メインコンテンツへスキップ

検索

【UEM設定】Workspace ONE UEMとの連携設定

対象ライセンス
以下のライセンスでご利用いただけます(別途記載されている場合を除きます)。
SeciossLink ゼロトラストSSO, ゼロトラストBusiness

この記事では、SeciossLinkとUEM製品「Workspace ONE UEM」の連携機能の概要と設定方法を解説します。

機能の概要

SeciossLinkとUEM製品の「Workspace ONE UEM」と連携することで、エンドポイントのセキュリティ強化を実現します。

対応OS:Windows/Mac OS/iOS
※Androidは、現在開発中です(クライアント証明書一覧への登録のみ対応しています)

 

Workspace ONE UEM連携によって可能になること:

 

クライアント証明書の一括発行

Workspace ONE UEMで管理する端末情報をもとに、クライアント証明書を一括発行できます。

SeciossLinkは、SeciossLinkのアカウント情報に紐づく端末情報をWorkspace ONE UEMから自動で取得します。その詳細な端末情報を元に、SeciossLinkはクライアント証明書を自動で登録します。クライアント証明書は、ユーザーが各自のユーザーポータルからダウンロードします。クライアント証明書のダウンロード時に複数の端末情報を確認し、厳密な端末管理を可能にします。
 

 

端末の順守ポリシーの確認

Workspace ONE UEMの順守ポリシーに準拠した端末以外のアクセスを拒否します。

SeciossLinkのアクセス時にWorkspace ONE UEMのコンプライアンス状態を確認し、コンプライアンス状態が非準拠の端末からのアクセスを防ぎます。

設定の流れ

Workspace ONE UEMとの連携に必要な設定は以下のとおりです。
※順守ポリシーを確認する場合にも、クライアント証明書のダウンロードが必要です。

  1. Workspace ONE UEMの設定
  2. トークンURLの取得
  3. SeciossLinkの設定

 

Workspace ONE UEMの設定

Workspace ONE UEMの連携設定をします。
Workspace ONE UEM側で必要となる設定は以下のとおりです。

確認
設定にはWorkspace ONE UEMのAdmin権限が必要です。
 

OAuth クライアント管理の設定

  1. Workspace ONE UEMの管理コンソールのグループと設定 > 構成 にある[OAuth クライアント管理]をクリックします。

     

  2. [追加]ボタンをクリックして、 OAuthクライアントを追加します。

     

  3. [名前]の項目で、任意のクライアント名とその説明を設定します。

     

  4. [組織グループ]の項目で、Workspace ONE UEMに設定された第一階層の組織グループを入力します。

    ※組織グループはWorkspace ONE UEMの初期構築時に設定されるデバイス管理を行うための管理単位で、グループと設定 > 組織グループ に表示されています。管理コンソール画面の上部にも第一階層の組織グループが表示されています。

     

  5. [役割]の項目で、プルダウンメニューから「Administrator_UserDefined」を選択します。

     

  6. [状態]スイッチはデフォルトで有効状態になっているため、そのまま下部の[保存]をクリックして設定を保存します。

     

  7.  OAuthクライアントの登録完了時にクライアントIDとクライアントシークレットが生成されます。

    ※OAuthクライアント作成後もクライアントIDは確認可能ですが、クライアントシークレットは作成直後のこの画面にのみ表示されます。後から再確認することはできないため、必ずこのページでクライアントシークレット情報を保存ください。

     

    クライアントシークレットの右側に表示されている目のアイコンをクリックすると、*表示でマスキングされているクライアントシークレットが表示されます。

    また、クリップボードのアイコンをクリックするとクライアントシークレットをコピーした状態になります。

     

    下部の[保存]をクリックして設定を保存します。以上でWorkspace ONE UEMの設定は完了です。

図 Workspace ONE UEMのOAuthクライアント画面の設定イメージ

 

 

表 Workspace ONE UEMのSyslogサーバー画面で設定する項目と説明

項目 説明
名前 任意のクライアント名を入力します。
説明 設定したクライアント名に対する説明を入力します。
組織グループ 第一階層の組織グループを設定します。
役割 プルダウンメニューから「Administrator_UserDefined」を選択します。
クライアントID OAuthクライアント作成時に生成されます。
※後から作成したOAuthクライアントの編集画面を開いて確認可能です。
クライアントシークレット OAuthクライアント作成時のみ生成されます。
※後から確認不可能なため、OAuthクライアント作成時に必ず保存ください。

 

確認
本機能では、Workspace ONE UEMで対象端末の登録が必要です。Workspace ONE UEMに端末情報を登録してください。
また、SeciossLinkはWorkspace ONE UEM側で対象端末が順守ポリシーに準拠/非準拠の判定された情報のみを
受け取ります。順守ポリシーの設定はユーザー環境ごとに設定を行ってください。

 

API URLの取得

  1. Workspace ONE UEMの管理コンソールのグループと設定 > すべての設定 をクリックします。

  2. 設定画面が開くので、システム > 高度な設定 をクリックします。

     

     

  3. 高度な設定画面より、API > REST API をクリックします。

     

  4. REST API画面の[REST API URL]を取得して保存します。

 

トークンURLの取得

以下のURLにアクセスして、トークンURLを取得します。

トークンURL取得ページ

[Datacenter and Token URLs for OAuth 2.0 Support]に表示されているトークン URL一覧から
「Region / Workspace ONE UEM SaaS Data Center Location」が「Tokyo (Japan)  / Japan」のToken URLを保存します。

