Microsoft Entra向けの認証デバイスコンプライアンス

多くの組織は、管理および準拠したデバイスのみが機密な企業リソースにアクセスすることを許可することに関わるゼロトラスト戦略を追求してきました。

これにはいくつかの理由があります:

攻撃者が盗まれた認証情報(MFAコードを含む)を使用してログインするために物理的な企業デバイスを持つ必要があるようにすることで、フィッシング攻撃を大幅に削減します。
これらのコントロールが配置されているマシンでのみリソースへのアクセスを許可することで、データ損失防止(DLP)コントロールを強化します。
デバイスがコンプライアンスから外れたり、侵害された場合に、認可されたユーザーのアクセスを取り消します。

ほとんどの組織は、ログイン時にこれらのコントロールを適用するために、Identity Provider (IdP)を使用しています。しかし、Identity Providerはデバイスが管理されているかどうかを信頼性を持って判断するにはどうすればよいでしょうか?

Microsoft Entraをその IdPとして使用している組織の場合、JamfはMicrosoft Partner Compliance API統合を実装しており、これにより Entraは Jamf Proによって管理および準拠しているAppleデバイスを識別できます。

この統合は世界中の小規模および大規模な本番環境で広く展開および使用されていますが、統合は以下を含むいくつかの固有の設計要因に起因するエンドユーザー経験の課題の対象です:

エンドユーザーがEntraでデバイスを正しく登録するためにデバイス上で特定の手順に従う必要があります
ユーザーがリソースにアクセスできる場合にそれを妨げる可能性があるタイミングと更新の遅延
デバイスが不正なコンプライアンス状態でマークされることになる散発的なサービスエラー(修正するにはヘルプデスク介入が必要)

新しいAppleとJamfプラットフォームテクノロジーのおかげで、Jamfはこれらのエンドユーザー経験の課題を排除でき、Partner Compliance APIによって提供される機能を損なうことなくユーザー経験を劇的に改善できるようになりました!

認証デバイスコンプライアンスの紹介

Microsoft Partner Compliance APIベースの統合は、Entra/Intune内での各Jamf Pro管理デバイスの明示的な登録とリソースへのアクセスを許可する前の帯外シグナリングに依存しています。対照的に、認証デバイスコンプライアンスはAppleのManaged Device Attestationテクノロジーによってサポートされる安全でゼロタッチでデプロイされたネットワークを活用して、Entra登録またはエンドユーザーの操作を必要とせず、ログインリクエストとインラインでデバイスの管理とコンプライアンス状態を通知します。

このアプローチは、Partner Compliance APIの更新がユーザーの期待より長くかかった場合、特に初めてのオンボーディングまたはコンプライアンスの問題を解決する場合に、直面するユーザー経験アクセスの課題の多くに対処します。認証デバイス認証を使用すると、アクセスはほぼリアルタイムで解決できますが、Partner Complianceは引き続き極度に機密なアプリケーションへの階層化された保護と、Entra/Intune内のシングルペインオブグラスエンドポイントコンプライアンス監査のために併せて使用する必要があります。

高いレベルから見ると、デバイスコンプライアンスパートナー API経由で通知される「準拠」フラグを活用する代わりに、Entra Conditional Accessポリシーを使用する前にリソースをデバイスに利用可能にする代わりに、「名前付きロケーション」を代わりに使用します。この名前付きロケーションは、Jamf Security Cloudサービスによって組織に発行されたIPアドレスのペアによってEntraで定義されます。実際には、これらのIPアドレスの1つ経由でログインしようとしているデバイスは「準拠」と見なされ、ここで認証デバイスコンプライアンスが登場します。

認証デバイスコンプライアンスアーキテクチャ図

これらのIPアドレスのいずれかを使用してコンプライアンスチェックをパスするには、指定されたデバイスは以下を満たす必要があります:

Jamf Proに登録されています
AppleによってAppleハードウェアとして認証されています
Jamf テナントに登録されているデバイスと一致する認証されたデバイス識別子を使用して暗号化的に識別されています
満足なコンプライアンス状態と一致するJamf Pro Smart Groupにあります
Jamf Security Cloudの脅威カテゴリによって定義された脅威がありません

上記のいずれかに失敗すると、デバイスは信頼されたIPアドレスを使用する機能を失い、Entraによって信頼できないデバイスとして表示されます(アクセスがブロックされます)問題が修復されるまで。修復されたら、デバイスは約1分以内に信頼されたIPを使用する機能を自動的に復元します。

デバイスコンプライアンス機能と特性

以下の表は、Partner ComplianceとAttested Device Complianceを比較したものです。2つを一緒に使用することも含みます。

	Entra Partner Compliance	Attested Device Compliance	Entra Partner Compliance + Attested Device Compliance (推奨)
統合方法	APIベース、ログインフローの帯外	ネットワークベース、ログインフローのインライン	アクセスポリシー: ネットワークベース

