Okta Device Trust:Intuneを使ったAndroid端末のアクセス制御
目次
今回のブログでは、Okta Device Trustを使い、MDM管理外のAndroid端末からのアクセスを制御する方法についてご紹介します。
Okta Device Trust
Okta Device Trustとは、MDMで配布された証明書やアプリ構成の登録状況を認証ポリシーの条件として利用する機能です。つまり、 Oktaで保護されたアプリケーションへアクセスできる端末をMDM管理下のデバイスのみに限定制御することができます。
本機能の利用には、Adaptive SSOまたはAdaptive MFAのライセンスが必要です。
Okta Device Trustの設定
はじめに
本手順では、MDMソリューションとしてMicrosoft Intuneを利用し、管理対象のデバイスをAndroidのスマートフォンとして説明します。
Oktaでデバイス管理を構成する
- Okta Admin Consoleへ管理者権限でログインします。
- [Security] - [Device Integrations]に移動します。
- [Endpoint Management]タブを選択し、[Add platform]をクリックします。
- [Android]を選択し、[Next]をクリックします。
- [Use new secret key]を選択します。管理対象のデバイスとして識別するための秘密鍵の値が表示されますので、[Secret key value]をコピーして、別途保存します。
- [Device management provider]には任意のMDMソフトウェアの名前(今回は、IntuneTest)を入力します。
- [Enrollment link]にMDM未登録ユーザー用のリダイレクト先(今回は、https://okta.com)を入力します。
- [Save]をクリックします。
IntuneでOkta Verifyを管理対象アプリに設定する
- Intune(https://intune.microsoft.com/) へ管理者ユーザーでログインします。
- [アプリ] - [Android]に移動します。
- [追加]をクリックし、[マネージド Google Play アプリ]を選び、[選択]をクリックします。
- Okta Verify アプリを検索し、クリックします。
- [Select]ボタンをクリックし、 [同期]をクリックします。
- 数分後、[最新の情報に更新]をクリックし、[アプリ] [Android] にOkta Verifyが表示されたらクリックします。
- [プロパティ]をクリックし、[割り当て]の[編集]をクリックします。
- [必須]欄の[グループの追加]をクリックします。
- 展開先のユーザーが所属しているグループをクリックし、[選択]をクリックします。
- 内容を確認し、[レビューと保存]をクリックします。
- もう一度[保存]をクリックします。
Intuneでアプリの構成ポリシーを作成する
- [アプリ] [アプリ構成ポリシー]に移動します。
- [作成]をクリックし、[マネージドデバイス]をクリックします。
- [名前]に任意のポリシー名(今回は VerifyTest)を入力します。
- [プラットフォーム]に[Android Enterprise]を選択します。
- [プロファイルの種類]に[すべてのプロファイルの種類]を選択します。
- [対象アプリ]に[Okta Verify]を選択し、[OK]をクリックします。
- [次へ]をクリックします。
- [構成設定]の[構成設定の形式]で[構成デザイナーを使用する]をクリックします。
- [構成設定]の[+追加]をクリックし、[Org URL]と[Management Hint]を選択し、[OK]をクリックします。
- 次の値を入力します。
Management Hint:[Oktaでデバイス管理を構成する] の手順5で控えたSecret keyの値
Org URL:OktaテナントのURL
- [次へ]をクリックします。
- [組み込まれたグループ]の[グループの追加]をクリックします。
- 対象グループを追加し、[選択]をクリックします。
- [次へ]をクリックします。
- [作成]をクリックします。
Android端末の確認
- Android端末にOkta Verifyがインストールされているか確認します。
インストールされていない場合、Intuneから更新を行います。
- Okta Verifyのアプリを起動し、Oktaアカウントとの紐付けを行います。
Okta認証ポリシーの設定
- Okta Admin Consoleにログインします。
- [Security] - [Authentication Policies]にアクセスし、適用するポリシーを編集します。
- 次の値を入力します。
Device state is:Registered
Device management is:Managed
- 設定を完了したら、[Save]をクリックして保存します。
動作確認
サインインウィジェット上のエラーメッセージ
設定した認証ポリシーを満たさない端末からアクセスがあった場合、サインイン時にエラーが表示されます。セキュリティの観点から認証が失敗した原因はエンドユーザーに表示されません。
System Log
System Logでは、エンドユーザーが認証に失敗した際の端末情報を確認することができます。
認証失敗のログを検索するには、以下のフィルターを利用します。
eventType eq "policy.evaluate_sign_on" and outcome.result eq "DENY"
Device - Managedの値を見ると、管理対象ではない端末からアクセスされたことが確認できます。対象の認証ポリシーの構成とログの内容を見比べることで、認証が失敗した理由を特定することができます。
最後に
本ブログでは、IntuneでOkta VerifyをAndroid端末に配布し、MDM管理外のAndroidデバイスからのアクセスを制御する方法についてご紹介しました。
信頼できるデバイスからのみOktaで保護されたアプリケーションにアクセスを許可することでセキュリティを強化することができますので是非ご活用ください。
Follow Jaehyoung Song
