Apache Log4j の脆弱性の共有
皆さんお疲れさまです。Seiyaです。
今回は先日発表されたApache Log4j の脆弱性について、Workspace ONEに関連する情報を共有させていただきます。
まず、Apache Log4j の脆弱性が与える影響について紹介します。
今回発表された内容はApache Log4j を利用している製品のログへ特定の文字列を出力することによって、実行されてはならないコードを実行できてしまうというものでした。
これを利用することにより対象の製品に保存されている個人情報を抜き取るなど、権限に関わらず制御することが可能になってしまいます。
Workspace ONEに関するものだけでなく、この影響を受けるVMware製品は以下のサイトにて都度、更新されています。
現状、Workspace ONE関連コンポーネントで影響を受ける製品は以下の通りとなります。
- Workspace ONE Access(Identity Manager)
- Workspace ONE Access Connector(Identity Manager Connector)
- Unified Access Gateway
Workspace ONE AccessについてはSaaS版を利用している場合は特に対応は不要です。
Workspace ONE Access Connectorについては修正パッチが作成されています。
また、本製品はイントラネットワークに構築される製品となっており、この脆弱性の与えるリスクは低いものとなっております。
Unified Access Gatewayについては脆弱性が修正されたバージョン:Unified Access Gateway2111.1がリリースされています。
また、Horizon エッジまたはリバースプロキシエッジの認証としてRADIUSまたはRSA SecurID認証を利用している場合が今回の脆弱性を受ける対象となります。
今回の記事は業界全体に影響を与えているApache Log4j の脆弱性について紹介させていただきました。
Workspace ONEに関連するコンポーネントについてはどれも対応策が公開されており、今回の脆弱性が与えるリスクとしてもそれほど緊急性の高いものではないとされています。
しかし、脆弱性についての情報は現在も更新されており、緊急性の高い影響を与えるリスクが潜んでいます。
今後も情報を確認し、しっかり対策を行うことを検討してください。
私も脆弱性については今後の対応を確認し、必要に応じてみなさんへ情報を共有しようと思います。
今後も引き続き、ご愛読よろしくお願いします。
Workspace ONEとiOS端末の管理
皆さんお疲れさまです。Seiyaです。
今回はWorkspace ONE UEM(以下、UEM)でiOS端末を管理するために必要な設定についてご紹介します。
まずはiOS端末をUEMが管理する仕組みについて、簡単に説明しようと思います。
UEMがiOS端末を管理する際に使用されるコマンドの実行フローは以下のようになっています。
- UEMからコマンド(ワイプや画面ロックなど)を発行
- UEMからAPNsへコマンド発行を通知
- APNsからiOS端末へUEMが発行したコマンドの確認要求を発行
- iOS端末からUEMへコマンドを確認
- UEMからiOS端末へコマンドを実行
上記のようにiOS端末はUEMから発行されたコマンドをAPNsを通して確認します。
iOS端末は常にAPNsと通信を行っており、その通信を信頼する必要があります。
iOS端末がAPNsとの通信を信頼するために、UEMは端末加入時にAPNsの証明書を端末へ配布しています。
この証明書はAppleのサイトから事前にUEMへアップロードする必要があります。
また証明書の有効期限は1年となっており、毎年更新を行う必要があります。
証明書の更新を忘れてしまった場合、iOS端末はAPNsとの通信を信頼しなくなるため、APNsからのコマンド確認要求を受け付けなくなります。
結果、UEMのコマンドは実行されなくなり、端末管理が出来なくなるため注意が必要です。
実際にUEMへ証明書をアップロードするための手順は以下の通りです。
1.UEMよりすべての設定>デバイスとユーザー>Apple>MDM の APNsより「新しい証明書を生成」
2.「MSM_APNsRequest.plist」から証明書要求をダウンロードし、「APPLE のサイトを開く」からAppleのサイトへ移動します。
3.Appleのサイトへ移動し、ログインしたら「Create a Certificate」から証明書を作成します。
証明書要求は2でダウンロードした、「MSM_APNsRequest.plist」を使用します。
