「場所」に応じた認証

Workspace ONE Accessでは、接続元のネットワークに応じて認証方法を柔軟に定義することができます。

タイトルの「場所」についても、GPSでどこにいるかということではなく、要は「ネットワーク的にどこにいるか」という意味ではありますが、企業においてはインターネットへの出口となるIPは固定されているケースも多く、接続元のIPアドレスが自社のIPアドレスになっている＝オフィスに来て会社で仕事をしている（VPNなどを利用していればこの限りではないですが）という考え方もできます。

そこで、今回は接続元のネットワークに応じた認証ポリシーを適用する、ということをやりたいと思います。具体的にはオフィスのネットワークからのアクセスの場合はIDとパスワードのみでログイン可能だが、外部からのアクセスの場合はWorkspace ONE UEMで管理されていることも認証の条件にする、というようなことを実現してみます。（Workspace ONE UEMで管理されているか、という条件についてはこちらを参照）

オフィスのネットワークからのアクセスということは信頼された接続元と見なしてID/PW認証だけで通すけど、それ以外からのアクセスはアヤシイのでデバイスが自社で管理されているものか、という点までちゃんとチェックしますよ、という考え方です。

始めに、社内ネットワークからのアクセスかそれ以外か、ということが区別できるようにしないといけないので、社内ネットワークのIPアドレス範囲の定義を作成します。Workspace ONE Accessの管理コンソールで、IDとアクセス管理＞管理＞ポリシー　に移動して、「ネットワーク範囲」をクリックします。

デフォルトですべてのIPアドレス範囲である「ALL RANGES」という定義が存在します。

新しく社内ネットワークを定義する範囲を追加するため、「ネットワーク範囲を追加」をクリックします。

社内ネットワークからインターネットにアクセスする際の接続元となるIPアドレス範囲をここで定義します。複数ある場合は範囲の開始～終了という形式で入力し、一つずつ指定する場合は開始と終了を同じ値にします。

次に、接続元のネットワークに応じた認証ポリシーを設定します。

orkspace ONE Accessの管理コンソールで、IDとアクセス管理＞管理＞ポリシー　で「デフォルトポリシーの編集」をクリックします。

まず、「社内ネットワークからWindows10デバイスでアクセスした場合、ID/PWのみで認証する」というポリシーを作成します。

次に、「社内ネットワーク以外からWindows10デバイスでアクセスした場合は、ID/PWのみではなく、証明書も要求する」というポリシーを作成します。

最後に認証ポリシー内の順序を①社内ネットワーク②社内ネットワーク以外、という順序にします。

【補足】

認証ポリシー内の順序については、上から順番にチェックしていき、該当するポリシーで認証し、該当するポリシーがあった場合はそれ以降のポリシーが適用されることはありません。つまり今回の例で言うと、社内ネットワークのポリシーが適用された場合は、その認証に失敗したら次の社内ネットワーク以外のポリシーで認証する...というワケではなく、ログイン失敗で終わります。バックアップの認証方法を用意する場合は「フォールバック認証方法」を定義しておく必要があります。

ここまでで設定は完了したので、実際に動作を見てみます。

まずは、社内ネットワークからアクセスしたケースの動作です。社内ネットワークに接続したPCからWorkspace ONE AccessのテナントにアクセスするとID/パスワードの入力を求められるので、入力すると...

 

追加の認証無しでカタログポータルへのログインが完了します。

次に、PCを持ち出して社内ネットワーク以外からアクセスしたケースを想定して、自宅のWi-Fiに接続したPCからWorkspace ONE Accessテナントにアクセスします。

ID/パスワード認証を求められるところは社内ネットワークのケースと同じなので、先ほどと同じユーザーでパスワード認証を通過すると...

こちらは、証明書の提示を求められます。

証明書認証の完了をもって、カタログポータルのログインが完了します。もちろん、この場合だと証明書を持っていないデバイスでアクセスした場合は認証されません。

こんな感じで、接続元のネットワークに応じて認証におけるセキュリティに強弱をつけることで、コンディショナルアクセスを実現することができます。