Kerberos の制約付き委任（KCD）を使用した導入スキーム

Kerberos の制約付き委任（KCD）を使用した導入スキームでは、管理サーバーと iOS MDM サーバーが組織の社内ネットワークになければなりません。

この導入スキームでは以下が実現されます：

• Microsoft Forefront TMG との統合
• KCD を使用したモバイルデバイスの認証
• PKI との統合によるユーザー証明書の適用

この導入スキームを使用する場合、以下を実行する必要があります：

• 管理コンソールの iOS MDM Web サービスの設定で［Kerberos の制約付き委任との互換性を確保する］をオンにします。
• iOS MDM Web サービスが TMG で公開された際に定義されたカスタマイズ済みの証明書を、iOS MDM Web サービスの証明書として指定します。
• iOS デバイスのユーザー証明書は、ドメインの Certificate Authority（CA）によって発行される必要があります。ドメインに複数のルート CA がある場合、ユーザー証明書は、iOS MDM Web サービスが TMG で公開された際に指定された CA によって発行される必要があります。

  以下の方法のいずれかを使用して、ユーザー証明書が、この CA の発行要件を満たしていることを確認できます：

  • 新しい iOS MDM プロファイルウィザードと証明書インストールウィザードでユーザー証明書を指定します。
  • 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します：
    1. コンソールツリーで、［モバイルデバイス管理］フォルダーを展開し、［証明書］サブフォルダーを選択します。
    2. ［証明書］フォルダーの作業領域で［証明書の発行ルールを指定する］をクリックして［証明書発行ルール］ウィンドウを表示します。
    3. ［PKI（公開鍵基盤）の統合］セクションで、公開鍵基盤との統合を設定します。
    4. ［モバイル証明書の発行］セクションで、証明書のソースを指定します。

以下を前提とした Kerberos の制約付き委任（KCD）の設定例を次に示します：

• iOS MDM Web サービスがポート 443 で実行されている
• TMG がインストールされたデバイスの名前が tmg.mydom.local である
• iOS MDM Web サービスがインストールされたデバイスの名前が iosmdm.mydom.local である
• iOS MDM Web サービスの外部公開名が iosmdm.mydom.global である

http/iosmdm.mydom.local のサービスプリンシパル名

ドメインで、iOS MDM Web サービスがインストールされたデバイス（iosmdm.mydom.local）のサービスプリンシパル名（SPN）を次のように登録する必要があります：

setspn -a http/iosmdm.mydom.local iosmdm

TMG がインストールされたデバイス（tmg.mydom.local）のドメインプロパティの設定

トラフィックを委任するには、SPN（http/iosmdm.mydom.local）によって定義されたサービスに対して TMG がインストールされたデバイス（tmg.mydom.local）を信頼します。

SPN（http/iosmdm.mydom.local）によって定義されたサービスに対して TMG がインストールされたデバイス（tmg.mydom.local）を信頼するには、管理者は以下の操作を実行する必要があります：

1. 「Active Directory ユーザーとコンピューター」という名前の Microsoft 管理コンソールスナップインで、TMG がインストールされたデバイス（tmg.mydom.local）を選択します。
2. デバイスのプロパティの［委任］タブで、［このコンピューターを、指定されたサービスの委任に限って信頼する］トグルを［任意の認証プロトコルを使用する］に設定します。
3. SPN（http/iosmdm.mydom.local）を［このアカウントが委任された資格情報を提供できるサービス］リストに追加します。

公開された Web サービス（iosmdm.mydom.global）向けの専用（カスタマイズ済み）の証明書

FQDN iosmdm.mydom.global の iOS MDM Web サービス向けの専用（カスタマイズ済み）の証明書を発行し、管理コンソールの iOS MDM Web サービスの設定で、既定の証明書に置き換えるように指定する必要があります。

証明書のコンテナー（拡張子が p12 または pfx のファイル）には、ルート証明書（公開鍵）のチェーンも含まれる必要があることに留意してください。

TMG での iOS MDM Web サービスの公開

TMG で、モバイルデバイスから iosmdm.mydom.global のポート 443 へ向かうトラフィックに対して、FQDN（iosmdm.mydom.global）用に発行された証明書を使用して、SPN（http/iosmdm.mydom.local）の KCD を設定する必要があります。公開中、および公開済みの Web サービスは、同じサーバー証明書を共有しなければならないことに留意してください。

関連項目： 標準設定：DMZ 内の Kaspersky Device Management for iOS 公開鍵基盤との統合

ページのトップに戻る