4.証明書が作成されたら、「Download」から証明書をダウンロードします。
5.UEMへ戻り、2の画面から「次へ」をクリックし、画面に従ってダウンロードした証明書をアップロードします。
6.証明書の登録が終わったら「接続のテスト」を実行し、「HTTP/2 上のテスト接続に成功しました。」と表示されることを確認します。
7.最後に「保存」をクリックし、設定を保存したら手順は終了です。
1年後、証明書を更新する際の同じ設定画面から「更新」をクリックし、ほとんど同様の手順で更新することが可能です。
注意点として、証明書の更新は初めに証明書を作成したApple IDを利用して行う必要があります。
証明書の更新は運用として毎年対応が必要なものになるので、お忘れのないようにして頂ければと思います。
以上でiOS端末の管理についての紹介は終了となります。
今回はAPNsについて紹介しましたが、iOSの機能としてDEP(Device Enrollment Program)やVPP(Volume Purchase Program)など便利な機能があります。
これらを利用するためには追加の設定が必要となるため、次回以降で紹介出来たらと考えています。
今後も引き続き、ご愛読よろしくお願いします。
Workspace ONE とコンディショナルアクセス
皆さんお疲れさまです。Seiyaです。
今回はWorkspace ONE Access(以下、Access)のコンディショナルアクセス機能について紹介しようと思います。
まず、コンディショナルアクセスとは条件付きアクセスとも呼ばれています。
これは対象のアプリケーションなどに対して接続を行う接続元の端末種別やユーザー、ネットワーク、認証方法などを条件に基づいて制御することを指します。
例えば、以下の図のような条件を付けることが可能です。
この図ではオフィスに設置されているデスクトップPCに証明書を事前にインストールしておき、SaaSアプリへの認証を行う際に証明書認証を実施しています。
また、BYODを含む社外から利用する端末については証明書を配布することは現実的ではないため、ID/PWの入力とiOS端末を利用した2要素認証を実施するように設定しています。
この時にAccessは端末がSaaSアプリへ接続する際のソースIPアドレスを識別し、オフィス内の端末であるか、持ち出し用端末かを判定しています。
そのため、Accessへ事前にオフィスのグローバルIPアドレスを設定し、設定したIPアドレスから接続が来た場合に証明書認証を行うようにするポリシーを設定する必要があります。
また、オフィス以外のIPアドレスから接続が来た場合はID/PW認証および2要素認証を行うようにするポリシーを設定します。
今回はコンディショナルアクセスについてのみの紹介となりましたが、SaaSアプリに対してAccessのアクセスポリシーを利用するためには事前にSAMLやWS-Federationを利用してSaaSアプリとAccessのID連携の設定を行う必要があります。
ID連携する方法はSaaSアプリごとに設定方法が異なるため、割愛しております。
しかし、既存で利用しているSaaSアプリに対してID連携を実施した場合、ユーザーの使用感が大きく変更されることに加え、設定が正しく無い場合はSaaSアプリ自体が利用できなくなる可能性があります。
可能であれば事前に検証環境などのユーザー影響の無い環境で動作確認を行い、実施してください。
検証環境がない場合は切り戻しの方法を含め、事前に検討しておくことを推奨します。
今回はコンディショナルアクセスについて紹介しました。
ポリシーは紹介した構成以外にも、利用ケースに合わせて柔軟に変更することが可能となっております。
以下のリンクよりWorkspace ONEのフリートライアルを申し込むことも可能ですので、一度ご検討してみてはいかがでしょうか。
これからもWorkspace ONEの便利な機能やユースケースを紹介していけたらと思いますので、今後も引き続き、ご愛読よろしくお願いします。
Workspace ONEとグループ
皆さんお疲れさまです。Seiyaです。
今回はWorkspace ONE UEM(以下、UEM)にあるグループの種類とそれぞれのグループの特性をご紹介します。
まず、UEMが扱うことができるグループには以下の種類があります。
- 組織グループ
- ユーザーグループ
- 割り当てグループ(スマートグループ)
- アプリグループ
- 管理者グループ
これらのグループはWorkspace ONE UEMのグループと設定>グループから確認することができます。
まずは組織グループについてとなりますが、組織グループについては過去の記事で紹介しているので、そちらをご確認ください!
