LINE WORKS の組織が管理している iOS デバイスに限定する方法

 LINE WORKSをAzure ADでSSOする構成にしてみた、にてSSOを構成しましたが、やっぱりモバイルで利用できないとモッタイナイ。なので組織が管理しているiOSデバイスでだけ利用できるように制限しようとしたのですが・・・。

Twitterで教えていただき、いくつかの実現する方法に触れられました！というわけでまとめてみました。教えていただいた、iwaohigさん、すかんくさんありがとうございます！

• 実現したいこと
• 条件付きアクセスだけでは利用できない？
• LINE WORKSの外部MDM連携機能と、Intuneのアプリ構成ポリシーを組み合わせて実現してみた
• LINE WORKSのSet External Browser を構成して実現してみた
• Apple デバイス用の Microsoft Enterprise SSO プラグイン を利用して実現してみた
• 比較とまとめ

実現したいこと

組織で管理しているiPhoneでのみLINE WORKS を利用を許可し、私有デバイスなどでは利用をブロックしたい、という内容です。よくあるアクセス元制御だと思います。

Azure ADの条件付きアクセスで、「iOSの場合、準拠済みデバイスであれば許可する」という条件で実装できるはず。すでにいくつかのクラウドアプリ×モバイルアプリという組み合わせではこの条件で実装してきましたから同じ方法で。

条件付きアクセスだけでは利用できない？

条件付きアクセスで、準拠済みデバイスであれば許可する、というルールを構成しログインしようとしたのですが・・・

ここからはアクセスすることはできません、という表示が。認証は通っているけど、条件付きアクセスで認可されていないときのメッセージですね。

SafariかEdgeを使用する必要とのことだったので、Docs見てみたら

　　　　iOS 　　 Microsoft Edge, Managed Browser, Safari

とのこと。それ以外のブラウザはサポートされていないってことですね。どうもこれに引っかかってしまったっぽいです。さて、どうしようか・・・。

LINE WORKSの外部MDM連携機能と、Intuneのアプリ構成ポリシーを組み合わせて実現してみた

LINE WORKSの公開情報に、アクセス元制限を実現する方法について記述がありました。方法を要約すると、

• LINE WORKS 管理者画面で、外部MDMを有効化して、アクセス元制限用のキー(LineworksAuthCodeキー）情報を発行し
• Intune ポータルアプリから、LINE WORKSアプリをインストール
• Intuneのアプリ構成ポリシーで、必要なキーとキー情報を設定する
• 条件付きアクセスから、LINEWORKSを対象外にする

というものです。これでキー情報がないデバイスからはブロックする、という意図していたことが実現できます。（条件付きアクセスでの制限ではないですが）

もちろん制限できるのはありがたいのですが、できることなら条件付きアクセスで制御したいです。管理している方法が散在すると何かの設定変更などの際に考慮漏れが発生するリスクもありそうだから、です。

LINE WORKSのSet External Browser を構成して実現してみた

出来れば条件付きアクセスで制限したいな…何か良い方法ないでしょうか。

・・・というところで、iwaohigさんのTweetをみつけました！

Intune で登録済みデバイスの条件つきアクセスで Windows アプリからログインしている様子です。#LINEWORKS アプリで ID 入力後に Edge が起動して Azure Active Directory の認証処理が行われています。 pic.twitter.com/TUl3tr67KB

— iwaohig (@iwaohig) December 10, 2021

詳しい内容はiwaohigさんのQiita記事を見ていただきたいのですが、方法を要約すると、

• LINE WORKS Developer Console で、SSOのSAML構成にある Set External Browser を有効化し
• 条件付きアクセスで、LINE WORKS で準拠済みデバイスの場合は許可とする

というものです。上記の構成を有効化すると、LINE WORKSの認証が、アプリ内のブラウザ―機能ではなく、デバイスのデフォルトブラウザで行われるようになりそうです。デフォルトブラウザはSafariであることが多いでしょうから、条件付きアクセスが適用されるようになりますね。

検証し、条件付きアクセスにも成功の文字が。この喜びをTweetさせてもらいました。

Apple デバイス用の Microsoft Enterprise SSO プラグイン を利用して実現してみた

すると今度は、すかんくさんより、別の方法を教えていただきました！

Microsoft Enterprise SSO plug-in for Apple Devices
という機能でも出来るので、気になった際は調べてみてください。
こちらだと SSO 対応している iOS Apps 全般で通用します。
画像は LINEWORKS でテストした時のものなので、このまま使えるかもしれません。
[URL]https://t.co/p6UTCp5spg
[画像] pic.twitter.com/BOtxRcSiaI

— すかんく (@sukankEMS) January 12, 2022

こんな機能もあるのか・・・！方法を要約すると、

• モバイルアプリの、バンドルIDを入手
• Intune の構成プロファイル画面でデバイス機能プロファイルを作成、Apple のエンタープライズ シングル サインオン機能利用できるよう構成する
• 条件付きアクセスで、LINE WORKS で準拠済みデバイスの場合は許可とする

というものです。LINE WORKSだけでなく、SafariやEdge以外で認証するほかのモバイルアプリにも適用できるそうで、汎用性高そうです。バンドルIDを指定せず実施することもできまるようです。

ただ、この方法はまだAzure ADではプレビューなのか、「運用環境のワークロードに使用することはお勧めできません」とDocsにも書かれています。

実現できるなら、やってみたい。というわけで検証し、条件付きアクセスにも成功の文字が。ありがたいです！

比較とまとめ

LineworksAuthCode を使う方法でも要件を満たせますが、条件付きアクセスでの管理ではないのがちょっとひっかかります。

Set External Browser を使う方法だと条件付きアクセスで制御できるので、こちらが手堅いでしょうか。どちらかを使うならこちらを使います。

今回私は、この方法で実装しました。

LINEWORKSは解決策がこのように用意させれていますが、用意されていないようなモバイルアプリもまだまだあります。プレビューとはいえ、Microsoft Enterprise SSO plug-in for Apple Devicesは1番の選択肢になりそうです。

ちょうど別のアプリで同じ問題が起きており、こちらの方法で実現しようと考えています。

自分では気づけなかった手法をで教えていただき、実現できました。

iwaohigさん、すかんくさん、ありがとうございます！

参考情報

条件付きアクセス ポリシーの条件、サポートされているブラウザ - Microsoft Docs
https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/concept-conditional-access-conditions#supported-browsers

外部MDM連携 - LINE WORKS ヘルプセンターhttps://guide.worksmobile.com/jp/admin/admin-guide/security/mobile-security/3rd-party-mdm/

会社が許可したデバイスに限って LINE WORKS を利用する (Azure AD + Microsoft Intune 編) - Qiita iwaohigさん
https://qiita.com/iwaohig/items/74bafaa4a1204ba44ae8

Microsoft Enterprise SSO plug-in for Apple Devices という機能でも出来る - Twitter すかんくさん
https://twitter.com/sukankEMS/status/1481108319142281216

Apple デバイス用の Microsoft Enterprise SSO プラグイン (プレビュー) - Microsoft Docs
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/apple-sso-plugin