Cisco Duo デバイス 信頼コネクタを設定する

Microsoft Edge for Business Cisco Duo と接続し、追加のエージェントを必要とせずにデバイス信頼検証を有効にすることでセキュリティを強化します。 簡単な Duo 実装でセキュリティ管理を簡素化し、セキュリティで保護されたアプリケーション アクセスとブラウザー保護を強化します。

前提条件

• Microsoft Entra 管理 センターへのアクセス 
• Microsoft 365 管理 センターへのアクセス
• 所有者、管理者、または Application Manager の管理ロールを持つ管理者として Duo 管理 パネルにアクセスします。  
• 登録する Windows OS を持つデバイス

Cisco Duo 管理 ポータルの設定

1. エッジ デバイス信頼コネクタ統合を作成する

1. Duo 管理 パネルにログインし、[デバイス] セクションの [信頼できるエンドポイント] に移動します。
2. これが初めての管理統合の場合は、信頼されたエンドポイントの概要ページの下部にある [ はじめ に] ボタンをクリックします。 別の管理統合を追加する場合は、代わりにページの上部に表示される [ 統合の追加] ボタンをクリックします。
3. [管理ツールの統合の追加] ページで、[デバイス管理 ツール] の一覧Microsoft Edge for Business [Device Trust Connector] を見つけて、[この統合の追加] セレクターをクリックします。
4. [推奨] オプションから [Windows ] を選択し、[ 追加 ] ボタンをクリックします。

新しい Microsoft Edge for Business Device Trust Connector 統合は、"無効" 状態で作成されます。 Duo の信頼できるエンドポイント ポリシーを適用する準備ができたら、オンにします。 Edge for Business Device Trust Connector の信頼チェックが失敗した場合、アクティブな Duo Desktop ベースの統合では、フォールバックとして信頼チェックが実行されます。

セットアップ中は、お使いのブラウザーで Duo 管理 パネルを開いたままにします。 Microsoft Entra構成手順を完了するには、Edge for Business Device Trust Connector 統合ページに戻る必要があります。

2. Microsoft Entraで新しいアプリ登録を作成する

1. [Microsoft Entra 管理センター>アプリケーション] > アプリの登録 > [新しい登録] に移動します。

2. 新しいアプリケーションを登録します。 "任意の組織ディレクトリ内のアカウント (任意のMicrosoft Entra ID テナント - Multitenant)" へのアクセスを許可します。

3. 新しく作成されたアプリの登録に移動します。 左側のナビゲーションの [管理] を使用して、[証明書] & [シークレット] に移動します。 後の手順で使用するアプリケーションの新しいクライアント シークレットを作成します。

4. 左側のナビゲーションで、[ API のアクセス許可の管理] に移動します。 新しく作成したアプリ登録に必要なアクセス許可を構成して、Device Trust API にアクセスするためのアクセス許可をアプリケーションに付与します。

   4.1. [organizationで使用する API] タブで [Microsoft Edge 管理サービス] を検索します。結果の行をクリックします。 注: アプリケーションが表示されない場合は、テナントに追加する必要があります。

   4.2 テナントに Microsoft Edge 管理サービスが見つからない場合 は、アプリケーションをテナントに追加して表示する必要があります。 Graph エクスプローラーに移動し、アカウントでサインインします。 完了したら、表示された要求をコピーして実行します (アプリ ID は ff846ae4-7ec9-42f4-8576eb14198ad5e1)。 [アクセス許可の変更] タブで、グラフ エクスプローラーにアクセス許可を付与していることを確認します。この手順を完了すると、テナントにMicrosoft Edge 管理サービスが表示されます

4.3. [アプリケーションのアクセス許可] を選択し、"DeviceTrust.Read.All" アクセス許可を追加します。

Edge Management Service でコネクタを構成する

1. Microsoft 管理 センターに移動します
   行きます https://admin.microsoft.com/Adminportal/Home#/Edge/Connectors

   • 管理者は、任意のコネクタ構成に割り当てる構成ポリシーを設定する必要があります。 構成ポリシーを作成するには、このガイドに従います。
   • 少なくとも 1 つの構成ポリシーを作成したら、 Edge 管理サービスの [コネクタ] ページにアクセスして、Edge 管理サービス の [コネクタ] ページにアクセスします。

2. コネクタの検出
   [ コネクタの検出] で、 Cisco Duo デバイス 信頼コネクタ を見つけて、[ セットアップ] を選択します。

3. ポリシーを選択する
   [ ポリシーの選択] フィールドで、コネクタ構成に適したポリシーを選択します。

4. URL パターンを入力する
   許可する URL パターンで、1 行に 1 つずつフィールドに「https://duosecurity.com」と入力します。

5. 構成を保存する
   [ 構成の保存] を 選択して変更を適用します。

信頼されたエンドポイントのデプロイを完了する

Edge for Business Device Trust Connector Trusted Endpoints 統合を作成した後、 信頼されたエンドポイント ポリシーを設定して、ユーザーが Duo で保護されたサービスとアプリケーションに対して認証を行う際に、Edge for Business ブラウザー登録のチェックを開始します。 

信頼できるエンドポイント ポリシーが Duo アプリケーションに適用されたら、Edge for Business に戻ります

管理 パネルの Device Trust Connector [Trusted Endpoints] の統合。 ページの [統合状態の変更] セクションには、現在の統合状態が表示されます (作成後は既定で無効になっています)。 この統合は、指定したテスト グループまたはグループのメンバーに対してのみアクティブ化するか、すべてのユーザーに対してアクティブ化するかを選択できます。 

Duo 管理 パネルの Device Insight と Endpoints ページには、検証されたアクセス デバイスが表示されます。  

セットアップの確認

マネージド Edge for Business ブラウザーを使用して、保護されたアプリケーションに対する認証を行います。  

[信頼されたエンドポイント] ポリシーが [すべてのエンドポイントを許可する] に設定されている場合、ユーザーはアプリケーションへのアクセスを受け取り (マネージド エッジ ブラウザーが他のすべてのポリシー検証に合格したと仮定して)、Duo はそのブラウザーの信頼済みまたは信頼されていない状態を記録します。  

[信頼されたエンドポイント] ポリシーが [信頼できるエンドポイントを要求する] に設定され、Duo が管理対象の Edge for Business ブラウザーの管理状態と構成を必要なポリシー設定に照らして正常に検証した場合、ユーザーは保護されたアプリケーションへのアクセスを受け取ります。 

マネージド Edge for Business ブラウザーが構成とポリシーのチェックに失敗した場合、Duo はアンマネージド ブラウザーからアプリケーションへのアクセスを拒否します。