[JUMG #31 登壇資料]OktaとMicrosoft Entra IDと、時々、MDE

Transcript

1. OktaとMicrosoft Entra IDと、時々、MDE 株式会社IVRy Corporate IT & Security Kazuya Endo

2. 1. ⾃⼰紹介 2. 会社/プロダクト紹介 3. 運⽤者から⾒たOktaとMicrosoft Entra IDの違い 4. それぞれのIdPとJamf

   Pro 5. Jamf ProとMicrosoft Defender for Endpoint 6. 最後に 7. QAタイム

3. ⾃⼰紹介

4. 4 ⾃⼰紹介 株式会社IVRy Corporate IT & Security Kazuya Endo [直近の職歴]

   2017/09~ 地⽅救急病院の情シス 2019/12~ 某スタートアップ企業の1⼈⽬Corporate IT 2024/09~ IVRy(アイブリー)の2⼈⽬Corporate IT [好きなもの] 福岡のうどん

5. 5 実は、JMUG Fukuoka Ownerです🙌 2023/1に福岡で開催された、JMUG Fukuoka #1の様⼦ 開催⽇は数年に1度の⼤雪(九州⽐)でした

6. 会社/プロダクト紹介

7. None
8. None
9. None
10. None
11. None

12. 今回お話しする内容

13. 13 今回お話しする内容 情シスSlackのアドカレに寄稿した内容 + Jamf Pro(とMDE)を絡めたお話します。

14. 運⽤者から⾒たOktaとMicrosoft Entra IDの違い

15. 15 アプリケーションの付与 Oktaの場合: ユーザーの画⾯から直接アプリを割り当てられる

16. 16 アプリケーションの付与 Entra IDの場合: ユーザーやグループの画⾯から直接アプリは付与出来ない

17. 17 アプリケーションの付与 (推測)アプリケーションの建て付けや構造の違いが操作にも現れている？ [Okta] それぞれの機能が単体として存在しているように ⾒える [Entra ID] 主となる機能(アプリなど)にサブ機能がついている ように⾒える

18. 18 グループの検索 Okta: グループの検索が前⽅⼀致なのでprefixが重要 雇⽤形態_正社員というグループを探したい場合 「正社員」では検索に引っかからない 「雇⽤形態_」なら検索に引っかかる

19. 19 グループの検索 Entra ID: 検索モードを指定できる 部分⼀致検索が出来るモードが存在する（歓喜）

20. 20 プロビジョニング プロビジョニングサイクルの違い 通常40分ごとの定期的な同期スケジュールに基づいて プロビジョニングするよ！ 即時プロビジョニングするよ！

21. 21 プロビジョニング Entra ID: オンデマンドプロビジョニング ただし、オンデマンドプロビジョニングでは⼀度に最⼤5ユーザーまでしか指定できない。

22. 22 プロビジョニング Okta: プロビジョニングで設定出来る項⽬が多い アプリにもよるが、細かい制御が出来ることも多い（例はMicrosoft 365） 項⽬がAPI名になっている ことが多いので、必要な 設定を探すのに⼿間は掛 かる。

23. 23 ユーザープロファイル ユーザー個別にマッピングを変更したい場合 アプリの割り当て画⾯からユーザー単位で マッピングを変更することが出来る ユーザー単位でマッピング変更するなら 式の設定が必要

24. 24 ユーザープロファイル Okta: 独⾃のユーザー項⽬を作ることが出来る(APIでのRead/Writeも可) ユーザ権限を割り当てるこ とで、ユーザー⾃⾝に⼊⼒ してもらうことも出来る。

25. それぞれのIdPとJamf Pro

26. 26 Okta と Entra IDに共通する部分 Enroll時の登録カスタマイゼーションの挙動は変わらない

27. 27 Okta × Jamf Pro Okta Verifyでパスワードレス認証を実現

28. 28 Okta × Jamf Pro Jamf Proからplistを配布すると初回起動時にテナントを指定できる https://zenn.dev/jyosysmiler/articles/78a9b29bc80b4b

29. 29 Okta × Jamf Pro Jamf ProからSCEP証明書を配布すると Okta Verifyと組み合わせてデバイストラストができる Jamf

    ProでSCEPの設定 + PSSOeの設定→Okta FastPassで認証を通す→デバイスが管理対象(Managed)になる。

30. 30 Microsoft Entra ID × Jamf Pro Platform SSOの設定は⼿順が少し多め Companyポータルインストール

    + plistの配布でトースト通知が表⽰さ れる。 “続ける”を押すと、Entra IDの認証 を求められる。

31. 31 Microsoft Entra ID × Jamf Pro 最終的にこの設定が分かりづらい（のでマニュアルが重要）

32. 32 Microsoft Entra ID × Jamf Pro デバイスコンプライアンスの運⽤が⾟そう（に⾒える） https://speakerdeck.com/ken_hikita/entra-idtojamfdeshi-xian-surujin-rong-ye-jie-nosekiyuriteidui-ce-debaisutorasutohenodao-nori とは⾔え、Oktaでも謎に管理対象にならないパターンが⼀定存在する。

33. 33 Okta Verify と Entra ID × PSSOe OktaユーザーはOkta Verifyで、Entra

    IDユーザーはPSSOeで シームレスな認証を実現 • Okta Verify ◦ 「Okta FastPassでサインイン」から、Touch IDやWindows Helloだけのパスワードレス認証を実現 ◦ 都度認証を求めて評価することができる • Entra ID × PSSOe ◦ デバイス⾃体をパスキーとして登録してパスワードレス認証を実現 ◦ ただしSafari or Google Chromeのみ対応 ▪ ChromeはMicrosoft Single Sign On(拡張機能)が必要 ◦ ⼀度登録すると基本的に再認証されない

34. Jamf ProとMicrosoft Defender for Endpoint

35. 35 Jamf ProとMicrosoft Defender for Endpoint Jamf ProでMDEを配布する前にまず思ったこと 「いや、⼿順多いな！！！！！」 https://learn.microsoft.com/ja-jp/defender-endpoint/mac-jamfpro-policies

36. 36 Jamf ProとMicrosoft Defender for Endpoint 安⼼してください、GitHubに設定ファイルがアップロードされていますよ。 schema.jsonやmobileconfigファイルは基本的にアップロードするだけでOK https://github.com/microsoft/mdatp-xplat/tree/master/macos/schema

37. 37 Jamf ProとMicrosoft Defender for Endpoint 結局、構成プロファイルはこうなった。 ⼤なり⼩なり、EPP+EDRのようなアプリの構成プロファ イルはこうなってしまうので、しょうがない気持ちもあ る。

    （余談） 皆さんは構成プロファイルの名前、どうやって決めています か？

38. 38 Jamf ProとMicrosoft Defender for Endpoint MDEの設定、どうやって管理するの問題 スキャンの設定、外部記憶媒体のブロック、例外許可を全部構成プロファイルで管理している？

39. 最後に

40. 40 最後に Entra IDとJamf Pro導⼊からまだ半年… 基本的な設定は終えて導⼊&展開まで完了したが、まだまだ改善できる 箇所もあるしやりたい気持ちもある。 例：デバイスコンプライアンスの検証やSelf Serviceの充実、MDEの細 かい設定など

    が、全社的に優先させるべきことを先に⼿をつけている状態。

41. We are Hiring !!! 詳しい採⽤情報はこちら https://ivry-jp.notion.site/IVRy-127eea80adae80 1397a4e4d7ea74e291

42. QAタイム!!