ソリューション概要

このセクションでは、Attested Device ComplianceとEntra Partner Device Complianceがどのように機能し、環境にデプロイされるかについて、さらに技術的な詳細を説明します。

Attested Device Complianceは、以下を使用して機能します:

ゼロタッチでデプロイされた、常時有効で、ハードウェアバウンドで、ネイティブなトラフィックベクトリングメカニズム(Network Relay)で、エンドポイントから Entraに機密データを送信します。
世界中のネットワークから、世界中どこからでも高速接続を提供する、高い可用性を備えたポリシーベースのグローバルトラフィックルーティングネットワーク。
必要に応じて、追加のセキュリティ/制御のための専用プライベートグローバルIPアドレスインターネット出口(HA ソースIPペア)およびプライベートIPSec サイト間トンネルオプション。

高いレベルのエンドツーエンドエクスペリエンスには、以下が含まれます:

管理者はNetwork Relayデプロイメント構成を構成し、1つ以上のネットワーク出口(インターネットIPまたはIPSecトンネル)を定義し、Entra Microsoft認証アクセスポリシーの定義を定義します。
Apple デバイスは Jamf Pro に登録されます。
Relay設定は、Pro内のコンプライアンスベースのSmart Group メンバーシップに基づいて、デバイスに自動的にデプロイおよび有効化されます。デバイス認証はAppleのサーバーで実行され、Jamf Proでのデバイスのテナント性が暗号化的に検証されます。ユーザーの操作またはログインは必要ありません。
ブラウザまたはデバイス上のアプリから生成されたEntra バウンドネットワークトラフィックは、Jamfのグローバルクラウドエッジで暗号化および暗号検証されます。デバイスのコンテキストはリスクレベルやグループメンバーシップなどのアクセス条件に照らして評価されます。
アクセスが許可された場合、デバイスによって生成されたトラフィックは以下を介してEntraにルーティングされます:

専用IPインターネット出口ゲートウェイ。これはNATを使用して、デバイスのトラフィックが2つの高可用性パブリック(グローバル)IPアドレスの1つから発信されるように見えるようにします。

専用IPSecトンネル。これは、サイト間IPSec VPN ルートを使用して、デバイスのパケットをエンタープライズ自体のネットワークに直接ランディングさせます。NATは、デバイスにLAN/DMZ/VPCに設定されたプライベートサブネットに属するソースIPを提示するために使用されます。
アクセスが拒否された場合(例えば、デバイスが準拠していない場合)、トラフィックは「パブリック」IPアドレス経由で転送されます。これは組織によって信頼されていません。
条件付きアクセスポリシーは、信頼できるIPアドレス(名前付きロケーションを使用)から発信されたデバイスからのログインを許可し、信頼されていないIPから発信されたトラフィックをブロックするために照合されます。
ユーザーはターゲットアプリの条件付きアクセスポリシーのユーザー認証要件に従ってログインします(例えば、MFA)。彼らはアプリケーションにアクセスすることができます。
Microsoft Partner Device Compliance APIを使用して、デバイスの「準拠」状態は以下の場合に Entra/Intuneに更新されます:

デバイスはPlatform Single Sign On経由でEntraに登録されます。

ユーザーはSelf Serviceでデバイスを登録します。例えば、より機密性の高いアプリへのアクセスを得るためにコア生産性アプリを超えます。

Jamfの ZTNA ルーティングアーキテクチャがどのように最小権限でマイクロトンネルベースのアクセスを特定のリソースのみに提供するかについての技術的な詳細については、Network Engineer's Guide to Jamf Connect ZTNAを参照してください。

「My IP on a Map」サンプルアプリケーション構成手順

Jamfのクラウドネイティブで統合されたプラットフォームのおかげで、Attested Device Complianceのセットアップは非常に簡単です。まず、Entra条件付きアクセスポリシーを追加する前に、サンプルSaaSアプリケーションを設定してRelay ベースのルーティングを検証します。

適切なアクセス権と権限があれば、この構成は1時間以内に完了できます。

前提条件

このソリューションを構成するには、以下が必要です:

1つ以上のAppleテストデバイス

注: iOS、iPadOS、macOS、またはvisionOS デバイスを使用してテスト構成できます。Attested Device Complianceではすべて同じように動作します。

デバイスが Jamf Pro に登録されている

これらの手順はJamfに固有ですが、Intune管理デバイスにも適用できます。

Jamf ProおよびJamf Security Cloudポータルへのアクセス

モバイルデバイス、モバイルデバイスSmart Group、コンピュータ、およびコンピュータSmart Groupを管理できるAPIクライアント認証情報を作成する機能を持つJamf Pro管理者アカウント。

