[やってみた]BCDMシングルサインオン機能と連携させてGoogleWorkspaceのパスワードレス(デバイス証明書)認証環境を構築してみた

2024年8月27日掲載

Duet AI for Google Workspace とは?特長や導入方法を分かりやすく解説

前回記事でGoogle Workspaceとビジネス・コンシェル デバイスマネジメント(BCDM)のシングルサインオンを構成する方法を紹介しました。

本記事では前回記事で触れたパスワードレス(デバイス証明書認証)機能を使ってGoogle Workspaceをより安全に利用するための方法を紹介します。

※本記事ではパソコンでの運用が前提となっていますが、モバイルデバイスでもデバイス証明書認証の利用は可能です。

目次

1. デバイス証明書認証のメリットとデメリット

デバイス証明書認証って、実際どんなもの?メリットとデメリットは何だろう?と疑問に思っている方も多いのではないでしょうか。簡単にまとめてみました。

メリット

  1. なりすまし防止でセキュリティ強化!
    デバイス証明書認証は、例えるなら、あなたのスマホやパソコンに、あなたしか持っていない特別な鍵をつけるようなものです。この鍵がないと、会社のシステムや重要な情報にアクセスできない仕組みです。これによりパスワードが盗まれたり、悪意のある人があなたのふりをして不正アクセスしようとしても、しっかりブロックしてくれるのでセキュリティがグッと高まります。

  2. 場所を選ばず、どこからでも安全にアクセス!
    最近では、会社だけでなく、カフェや自宅など、さまざまな場所から仕事をする機会が増えていますよね。デバイス証明書認証があれば、あなたの持っている特別な鍵さえあれば、どこからでも安全に会社のシステムや情報にアクセスできます。セキュリティを保ちつつ、柔軟な働き方をサポートしてくれます。

  3. パスワード管理の手間を軽減!
    たくさんのサービスやシステムを利用していると、パスワードを覚えるのも、管理するのも大変ですよね。デバイス証明書認証を導入すれば、毎回パスワードを入力する必要がなくなるので、手間が減り、入力ミスによるロックアウトのリスクも軽減されます。

デメリット

  1. 証明書の管理がちょっと面倒...
    メリットでもお話しした通り、デバイス証明書は特別な鍵のようなもの。この鍵をなくしたり、盗まれたりすると、大変なことになります。そのため、しっかり管理する必要があります。紛失や盗難に備えて、バックアップを取っておくなどの対策も必要です。

  2. 導入や運用にコストがかかる...
    デバイス証明書認証を導入するには、システムの変更や、新しい機器の購入などが必要になる場合があります。また、証明書の発行や管理にも費用がかかることがあります。導入前に、どのくらいの費用がかかるのか、事前にしっかり確認しておくことが大切です。ですが、BCDMの場合は証明書の費用がライセンス費用に含まれていますし管理機能も含まれているのでBCDMだけで運用できます。

  3. すべてのデバイスに対応しているわけではない...
    デバイス証明書認証は、スマホやパソコンなど、特定のデバイスでしか利用できない場合があります。また、古い機種だと対応していないこともあるので、注意が必要です。BCDMでの対応状況もあわせて参照してください。

この後はBCDMで証明書認証をできるようにするための大まかな流れを紹介します。

 

2. 前準備

デバイス証明書認証を行う前にBCDMへ利用するデバイスの登録とそのデバイスを利用するユーザーとの紐付けを行います。

2-1. デバイスをBCDMに登録する

デバイスをBCDMへ登録します。デバイスの登録はPCにインストールしたBCDMのエージェント経由で行われます。

2-2. デバイスをユーザーと紐づける

誰がどのデバイスを使用するかを識別できるようにするためにユーザーとデバイスの紐付けを行います。

2-3. デバイス証明書を配布する

デバイスとユーザーとの紐付けが完了してからしばらくすると、自動的にBCDMからデバイス証明書の配布が始まります。

配布の状況は「配布ステータス」アイコンで表示され、処理が完了すると配布ステータスが「完了」、証明書ステータスが「有効」に変わります。また、配布完了日時も表示されるためいつ適用されたかも分かるようになっています。

