこんなに簡単というレポートでした!
​
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント



返信を残す

    Author

    ソフトブレーン・インテグレーション株式会社
    代表取締役
    柴崎忠生
    ビジネス・インキュベーター
    セキュリティ・コンサルタント
    ITIL プロフェッショナル

    Archives

    12月 2023
    10月 2023
    9月 2023
    6月 2023
    5月 2023
    4月 2023
    3月 2023
    2月 2023
    1月 2023
    12月 2022
    11月 2022
    10月 2022
    9月 2022
    8月 2022
    7月 2022
    6月 2022
    5月 2022
    4月 2022
    3月 2022
    2月 2022
    1月 2022
    12月 2021
    11月 2021
    10月 2021
    9月 2021
    7月 2021
    6月 2021
    5月 2021
    4月 2021
    3月 2021
    2月 2021
    1月 2021
    12月 2020
    11月 2020
    10月 2020
    9月 2020
    8月 2020
    7月 2020
    6月 2020
    5月 2020
    4月 2020
    3月 2020
    12月 2019
    10月 2019
    9月 2019
    8月 2019
    7月 2019
    6月 2019
    5月 2019
    3月 2019
    2月 2019
    12月 2018
    9月 2018
    8月 2018
    7月 2018
    6月 2018
    5月 2018
    4月 2018
    3月 2018
    2月 2018
    1月 2018
    12月 2017
    11月 2017
    10月 2017
    9月 2017
    7月 2017
    6月 2017
    5月 2017
    4月 2017
    3月 2017
    1月 2017
    12月 2016
    10月 2016
    9月 2016
    8月 2016
    7月 2016
    6月 2016
    5月 2016
    4月 2016
    3月 2016
    2月 2016
    1月 2016
    12月 2015
    11月 2015
    10月 2015
    9月 2015
    8月 2015
    7月 2015
    4月 2015
    3月 2015
    12月 2014
    11月 2014
    10月 2014
    9月 2014
    8月 2014
    7月 2014
    6月 2014
    5月 2014

    Categories

    すべて
    Apple Transport Security
    Apple TV
    Apple Watch
    AppleConfigurator2
    Google Chrome
    ICloud
    IOS Security
    IOS ウィルス
    IOS セキュリティ
    IOS マルウエア
    IOS 安全性
    IOS7
    IOS8
    Ios8.2
    IOS9
    IOS9 コンテンツブロッカー
    IPad
    IPhone
    IPhone 6 Plus
    IPhone 6 Plus カメラ交換プログラム
    IPod Touch
    ITunes
    MacOSX
    MacOSX EL Capitan 10.11
    Microsoft Exchange
    WatchOS2
    XCodeGhost
    スクリプト
    セキュリティ
    バッテリー
    ベーシック認証廃止
    モバイルセキュリティ
    モバイル安全性
    モビリティ設計
    運用
    設計
    年金情報流出
    年金情報漏洩

    RSSフィード

ソフトブレーン・インテグレーション株式会社
〒103-0012 東京都中央区日本橋堀留町2丁目3-5 木下ビルディング8階
tel 03-6892-1180 fax 03-6892-1183 url https://www.sbi.co.jp/
ホーム  | トピックス | セミナー情報  | お問合せ
会社案内 | 会社概要 | ご挨拶 | 企業理念 | 所在地
サービス案内 | 導入支援 | キッティング | AMC | ​Jamf Pro | Jamf Now | Jamf Nowリモート導入支援 | Mobile Iron | Zoom | Okta | iOSアーキテクチャ講習会 | iOSユーザ向け講習会 
サイトポリシー | サイトマップ 
Picture
ソフトブレーン・インテグレーション株式会社は、Apple Consultants Network に参加しています。Appleに認定されたコンサルタントとしてiOS/MAC 等Apple製品の導入支援事業を行っております。
▲上に戻る
Copyright(C) SOFTBRAIN INTEGRATION Co.,Ltd. All Right s Reserved.