Workspace ONEでのOffice 365クライアント証明書認証
Gléasで発行したクライアント証明書を使って、Office 365の認証をVMware Workspace ONEに委任し、クライアント証明書認証をする動作確認をおこないました。
設定手順PDF (3MB)
Workspace ONEにはあらかじめGléasを信頼する認証局として登録し、証明書の失効情報を確認できるようにしておきます。Gléasからクライアント証明書をインポートしたWindowsで、ブラウザ、Word/Excelなどのネイティブアプリを使ってOffice 365へアクセスすると、Office 365は認証をWorkspace ONEに委任します。
Workspace ONEはユーザにクライアント証明書をリクエストし、証明書認証が行われ、有効な証明書が提示されればOffice 365にログインできます。
Workspace ONEでのデバイスコンプライアンスチェック
iOSでは、Office 365ログインの認証時に、デバイスのコンプライアンスチェックを必須とする検証をしました。iOSがWorkspace ONEの管理下となると、Workspace ONEは収集したiOSデバイスの端末識別情報を含めた証明書発行要求をGléasに送ります。
Gléasは証明書にiOSの端末識別情報を含めて発行し、Workspace ONEに返送します。Workspace ONEはデバイスにクライアント証明書をプッシュ配信します。
証明書が配布されたiOSデバイスで、ブラウザまたはWorkspace ONEアプリでOffice 365へアクセスする、あるいはOfficeアプリを起動すると、Workspace ONEでクライアント証明書認証がおこなわれます。
さらに、Workspace ONEは証明書に記載された端末識別情報をもとに、Workspace ONEで収集しているデバイスのセキュリティポリシー遵守状況(OSのバージョン、アプリ情報、ディスク暗号化、パスコードポリシーなど)を確認し、ポリシーが遵守されている端末であればOffice 365へのアクセスを許可します。
問題がある場合はOffice 365への接続を拒否します。
このソリューションにより、Office 365へアクセスするデバイスをクライアント証明書認証によって限定するだけでなく、セキュリティポリシーを遵守しているかのチェックを通すことで、端末の脆弱性によってOfficeデータが流出するのを防ぐことができます。