JamfとOkta Device Trust

OktaのJon Lehtinen氏がJamfのSean Rabbittと共にJNUC 2023のセッションに登壇し、JamfとOkta Device Trustの統合について議論しました。

September 22 2023 投稿者

Kathryn Joy

Okta Device Trustとは

Okta Device Trustは、コンテキストに応じてアクセス管理を行うソリューションで、ユーザ認証を通して信頼性を確立します。また、デバイス管理および登録プラットフォームとして、オーナーシップタイプ(例:BYOD、COPE)に関わらず、2種類のデータおよび情報タイプを使用して信頼性を確立・適用することができます。

  1. デバイス登録
    デバイスがOktaに登録された段階で、OSバージョンや有効になっているセキュリティ対策(Face ID、Touch ID、暗号化)を含むデバイスの基本的なインベントリ情報がOktaに送信されます。ユーザは、Oktaの認証情報を使って認証を行った上で登録プロセスを開始することができます。これにより、多要素認証(MFA)のプッシュ通知を受け取るための信頼できるソースとしてデバイスが確立されます。
  2. デバイス管理
    デバイスをモバイルデバイス管理(MDM)に登録すると、そのデバイスが管理下に置かれたことがOktaに通知されます。この場合、MDMによってのみデバイスに配布できる構成プロファイルからSCEP証明書を受信する(iOSの場合)、またはVPP(一括購入プログラム)経由でインストールされたアプリを構成ファイルとシークレットまたは管理とともに受信する(iOS/iPadの場合)ことによって信頼が確立されます。

これにより、アカウント主導ユーザ登録で登録された個人デバイスを含め、あらゆるデバイスを登録し信頼を確立することができます。

MDMのデバイスインベントリデータと管理ワークフローを使用することで、デバイス接続やユーザがセキュアかどうかを確実に評価することができるようになります。

Oktaが収集する情報:

  • デバイスの基本的なインベントリ情報
  • MDMによって確立された信頼

Jamfが把握する情報:

  • どのような方法でインベントリデータ、特許取得済みのJamfのスマートグループ、構成プロファイルなどをベースに信頼を測るのかを含め、管理対象デバイスから収集されるその組織特有の情報のすべて。デバイスセキュリティは、情報組織のポリシーやIT/セキュリティグループが何をセキュリティ要件として求めるのかに従って、ログイン認証を超えて適用されます。

例えば、Jamfを使用する管理者は、ユーザによってFileVaultが無効化され暗号化が解除されているデバイスを特定することができます。暗号化されていないデバイスがある場合、スマートグループがこれを突き止め、組織がコンプライアンスベースラインから逸脱していることを受けて、JamfがこのステータスをOkta Device Trustにプッシュし、企業リソースやネットワークへのアクセス許可を取り消します。このようなOktaとJamfの関係により、継続的な検証と監視が行われるため、ユーザとそのデバイスが再びコンプライアンスを満たスト、アクセスが再び許可されます。Jamfによる修復について詳しく見る。

JamfとOktaを組み合わせることで、生体認証や多要素認証などのフィッシングに強い認証方法を利用して、Appleユーザに企業リソースへのアクセスを提供することができます。

OktaとJamfでは、MDMのスマートグループによる一括アクションに加え、セキュアなユーザレベルの認証ポリシーを提供することで、新たなユーザが最初にサインインする瞬間から組織が求めるアクセスおよび認証の要件を満たしている状態を作ることができます。さらにJamfでは、ユーザレベル、デバイスタイプ、または全体的なリスクコンテキストインジケータに基づいてルールを設定することもできます。

認証、グローバルセッションポリシー、管理対象デバイスのアクセスまたはプライベートアクセス、キーチェーン、そしてJamfとOktaによって得られる信頼の意味に興味のある方は、ぜひセッションの本編をご覧ください。

Oktaの提供する体験

Oktaは、管理対象外デバイスからもっともリスクの高い保証ポリシーまで、すべてのアプリケーションに5つの主要な認証ポリシーを適用します。ユーザやグループ、デバイスは、Oktaのリスクポリシーに照らし合わせて検証され、パスワードや生体認証、時間検証などの認証要件を確立・適用することで、深層防御やゼロトラストに基づいた一貫性のあるカスタマイズされた適用が可能になります。

デバイスを登録すると、Oktaによってユーザのアイデンティティとそのデバイスが確立されます。さらにデバイスを管理下に置くことで、信頼のベースラインを確立するために必要なデバイスの状態に関する情報を得ることができます。Oktaは、ユーザとデバイスに関する情報を、毎秒数百万件も発生する認証から得られたグローバルな知識と組み合わせることができます。

Jamf Proのセットアップと導入

Okta内で、[Security(セキュリティ)] >> [Device Integrations(デバイス統合)] >> [Add a platform(プラットフォームを追加)] と進み、SCEP サーバを構成します。

JamfとOktaのセットアップに関する詳細はこちらをご覧ください。

構成が完了したら、Jamfインスタンスで管理しているMacやモバイルデバイスにOkta Verifyアプリを導入することができます。

1. macOSデバイス用のSCEPペイロードを設定し、モバイルデバイス用に繰り返します

2. アプリを許可するために、キーチェーンからのエキスポートを不可に設定します

3. アプリの構成から秘密鍵を保存します

iOS/iPadOSデバイスに必要な設定値:

managementHint

SECRET_KEY_GOES_HERE

ついでに管理対象Macやモバイルデバイスに対してOkta Device TrustのSSO拡張機能も併せてセットアップすることをお勧めします。

Jamf Connectへの影響

OktaでJamf Connectをセットアップする方法は複数あります。一般的なのは、Okta Authentication APIを使用することですが、OpenID Connectアプリケーションを使用する方法もあります。この詳細は、セッション本編の38分辺りでご覧いただけます。

このセッションでは、ゼロトラストアクセスと認証を適用するために、OktaとJamfを使ってできることが豊富に紹介されました。

OktaとJamfを導入することで、エンドユーザにシンプルかつシームレスな体験を提供することができます。ログインしてアイデンティティの認証を行うだけで、効率的かつ有効的に仕事をするために必要なリソースやツールに簡単にアクセスできるのです。

JNUCに登録すると、このセッションを含むさまざまなセッションを視聴できます。

Jamfブログの購読

市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。