サポート

法人向けアプリケーション

Kaspersky Security Center 13

Kaspersky Security Center 13.2

導入のベストプラクティス

モバイルデバイス管理システムの導入

iOS MDM プロトコルを使用した管理システムの導入

Kerberos の制約付き委任(KCD)を使用した導入スキーム
Kaspersky Security Center
Нет результатов
Нет результатов
サポートサイト オンラインヘルプ
よくある質問まとめ (FAQ) 最新バージョンに移行する 購入 更新 フォーラム (英語) サポートへ問い合わせる 無料ツール

Kerberos の制約付き委任(KCD)を使用した導入スキーム

2023年4月17日

ID 92516

Kerberos の制約付き委任(KCD)を使用した導入スキームでは、管理サーバーと iOS MDM サーバーが組織の社内ネットワークになければなりません。

この導入スキームでは以下が実現されます:

  • Microsoft Forefront TMG との統合
  • KCD を使用したモバイルデバイスの認証
  • PKI との統合によるユーザー証明書の適用

この導入スキームを使用する場合、以下を実行する必要があります:

  • 管理コンソールの iOS MDM Web サービスの設定で[Kerberos の制約付き委任との互換性を確保する]をオンにします。
  • iOS MDM Web サービスが TMG で公開された際に定義されたカスタマイズ済みの証明書を、iOS MDM Web サービスの証明書として指定します。
  • iOS デバイスのユーザー証明書は、ドメインの Certificate Authority(CA)によって発行される必要があります。ドメインに複数のルート CA がある場合、ユーザー証明書は、iOS MDM Web サービスが TMG で公開された際に指定された CA によって発行される必要があります。

    以下の方法のいずれかを使用して、ユーザー証明書が、この CA の発行要件を満たしていることを確認できます:

    • 新しい iOS MDM プロファイルウィザードと証明書インストールウィザードでユーザー証明書を指定します。
    • 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します:
      1. コンソールツリーで、[モバイルデバイス管理]フォルダーを展開し、[証明書]サブフォルダーを選択します。
      2. 証明書]フォルダーの作業領域で[証明書の発行ルールを指定する]をクリックして[証明書発行ルール]ウィンドウを表示します。
      3. PKI(公開鍵基盤)の統合]セクションで、公開鍵基盤との統合を設定します。
      4. モバイル証明書の発行]セクションで、証明書のソースを指定します。

以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:

  • iOS MDM Web サービスがポート 443 で実行されている
  • TMG がインストールされたデバイスの名前が tmg.mydom.local である
  • iOS MDM Web サービスがインストールされたデバイスの名前が iosmdm.mydom.local である
  • iOS MDM Web サービスの外部公開名が iosmdm.mydom.global である

http/iosmdm.mydom.local のサービスプリンシパル名

ドメインで、iOS MDM Web サービスがインストールされたデバイス(iosmdm.mydom.local)のサービスプリンシパル名(SPN)を次のように登録する必要があります:

setspn -a http/iosmdm.mydom.local iosmdm

TMG がインストールされたデバイス(tmg.mydom.local)のドメインプロパティの設定

トラフィックを委任するには、SPN(http/iosmdm.mydom.local)によって定義されたサービスに対して TMG がインストールされたデバイス(tmg.mydom.local)を信頼します。

SPN(http/iosmdm.mydom.local)によって定義されたサービスに対して TMG がインストールされたデバイス(tmg.mydom.local)を信頼するには、管理者は以下の操作を実行する必要があります:

  1. 「Active Directory ユーザーとコンピューター」という名前の Microsoft 管理コンソールスナップインで、TMG がインストールされたデバイス(tmg.mydom.local)を選択します。
  2. デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
  3. SPN(http/iosmdm.mydom.local)を[このアカウントが委任された資格情報を提供できるサービス]リストに追加します。

公開された Web サービス(iosmdm.mydom.global)向けの専用(カスタマイズ済み)の証明書

FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用(カスタマイズ済み)の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。

証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。

TMG での iOS MDM Web サービスの公開

TMG で、モバイルデバイスから iosmdm.mydom.global のポート 443 へ向かうトラフィックに対して、FQDN(iosmdm.mydom.global)用に発行された証明書を使用して、SPN(http/iosmdm.mydom.local)の KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。

関連項目:

標準設定:DMZ 内の Kaspersky Device Management for iOS

公開鍵基盤との統合

Kaspersky Security Center:定常業務を最適化。
どこからでも、どのデバイスでも使用できるパワフルなコンソールでセキュリティとシステムを管理。Endpoint Security for Business Advanced の一部として購入。
拡張テクニカルサポート(MSA):優先度の高いインシデント対応
電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約(MSA)をアクティブ化。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。