Intelligent Hub に多要素認証機能が追加されました

はじめに

本記事では、VMware Workspace ONE Intelligent Hub に統合された多要素認証についてご紹介します。

概要

VMware Workspace ONE Intelligent Hub に多要素認証の機能が統合されました。

VMware Workspace ONE で登録または管理されたデバイスから SaaS アプリや Horizon によって提供される仮想デスクトップや公開アプリケーションへアクセスする際に、今までより更に手軽に多要素認証を利用することができます。

この統合により、管理者と利用者の観点から以下のメリットがあります。

• デバイスの運用管理者
  • MFA の専用アプリが不要のため、配布やバージョンアップ等の運用管理コストが低減
  • デバイスの生体認証との連携をおこなうことで、より強化された多要素認証を実現
• デバイスの利用者
  • MFA の専用アプリを自身でセットアップする必要はないため、効率的に利用開始
  • 承認通知を受信するデバイスは Workspace ONE UEM へ加入されていなくても利用可能 *

* 登録モード (Registered Mode) のモバイルデバイスにおいても本機能は利用可能です。

前提条件

• Workspace ONE UEM サポートされるバージョン
• Workspace ONE Access 20.06 以上
• VMware Workspace ONE Intelligent Hub 20.05 以上
  • Intelligent Hub for iOS
  • Intelligent Hub for Android

ユースケース

1. PC から SaaS アプリや Horizon へアクセスし、スマートフォンでアクセスを承認する。
2. タブレットから SaaS アプリや Horizon へアクセスし、スマートフォンでアクセスを承認する。

また、上記の承認操作はデバイスの生体認証と紐付けることができるため、更にセキュリティを強化することが可能となります。

以下の例では 承認ボタンをタップ後、Face ID による顔認証と連携させることでアプリ利用時のセキュリティを強化しています。

管理コンソールの設定

多要素認証を有効化するために必要な手順について記載します。

本記事では、 Workspace ONE UEM および Workspace ONE Access のテナントが利用可能であることを前提に記載いたします。

管理コンソール内では本機能は Verify (Intelligent Hub) という名称で表示されますので、以下手順についての記載では本記事で紹介する機能を Veriy (Intelligent Hub) と表現します。

Workspace ONE UEM と Workspace ONE Access の連携

1. [はじめに] > [Workspace ONE] > [続行] をクリックします。
   
2. [Workspace ONE] > [ID およびアクセスの管理] > [構成] をクリックします。
   
3. [概要] > [続行] をクリックします。
   
4. テナント URL / ユーザー名 / パスワード を入力し、[接続のテスト] をクリックします。
   接続のテストをクリック後、[接続のテストに合格しました！] が表示されることを確認します。
   
5. [続行] をクリックします。
   

Workspace ONE Hub サービスの有効化

1. 右上のメニューから、[Workspace ONE Hub サービス] をクリックします。
   
2. [起動] をクリックします。
   
3. [Hub サービスのアクティブ化] > [はい] をクリックします。
   
4. 画面下の[認証ソース] > [構成] をクリックします。
   
5. [Intelligent Hub] の認証ソース > [WORKSPACE ONE ACCESS] を選択し、右下の[保存] をクリックします。
   
6. 保存後、手順 2 の画面に戻り、[起動] をクリックします。
   
7. 画面下の[開始]をクリックします。
   
8. [ホーム] > [通知] > [グローバル設定] > [通知を有効にする] が有効になっていることを確認します。
   

Workspace ONE Access の認証ポリシーを設定

1. ​Workspace ONE Access > [ID とアクセス管理] > [管理] > [認証方法] > [Verify(Intelligent Hub)] から Verifyを有効化します。
   その他の設定は必要に応じて設定します。
   
2. ​Workspace ONE Access > [ID とアクセス管理] > [管理] > [IDプロバイダ] > プロバイダ名[Built-in] をクリックし、認証方法 [Verify (Intelligent Hub)] の [認証方法を関連付ける] にチェックがついていることを確認します。
   
3. Workspace ONE Access > [ID とアクセス管理] > [ポリシー] から SaaS アプリや Horizon へのアクセスするためのポリシーを新規追加し、2番目の認証方法として Verify (Intelligent Hub) が表示されることを確認します。
   

※ default_access_policy_set ポリシーでは、”ユーザーは次からコンテンツにアクセスしています” に Webブラウザ を選択する場合のみ Verify (Intelligent Hub) を選択できます。

登録モード (Registered Mode) のデバイスを利用する方法

登録モードを用いると、個人所有の端末に Workspace ONE UEM による制限をかけずに SaaS アプリや Horizon へのログインする際の二要素目の認証用のデバイスとして利用することができます。

1. ​[デバイスとユーザー] > [全般] > [加入] > [管理モード] から特定のスマートグループを設定します。
   
2. ​手順 1 で設定したスマートグループのユーザーを使って加入したデバイスは「登録されたハブ」として UEM 上に表示されます。
   ※デバイスの加入についてはドキュメントをご参照ください。
   

承認に使うデバイスを複数登録した場合

初めて Verify（Intelligent Hub）を使って承認をする際にどのデバイスへ通知をするか選択します。
一度選択されたデバイスは Workspace ONE UEM の管理下から外れるまで利用されます。

本記事では、VMware Workspace ONE Intelligent Hub に統合された多要素認証についてご紹介をさせていただきました。

VMware Workspace ONE によりデバイスを管理することで得られるセキュリティ強化、また VMware Workspace ONE Intelligent Hub へインターフェースを統合することによる運用管理者と利用者の目線のメリットをご理解いただければ幸いです。

本機能は今後も機能拡張がおこなわれる予定となっておりますので、是非ご期待をいただければと存じます。