Kerberos の制約付き委任(KCD)を使用した導入スキーム
Kerberos 制約付き委任 (KCD) で導入スキームを使用するには、次の要件を満たす必要があります:
- 管理サーバーと iOS MDM サーバーは、組織の内部ネットワーク上に配置されます。
- KCD をサポートする企業ファイアウォールが使用されています。
この導入スキームでは以下が実現されます:
- KCD をサポートする企業ファイアウォールとの統合
- KCD を使用したモバイルデバイスの認証
- PKI との統合によるユーザー証明書の適用
この導入スキームを使用する場合、以下を実行する必要があります:
- 管理コンソールの iOS MDM Web サービスの設定で[Kerberos の制約付き委任との互換性を確保する]をオンにします。
- iOS MDM ウェブサービスの証明書として、iOS MDM Web サービスが企業ファイアウォールで公開された時に定義されたカスタマイズ証明書を指定します。
- iOS デバイスのユーザー証明書は、ドメインの Certificate Authority(CA)によって発行される必要があります。ドメインに複数のルート CA がある場合、ユーザー証明書は、iOS MDM Web サービスが企業ファイアウォールで公開された時に指定された CA によって発行される必要があります。
以下の方法のいずれかを使用して、ユーザー証明書が、この CA の発行要件を満たしていることを確認できます:
- 新しい iOS MDM プロファイルウィザードと証明書インストールウィザードでユーザー証明書を指定します。
- 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します:
- コンソールツリーで、[モバイルデバイス管理]フォルダーを展開し、[証明書]サブフォルダーを選択します。
- [証明書]フォルダーの作業領域で[証明書の発行ルールを指定する]をクリックして[証明書発行ルール]ウィンドウを表示します。
- [PKI(公開鍵基盤)の統合]セクションで、公開鍵基盤との統合を設定します。
- [モバイル証明書の発行]セクションで、証明書のソースを指定します。
以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:
- iOS MDM Web サービスがポート 443 で実行されている
- 企業ファイアウォールを備えたデバイスの名前は、firewall.mydom.local です
- iOS MDM Web サービスがインストールされたデバイスの名前が iosmdm.mydom.local である
- iOS MDM Web サービスの外部公開名が iosmdm.mydom.global である
http/iosmdm.mydom.local のサービスプリンシパル名
ドメインで、iOS MDM Web サービスがインストールされたデバイス(iosmdm.mydom.local)のサービスプリンシパル名(SPN)を次のように登録する必要があります:
setspn -a http/iosmdm.mydom.local iosmdm
企業ファイアウォール(firewall.mydom.local)でデバイスのドメインプロパティを設定します
トラフィックを委任するには、SPN によって定義されたサービス(http/iosmdm.mydom.local)に対して企業ファイアウォール(firewall.mydom.local)を備えたデバイスを信頼します。
SPN によって定義されたサービス(http/iosmdm.mydom.local)に対して企業ファイアウォールを備えたデバイスを信頼するには、管理者は以下の操作を実行する必要があります:
- 「Active Directory Users and Computers」という名前の Microsoft 管理コンソールスナップインで、企業ファイアウォールがインストールされているデバイス(firewall.mydom.local)を選択します。
- デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
- SPN(http/iosmdm.mydom.local)を[このアカウントが委任された資格情報を提供できるサービス]リストに追加します。
公開された Web サービス(iosmdm.mydom.global)向けの専用(カスタマイズ済み)の証明書
FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用(カスタマイズ済み)の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。
証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。
企業ファイアウォールでの iOS MDM Web サービスの公開
企業ファイアウォール上で、モバイルデバイスから iosmdm.mydom.global のポート 443 に向かうトラフィックについては、FQDN(iosmdm.mydom.global)に対して発行された証明書を使用して、SPN(http/iosmdm.mydom.local)上で KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。