Tweet
Tweet

Slide 1

Slide 1 text

OktaとMicrosoft Entra IDと、時々、MDE 株式会社IVRy Corporate IT & Security Kazuya Endo

Slide 2

Slide 2 text

1. ⾃⼰紹介 2. 会社/プロダクト紹介 3. 運⽤者から⾒たOktaとMicrosoft Entra IDの違い 4. それぞれのIdPとJamf Pro 5. Jamf ProとMicrosoft Defender for Endpoint 6. 最後に 7. QAタイム

Slide 3

Slide 3 text

⾃⼰紹介

Slide 4

Slide 4 text

4 ⾃⼰紹介 株式会社IVRy Corporate IT & Security Kazuya Endo [直近の職歴] 2017/09~ 地⽅救急病院の情シス 2019/12~ 某スタートアップ企業の1⼈⽬Corporate IT 2024/09~ IVRy(アイブリー)の2⼈⽬Corporate IT [好きなもの] 福岡のうどん

Slide 5

Slide 5 text

5 実は、JMUG Fukuoka Ownerです🙌 2023/1に福岡で開催された、JMUG Fukuoka #1の様⼦ 開催⽇は数年に1度の⼤雪(九州⽐)でした

Slide 6

Slide 6 text

会社/プロダクト紹介

Slide 7

Slide 7 text

No content

Slide 8

Slide 8 text

No content

Slide 9

Slide 9 text

No content

Slide 10

Slide 10 text

No content

Slide 11

Slide 11 text

No content

Slide 12

Slide 12 text

今回お話しする内容

Slide 13

Slide 13 text

13 今回お話しする内容 情シスSlackのアドカレに寄稿した内容 + Jamf Pro(とMDE)を絡めたお話します。

Slide 14

Slide 14 text

運⽤者から⾒たOktaとMicrosoft Entra IDの違い

Slide 15

Slide 15 text

15 アプリケーションの付与 Oktaの場合: ユーザーの画⾯から直接アプリを割り当てられる

Slide 16

Slide 16 text

16 アプリケーションの付与 Entra IDの場合: ユーザーやグループの画⾯から直接アプリは付与出来ない

Slide 17

Slide 17 text

17 アプリケーションの付与 (推測)アプリケーションの建て付けや構造の違いが操作にも現れている? [Okta] それぞれの機能が単体として存在しているように ⾒える [Entra ID] 主となる機能(アプリなど)にサブ機能がついている ように⾒える

Slide 18

Slide 18 text

18 グループの検索 Okta: グループの検索が前⽅⼀致なのでprefixが重要 雇⽤形態_正社員というグループを探したい場合 「正社員」では検索に引っかからない 「雇⽤形態_」なら検索に引っかかる

Slide 19

Slide 19 text

19 グループの検索 Entra ID: 検索モードを指定できる 部分⼀致検索が出来るモードが存在する(歓喜)

Slide 20

Slide 20 text

20 プロビジョニング プロビジョニングサイクルの違い 通常40分ごとの定期的な同期スケジュールに基づいて プロビジョニングするよ! 即時プロビジョニングするよ!

Slide 21

Slide 21 text

21 プロビジョニング Entra ID: オンデマンドプロビジョニング ただし、オンデマンドプロビジョニングでは⼀度に最⼤5ユーザーまでしか指定できない。

Slide 22

Slide 22 text

22 プロビジョニング Okta: プロビジョニングで設定出来る項⽬が多い アプリにもよるが、細かい制御が出来ることも多い(例はMicrosoft 365) 項⽬がAPI名になっている ことが多いので、必要な 設定を探すのに⼿間は掛 かる。

Slide 23

Slide 23 text

23 ユーザープロファイル ユーザー個別にマッピングを変更したい場合 アプリの割り当て画⾯からユーザー単位で マッピングを変更することが出来る ユーザー単位でマッピング変更するなら 式の設定が必要

Slide 24

Slide 24 text

24 ユーザープロファイル Okta: 独⾃のユーザー項⽬を作ることが出来る(APIでのRead/Writeも可) ユーザ権限を割り当てるこ とで、ユーザー⾃⾝に⼊⼒ してもらうことも出来る。

