Kerberos の制約付き委任(KCD)を使用した導入スキーム
2023年4月17日
ID 92516
Kerberos の制約付き委任(KCD)を使用した導入スキームでは、管理サーバーと iOS MDM サーバーが組織の社内ネットワークになければなりません。
この導入スキームでは以下が実現されます:
- Microsoft Forefront TMG との統合
- KCD を使用したモバイルデバイスの認証
- PKI との統合によるユーザー証明書の適用
この導入スキームを使用する場合、以下を実行する必要があります:
- 管理コンソールの iOS MDM Web サービスの設定で[Kerberos の制約付き委任との互換性を確保する]をオンにします。
- iOS MDM Web サービスが TMG で公開された際に定義されたカスタマイズ済みの証明書を、iOS MDM Web サービスの証明書として指定します。
- iOS デバイスのユーザー証明書は、ドメインの Certificate Authority(CA)によって発行される必要があります。ドメインに複数のルート CA がある場合、ユーザー証明書は、iOS MDM Web サービスが TMG で公開された際に指定された CA によって発行される必要があります。
以下の方法のいずれかを使用して、ユーザー証明書が、この CA の発行要件を満たしていることを確認できます:
- 新しい iOS MDM プロファイルウィザードと証明書インストールウィザードでユーザー証明書を指定します。
- 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します:
- コンソールツリーで、[モバイルデバイス管理]フォルダーを展開し、[証明書]サブフォルダーを選択します。
- [証明書]フォルダーの作業領域で[証明書の発行ルールを指定する]をクリックして[証明書発行ルール]ウィンドウを表示します。
- [PKI(公開鍵基盤)の統合]セクションで、公開鍵基盤との統合を設定します。
- [モバイル証明書の発行]セクションで、証明書のソースを指定します。
以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:
- iOS MDM Web サービスがポート 443 で実行されている
- TMG がインストールされたデバイスの名前が tmg.mydom.local である
- iOS MDM Web サービスがインストールされたデバイスの名前が iosmdm.mydom.local である
- iOS MDM Web サービスの外部公開名が iosmdm.mydom.global である
http/iosmdm.mydom.local のサービスプリンシパル名
ドメインで、iOS MDM Web サービスがインストールされたデバイス(iosmdm.mydom.local)のサービスプリンシパル名(SPN)を次のように登録する必要があります:
setspn -a http/iosmdm.mydom.local iosmdm
TMG がインストールされたデバイス(tmg.mydom.local)のドメインプロパティの設定
トラフィックを委任するには、SPN(http/iosmdm.mydom.local)によって定義されたサービスに対して TMG がインストールされたデバイス(tmg.mydom.local)を信頼します。
SPN(http/iosmdm.mydom.local)によって定義されたサービスに対して TMG がインストールされたデバイス(tmg.mydom.local)を信頼するには、管理者は以下の操作を実行する必要があります:
- 「Active Directory ユーザーとコンピューター」という名前の Microsoft 管理コンソールスナップインで、TMG がインストールされたデバイス(tmg.mydom.local)を選択します。
- デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
- SPN(http/iosmdm.mydom.local)を[このアカウントが委任された資格情報を提供できるサービス]リストに追加します。
公開された Web サービス(iosmdm.mydom.global)向けの専用(カスタマイズ済み)の証明書
FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用(カスタマイズ済み)の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。
証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。
TMG での iOS MDM Web サービスの公開
TMG で、モバイルデバイスから iosmdm.mydom.global のポート 443 へ向かうトラフィックに対して、FQDN(iosmdm.mydom.global)用に発行された証明書を使用して、SPN(http/iosmdm.mydom.local)の KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。