Enterprise Enrollment and Attestation(エンタープライズ エンロールメント&アテステーション)とは、SecureW2がJoinNow Connector PKIサービスの一貫として2023年11月より新たに提供するPKIインフラストラクチャをアップグレードする新機能です。EEAを利用すると、macOS, iOS, iPad OS, tvOS などAppleデバイスを採用するお客様の組織において、現在よりもデバイス情報(シリアル番号など)、デバイスが正規のApple製品であるか、どのMDMで管理されているか、といった情報をより確かに保証し、デバイスの真正性と身元をPKIを利用して証明することできます。
これはEEAがAppleのManaged Device Attestation(MDA)をサポートすることで、AppleのデバイスはSecure Enclaveを使用してAppleのサーバーと安全に通信し、macOSおよびiOSデバイスが「このデバイスは正規のAppleデバイスです」であったり、「このデバイスのユニークIDは1123XYZで、このデバイスはあなたの組織のJamf Pro(MDM)に存在します」といったことを、偽装することが難しい形でSecureW2へ伝達し、端末が証明書を受け取る事が出来るためです。
EAAの導入により組織はMDMやデバイスに対する様々な攻撃に晒される厳しい環境でも、信頼出来るデバイスをSecureW2を通じて検証することができ、より安全に無線/有線ネットワークへのアクセス、VPNのアクセス認証、IDaaSへのログインなどを実現することができます。
Managed Device Attestation(MDA)
引用元: https://www.securew2.com/blog/apple-managed-device-attestation-explained
AppleのManaged Device Attestation(MDA)は、iOS 16、iPadOS 16.1、macOS 14、tvOS 16以降で使用可能な機能で、デバイスが正当なApple製品であることを証明します。これは、デバイスのプロパティに関する強力な証拠を提供し、Secure EnclaveとApple認証サーバを通じて行われます。MDAは、デバイスのプロパティの詐称、期限切れの認証、別のデバイスの情報送信、秘密鍵の盗用、証明書要求の乗っ取りなど、様々なセキュリティ脅威から保護するために役立ちます。
組織は、認証局(CA)のACMEサービスを通じてデバイスのプロパティの認証を要求できます。このプロセスでは、デバイスのプロパティの整合性が暗号学的に検証され、組織のデバイスインベントリと照合されます。成功すれば、デバイスが組織のものであることが確認されます。ACMEの発行CAは、証明書署名要求の一環として、デバイスのSecure Enclave内で生成された秘密鍵に関連付けられたクライアント証明書を発行します。これにより、デバイスのプロパティが正当であり、詐称されていないことが保証されます。これらの鍵は、特定のデバイスでのみ利用でき、MDM、802.1Xネットワーク、内蔵VPNクライアント、内蔵ネットワークリレーによる認証に使用されます。
引用元: https://www.securew2.com/blog/apple-managed-device-attestation-explained
Managed Device Attestation(MDA)について、更に詳しく知りたい方はSecureW2が執筆したブログ Apple Managed Device Attestation Explained - SecureW2 Blog もぜひご覧ください。MDAとEAAの連携実現に欠かせない自動証明書管理環境(Automated Certificate Management Environment:ACME)についても具体的に書かれています。
SecureW2、Enterprise Enrollment and Attestationにご興味のあるお客様はペンティオまでお問い合わせください。