管理対象か管理対象外かを問わず、あらゆるデバイスに Duo なら対応。
「組織の信頼基準とコンプライアンス基準を満たすデバイスにのみアクセスを許可するには、どうしたらよいか?」 これは、多くのセキュリティ担当者が解決しようとしている問題です。
しかもこの問題は、企業のアプリケーションに非管理対象デバイスからもアクセスされる混在状態により、さらに複雑になっています。非管理対象デバイスとは、従業員が使用する個人用デバイスだけでなく、パートナーや契約社員が使用するデバイスも含めた、IT 部門が管理していないデバイスを指します。
ハイブリッドワークやリモートワークが普及した今日、管理者は不正アクセスのリスクを最小限に抑えるため、アクセスを許可する前に本人確認を実施するだけでなく、デバイスのポスチャも確認する必要があります。そのため多くの企業はデバイス管理ソリューションを導入することで、企業所有デバイスの可視化と管理を行っています。さらに特定の VPN クライアントやリモートアクセスエージェントも使い、デバイスベースのアクセスポリシーを適用するためにポスチャを確認しています。しかし今のトレンドは、はアプリケーションをクラウドに移行し、BYOD や請負業者のデバイスを業務に使用できるようにし、リモートアクセスにおける VPN への依存を減らすことです。最新のリモートアクセスのワークフローを保護するために管理者が求めているのは、デバイスのセキュリティポスチャを確認し、その結果に基づいてアクセスポリシーを適用できる仕組みです。
そこで役に立つのが、Duo の軽量な デバイスヘルス アプリケーションです。このアプリケーションは、OS バージョン、ファイアウォールとディスク暗号化のステータス、エンドポイント検出および対応(EDR)エージェントの有無、パスワードステータスといった、デバイスの正常性に関する情報を収集します。その特徴はデバイスの状態に基づいてアクセスポリシーを設定できることです。たとえば、最新バージョンの OS とセキュリティパッチがインストールされ、ホストファイアウォールが有効になっているデバイスに対してのみ、メールへのアクセスを有効にすることができます。
Duo の デバイスヘルス アプリケーションは、デバイスが企業の管理システムに登録されているかどうかを確認するために一意のデバイス ID(UUID)を収集します。このため管理者は、管理対象デバイスと非管理対象デバイスを区別し、信頼できるエンドポイント(Trusted Endpoints)ポリシーを適用しすることで、重要なアプリケーションに対する非管理対象デバイスからのアクセスをブロックできます。
Duo なら、導入済みのデバイス管理ソリューションとも簡単に統合可能
デバイス管理ソリューションをお使いの場合でも、Duo ならば特別な作業の必要なく、Active Directory ドメイン結合デバイス、Microsoft Intune、Jamf Prono、VMware Workspace ONE などの統合エンドポイント管理(UEM)ソリューションと統合可能です。
上記以外のソリューションを導入している企業向けに、Duo では デバイス AP を提供しています。まず企業のデバイス管理システムにて、固有のデバイス識別子のリストを Duo にアップロードできます。認証時には、デバイスヘルス アプリケーションによって収集されたデバイス識別子が Duo にも保存されていることを Trusted Endpoint ポリシーが確認します。これにより、信頼できる Windows および macOS PC からのアクセスのみを許可します。この API は、すべての Duo Beyond のお客様にご利用いただけます。
あらゆるアプリケーションにデバイスを問わず安全かつ簡単にアクセスできるよう、Trusted Endpoints ポリシーを適用するためのデバイス証明書を導入、管理するという要件を廃止しつつあります。その代わりとなる デバイスヘルス アプリケーションでは、シンプルなメカニズムでデバイスの信頼を確立できるため、管理オーバーヘッドの低減が可能になります。デバイスヘルス アプリケーションを使用して 3 つの簡単なステップで Trusted Endpoints ポリシーを有効にする方法については、こちらのブログをご覧ください。
Duo があれば、従業員に欠かせないセキュアなアクセスを簡単に確立できます。30 日間の無料トライアルにご登録いただき、その効果をご体験ください。