グローバル管理者またはアクセス管理者権限を持つJamf Security Cloud管理者アカウント。

Jamf Security Cloud環境がない場合は、Jamfの担当者またはパートナーに問い合わせてください。

ネットワークエッジインフラストラクチャポリシー管理。

インフラストラクチャ(IdPおよび/またはファイアウォール統合)に接続する方法によっては、Jamf Security Cloudからのトラフィックを許可する適切なポリシーまたはインフラストラクチャ構成特権を持つ管理者が必要になります。

注: この手順なしでデバイスルーティングを完全に構成することができますが、これらの手順が完了するまで、アクセスと機能は本質的に制限されます。

Jamf Proを構成する

ステップ 1: Jamf Pro でコンプライアンス Smart Group を作成またはコピーする

このスマートグループを作成することで、このガイド全体の割り当てを簡素化できます。デバイスに使用する Smart Group をすでに作成している場合は、代わりにそれを使用できます。

Jamf アカウント SSO または他の認証情報を使用して Jamf Pro にログインします。
デバイスに移動し、Smart Device Groupsを選択します。
+ 新規ボタンをクリックして、新しいスマートグループを作成します。
適切な表示名を提供します。「準拠したデバイス」をお勧めします。必要に応じて説明を提供します。
画面上部の条件タブを選択し、+ 追加をクリックします。
「準拠」デバイスを定義する1つ以上の条件を定義します。

テストの場合: より広い母集団に拡張する前に、単一のデバイスまたはテストデバイスのグループにスコーピングすることを検討してください。

保存をクリックしてスマートグループを作成します。

Network Relay構成の構成とデプロイ

このセクションでは、Jamf プラットフォームをセットアップし、Network Relay 構成を管理 Apple デバイスにデプロイするように構成します。

ステップ 1: Jamf Security Cloud で UEM Connect を構成する

この手順は、Jamf Security Cloud を Jamf Pro とリンクして、デプロイメントを支援し、デバイス登録の継続的な検証を行い、Network Relay サービスを使用する場合は、管理対象デバイスと適切なリスクレベルのみを確実にします。

Jamf アカウント SSO または他の認証情報を使用して Jamf Security Cloud にログインします。
統合に移動し、UEM Connectを選択します。
Jamf Pro の UEM Connect の構成の手順に従い、セットアップがシームレスなユーザーエクスペリエンスを確保するために、Webhook 構成を完了することを強くお勧めします。

ステップ 2: Network Relay Activation Profile を構成する

デバイス > Activation Profilesに移動します。プロファイルを作成ボタンを選択します。
ネットワークアクセス機能を選択し、次へをクリックします。

オプションで、セキュリティ(ネットワーク脅威保護とモバイル脅威防御)および/またはコンテンツコントロール(カテゴリコンテンツフィルタリング)機能をデプロイできます。ただし、このドキュメントの範囲外の Jamf Trust アプリのデプロイの追加手順が必要です。

認証について確認を求められたら、マネージドデバイス認証を選択し、次へをクリックします。

ユーザーが無効にできない常時接続を必要とする場合は、ロックダウンを選択します。

Activation Profile の名前を提供して、簡単に参照できるようにします。「Attested Device Compliance Network Relay」をお勧めします
このプロファイルを使用してアクティブ化するデバイスを追加するグループを定義します。「Attested Device Compliance Devices」をお勧めします。別のデバイスグループポリシーがない限り。後でいつでも変更できます。次へをクリックします。
構成を確認し、保存して作成を選択します。

ステップ 3: Activation Profile をデバイスにデプロイする

このステップでは、UEM Connect が正常に構成されている必要があります。

表示される画面で、Jamf Proと iOS/iPadOS/tvOS/visionOSボタンが選択されていることを確認します。構成プロファイルを展開します。
UEM アクションで、UEM グループドロップダウンメニューを選択し、前のステップで Pro で作成したコンプライアンススマートグループを選択します。

注: クリックするとグループが表示されない場合は、スマートグループの名前を入力し始めると、それが表示されるはずです。

このステップをスキップした場合は、Pro にプッシュされるモバイル構成プロファイルを手動でスマートグループにスコープする必要があります。
準備完了したら、Jamf Pro にデプロイをクリックします。これにより、定義された Smart Group の条件に一致するすべてのデバイスに Relay 構成がデプロイされます。

注: この時点では、アクセスポリシーが定義されていないため、Relay 構成はデバイスにプッシュされますが、トラフィックはそれを使用してルーティングされません。次に構成します。

上記の手順を繰り返しますが、Mac でテストする場合はmacOSをプラットフォームタイプとして選択します。

サンプルアクセスポリシーの構成

このセクションでは、Entra 条件付きアクセスポリシーを導入する前に、ルーティング構成とポリシーを構成して、サンプル SaaS 宛先から選択したエンタープライズトラフィックをデバイスからデバイスにルーティングし、ルーティングが正常に機能していることを検証します。

