皆さん、こんにちは。国井です。
先日、米国シカゴでMicrosoft Ignite 2015というカンファレンスが開催され、私も参加してまいりました。
(帰国後に体調を崩してしまい、投稿が今になってしまいました)
私自身はADFSやAzure AD、そしてAzure ADを含むEnterprise Mobility Suite(EMS)を中心としたセッションを色々と見てまいりました。
セッションはもちろんのこと、スピーカーの方々とのディスカッションを通じて、色々な知識や情報を得ることができ、とても有意義な時間を過ごすことができました。
得た情報は既に私が登壇するセミナーの中でも還元させていただいておりますが、今日はセミナーにご参加のお客様から、よくいただくご質問にお答えするような形で
いくつかのトピックについての私なりの考え、そして将来的な展望を考えてみたいと思います。
今回のトピックはこちら。
会社支給のデバイスだけリソースにアクセスできるよう、デバイス認証を実装したい
これは色々な方から、よくいただく質問です。
現地で、何人かの方とディスカッションをさせていただきましたが、
人によって考え方がまちまちで、決定打がまだないのかな?
(もしくは出すつもりがないのかな?)というのが私の印象です。
マイクロソフトのテクノロジーで実装されているデバイス認証の機能は
・デバイス登録 (DRS)
・デバイス認証
の2つから構成されています。
そして、デバイス登録機能を使って事前に登録されたデバイスからのみ
アクセスを許可するようなアクセス制御を行うのがデバイス認証の機能です。
一見すると、この機能によって私たちの求める要件を満たすように思うのですが、
デバイス登録する時点で、アクセス制御ができていなければ、
どんなデバイスでも登録できてしまい、そしてデバイス認証もできてしまいます。
そのため、デバイス登録をどうやって制御し、会社支給のデバイスだけが登録できるようにするか?がデバイス登録機能のキモとなります。
現時点で、Microsoft Igniteの中で提供されている情報をまとめると、次の3つの方法が有力な方法になると考えられます。
①ADFSのデバイス登録機能を利用し、デバイス登録のアクセス制御を行う
デバイス登録機能には、ADFSのDRSとAzure ADのDRSがあり、
このうちADFSのDRSを利用した場合、証明書利用者信頼に登録されたDRSから
発行承認規則を設定することで、特定の条件を満たすユーザー/デバイスだけがデバイス登録できます。
しかし、この方法での課題は、発行承認規則に設定可能な規則が基本的に(デバイスではなく)ユーザーの情報に基づいてしか規則を設定できない点です。ユーザーの属性をベースにアクセス規則が設定できれば、それで十分という組織もあるでしょうし、いずれにしても組織の要件によって課題と感じるかどうかが決まるでしょう。
②Intuneのデバイス登録機能を利用し、Intuneに登録されたデバイスのみアクセスを許可する
Microsoft Intuneで使用するAzure ADテナントがAzureテナントに関連付けされている場合、
Intuneに登録されたデバイスは自動的にAzure ADにもデバイス登録されます。
ADFSやAzure ADのDRSを無効にしても、Intune経由でのデバイス登録はできるので、
Intuneに登録されたデバイスだけがデバイス認証を許可するようになります。
しかし、この方法の問題点は、Intune にデバイス登録するときの制限があまり柔軟ではない点です。Intuneではデバイス登録するときにユーザーアカウントを指定して登録しますが、そのユーザーアカウントに対して、最大で登録できるデバイス数の上限を設けることができるので、最大登録数を1にして、会社支給のデバイスを登録すれば、会社支給のデバイスだけがデバイス登録されます。
(でも、会社支給のデバイスを登録する前に個人持ちのデバイスを登録されてしまったら、
どうなるのですか?と質問されると、答えに窮するのですよね。。)
③特定のデバイスだけが登録されるように制限することをあきらめ、登録されているデバイスをきちんとウォッチする
登録されたデバイスは、Azure ADのプロパティ画面やActive DirectoryユーザーとコンピューターのRegistered Devicesコンテナーなどから確認できるので、定期的に登録されたデバイスを確認し、不適切なデバイスが登録されていないか確認するという方法に切り替えて運用するという考え方です。
Windows 10が登場すれば、デバイス登録の機能も変わってくることが考えられるので、
今後の情報もウォッチしながら、デバイス登録機能のベストプラクティスを探っていきたいですね。
(ここに書いてある方法以外の方法・アイデアなどありましたら、気軽にご連絡ください)