端末証明書

MobiControl v14 Manual

なりすまし端末が企業の情報資源(メール、VPN、WiFiなど)に不法アクセスするのを防止するために、正当な端末には端末証明書をインストールします。
端末証明書は、認証局が発行します。MobiControlは、次の認証局をサポートします。
ADCS
(Active Directory Certificate Services)
私製認証局だが端末ユーザが従業員に限定できる場合には有効
エントラスト社Active Directoryの本人認証対象になっていないユーザの端末にも有効
汎用認証局
Generic SCEP

MobiControlは、端末に端末証明書をインストールするには、二つの方法を用意してあります。
証明書現物の端末への配付CSRのテンプレートの端末への配付
証明書現物をコンソール管理者が認証局から予めダウンロードしておきます。 これを、MobiControlサーバ経由で端末に配付します。 MACアドレスなど端末の属性、または、Exchangeメールアドレスなど端末ユーザの属性を証明書に埋め込み、証明書を他に転用されないようにします。
端末が認証局(認証サーバ)に提出(要求)するCSR(Certificate Signing Request)のテンプレートを MobiControl管理者が予め作成しておきます。
端末証明書のテンプレート」を参照ください。
端末には、このテンプレートを配付します。
端末では、端末の属性または端末ユーザの属性をテンプレートに自動的にとりこみ、これを認証局(認証サーバ)に送ります。これに対し、認証局から端末に 証明書が直接送られます。

(図1)の「構成プロファイルメニュー」の画面を表示します。
表示方法は、 「Android Enterpriseの構成プロファイルの作成 」を参照ください。。

(図1)
Android Enterpriseの構成プロファイル・メニュー

1. 端末証明書の配付

(図1)の中の「証明書」を選択すると、(図2)が表示されます。
左欄の「使用可能な証明書」はMobiControlサーバに登録(アップロード)されている証明書のリストです。 この中から端末に配付する証明書を選択して、右欄に移します。 矢印キーを使って移します。

(図2)



「新規」ボタンを押すと、(図3)が現れます。ここで、端末証明書を指定し、「Ok」ボタンを押すと 新規の証明書がMobiControlサーバに登録(アップロード)されます。

(図3)

(図3)で、 を押すと、コンソールのパソコンのフォルダが表示されます。 証明書を保存してあるフォルダに移動し、当該端末へ配付する証明書を選択します。その証明書に対するパスワードを入力すると、当該証明書は MobiControlサーバに登録(アップロード)されます。そして、(図2)の左欄に、証明書ファイル名が表示されます。この証明書をインストールする 端末ユーザにはパスワードを連絡しておきます。

2. 証明書のテンプレートの配付

(図2)で、Templateタブを選択すると、(図4)が現れます。

(図4)


左側の作成済みテンプレートの名前から、端末に配付するテンプレートを選び、右向き矢印を押します。 これで、テンプレートが配付対象となりました。

 

構成プロファイルの作成が終わると、「OK」ボタンを押します。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Plusの構成プロファイルの作成」 のページの「E. 構成項目の編集または削除」以下を参照ください。

 

端末が、認証局(認証サーバ)に提出(要求)するCSR(Certificate Signing Request)のテンプレートをMobiControl管理者があらかじめ作成しておきます。 詳しくは、「端末証明書のテンプレート」を参照ください。

端末証明書が必要な理由の1つ

従業員が2台の端末を持っていたとします。端末AはMDM/EMMの管理下ですが、 端末Bは企業/団体には届けずにMDM/EMM管理外であると仮定します。本人認証だけで管理していると 従業員は端末Bでも企業/団体のサーバからメールやファイルのダウンロードができるようにするかもしれません。
ここで端末Bが紛失されたら、企業/団体は情報漏洩を防ぐことが困難になります。
企業/団体の各種サーバは、端末証明書がある端末からのみアクセスを許容し、端末証明書の無い端末からの アクセスは拒否するように設定しておきます。
最近は携帯電話以外に、タブレットや、電子書籍端末など、従業員は多くの私物端末を 持っています。本人認証だけだと、どの端末からも企業/団体のサーバからメールやファイルを ダウンロードできるようになり、情報漏洩のリスクが高くなります。