MDM / UEM連携

MDM / UEMにおける電子証明書

iOSやAndroidだけでなく、Windows、macOS、Chrome OSを含めた企業内のモバイルデバイスの増加に伴い、MDM(モバイルデバイス管理)やUEM(統合エンドポイント管理)と呼ばれるシステムを導入する企業が増えています。

MDM / UEMには、管理下のデバイスに様々な設定を送り込むことができます。電子証明書もその一つです。多くのMDM / UEMは、サービス内に認証局機能を持っていて、システム内での認証に電子証明書を利用しています。

しかしOffice 365をはじめとするクラウドサービスやLAN、リモートアクセスなど、システム外の認証にMDM / UEMが発行した証明書を使うには、セキュリティ上の問題が発生する場合があります。(悪意の第三者が同一のMDM / UEMを使って他者名義の証明書を発行できるなど)

一方で、いくつかのMDM / UEMでは外部の認証局が発行した証明書を、管理下のデバイスに配布する機能を持っています。GléasはMDM / UEMとの連携のため、SCEP(Simple Certificate Enrollment Protocol)や、外部システム連携APIによる証明書発行に対応しています。

GléasとMDM / UEMの連携

GléasとMDM / UEMの連携

ユーザがデバイスをMDM / UEMにチェックインさせると、MDM / UEMはユーザのステータスに応じてGléasに証明書発行依頼を送ります。Gléasは証明書を発行し、MDM / UEMに電子証明書を返信します。

MDM / UEMはデバイスに証明書をプッシュ送信します。この際、証明書と同時にActiveSync、無線LAN、VPNなどの設定を構成プロファイルとして含めることができます。

ユーザはデバイスをチェックインするだけで、証明書だけでなく、メールや無線LAN、リモートアクセスへの接続設定が自動でインストールされるため、キッティングの負担を大幅に軽減できます。

Per-App VPN

Per-App VPNは、MDM / UEMによって特定のアプリの通信を自動的にVPN経由にするものです。特定のアプリ起動によって自動的にVPNへ接続するため、認証には一般的にクライアント証明書が使われます。VPNへは、特定のアプリ以外では接続されません。

メジャーなMDM / UEMでは、Per-App VPNの認証に使用するクライアント証明書に、MDM / UEMが提供する認証局以外に、3rdパーティの認証局が発行した証明書も利用できるようになっています。

Per-App VPNの設定によって、MDM / EMMの管理外のデバイスではVPNに接続できないようにする(証明書がないから)、あるいは管理外のアプリではVPNに接続できないようにする(VPNが使えないから)、といったセキュアな運用ができます。

Per-App VPN

事例

関連ニュース