JamfとMicrosoft Entra IDによる条件付きアクセス

今回のセッションでは、以下の3人が登壇し、Jamfの各種製品とMicrosoft Entra IDを統合し、管理対象デバイスからリソースへの安全なアクセスを提供する上でのベストプラクティスについて議論しました。

• Michael Epping（Microsoft）
• Mark Morowczynski（Microsoft）
• Sean Rabbit（Jamf）

条件付きアクセスとは

条件付きアクセス（略してCA）とは、一言で言えば、クラウド上のアプリやサービスにゼロトラストのポリシーを適用することで、組織のセキュリティ態勢 を強化することを目的としたセキュリティポリシーです。

Microsoftのアイデンティティ＆アクセスソリューションをすでに使用している場合、旧称であるAzure Active Directory（AAD）に聞き覚えがある方もいらっしゃるかもしれません。Morowcznski氏は、Microsoft社の包括的なIDaaS（クラウド型ID管理サービス）であるEntra IDと、そこに含まれる条件付きアクセスやその他の機能について説明しました。

• シングルサインオン（SSO）
• プロビジョニング
• ガバナンス
• パスワードレス

CAの一般的な使用方法には、エンドポイントの健全性に関する最低限の要件を満たさないデバイスによる保護されたアプリへのアクセスを制限するためのポリシーが含まれます。例えば、従業員のコラボレーションを助けるためにクラウドベースのファイルストレージを使用している組織があったとします。この場合、ネットワークベースのセキュリティリスクを軽減するために、このクラウドストレージのデータにアクセスしようとするデバイスでゼロトラストネットワークアクセス (ZTNA)が有効になっていることを求めるポリシーを構成することができます。このポリシーは、エンドポイントの状態を判断することでコンプライアンス状態を強制するもので、ZTNAが有効になっていることが確認されたら、リソースへのアクセスをユーザに許可します。しかし、ZTNAが存在しないか、または何らかの理由で確認できない場合、このCAポリシーにより、ユーザはZTNAを有効にするか、デバイスタイプに応じたエージェントをインストールするよう案内するウェブページにリダイレクトされます。

JamfとCA

Microsoft社は、Jamfの最大のパートナーのひとつです。Jamf Proとサードパーティ製のアプリおよびサービスとの統合は、前者の包括的な管理能力を拡張すると同時に、Jamfの名だたるデバイス管理製品へのシームレスなアクセスを後者に提供します。これにより、セキュリティやデバイス管理の面で妥協することなく、両者の「良いとこどり」が可能になります。

こういった統合の仕組みについて説明するとともに、統合を検討しているMac管理者を助けるリソースについても触れた上で、Rabbitは最初のセットアップから実際に統合されたソリューションが連動する様子まで、一通りのプロセスを実演してみせました。

このデモの後、次はEpping氏が以下のサポートを提供するためにMicrosoft Entra IDとJamf Connectを導入する方法について説明しました。

• アイデンティティ
• アクセス
• ユーザ権限
• セキュリティ保護

これに加えて、特定の組織に影響を及ぼす可能性のある一般的な落とし穴について、そしてもちろん、スムーズでストレスのない導入のためにこれらの問題を回避する上で何に気をつけるべきかについて理解することが重要になります。