MS-ADCS要件でポリシーを作成

このアクセスポリシー作成は、デバイス証明書を使用したアクセスポリシーとほぼ同じです。

アプリケーションにアクセスする前にデバイス証明書を検証する機能を利用しますが、1つの例外として、Microsoft Active Directory Certificate Service (MS-ADCS) によってのみ生成された証明書を必要とします。言い換えれば、他の一般的なデバイス証明書ではできない検証追加レイヤーになります。このポリシーを有効にするには、管理ユーザーがポリシーを作成する必要があります。

管理アクセスについては、以下のKB を確認ください:

• Safous管理ポータル

1. https://portal.safous.comにログインします。
2. Settingsタブ> ZTNA に移動します。
3. Policiesから、New Policyボタンを選択します。
   
4.  クリックすると使用可能なポリシーのオプションがすべて表示されます。
    
5.  ポリシー名は必須です。他のポリシーと区別するために固有のポリシー名を入力する必要があります。 
   
6.  次に、このポリシーを正常機能させるために「Required device certificate」オプションを切り替え、「Require MS-ADCS Certificate Template OID」に切り替える必要があります。
   
7. デプロイされたADCS に基づいて、正しいOID 値でMS-ADCS Certificate Template OID を追加する必要があります。MS-ADCS に関する詳細については、Microsoft KB をご確認ください。
   
   
8. ユーザーグループ、アプリケーション、カテゴリ、構成については、マッピングしたいものを記入・選択します。その後、"Save"をクリックします。
   
9.  ポリシー追加が完了すると完了通知があがります。
   
    
   

   ポリシーがうまく実行されているかどうかテストするには、以下を確認する必要があります:

   • 管理者が作成済みのユーザーはこちらのリンクをご確認ください。
     最初のユーザーの作成
   • すでにMFAに登録しており、適切にログインすることができる場合は、こちらのリンクをご確認ください。
     ユーザーポータルへのログイン
   • 構成に信頼される証明書をすでに入力している管理者は、こちらのリンクをご確認ください。
     信頼できる証明書の設定
   • デバイスへのクライアント証明書の追加
   　　　・Windowsの場合　以下を参照ください。 
   
   　　　・ MacOSの場合以下を参照ください。 
   
   　　　・Linux (Ubuntu)の場合、以下を参照ください。
   
   ・　ユーザーポータルを開くためのお気に入りのWeb ブラウザ
   
   

   ユーザーポータルにログインすると、ユーザーがアクセスできるすべてのアプリケーションが表示されます。
   

   デバイス証明書アクセスポリシーにすでにマッピングされているアプリケーションをクリックします。
   

   新しいブラウザタブが開き、アプリケーションを開くために使用するデバイス証明書を尋ねられます。
   

   正しい場合は、通常通りアプリケーションにアクセスできます。 
   
   
   

   そうでない場合、以下の様なエラーメッセージがWeb ページに表示されます。