macOS向けエンドポイントセキュリティ統合プラグインを管理する

エンドポイントセキュリティ統合プラグインでは、Oktaエンドポイントセキュリティ統合の機能を拡張します。

macOSデバイスでプラグインを有効にするには、デバイス管理ソリューションを使用し、管理対象アプリの構成を構成してデプロイする必要があります。この構成により、Okta Verifyは同一のデバイスで実行されているEDRクライアントから信頼シグナルを収集できるようになります。

• 開始する前に
• 管理対象アプリの構成
• このタスクを開始する
• 管理対象アプリの構成のデプロイを検証する
• EDR統合プラグインを無効にする
• 関連項目

管理対象アプリの構成

管理対象アプリの構成には、Okta VerifyでEDR統合プラグインの作成に使用する情報が含まれています。Oktaは、ユーザーに「リクエストが多すぎます」エラーを表示し、システムログにエントリを記録します。保護されたリソースにユーザーがアクセスしようとすると、Okta Verifyでエントリを参照、EDRからシグナルを収集します。たとえば、CrowdStrikeのエントリは次のようになります。

{
  "OktaVerify.Plugins" = ["com.crowdstrike.zta"],
  {
  "name": "com.crowdstrike.zta",
  "description": "File based EDR integration between Okta Verify and the CrowdStrike Falcon agent.",
  "location": "/Library/Application Support/Crowdstrike/ZeroTrustAssessment/data.zta",
  "type": "FILE",
  "format": "JWT"
  }

Jamf Pro固有の例

この例では、管理対象アプリの構成と2つの個別の優先ドメイン（バンドルID）をJamf Proにアップロードします。構成には次のようなプロパティが必要です：

• エントリは同一でも名前が異なり、Jamf Proで個別の優先ドメイン（bundleID）に対応している必要があります。
• 構成には、あらゆる統合の名前の配列が添付されたエントリを含める必要があります。

  Key: OktaVerify.Plugins

• PLISTにおけるほかのエントリはすべて、CrowdStrikeのエントリの例に示されているような形式のディクショナリーに対応したキーにしてください。このキーはディクショナリーの「name」エントリと一致している必要があります。例："OktaVerify.Plugins" = ["com.crowdstrike.zta"]。
• その他のMDMについては、ベンダーのドキュメントを参照してください。MDMには別の要件がある可能性がありますが、Oktaのキーと値は必要になります。このページに示す例は、情報提供のみを目的としています。

この手順を開始する

1. Jamf Proで、コンピューター（Computers） > 構成プロファイル（Configuration Profiles） > +新規（+ New）に移動します。
2. 左ペインで、下にスクロールしてアプリケーションとカスタム設定（Application & Custom Settings）を選択します。
3. PLISTファイルをJamf Proにアップロードする方法を選択します：
   • 外部アプリケーション（External Applications）：カスタムスキーマ（Custom Schema）を選択します。「JSONスキーマとJamf Proを使用したコンピューターアプリケーションの設定の管理」を参照してください。
   • アップロード（Upload）：「コンピューター構成プロファイル」を参照してください。
4. 選択したアップロード方法に、2つの同一のPLISTペイロードを入力します。各ペイロードには、個別の優先ドメインが必要です。
   • ペイロードの優先ドメイン1（First payload Preference Domain）： com.okta.mobile
   • ペイロードの優先ドメイン2（Second payload Preference Domain）： com.okta.mobile.auth-service-extension
   • PLISTペイロード（PLIST payload）：たとえば、Jamf Proを使用してCrowdStrike ZTAと統合するためのペイロードは以下のとおりです：

   • <?xml version="1.0" encoding="UTF-8"?>
     <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
     <plist version="1.0">
     <managedAppConfiguration>
     <dict>
     <key>OktaVerify.Plugins</key>
     <array>
     <string>com.crowdstrike.zta</string>
     </array>
     <key>com.crowdstrike.zta</key>
     <dict>
     <key>description</key>
     <string>File-based EDR integration between Okta Verify and the Crowdstrike Falcon agent</string>
     <key>format</key>
     <string>JWT</string>
     <key>location</key>
     <string>/Library/Application Support/Crowdstrike/ZeroTrustAssessment/data.zta</string>
     <key>name</key>
     <string>com.crowdstrike.zta</string>
     <key>type</key>
     <string>FILE</string>
     </dict>
     </dict>
     </managedAppConfiguration>
     </plist>

   注:

   現在、PLISTのdescriptionフィールドは使用されていません。これを使用すると、Oktaで収集するシグナルとこの機能の利点に関するメッセージをエンドユーザーに表示できます。

5. スコープ（Scope）タブに移動し、関連したエンドユーザーのデバイスに構成プロファイルを割り当てます。

管理対象アプリの構成のデプロイを検証する

いくつかの方法で、管理対象アプリの構成が任意のデバイスに正常にデプロイされたことを確認できます。

オプション1：システム環境設定を確認する

1. macOSデバイスで、ドックのシステム環境設定（System Preferences）アイコンをクリックして長押しします。

2. プロファイル（Profiles）をクリックします。

3. Device (Managed)（デバイス（管理対象））で、Jamf Proで作成したプロファイル用のエントリが一覧表示されていることを確認します。たとえば、エントリに以下のような情報が含まれている可能性があります：

   • 説明（［Description）］：Okta Verifyでコンテナを共有したmacOSにアプリの構成をデプロイします。
   • 署名済み（［Signed）］：JSS組み込み署名証明書
   • インストール済み（［Installed）］：2021年4月1日午前11:55
   • 設定（［Settings）］：カスタム設定

オプション2：/Library/Managed Preferencesを確認する

1. macOSデバイスで、/Library/Managed Preferencesに移動します。

2. PLISTファイルが以下の場所にあることを確認します：

   • 管理対象設定（Managed Preferences）フォルダ

   • 管理対象設定（Managed Preferences）（User）内のユーザー（User）（Managed Preferences）サブフォルダ。

EDR統合プラグインを無効にする

特定のEDRベンダー向けのEDR統合プラグインを無効にする場合は、このタスクを開始するで説明されているように、PLISTファイルからEDR固有のエントリを削除して、Jamf Proに再度アップロードします。

次の手順

エンドポイントセキュリティ統合を検証する