Workspace ONE Access での Office 365 クライアント証明書認証
Gléas で発行したクライアント証明書を使って、Office 365 の認証を VMware Workspace ONE Access (旧称 VMware Identity Manager) に委任し、クライアント証明書認証をする動作確認をおこないました。
設定手順PDF (3MB)
Workspace ONE Access にはあらかじめ Gléas を信頼する認証局として登録し、また証明書の失効情報を確認できるようにしておきます。Gléas からクライアント証明書をインポートした Windows端末で、ブラウザおよび Word / Excel などのネイティブアプリを使って Office 365 へアクセスすると、Office 365 は認証を Workspace ONE Access に委任します。
Workspace ONE Access はユーザにクライアント証明書をリクエストし、有効な証明書が提示されれば Office 365 にログインできます。
Workspace ONEでのデバイスコンプライアンスチェック
iOSでは、Office 365 ログインの認証時に、デバイスのコンプライアンスチェックを必須とする検証をしました。iOS が Workspace ONE Access の管理下となると、Workspace ONE Access は収集した iOS デバイスの端末識別情報を含めた証明書発行要求を Gléas に送ります。
Gléas は証明書に iOS の端末識別情報を含めて発行し、Workspace ONE Access に返送します。Workspace ONE Access はデバイスにクライアント証明書をプッシュ配信します。
証明書が配布された iOS デバイスで、ブラウザまたは Workspace ONE アプリで Office 365 へアクセスする、あるいは Office アプリを起動すると、Workspace ONE Access でクライアント証明書認証がおこなわれます。
さらに、Workspace ONE Access は証明書に記載された端末識別情報をもとに、Workspace ONE Access で収集しているデバイスのセキュリティポリシー遵守状況(OS のバージョン、アプリ情報、ディスク暗号化、パスコードポリシーなど)を確認し、ポリシーが遵守されている端末であれば Office 365 へのアクセスを許可します。
問題がある場合は Office 365 への接続を拒否します。
このソリューションにより、Office 365 へアクセスするデバイスをクライアント証明書認証によって限定するだけでなく、セキュリティポリシーを遵守しているかのチェックを通すことで、端末の脆弱性によって Office データが流出するのを防ぐことができます。