この記事では、SeciossLinkとUEM製品「Microsoft Intune」の連携機能の概要と設定方法を解説します。
機能の概要
SeciossLinkとUEM製品の「Microsoft Intune」と連携することで、エンドポイントのセキュリティ強化を実現します。
対応OS:Windows/Mac OS/iOS
※Androidは、現在開発中です(クライアント証明書一覧への登録のみ対応しています)
Microsoft Intune連携によって可能になること:
クライアント証明書の一括発行
Microsoft Intuneで管理する端末情報をもとに、クライアント証明書を一括発行できます。
SeciossLinkは、SeciossLinkのアカウント情報に紐づく端末情報をMicrosoft Intuneから自動で取得します。その詳細な端末情報を元に、SeciossLinkはクライアント証明書を自動で登録します。クライアント証明書は、ユーザーが各自のユーザーポータルからダウンロードします。クライアント証明書のダウンロード時に複数の端末情報を確認し、厳密な端末管理を可能にします。
端末のコンプライアンスポリシーの確認
Microsoft Intuneのコンプライアンスポリシーに準拠した端末以外のアクセスを拒否します。
SeciossLinkのアクセス時にMicrosoft Intuneのコンプライアンス状態を確認し、コンプライアンス状態が非準拠の端末からのアクセスを防ぎます。
設定の流れ
Microsoft Intuneと連携し、不審な端末からのアクセスを防いでセキュリティを強化するために必要な設定は以下のとおりです。
※コンプライアンスポリシーを確認する場合にも、クライアント証明書のダウンロードが必要です。
Microsoft製品の設定
Microsoft製品の設定を行います。
Microsoft Entra IDの設定
Microsoft Entra IDの設定を行います。
-
以下の記事を参照して、Microsoft Entra IDにSeciossLinkと連携するアプリケーションを登録します。
参照する記事:アプリケーションの登録 -
以下の記事を参照して、証明書またはクライアントシークレットを登録します。
参照する記事:証明書またはクライアントシークレットの登録※「証明書のパスフレーズ」または「クライアントシークレットの値」は、SeciossLinkの設定にも使用します。
必ずお手元にお控えください。 -
以下の記事を参照して、APIのアクセス許可を追加します。
参照する記事:APIのアクセス許可の追加 - 以下の記事を参照して、全体管理者ロールを割り当てます。
参照する記事:全体管理者ロールの割り当て
以上でMicrosoft Entra IDの設定は完了です。
Microsoft Intuneの設定
Microsoft Intuneの設定が完了していることを確認します。
SeciossLinkの設定
SeciossLinkの設定は以下のとおりです。
SeciossLinkのUEM設定
SeciossLinkの連携設定を行います。
- SeciossLinkの管理コンソールにて、(左メニューバー)端末 > 端末 を開き、上部タブ[UEM 設定]をクリックします。
- UEM設定画面が開きます。
- [UEM 設定]の項目で、プルダウンメニューから「Microsoft Intune」を選択します。
- [ユーザー名の属性]の項目で、Microsoft 365のユーザープリンシパル名(UPN)と紐づけるSeciossLink側の属性を選択します。プルダウンメニューから、メールアドレスとユーザーIDのどちらかを選択してください。
- OAuth 認証 > [Microsoft 365の接続方式]の項目で、前述のMicrosoft Entra IDの設定で登録した接続方式(証明書またはクライアントシークレット)を選択します。
- [ディレクトリID]および[アプリケーションID]の項目に、Microsoft Entra IDで設定した値を記入します。
- [ディレクトリID]:Microsoft Entra IDで作成したアプリケーションの「ディレクトリ (テナント) ID」を入力します。
- [アプリケーションID]:Microsoft Entra IDで作成したアプリケーションの「アプリケーション (クライアント) ID」を入力します。
-
「Microsoft 365の接続方式」の項目に応じて、その他の値を入力します。
[証明書]を選択した場合:- [証明書(PKCS#12形式)]:Microsoft Entra IDのプライベート証明書発行時に発行された.pfx形式の証明書をアップロードします。
