サポート

法人向けアプリケーション

Kaspersky Security Center 14

Kaspersky Security Center 14.2

導入のベストプラクティス

モバイルデバイス管理システムの導入

iOS MDM プロトコルを使用した管理システムの導入

Kerberos の制約付き委任(KCD)を使用した導入スキーム
Kaspersky Security Center
Нет результатов
Нет результатов
サポートサイト オンラインヘルプ
よくある質問まとめ (FAQ) ダウンロード 購入 更新 フォーラム (英語) サポートへ問い合わせる 無料ツール

Kerberos の制約付き委任(KCD)を使用した導入スキーム

2024年4月24日

ID 92516

PDF として入手

Kerberos 制約付き委任 (KCD) で導入スキームを使用するには、次の要件を満たす必要があります:

  • 管理サーバーと iOS MDM サーバーは、組織の内部ネットワーク上に配置されます。
  • KCD をサポートする企業ファイアウォールが使用されています。

この導入スキームでは以下が実現されます:

  • KCD をサポートする企業ファイアウォールとの統合
  • KCD を使用したモバイルデバイスの認証
  • PKI との統合によるユーザー証明書の適用

この導入スキームを使用する場合、以下を実行する必要があります:

  • 管理コンソールの iOS MDM Web サービスの設定で[Kerberos の制約付き委任との互換性を確保する]をオンにします。
  • iOS MDM ウェブサービスの証明書として、iOS MDM Web サービスが企業ファイアウォールで公開された時に定義されたカスタマイズ証明書を指定します。
  • iOS デバイスのユーザー証明書は、ドメインの Certificate Authority(CA)によって発行される必要があります。ドメインに複数のルート CA がある場合、ユーザー証明書は、iOS MDM Web サービスが企業ファイアウォールで公開された時に指定された CA によって発行される必要があります。

    以下の方法のいずれかを使用して、ユーザー証明書が、この CA の発行要件を満たしていることを確認できます:

    • 新しい iOS MDM プロファイルウィザードと証明書インストールウィザードでユーザー証明書を指定します。
    • 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します:
      1. コンソールツリーで、[モバイルデバイス管理]フォルダーを展開し、[証明書]サブフォルダーを選択します。
      2. 証明書]フォルダーの作業領域で[証明書の発行ルールを指定する]をクリックして[証明書発行ルール]ウィンドウを表示します。
      3. PKI(公開鍵基盤)の統合]セクションで、公開鍵基盤との統合を設定します。
      4. モバイル証明書の発行]セクションで、証明書のソースを指定します。

以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:

  • iOS MDM Web サービスがポート 443 で実行されている
  • 企業ファイアウォールを備えたデバイスの名前は、firewall.mydom.local です
  • iOS MDM Web サービスがインストールされたデバイスの名前が iosmdm.mydom.local である
  • iOS MDM Web サービスの外部公開名が iosmdm.mydom.global である

http/iosmdm.mydom.local のサービスプリンシパル名

ドメインで、iOS MDM Web サービスがインストールされたデバイス(iosmdm.mydom.local)のサービスプリンシパル名(SPN)を次のように登録する必要があります:

setspn -a http/iosmdm.mydom.local iosmdm

企業ファイアウォール(firewall.mydom.local)でデバイスのドメインプロパティを設定します

トラフィックを委任するには、SPN によって定義されたサービス(http/iosmdm.mydom.local)に対して企業ファイアウォール(firewall.mydom.local)を備えたデバイスを信頼します。

SPN によって定義されたサービス(http/iosmdm.mydom.local)に対して企業ファイアウォールを備えたデバイスを信頼するには、管理者は以下の操作を実行する必要があります:

  1. 「Active Directory Users and Computers」という名前の Microsoft 管理コンソールスナップインで、企業ファイアウォールがインストールされているデバイス(firewall.mydom.local)を選択します。
  2. デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
  3. SPN(http/iosmdm.mydom.local)を[このアカウントが委任された資格情報を提供できるサービス]リストに追加します。

公開された Web サービス(iosmdm.mydom.global)向けの専用(カスタマイズ済み)の証明書

FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用(カスタマイズ済み)の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。

証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。

企業ファイアウォールでの iOS MDM Web サービスの公開

企業ファイアウォール上で、モバイルデバイスから iosmdm.mydom.global のポート 443 に向かうトラフィックについては、FQDN(iosmdm.mydom.global)に対して発行された証明書を使用して、SPN(http/iosmdm.mydom.local)上で KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。

関連項目:

標準設定:DMZ 内の Kaspersky Device Management for iOS

公開鍵基盤との統合

Kaspersky Security Center:定常業務を最適化。
どこからでも、どのデバイスでも使用できるパワフルなコンソールでセキュリティとシステムを管理。Endpoint Security for Business Advanced の一部として購入。
拡張テクニカルサポート(MSA):優先度の高いインシデント対応
電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約(MSA)をアクティブ化。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。