このガイドでは、簡単にするために「共有インターネットゲートウェイ」を使用しており、Relay ベースのルーティングを実行します。

本番環境での使用は、接続性とセキュリティ要件に基づいて、専用インターネットゲートウェイまたは専用IPSecゲートウェイを構成して使用することを強く推奨します。Jamf Security Cloud で統合 > アクセスゲートウェイに移動して、プライベートゲートウェイを構成します。これはこのガイドで構成された共有ゲートウェイの代わりに簡単に使用できます。

ステップ 1: My IP on a Map Access Policy を構成する

Jamf Security Cloud で、ポリシー > アクセスポリシーに移動し、ポリシーを作成をクリックします。
定義済みアプリを選択し、利用可能なアプリケーションからMy IP on a Mapを選択し、次へをクリックします。
オプションでカテゴリを定義し、次へをクリックします。
My IP on a Map アプリケーションのサンプルホスト名はすでに定義されています。次へをクリックして続行します。
オプションで、このアプリにアクセスできるデバイスグループを選択します。これは、コンプライアンスデバイスグループを含める必要があります(すべてが選択されていない場合)。
アクセスにはデバイスを管理する必要がありますを有効にし、次へをクリックします。

テストを簡単にするために、この時点ではリスク検証をリードしない状態に保つことをお勧めします。デプロイメントが検証され、リスクベースの検証がよく理解されたら、これは素晴らしい機能を有効にします!

**アプリケーショントラフィックルーティング **画面で、**ZTNA経由で暗号化およびルーティング:**が選択されていることを確認してから、最寄りのデータセンターを選択します。

この特定の My IP on a Map テストアプリについては、カスタムアクセスゲートウェイを使用しないことをお勧めします。

他の構成をデフォルト設定のままにして、次へをクリックします。
構成を確認し、保存してアプリを作成をクリックします。

ステップ 2: Network Relay Access Policy を再デプロイする

デバイス > Activation Profilesに移動し、前で定義した Activation Profile を選択します。
構成プロファイルを展開し、Jamf Pro にデプロイをクリックします。

ステップ 3: デバイスで Relay ルーティングを確認する

テストデバイスで、Safariを開きます。
map.wandera.comに移動します
IPアドレスとマップが表示される場合は、おめでとうございます!あなたのrelay構成は正常に機能しています。

「Forbidden」が表示される場合は、上記の手順を再確認し、Settingsアプリ(macOS の場合はSystem Preferences)のVPN & Relaysの下でRelay構成がデバイスにデプロイされていることを確認してください。

Microsoft Conditional Access: Attested Device Compliance の構成

Jamf の Relay サービスを Microsoft Conditional Access ポリシーと組み合わせて使用することで、アクセスをシームレスなユーザーエクスペリエンスを備えた信頼できる Apple デバイスに制限でき、同時にセキュリティを強化できます。

どのように機能するか

管理対象デバイスには、Network Relay と ACME ペイロードを備えたモバイル構成プロファイルがデプロイされます。
Managed Device Attestation を使用すると、ACME 証明書はハードウェアがAppleの認証サーバーで検証された後にデバイスに発行されます。証明書の秘密鍵はデバイスの Secure Enclave にロックされており、表示または共有することができません。
相互 TLS QUIC/HTTP3 (MASQUE) Relay トンネルを使用して、デバイスから離れるすべての Microsoft Entra 認証トラフィックをカプセル化します。このトンネルはすべての Entra トラフィックを難読化し、中間者 TLS 攻撃から保護し、サポートされている QRC を活用します。
Jamf のリレーサービスは、インバウンド MASQUE トンネルを終了し、クライアント TLS 証明書経由でデバイスの識別子の整合性を検証しながら、デバイスが顧客の関連する Jamf Pro テナントに登録されており、その他のコンプライアンスおよびアクセスポリシーを満たしていることを確認します。このプロセスでは、Entra トラフィックは復号化または変更されません!
これらのチェックがすべてパスされた場合、Entra トラフィックは、テナント専用グローバル HA テナント専用 IP アドレスを使用してインターネットに出力されます。つまり、genuine Apple デバイスのみ、顧客の関連する Jamf Pro 環境で積極的に登録および準拠しているデバイスのみが、これらの専用インターネット IP アドレスを使用できます。
これらのIPアドレスは、Microsoft Conditional Access構成で名前付きロケーションとして構成されます。
これらの名前付きロケーションは、Jamf で管理されていない(または許可されていない)Apple デバイスに使用される通常の Jamf Device Compliance ポリシーをバイパスするために使用されます。同じ名前付きロケーションは、デバイス準拠を必須としないデバイス準拠を必須としない名前付きロケーション(IP)から発信されるデバイスからのアクセスを許可する新しい条件付きアクセスポリシーに使用されます。

実質的には、デバイ