macOS向けエンドポイントセキュリティ統合プラグインを管理する

エンドポイントセキュリティ統合プラグインでは、Oktaエンドポイントセキュリティ統合の機能を拡張します。

macOSデバイスでプラグインを有効にするには、デバイス管理ソリューションを使用し、管理対象アプリの構成を構成してデプロイする必要があります。この構成により、Okta Verifyは同一のデバイスで実行されているEDRクライアントから信頼シグナルを収集できるようになります。

現在、macOS向けのOkta EDR統合はCrowdStrike ZTAのみをサポートします。今後、ほかのEDRベンダーのサポートも予定されています。

前提条件

以下のように設定されていることを確認します。

管理対象アプリの構成

管理対象アプリの構成には、Okta VerifyでEDR統合プラグインの作成に使用する情報が含まれています。Oktaは、ユーザーに「リクエストが多すぎます」エラーを表示し、システムログにエントリを記録します。保護されたリソースにユーザーがアクセスしようとすると、Okta Verifyでエントリを参照、EDRからシグナルを収集します。たとえば、CrowdStrikeのエントリは次のようになります。

コピー 
{
  "OktaVerify.Plugins" = ["com.crowdstrike.zta"],
  {
  "name": "com.crowdstrike.zta",
  "description": "File based EDR integration between Okta Verify and the Crowdstrike Falcon agent.",
  "location": "/Library/Application Support/Crowdstrike/ZeroTrustAssessment/data.zta",
  "type": "FILE",
  "format": "JWT"
  }

現在、エントリの例に示されているように、このEDR統合は "type": "FILE"とCrowdstrikeのみをサポートしています。

Jamf Pro固有の例

この例は、Jamf Proを使用して管理対象アプリの構成をデプロイする方法を示していますが、Appleデバイスへの管理対象アプリの構成のデプロイに対応したどのデバイス管理ソリューションでも機能するはずです(Oktaのキー名と値を使用)。

この例では、管理対象アプリの構成と2つの個別の優先ドメイン(バンドルID)をJamf Proにアップロードします。構成には次のようなプロパティが必要です:

  • エントリは同一でも名前が異なり、Jamf Proで個別の優先ドメイン(bundleID)に対応している必要があります。
  • 構成には、あらゆる統合の名前の配列が添付されたエントリを含める必要があります。
    • キー:OktaVerify.Plugins
  • PLISTにおけるほかのエントリはすべて、CrowdStrikeのエントリの例に示されているような形式のディクショナリーに対応したキーにしてください。このキーはディクショナリーの「name」エントリと一致している必要があります。たとえば、"OktaVerify.Plugins" = ["com.crowdstrike.zta"]などです。
  • その他のMDMについては、ベンダーのドキュメントを参照してください。MDMには別の要件がある可能性がありますが、Oktaのキーと値は必要になります。このページに示す例は、情報提供のみを目的としています。

この手順を開始する

  1. Jamf Proで、[Computers(コンピューター)][Configuration Profiles(構成プロファイル)][+ New(+新規)]に移動します。
  2. 左ペインで、下にスクロールして[Application & Custom Settings(アプリケーションとカスタム設定)]を選択します。
  3. PLISTファイルをJamf Proにアップロードする方法を選択します:
  4. 選択したアップロード方法に、2つの同一のPLISTペイロードを入力します。各ペイロードには、個別の優先ドメインが必要です。
    • ペイロードの優先ドメイン1com.okta.mobile
    • ペイロードの優先ドメイン2com.okta.mobile.auth-service-extension
    • PLISTペイロード:たとえば、Jamf Proを使用してCrowdStrike ZTAと統合するためのペイロードは以下のとおりです:

    • コピー
      <?xml version="1.0" encoding="UTF-8"?>
      <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
      <plist version="1.0">
      <managedAppConfiguration>
      <dict>
      <key>OktaVerify.Plugins</key>
      <array>
      <string>com.crowdstrike.zta</string>
      </array>
      <key>com.crowdstrike.zta</key>
      <dict>
      <key>description</key>
      <string>File-based EDR integration between Okta Verify and the Crowdstrike Falcon agent</string>
      <key>format</key>
      <string>JWT</string>
      <key>location</key>
      <string>/Library/Application Support/Crowdstrike/ZeroTrustAssessment/data.zta</string>
      <key>name</key>
      <string>com.crowdstrike.zta</string>
      <key>type</key>
      <string>FILE</string>
      </dict>
      </dict>
      </managedAppConfiguration>
      </plist>

    現在、PLISTのdescriptionフィールドは使用されていません。これを使用すると、Oktaで収集するシグナルとこの機能の利点に関するメッセージをエンドユーザーに表示できます。

  5. [Scope(スコープ)]タブに移動し、関連したエンドユーザーのデバイスに構成プロファイルを割り当てます。

管理対象アプリの構成のデプロイを検証する

いくつかの方法で、管理対象アプリの構成が任意のデバイスに正常にデプロイされたことを確認できます。

オプション1:システム環境設定を確認する

  1. macOSデバイスで、ドックの[System Preferences(システム環境設定)]アイコンをクリックして長押しします。

  2. [Profiles(プロファイル)]をクリックします。

  3. [Device (Managed)(デバイス(管理対象))]で、Jamf Proで作成したプロファイル用のエントリが一覧表示されていることを確認します。たとえば、エントリに以下のような情報が含まれている可能性があります:

    • [Description(説明)]:Okta Verifyでコンテナを共有したmacOSにアプリの構成をデプロイします。
    • [Signed(署名済み)]:JSS組み込み署名証明書
    • [Installed(インストール済み)]:2021年4月1日午前11:55
    • [Settings(設定)]:カスタム設定

オプション2:/Library/Managed Preferencesを確認する

[Users Library(ユーザーライブラリ)]フォルダではなく、Library/Managed Preferencesを開いてください。

  1. macOSデバイスで、/Library/Managed Preferencesに移動します。

  2. PLISTファイルが以下の場所にあることを確認します:

    • [Managed Preferences(管理対象設定)]フォルダ

    • [Managed Preferences(管理対象設定)]内の[User(ユーザー)]サブフォルダ。

EDR統合プラグインを無効にする

特定のEDRベンダー向けのEDR統合プラグインを無効にする場合は、「この手順を開始する」で説明されているように、PLISTファイルからEDR固有のエントリを削除して、Jamf Proに再度アップロードします。

次の手順

エンドポイントセキュリティ統合を検証する