以前、Workspace ONE Accessでの認証の際に「Workspace ONE UEMに管理されていること」という要素を入れる点について書きました。(こちら)
Workspace ONE Accessの認証時に、Workspace ONE UEMに管理下におかれると配信される証明書の提示を求めるという仕組みですが、そこに「デバイスがWorkspace ONE UEMで定義されたセキュリティポリシーを順守した状態であることをチェックする」という認証要素を追加することができます。
たとえ管理下に置かれていても、セキュリティ違反状態のデバイスは認証しませんよ、といった具合です。
今回は、Workspace ONE UEMに加入しWindows 10デバイスをセキュリティ違反状態にして、Workspace ONE Accessの認証でアクセスを拒否される、という動作を検証してみます。
まずは、Workspace ONE Accessにて「WS1 UEMでセキュリティ違反状態でないか」をチェックする認証方法を認証ポリシーに組み込みます。
管理コンソールにログイン後、IDとアクセス管理>ポリシー に移動後、デフォルトポリシーを編集し、Windows 10向けのポリシーに「Workspace ONE UEMとのデバイス順守」という認証方法を追加します。
【補足】
「Workspace ONE UEMとのデバイス順守」は証明書認証かMobile SSOという認証方法とセットでないと動作しないので、今回は証明書認証と組み合わせてます。
Workspace ONE Access側の作業はこのぐらいで、次はWorkspace ONE UEMの管理コンソールを開きます。
WS1 UEMでは「順守ポリシー」というものをデバイスに対して適用する必要があります。これは、デバイスのセキュリティ状態を確認し、守っていない場合に順守違反のフラグを立てたり、何らかのアクションを自動実行するための仕組みという感じです。
WS1 UEMの管理コンソールで、デバイス>順守ポリシー>リスト表示 に移動し、Windows 10デバイス向けの順守ポリシーを作成します。
【補足】
順守ポリシーはOS種別ごとに定義することができます。
セキュリティポリシーとして定義できる項目は、画像に映っているようにいくつか選択肢があるのですが、今回は「ウイルス対策ソフトの状態」という項目を利用します。画像の定義だと「ウイルス対策ソフトの状態が良好でない状態」の場合にセキュリティ違反状態である、というフラグを立てることができます。
次に、違反時のアクションを定義します。アクションも選択可能なオプションがいくつかあるのですが、今回は「ユーザーにEメール通知を送信する」ということにします。
どちらかというと今回の主題はオレンジ枠内の「非順守状態としてマーク」というをオプションで、これにチェックを入れておくと対象のデバイスに「違反状態!」というフラグを立てることができます。
あとは、作成した順守ポリシーを割り当ててアクティブ化すると、こんな感じで管理下のデバイスの状態が表示されます。今はすべてのデバイスが「順守状態」となっています。
準備的な設定は完了したので、実際に加入済みのデバイスを使用して動作を見てみます。
まずは「順守状態」、つまりルールを守っている状態のデバイスでアクセスします。
ユーザー名とパスワードを入力して次へ進むと...
証明書の提示を求められます。
正常にWS1 Accessへのログインできました。
WS1 Accessの監査ログにはデバイス順守認証が成功したこと示すログが出力されます。
次に、先ほど正常にログインができたデバイスを「非順守状態」にするためウイルス対策ソフトを無効化します。
すると、WS1 UEMの管理コンソール上で該当のデバイスが「非順守状態」になります。
この状態で再度WS1 Accessへのログインを試みると...
アクセスが拒否されます。
WS1 Accessの監査ログを見ると「Workspace ONE UEMとのデバイス順守」に失敗していることを示すログが出力されています。「詳細の表示」のリンクをクリックしてログの詳細を見てみます。
デバイス順守認証に失敗したことを示すメッセージとその詳細、今回の場合「ウイルス対策ソフトの状態」という順守ポリシーに違反していることを示しています。
こんな感じで、デバイス管理基盤上であるWorkspace ONE UEM上のデバイスステータスを基にアクセスを制御することができるので、管理されているか/いないか、という認証方法よりさらに一歩踏み込んだコンディショナルアクセスが実現できるというワケです。
コメント
コメントを投稿