SEG V2 での KCD 展開の変更

背景

AirWatch コンソールのバージョン 9.2.3 リリースから、SEG V2 は Kerberos 制約付き委任をサポートするようになりました。さらに、SEG V2 ではパフォーマンスと安定性の大幅な改善も図られています。VMware AirWatch はこの SEG V2 への移行をすべてのお客様にお勧めしています。 

これまでのクラシック SEG は、クロスドメイン (ワークグループ) モードとシングルドメイン (ドメイン参加) モードのいずれかで動作します。各展開モードでの要件が異なるため、VMware AirWatch はそれぞれに別個のガイドをご用意していました。しかし、これら別々だった 2 種類の展開要件は 1 つにまとめられ、今後はクロスドメイン KCD 展開という形でサポートされるようになります。 

 

機能改善

KCD の構成は、ローカル アプリケーションでの構成を廃し、すべて SEG サーバに集約することで簡素化されました。MMC や IIS などのローカル アプリケーションで行っていた構成は SEG V2 アーキテクチャ/構成の一部となり、これらのローカル アプリケーションでの構成は必要なくなりました。これらの設定は、下記のスクリーンショットに示す 1 ~ 4 の項目で行います。これらの項目の概要は以下のとおりです。

  1. クライアント証明書の信頼チェーンは、SEG 構成の一部として AirWatch コンソールからアップロードするようになりました (以前は MMC で設定)。
  2. クライアント証明書を要求する機能も SEG 構成の一部になりました。この設定は KCD には必須です。また、ベーシック認証を使用している場合でも、個別のセキュリティ強化策として使用することができます (以前は IIS で設定)。
  3. SEG サーバの構成 (IIS、セキュリティ ポリシー) は必須ではなくなりました。SEG のアーキテクチャが変更されたため、これらの機能が直接使用されることはありません。
  4. ドメイン コントローラにはホスト名だけでなく FQDN も定義されている必要があります (以前はホスト名のみでクロスドメイン KCD を構成できていました)。また、1 台の SEG で複数のレルムを処理している場合は、この設定項目で複数のドメインを指定することができます。

Picture1.png

 

なお、構成値が変更されたため、SEG V2 に移行する際には追加の (2 つ目の) MEM 構成を作成して構成することを推奨します。SEG V2 への移行に関してはすべての保証が引き続き有効である点にも注意してください。SEG V2 をクラシック SEG と同じサーバにインストールすることで、プロファイルをプッシュし直すことなく、最小限のダウンタイムで SEG V2 を展開できます。詳細は、『Kerberos Constrained Delegation Authentication for SEG V2』(SEG V2 の Kerberos 制約付き委任認証) および『VMware AirWatch SEG Guide』(VMware AirWatch SEG ガイド) を参照してください。 

 

お問い合わせ

サポート リクエストを発行するには、貴社のサポート ラインに連絡するか、My Workspace ONE からサポート リクエストを提出してください。

 

敬具

VMware Workspace ONE チーム

Other Languages: English

免責事項:これは英文の記事「Changes to KCD Deployments for SEG V2」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.