- [証明書のパスフレーズ]:Microsoft Entra IDのプライベート証明書を発行した際に設定したパスワードを入力します。
[クライアントシークレット]を選択した場合:
- [クライアントシークレット]:Microsoft Entra IDのクライアントシークレットの値を入力します。
- すべての項目の設定が完了したら、下部の[保存]をクリックします。
以上でMicrosoft Intuneの連携設定は完了です。
連携設定の完了後、SeciossLinkはMicrosoft Intuneから端末情報を定期的に取得します。
ユーザー名の属性と紐づく端末が存在する場合は(左メニューバー)端末 > 端末 の一覧に自動で登録されます。
※連携設定の完了後にMicrosoft Intuneから端末情報が自動取得されクライアント証明書も作成されるまで、
1時間ほどかかります。
図 SeciossLinkのUEM設定画面の設定イメージ
1:Microsoft 365の接続方式:証明書の場合
2:Microsoft 365の接続方式:クライアントシークレットの場合
表 SeciossLinkのUEM設定画面で設定する項目と説明
| 項目 | 説明 |
|---|---|
| UEM 設定 | 「Microsoft Intune」を選択します。 |
| ユーザー名の属性 |
Microsoft 365のユーザープリンシパル名(UPN)と紐づけるSeciossLink側の属性を選択します。
|
| Microsoft 365の接続方式 |
Microsoft Entra IDの設定で登録した接続方式を選択します。
|
| ディレクトリID | Microsoft Entra ID側で作成したアプリケーションの「ディレクトリ (テナント) ID」を入力します。 |
| アプリケーションID | Microsoft Entra ID側で作成したアプリケーションの「アプリケーション (クライアント) ID」を入力します。 |
| クライアントシークレット |
※Microsoft 365の接続方式:[クライアントシークレット]選択時のみ入力 Microsoft Entra ID側でクライアントシークレットを発行した際に控えた"値"の文字列を入力します。 |
| 証明書(PKCS#12形式) |
※Microsoft 365の接続方式:[証明書]選択時のみ入力 プライベート証明書発行時に発行された.pfx形式の証明書をアップロードします。 |
| 証明書のパスフレーズ |
※Microsoft 365の接続方式:[証明書]選択時のみ入力 プライベート証明書を発行した際に設定したパスワードを入力します。 |
※上記すべての項目を設定してください。設定後は必ず保存してください。
クライアント証明書の設定
参照する記事:UEM設定
クライアント証明書が発行状態になった後は、証明書をインポートする端末からSeciossLinkのユーザーポータルにログインして、以下の記事を参照してクライアント証明書をダウンロードのうえでインポートを実行してください。
参照する記事:クライアント証明書申請
コンプライアンスポリシーの確認をするための設定
SeciossLinkのアクセス時に端末のコンプライアンスポリシーを確認するための設定を行います。
コンプライアンスポリシーの確認をするための設定は、アクセス権限の画面から以下の手順で行います。
- SeciossLinkの管理コンソールにて、(左メニューバー)アクセス権限 > 一覧 を開き、コンプライアンスポリシーの確認をしたいアクセス権限設定の編集ボタン(
)をクリックします。
- アクセス権限編集画面が開くので、上部タブ[許可する端末]をクリックします。
-
UEM 設定でMicrosoft Intuneを設定することにより、[デバイスのコンプライアンスポリシー準拠]という項目が許可する端末の設定画面に表示されます。「デバイスのコンプライアンスポリシーをチェックする」にチェックを入れます。
※[デバイスのコンプライアンスポリシー準拠]の項目が無い場合は、UEM設定の完了していない可能性があります。
SeciossLinkのUEM設定を再度ご確認ください。 - 下部の[更新]をクリックします。
以上でコンプライアンスポリシーを確認するための設定は完了です。
以上の設定を完了することで、SeciossLinkにアクセスするとインポートしたクライアント証明書を元に証明書認証が行われると同時にMicrosoft Intune側で対象端末がコンプライアンスポリシーに準拠しているかどうかのチェックが行われます。
ポリシー準拠の端末はアクセスが正常に行われ、ポリシー非準拠の端末はアクセスが遮断されます。