RSS
 

Workspace ONE Boxer の DISA Purebred のサポート

Purebred は、米国国防情報システム局 (DISA) で開発され管理されているモバイル アプリケーションです。このアプリケーションは、証明書を互換性のあるモバイル デバイスに配布するためのセキュアでスケーラブルな方法を提供します。

Android の Workspace ONE Boxer の場合、Purebred 登録アプリケーションは証明書配信ソースとして機能します。Purebred 登録アプリケーションは、Workspace ONE Boxer が認証および S/MIME 機能(署名または暗号化、あるいはその両方)に Purebred PIV-D 証明書を使用するのに役立ちます。このアプリケーションは、証明書を Android キーストアに格納し、証明書のエイリアス情報を Workspace ONE Boxer と共有します。

Purebred を Workspace ONE Boxer の証明書ソースとして使用すると、次の認証モードで Workspace ONE Boxer を構成できます。

  • 証明書ベースの認証 (CBA)
  • 先進認証を使用した証明書ベースの認証
  • 2 要素認証 (DCBA)

Workspace ONE Boxer for iOS での派生資格情報プロバイダとしての PIV-D の設定

Workspace ONE Boxer for iOS では、Purebred 登録アプリケーションの代わりに Workspace ONE PIV-D Manager アプリケーションを派生資格情報証明書用にサポートします。iOS デバイスで DISA Purebred アプリケーションを設定し、Purebred アプリケーションを証明書プロバイダとして使用するように PIV-D を設定する必要があります。後で、Purebred を証明書ソースとしてサポートするために、Workspace ONE Boxer の UEM Console で PIV-D を資格情報プロバイダとして設定する必要があります。

PIV-D Manager アプリケーションで DISA Purebred を構成する方法の詳細については、PIV-D Manager アプリケーションでの DISA Purebred の構成を参照してください。

過去の S/MIME 証明書もサポートされます。

PIV-D Manager アプリケーションを派生資格情報証明書のソースとして使用するように Workspace ONE Boxer を構成する方法は、使用する Workspace ONE UEM Console のバージョンによって異なります。

Workspace ONE UEM Console バージョン 2003 以前を使用する場合は、次のキーと値のペアを構成します。

  • PolicyDerivedCredentials - PIV-D Manager アプリケーションを証明書ベースの認証 (CBA) の証明書ソースとして使用するには、このキーを有効にします。
  • PolicyDerivedCredentialsSMIME - PIV-D Manager アプリケーションを S/MIME 証明書(署名または暗号化)の証明書ソースとして使用するには、このキーを有効にします。

キーと値のペアの詳細については、Workspace ONE Boxer のアプリケーション構成を参照してください。

Workspace ONE UEM Console バージョン 2004 以降を使用する場合は、次の手順を実行して Workspace ONE Boxer を構成する必要があります。

  1. 証明書ベースの認証用に PIV-D を有効にします。

    a. [Boxer の割り当て] 画面で、[E メール設定] > [認証] の順に移動します。

    b. 認証タイプを [証明書] に設定します。

    c. [PIV-D] を派生資格情報として選択します。

  2. S/MIME 証明書用に PIV-D を有効にします。

    a. [E メール設定] > [S/MIME] の順に選択し、証明書ソースを [派生資格情報] として追加します。

    b. [PIV-D] を発行者名として選択します。

Workspace ONE Boxer for Android での派生資格情報プロバイダとしての Purebred の設定

管理対象 Android デバイスの証明書ソースとして Purebred をサポートするように Workspace ONE Boxer を構成します。

Purebred を派生資格情報プロバイダとして設定することに加えて、Purebred 登録アプリケーションを確認し、Workspace ONE Boxer for Android を DISA Purebred に加入させる必要があります。

Workspace ONE Boxer で PIV-D Manager アプリケーションを派生資格情報証明書のソースとして使用するには、次のキーと値のペアを使用して Workspace ONE UEM Console バージョン 2003 以前を構成する必要があります。

  • PolicyDerivedCredentials - Purebred 登録アプリケーションを証明書ベースの認証 (CBA) の証明書ソースとして使用するには、このキーを有効にします。
  • PolicyDerivedCredentialsSMIME - Purebred 登録アプリケーションを S/MIME 証明書(署名または暗号化)の証明書ソースとして使用するには、このキーを有効にします。