2-4. デバイス証明書の配布確認

管理者側でも配布状況は確認できますが、PC(ユーザー)側で証明書を確認したい場合はMMCスナップイン(証明書)を使用します。証明書はBCDMが自動でインストールしてくれるのでユーザー側では何もする必要がありません。

以上で証明書を使うクライアントの準備ができました。

3. BCDMで証明書認証を構成する

続いてBCDM管理画面にて証明書認証を有効化する作業を行います。アクセスポリシー設定にて デバイス認証(証明書)を有効化するとパスワードレスでの認証が可能となります。

注)本画面ではデバイス認証に加えパスワード認証も可能という設定となっており、証明書が適用されていない端末であってもパスワードでログインできるという構成になっています。こちらはご自身の会社のセキュリティポリシーに応じて有効/無効を調整することが可能です。

4.動作確認

Google Workspaceへログインを行うとBCDMへリダイレクトされます。今回は証明書認証のためPIV/CACカードでサインインを選択します。

認証に使用する証明書(今回インストールされたもの)を聞かれたら利用する証明書を選んでOKボタンを押下するとログイン処理が進みます。

ID/パスワードの入力をする必要はなく証明書だけでGoogle Workspaceへログインすることができました。

5. まとめ

本記事では、パスワードなしでログインできる方法と、それを簡単に実現できる BCDM のパスワードレス認証をGoogle Workspaceへ適用する方法を紹介しました。

パスワードなしでログインできるようにするためには、デバイス証明書というものを使います。デバイス証明書は、あなたのデバイスにしかない特別な情報で、あなたの身分を証明できます。パスワードを入力しなくても、デバイス証明書があればログインできるので、便利で安全です。BCDM のシングルサインオン機能とパスワードレス認証機能を使えば不正なログインを防ぐこともできますし、安全かつ場所を問わないアクセスを実現することが可能です。

 

また、管理が煩雑なデバイス証明書の発行や管理もBCDMに任せることができ、運用管理もシンプルになります。実際今回の検証では拍子抜けするくらい簡単に実現できてしまいました。

 

アクセス制御を行なわれている企業様においても企業内ネットワークからしかアクセスさせたくないというようなIPアドレスで縛るアクセス制御がまだ主流ではありますが、安全を担保しつつもリモートワークなど場所を問わないアクセスができるような機動性を持つ環境を実現されたいお客様はデバイス証明書を使用した認証方式がオススメです。

パスワードなしでログインできる方法に興味がある方は、ぜひお問い合わせください。

本記事が、皆様のセキュアなGoogle Workspaceの利用環境を実現する一助となれば幸いです。

最後まで読んでいただきありがとうございました!

関連サービス

携帯電話、スマートフォン、ノートPCなどのモバイル端末を一元的に管理するためのサービスです。

端末を初期設定する際に遠隔設定・アプリ配布が可能で、運用管理の効率化に役立ちます。また紛失時対策として遠隔ロックや遠隔消去も備えています。モバイル端末の利用機会が増え情報漏洩リスクが高まっている今、モバイルデバイスをセキュアに管理できるMDM(モバイルデバイス管理)が重要です。

IDaas(Identity as a Service)サービスであり、企業向けデバイス管理(EMM)サービスです。Cloud Identity を利用することで、管理者は Google 管理コンソールからユーザ、アプリケーション、デバイスを一元管理することができます。

Google Workspace は、あらゆる業務に合わせて、すべてのビジネス機能をそろえた統合ワークスペースです。お客さまのご利用に合わせたサポートとオプションをご用意しています。あらゆる働き方に対応する業務効率化を実現します。

おすすめの記事

条件に該当するページがございません