皆さんこんにちは、国井です。
「会社所有のデバイスだけを接続許可する」なんていうシナリオでよく使われる
Workplace Join(社内参加)の機能が新しくAndroidでサポートするようになったとのことなので、早速試してみました。
事前準備
ADFSまたはAzure ADでデバイス認証/デバイス登録の設定が必要です。
詳しくはこちらの投稿を参考にしてください。
Androidでデバイス登録の設定
デバイス認証を行うためには、Androidでのデバイス登録
(クライアント側での機能をWorkplace Joinと呼んでいる)を最初に行います。
Workplace JoinはAzure Authenticatorアプリを使うので、まずはPlayストアからダウンロードします。
ダウンロード・インストールが完了したら、Azure Authenticatorを起動して、
画面右上の[仕事用アカウント]をタップします。
[社内参加]という画面が出てくるので、デバイス認証に使用している
ユーザー ID を入力して、[参加]ボタンを押し、
ユーザーIDに対応するパスワードを入力してサインインします。
すると、Workplace Join(社内参加)が完了し、Active Directoryにも
サインインしたユーザーとAndroidデバイスの組み合わせが登録されます。
そして、登録された情報をもとにアクセス許可・拒否を制御していくことが
できるようになるわけです。
Windows 8.1ではOSの機能であるWorkplace Join機能を利用してデバイス登録を行い、
iOSでは専用のURLにアクセスさせることで、プロファイルをインストールすることでデバイス登録を行っていましたが、
Androidではアプリを使ってデバイス登録を行うという方法をとります。
三者三様の実装方法で面白いですね。
■追伸
私は仕事柄、プロジェクターにAndroidの画面を映し出して、以上の内容をお見せするのですが、
Azure Authenticatorアプリはどうしても画面を回転させてしまうようで、
プロジェクターに映し出すと、アプリの画面が横に倒れてしまいます。
ですので、プロジェクターでお見せするときは画面の回転を強制的にブロックするような
アプリが出ているので、こうしたものと一緒に利用するといいですね。
コメント
Androidのデバイス登録方法を探しているところ
このサイトに辿り着きました。
そこで、一つご質問をさせてください。
現在、Azureを使用せず、社内VMにR2をインストールし
ADFSなど必要な機能を実装しております。
この場合でも「Azure Authenticator」を使用してAndroidデバイスの登録が出来るのでしょうか?
それとも、Azureを使用する前提のToolなのでしょうか?
今のところ、接続出来ずにいます。
お手隙の際にご返信頂ければ幸いです。
takeshitaさん、こんにちは。
私自身ADFS単体でAzure Authenticatorを利用したことはないのですが、
マイクロソフトのブログ
(http://blogs.technet.com/b/ad/archive/2015/01/15/azure-authenticator-for-android-with-support-for-workplace-join.aspx)
によると、
They can also do this directly from within the app, using the context menu on the right and picking “Work Account”.
They will be asked to sign-in with their Azure AD account.
とあり、Azure Authenticatorの[仕事用アカウント]をクリックすると、Auzre ADにサインインするとあります。
以上のことを踏まえると、Azure ADのデバイス登録機能と組み合わせて利用することを前提にしているようです。
参考になれば幸いです。