SeciossLinkの設定

SeciossLinkの設定は以下のとおりです。

  1. SeciossLinkのUEM設定
  2. クライアント証明書の設定
  3. 順守ポリシーの確認をするための設定

 

ポイント
UEM設定以前から証明書認証を利用している場合
順守ポリシーを確認するための設定をする場合には、Workspace ONE UEMの端末情報と紐づけるため、
UEM設定後にクライアント証明書を再発行してください。

 

SeciossLinkのUEM設定

SeciossLinkの連携設定を行います。

  1. SeciossLinkの管理コンソールにて、(左メニューバー)端末 > 端末 を開き、上部タブ[UEM 設定]をクリックします。

     
  2. UEM設定画面が開きます。

     
  3. [UEM 設定]の項目で、プルダウンメニューから「Workspace ONE UEM」を選択します。

     
  4. [URL]の項目で、、Workspace ONE UEMのホスト名を入力します。
    ホスト名はWorkspace ONE UEM管理コンソールURLの太字部分(host-name.com)です。
     
  5. [API URL]の項目で、前述のAPI URLの取得で確認したREST API URLを選択します。
     
  6. [Token URL]の項目に、トークンURLの取得で確認したトークンURLを記入します。
     

  7. [クライアント ID]の項目にOAuthクライアントの登録で生成したクライアントIDを記入します。

     

  8. [クライアントシークレット]の項目にOAuthクライアントの登録時に保存したクライアントシークレットを記入します。

     

  9. すべての項目の設定が完了したら、下部の[保存]をクリックします。
     
  10. 以上でWorkspace ONE UEMの連携設定は完了です。

連携設定の完了後、SeciossLinkはWorkspace ONE UEMから端末情報を定期的に取得します。
ユーザー名の属性と紐づく端末が存在する場合は(左メニューバー)端末 > 端末 の一覧に自動で登録されます。
※連携設定の完了後にWorkspace ONE UEMから端末情報が自動取得されクライアント証明書も作成されるまで、
1時間ほどかかります。

 

図 Workspace ONE UEM設定画面の設定イメージ

 

表 SeciossLinkのUEM設定画面で設定する項目と説明

項目 説明
UEM 設定 「Workspace ONE UEM」を選択します。
URL

連携先Workspace ONE UEMのホスト名を入力します。
※以下はWorkspace ONE UEM管理コンソールのURLです。赤枠部分がホスト名です。
API URL Workspace ONE UEMの「REST API URL」を入力します。
Token URL トークンURL取得ページで確認した「トークンURL」を入力します。
クライアントID Workspace ONE UEMの「クライアントID」を入力します。
クライアントシークレット Workspace ONE UEMの「クライアントシークレット」を入力します。

※上記すべての項目を設定してください。設定後は必ず保存してください。

 

クライアント証明書の設定

確認
本機能では、 SeciossLinkのUEM設定を完了後に、Workspace ONE UEMに登録された端末情報がSeciossLinkに自動登録されると共に端末と紐づくユーザーアカウントのクライアント証明書が自動登録されます。自動登録されたクライアント証明書は未発行状態のため、以下の記事を参照して手動で証明書発行を行う必要があります。

参照する記事:UEM設定

 

クライアント証明書が発行状態になった後は、証明書をインポートする端末からSeciossLinkのユーザーポータルにログインして、以下の記事を参照してクライアント証明書をダウンロードのうえでインポートを実行してください。

参照する記事:クライアント証明書申請

 

順守ポリシーの確認をするための設定

SeciossLinkのアクセス時に端末の順守ポリシーを確認するための設定を行います。

ポイント
順守ポリシーの確認を行うタイミングについて
本機能を使用するには、認証ルールまたはアクセス権限の認証方式に「証明書認証」を設定する必要があります。
順守ポリシーの確認は、SeciossLinkから要求される証明書認証においてWorkspace ONE UEMの端末情報と紐づくクライアント証明書をもとに実行されます。証明書認証の設定方法については、以下の記事を参照してください。

参照する記事:
認証ルールを設定する

アクセス権限を設定する


順守ポリシーの確認をするための設定は、アクセス権限の画面から以下の手順で行います。  

  1. SeciossLinkの管理コンソールにて、(左メニューバー)アクセス権限 > 一覧 を開き、順守ポリシーの確認をしたいアクセス権限設定の編集ボタン(mceclip1.png)をクリックします。

     
  2. アクセス権限編集画面が開くので、上部タブ[許可する端末]をクリックします。

     

  3. UEM 設定でWorkspace ONE UEMを設定することにより、[デバイスのコンプライアンスポリシー準拠]という項目が許可する端末の設定画面に表示されます。「デバイスのコンプライアンスポリシーをチェックする」にチェックを入れます。

    ※[デバイスのコンプライアンスポリシー準拠]の項目が無い場合は、UEM設定の完了していない可能性があります。
    SeciossLinkのUEM設定を再度ご確認ください。

     

  4. 下部の[更新]をクリックします。
    以上で順守ポリシーを確認するための設定は完了です。

以上の設定を完了することで、SeciossLinkにアクセスするとインポートしたクライアント証明書を元に証明書認証が行われると同時にWorkspace ONE UEM側で対象端末が順守ポリシーに準拠しているかどうかのチェックが行われます。
ポリシー準拠の端末はアクセスが正常に行われ、ポリシー非準拠の端末はアクセスが遮断されます。