iOS

iOSへの電子証明書配布

GléasからiOSへの電子証明書配布は、SafariでGléasのユーザ用ウェブ画面にアクセスすることで行われます。

電子証明書は構成プロファイルと呼ばれる形式にまとめられ、Wi-Fiの接続設定、VPNの接続設定(BIG-IP APM、PulseSecure、Cisco AnyConnect、Cato Cloud、PaloAlto GlobalProtect など)、Exchange ActiveSyncの接続設定、MDMサーバ設定を含めることができます。

iOSにインポートされた構成プロファイルは、別の端末にコピーすることはできないため端末制限に最適です。

インポートワンス機能

インポートワンス

個々の電子証明書のインポートを1回に制限するのがインポートワンス機能です。

インポートワンス機能が無効になっている場合は、アカウントが有効なユーザーであれば、1枚の証明書を複数の端末にインポートできます。インポートワンス機能が有効になっている場合は、2回目以降の証明書インポートはできません。

Gléasのユーザ用ウェブページからデバイスにインポートされた電子証明書は、秘密鍵のエクスポート不可設定がされているため、他のデバイスにコピーすることができません。

インポートワンス機能を有効にすることで、個々の電子証明書が使える端末を1台に限定することができます。

電子証明書配布対象となるiOS端末の限定

証明書インポート可能なiOSデバイスを限定

クライアント証明書配布対象となるiOSデバイスの端末識別情報(UDID/IMEI)を事前にGléasに登録し、iOSが証明書取得のためGléasのユーザ用ウェブ画面にアクセスする際に、事前登録のあるデバイスだけに電子証明書を発行し、登録がない場合は電子証明書の発行を拒否する設定ができます。

会社でまとめてiOSを購入し、端末識別情報をGléasに一括登録するような運用の他にも、BYODの端末識別情報を個別にGléasに登録することで、会社が認識するiOSだけに証明書を配布して、社内システムやOffice 365などのクラウドサービスへのアクセスを許可するような運用も可能です。

モバイルデバイス管理(MDM)

Gléasは構成プロファイルの中に、パスコード強制、暗号化バックアップ強制、カメラ、Safari、Appインストールなどの許可設定を含めることができます。

モバイルデバイス管理(MDM)は、iPhoneやiPadを管理するため、構成プロファイル、無線(OTA)登録、Appleプッシュ通知サービスなど、iOSテクノロジーを基に構築されています。GléasのMDMを使えば、管理下のiPhoneやiPadに、下記の操作をリモートで実施できます。

Gléasから発行された電子証明書を含む構成プロファイルのインストール
デバイス情報の収集
リモートワイプ(強制初期化)
デバイスロック
パスコードリセット
構成プロファイルの遠隔削除

例えば、BYOD(Bring Your Own Device:社員の個人所有のデバイス)のiOSデバイスを持つ社員が退職する場合、管理者はGléasからインストールした構成プロファイル(クライアント証明書、Wi-Fi、ActiveSync、VPNなど)を遠隔削除(アンインストール)することで、当該iOSデバイスを自社ネットワークから切り離すことができます。

また、iOSデバイスの紛失・盗難などがあった際には、リモートワイプやデバイスロックをすることで情報漏えいを防ぐことができます。

Workspace ONE UEM や MobileIron などの MDM / UEM を利用している場合は、Gléas の MDM 機能は使わずに認証局機能だけをこれら MDM サービスと連携して利用するといった使い方も可能です。