Slide 25

Slide 25 text

それぞれのIdPとJamf Pro

Slide 26

Slide 26 text

26 Okta と Entra IDに共通する部分 Enroll時の登録カスタマイゼーションの挙動は変わらない

Slide 27

Slide 27 text

27 Okta × Jamf Pro Okta Verifyでパスワードレス認証を実現

Slide 28

Slide 28 text

28 Okta × Jamf Pro Jamf Proからplistを配布すると初回起動時にテナントを指定できる https://zenn.dev/jyosysmiler/articles/78a9b29bc80b4b

Slide 29

Slide 29 text

29 Okta × Jamf Pro Jamf ProからSCEP証明書を配布すると Okta Verifyと組み合わせてデバイストラストができる Jamf ProでSCEPの設定 + PSSOeの設定→Okta FastPassで認証を通す→デバイスが管理対象(Managed)になる。

Slide 30

Slide 30 text

30 Microsoft Entra ID × Jamf Pro Platform SSOの設定は⼿順が少し多め Companyポータルインストール + plistの配布でトースト通知が表⽰さ れる。 “続ける”を押すと、Entra IDの認証 を求められる。

Slide 31

Slide 31 text

31 Microsoft Entra ID × Jamf Pro 最終的にこの設定が分かりづらい(のでマニュアルが重要)

Slide 32

Slide 32 text

32 Microsoft Entra ID × Jamf Pro デバイスコンプライアンスの運⽤が⾟そう(に⾒える) https://speakerdeck.com/ken_hikita/entra-idtojamfdeshi-xian-surujin-rong-ye-jie-nosekiyuriteidui-ce-debaisutorasutohenodao-nori とは⾔え、Oktaでも謎に管理対象にならないパターンが⼀定存在する。

Slide 33

Slide 33 text

33 Okta Verify と Entra ID × PSSOe OktaユーザーはOkta Verifyで、Entra IDユーザーはPSSOeで シームレスな認証を実現 ● Okta Verify ○ 「Okta FastPassでサインイン」から、Touch IDやWindows Helloだけのパスワードレス認証を実現 ○ 都度認証を求めて評価することができる ● Entra ID × PSSOe ○ デバイス⾃体をパスキーとして登録してパスワードレス認証を実現 ○ ただしSafari or Google Chromeのみ対応 ■ ChromeはMicrosoft Single Sign On(拡張機能)が必要 ○ ⼀度登録すると基本的に再認証されない

Slide 34

Slide 34 text

Jamf ProとMicrosoft Defender for Endpoint

Slide 35

Slide 35 text

35 Jamf ProとMicrosoft Defender for Endpoint Jamf ProでMDEを配布する前にまず思ったこと 「いや、⼿順多いな!!!!!」 https://learn.microsoft.com/ja-jp/defender-endpoint/mac-jamfpro-policies

Slide 36

Slide 36 text

36 Jamf ProとMicrosoft Defender for Endpoint 安⼼してください、GitHubに設定ファイルがアップロードされていますよ。 schema.jsonやmobileconfigファイルは基本的にアップロードするだけでOK https://github.com/microsoft/mdatp-xplat/tree/master/macos/schema

Slide 37

Slide 37 text

37 Jamf ProとMicrosoft Defender for Endpoint 結局、構成プロファイルはこうなった。 ⼤なり⼩なり、EPP+EDRのようなアプリの構成プロファ イルはこうなってしまうので、しょうがない気持ちもあ る。 (余談) 皆さんは構成プロファイルの名前、どうやって決めています か?

Slide 38

Slide 38 text

38 Jamf ProとMicrosoft Defender for Endpoint MDEの設定、どうやって管理するの問題 スキャンの設定、外部記憶媒体のブロック、例外許可を全部構成プロファイルで管理している?

Slide 39

Slide 39 text

最後に

Slide 40

Slide 40 text

40 最後に Entra IDとJamf Pro導⼊からまだ半年… 基本的な設定は終えて導⼊&展開まで完了したが、まだまだ改善できる 箇所もあるしやりたい気持ちもある。 例:デバイスコンプライアンスの検証やSelf Serviceの充実、MDEの細 かい設定など が、全社的に優先させるべきことを先に⼿をつけている状態。

Slide 41

Slide 41 text

We are Hiring !!! 詳しい採⽤情報はこちら https://ivry-jp.notion.site/IVRy-127eea80adae80 1397a4e4d7ea74e291

Slide 42

Slide 42 text

QAタイム!!