次は、ユーザーグループについてです。
ユーザーグループとは名前の通り、Workspace ONE UEM上で管理されているユーザーアカウント管理するグループとなります。
ユーザーグループは主にADからOUやセキュリティグループ単位でWorkspace ONEへユーザーアカウントを同期する場合に使われます。
また、ユーザーグループごとに加入組織グループを設定することにより、ユーザーアカウントに紐つくデバイスが自動的に各所属組織に登録するように構成することが可能になります。
続いて、割り当てグループについてです。
割り当てグループはUEM上でスマートグループとも呼ばれており、組織グループやユーザーグループなどの様々な条件を組み合わせてグルーピングすることができます。
スマートグループはプロファイルやアプリ、順守ポリシー等の割り当てに使用することができるため、試験的に一部デバイスへ設定を有効にしたい場合や特定の条件を満たすデバイスに限定して割り当てを行うことができます。
アプリグループについては2021年6月時点ではiOS、Android、Windows Phoneで有効なグループとなります。
アプリグループの許可リスト、拒否リストに登録することができ、順守ポリシーなどの機能と組み合わせることでデバイスや管理者に通知を送信したり、デバイスの機能を制限することができます。
最後は管理者グループについてです。
管理者グループについてもユーザーグループと同様にADからユーザーアカウントを同期し、管理者の役割を割り当てることができます。
それぞれグループごとに加入グループはユーザーグループに対してのみ設定することができたり、スマートグループでは組織グループとユーザーグループの複数条件を指定した管理ができたりと特性が異なるため、ユースケースにより最適なグループを選択することでより良い管理をすることができます。
以上でグループについての紹介は終わりになりますが、紹介したグループは他のプロファイルや順守ポリシーなどと組み合わせることで効果を発揮するので、今後はグループを使ったユースケースなども紹介していけたらと思います。
引き続き、ご愛読よろしくお願いします!
vExpert 2021認定!!!
皆さんお疲れさまです。Seiyaです。
昨年11月からvExpert 2021の申し込みが開始されていました。
私も申し込みをしていて昨日に結果が発表されました。
そして!
ついにvExpert 2021に認定されることが出来ました!
このブログを開設するための目標の1つであったので、vExpertに選出されることができてとても光栄に思います。
今まで紹介してきた内容としてWorkspace ONEの基本的な機能であったり、概要の部分をメインとしていました。
vExpertになったからにはこのようなWorkspace ONEを扱っている人なら理解している内容だけでなく、さらに深い技術的な内容についても紹介していこうと思います。
vExpertになるとvExpertコミュニティに参加することができ、高度な知識を共有してもらう機会も増えます。
また、検証環境を構築する場合に必要なライセンスが無料で提供されたりといった特典を受けることが出来ます。
これからは職場のチームメンバーだけでなく、こういった特典も活用してさらに成長して、みなさんに還元していけるように頑張ります!
今後ともどうぞ!
ご愛読よろしくお願いします!
Workspace ONEとは
皆さんお疲れさまです。Seiyaです。
これまでWorkspace ONEの様々な機能を紹介してきましたが、今回はそもそもWorkspace ONEとは何なのかをご紹介したいと思います。
まずWorkspace ONEとは、、
「インテリジェンスベースのデジタルワークスペースを実現するプラットフォームです。」
、、ってこれだけ聞いてもわからないですよね。
もう少し詳しく説明します。
Workspace ONEは以下のような機能を備えています。
- デバイス管理
- アプリケーション管理
- コンテンツ管理機能
これらを掛け合わせることでiOS、Android、Windowsなどの様々なデバイスの管理を一元化することが可能になります。
個人携帯と会社携帯とPCとっていろんなデバイスを会社で管理するとなると大変ですよね?
Workspace ONEならこれらを全て管理下に置くことが出来るので管理のコストを軽減することが出来ます!
管理UIも見やすくて、直観的に操作することが出来ます。
デバイスごとにアプリのインストール状況やOSの更新状況を確認出来るとなると運用しているうちにやりたいことが増えてきますね~
Workspace ONEを使った実用的な運用方法についても今後ご紹介出来たらと思いますのでご愛読よろしくお願いします!
Workspace ONEとデバイス情報
皆さんお疲れさまです。Seiyaです。
今回はWorkspace ONEに登録したデバイスに対して
Workspace ONEが収集することが出来る情報についてご紹介します。
(今回はiOSをメインに記事を書きます)
Workspace ONEに登録したデバイスはWorkspace ONE UEMという管理コンソールに表示されます。
デバイス情報として表示される情報は以下のようなものがあります。
画面には表示されていないですが、もちろん電話番号やシリアルナンバー、ストレージ容量など幅広い情報を取得出来ます!
ただ個人で使ってる携帯を会社用と同じように管理しようとすると、どうしても個人情報が心配になる方もいるかと思います。(実際にお客さんから問い合わせを貰ったことも、、)
しかし!!!
Workspace ONEにはそんな配慮もされています!!!
↓の設定を行うことで端末の所有形態ごとに取得情報を制限することができます。
これで必要以上に情報を抜き取られるということも無く、安心して個人の携帯もWorkspace ONEに登録することができました。
めでたしめでたし(笑)
今回は実際に私が受けた問い合わせの中からのご紹介でした。
今後も「こんな使い方できたらいいな」というご要望に応えることができるような事例も紹介出来たらと思いますので、ご愛読よろしくお願いします!