EPA コンポーネントとしての nFactor のデバイス証明書
重要:
エンドポイント分析は、あらかじめ決められたコンプライアンス基準に照らしてユーザーデバイスを分析することを目的としており、エンドユーザーデバイスのセキュリティを強制または検証するものではありません。ローカル管理者による攻撃からデバイスを保護するには、エンドポイントセキュリティシステムを使用することをお勧めします。
デバイス証明書は、EPA コンポーネントとして nFactor で設定できます。デバイス証明書は、EPA の一部として任意の要素として表示できます。
次に、nFactor でデバイス証明書を EPA コンポーネントとして構成する利点を示します。
-
デバイス証明書の検証に失敗しても、ログオンは失敗しません。構成に基づいて、ログオンを続行でき、ユーザーはアクセスが制限されたグループの下に配置されます。
-
デバイス証明書のチェックはポリシー駆動型であるため、デバイス証明書認証に基づいて、社内イントラネットリソースへのアクセスを選択的に許可またはブロックできます。たとえば、デバイス証明書認証は、企業の管理対象ラップトップ上でのみOffice 365アプリケーションへの条件付きアクセスを提供するために使用できます。
デバイス証明書の検証は、定期的な EPA スキャンの一部にはできません。
重要:
- デフォルトでは、Windows はデバイス証明書にアクセスするための管理者権限を義務付けています。管理者以外のユーザーのデバイス証明書チェックを追加するには、EPA プラグインと同じバージョンの VPN プラグインをデバイスにインストールする必要があります。
- 複数の CA 証明書をゲートウェイに追加し、デバイス証明書を検証できます。
- クライアントマシンに複数のデバイス証明書をインストールする場合、ユーザーはNetScaler Gateway へのログオン時またはエンドポイント分析スキャンの実行前に正しい証明書を選択する必要があります。
- デバイス証明書を作成するときは、X.509 証明書である必要があります。
- 中間 CA によって発行されたデバイス証明書がある場合は、中間 CA 証明書とルート CA 証明書の両方をバインドする必要があります。
- また、CA 証明書を VPN 仮想サーバーにバインドする必要があります。
nFactor のデバイス証明書を EPA コンポーネントとして設定する
CLI を使用して、nFactor のデバイス証明書を EPA コンポーネントとして設定するには、次の手順を実行します。
コマンドプロンプトで次を入力します:
add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass -quarantine_group epa_fail
<!--NeedCopy-->
GUI を使用して、nFactor のデバイス証明書を VPN 仮想サーバーの EPA コンポーネントとして設定するには、次の手順を実行します。
- NetScaler GUIで、[ 構成]>[NetScaler Gateway >[仮想サーバー]に移動します。
- NetScaler Gateway 仮想サーバーページで 、変更する仮想サーバーを選択し、「編集」をクリックします。
-
[ VPN 仮想サーバー ] ページで、[編集] アイコンをクリックします。
-
[詳細] クリックします。
-
「デバイス証明書用 CA」セクションで「 + 」をクリックし、「OK」をクリックします。
注:
[ デバイス証明書を有効にする ] チェックボックスは選択しないでください。これを有効にすると、クラシック EPA でデバイス証明書の検証が有効になります。
-
NetScaler GUIで、[ 構成]>[セキュリティ]>[AAA — アプリケーショントラフィック]>[ポリシー]>[認証]>[詳細ポリシー]>[アクション]>[EPA]に移動します。
-
[ 認証 EPA アクション ] ページで、[ 追加] をクリックします。[ Edit ] をクリックして、既存の EPA アクションを編集できます。
-
[ 認証 EPA アクションの作成 ] ページで、認証 EPA アクションを作成するために必要なフィールドに値を入力し、[ EPA エディター ] リンクをクリックします。
-
エクスプレッションエディタメニューから [ 共通 ] を選択します。
-
表示される次のメニューから [ デバイス証明書 ] を選択し、[ 完了 ] をクリックして設定を完了します。
GUI を使用して nFactor のデバイス証明書を認証仮想サーバーの EPA コンポーネントとして構成するには:
-
NetScaler GUIで、[ セキュリティ] > [AAAアプリケーショントラフィック] > [仮想サーバー] に移動します。
-
NetScaler Gateway 仮想サーバーページで 、変更する仮想サーバーを選択し、「編集」をクリックします。
-
[ 認証仮想サーバー ] ページで、[編集] アイコンをクリックします。
-
[詳細] クリックします。
-
[ デバイス証明書の CA ]セクションの横にある[ 追加 ]をクリックします。
-
追加する証明書を選択し、[ OK] をクリックして設定を完了します。
-
手順 6 ~ 10 を繰り返して構成を完了します。