Workspace ONE UEM console バージョン 2004 以降を使用して Boxer を展開している場合は、次の手順に従う必要があります。

  1. 証明書ベースの認証用に Purebred を有効にします。

    a. [Boxer の割り当て] 画面で、[E メール設定] > [認証] > [高度な設定] の順に選択します。

    b. 認証タイプを [証明書] に設定します。

    c. [Purebred] を派生資格情報として選択します。

  2. S/MIME 証明書用に Purebred を有効にします。

    a. [E メール設定] > [S/MIME] の順に選択し、証明書ソースを [派生資格情報] として追加します。

    b. [Purebred] を発行者名として選択します。

Purebred 登録アプリケーションの確認

Android では、サイドローディングを使用してアプリケーションをインストールできるので、承認されていないアプリケーションを Purebred のように見せかけてデバイスにインストールすることが容易に行えます。このようなセキュリティ リスクを軽減させるために、Purebred 公開署名キーを使用して Purebred 登録アプリケーションを認証するように Workspace ONE Boxer を構成できます。それには、Workspace ONE UEM console で AppPurebredPublicKey KVP を有効にする必要があります。Purebred は Play ストア アプリケーションではないので、このキーを有効にすることで、署名キーをそのキーで簡単に上書きできます。

DISA Purebred を使用した Android Boxer の加入

ユーザーは、Purebred 登録アプリケーションにアクセスするように Workspace ONE Boxer を構成し、Purebred を使用してデバイスにインストールされた各証明書へのアクセスを許可する必要があります。Purebred 登録アプリケーションは、派生資格情報証明書をデバイスのトラスト ストアに直接インストールします。

デバイスが Purebred 登録アプリケーションに登録されており、すべての証明書がデバイスにインストールされていることを確認してください。

  1. Boxer アプリケーションを起動したら、OK をタップして、Boxer が Purebred 登録アプリケーションにアクセスしてすべての証明書関連データを取得できるようにします。タップすると、Boxer で必要な証明書のリストが表示されます。

  2. 各証明書について、[アクセスを許可] をタップします。リストされているすべての証明書へのアクセスを許可する必要があります。

    リストされているすべての証明書へのアクセスを許可すると、Android ベースのダイアログ ボックスが表示されて、事前選択された証明書が表示されます。事前選択された証明書がない場合は、次のいずれかが発生していることを意味します。

    • 証明書が Android デバイスのトラスト ストアにありません。
    • 証明書名が不整合です。
    • OEM (Original Equipment Manufacturer) によって証明書のエイリアスが切り詰められています。このシナリオは Samsung デバイスで一般的に発生し、証明書エイリアスの長さが 50 文字に切り詰められて、デバイスのトラスト ストアに保存されます。
    • Knox コンテナが有効になっていて、証明書がコンテナにインストールされる場合、Knox は証明書の名前に Knox を追加します。

  3. 証明書の詳細を表示するには、証明書を表示 をタップします。

  4. 認証に使用する証明書を選択するには、[次へ] をタップします。S/MIME に Purebred を使用するように管理者が Boxer を構成している場合は、証明書へのアクセスを許可するだけでよく、すべての証明書を許可した後は画面が自動的に閉じます。

  5. 事前選択された証明書を使用しない場合は、認証証明書の選択 画面で、アカウントを認証する別の証明書を選択できます。

  6. Boxer の残りのオンボーディング プロセスを続けるには、[次へ] をタップします。

    注:

    • 誤った証明書を選択した場合は、[認証証明書の選択] 画面に戻り、エラー処理プロセスを使用して正しい証明書に調整できます。ただし、Boxer で先進認証が構成されている場合は、戻る をタップして、適切な証明書を選択できます。
    • 証明書へのアクセスが Android によって失効されることがあります。この失効は、次の理由により発生することがあります。
      • デバイスのトラスト ストアに証明書がありません。
      • 削除された証明書を再インストールしました。
      • Android が権限を失効させています。
        Boxer アプリケーションがデバイスのトラスト ストア内の証明書にアクセスできない場合は、Boxer アプリケーションから通知されます。通知をタップすることで、証明書へのアクセス権を Boxer に付与できます。
check-circle-line exclamation-circle-line close-line
Scroll to top icon