HENNGE One

Microsoft 365、Google Workspace 等雲端服務上更加值的雲端安全防護

株式會社 Sanrio 三麗鷗

注重資安的同時享受雲端的便利

想要在公司外安全地使用 Office 365,以存取控制來做員工身份驗證是不可缺少的。但是如果規則太嚴苛,則會失去雲端服務的便利性。為了解決此問題,三麗鷗導入了裝置憑證,進而實現了「安全的裝置認證」、「靈活運用行動裝置 App」以及「多元工作方式」。 三麗鷗資訊部的大畑正利,在 HENNGE 株式会社的研討會中,針對裝置憑證的運用、制度設計和注意事項做了詳盡地介紹和說明。

徹底遵守資安守則 也同時兼顧雲端使用方便性

三麗鷗就如同各位所知道的,是擁有 Hello Kitty 等眾多角色的知名公司,雖然三麗鷗給人可愛的形象,但他們在 IT 這部分毫不馬虎,非常積極地採用最新的技術。例如,早在微軟 Azure 在日本的資料中心設立之前,三麗鷗就已經參加了測試計畫。另外,歐洲營業據點的 Sanrio GmbH 更是在 Office 365 還被稱為 BPOS 的時候就已率先導入,是歐洲當時的先驅。

而三麗鷗之所以想導入裝置憑證,是因為遇到下面 3 個難題:

1. 以使用者為單位進行存取控制可能還是有風險。
2. 無法以裝置為單位控管就無法安心地讓員工靈活運用行動應用程式。
3. 因業務需要而使用外部系統的機會增加,造成 IT 架構的複雜化及管理負擔加重。

在公司外使用智慧型手機只能收發信件

三麗鷗是在 2014 年導入 Office 365 的,導入前的存取控制是由 Active Directory (AD) 和 Active Directory Federation Service (ADFS) 等地端架構組成的。購買 Office 365 的 E3 授權之後,雖然有試著盡量活用 Exchange Online 和 SharePoint Online 等功能,但受限於存取控制的規則,當時的 Office 365 存取規則為以下兩點:

● Global IP 限制
● (郵件) ActiveSync 許可

從公司內存取 Office 365 時,因為是在白名單的 Global IP 內,所以不會受限,將筆電帶出公司外使用時,只要使用 VPN 連回公司就沒問題。但是行動裝置是經由一般網路連線,所以無法像筆電一樣使用,當時沒有認證裝置的手段,只能使用 ActiveSync 的功能讓公司配發的手機可以使用 Email 而已。 只能收發 Email 而無法享受 Office 365 中許多行動裝置 App 帶來的便利,這很大程度降低了使用上的方便性。另外,身份認證用的伺服器負荷也漸漸成為了問題。

「Office 365 的身份認證需要至少 10 台伺服器才能穩定地使用」大畑說。為了解決上述提到的問題,需要滿足以下三個需求:

● 雲端服務架構 -> 穩定的身份認證
● 以裝置為單位認證 -> 活用行動裝置 App
● 減輕管理上的負擔 -> 活用行動裝置 App

利用裝置憑證來進行每台裝置的存取控制

三麗鷗針對上述需求,在四個產品中進行了比較和討論。最後能夠滿足「在日本能輕易地採購」、「雲端服務化架構」、「能以裝置為單位做身份認證」、「部署/使用簡單」等條件的就是 HENNGE One(舊名:HDE One)了。HENNGE One 的存取控制包含以下功能:

● IP 位址限制
● 使用 Cookie 達成之裝置限制
● OTP 一次性密碼

另外,由於裝置憑證(選購)能達成裝置的控管,因此三麗鷗也加上了這個方案。裝置憑證是針對各個裝置獨一無二的 MAC 位址或 IMEI 碼進行憑證的配發,因此即使憑證被竊取也無法安裝在其他裝置上。
只要在公司配發的裝置上安裝裝置憑證,在公司網域外想登入 Office 365 時,就可以判別是否使用公司配發的裝置登入,進而做到能夠存取 Office 365 的裝置控管。
存取的規則,包含裝置憑證為以下三點:

【新存取規則】
● Global IP 限制
● (郵件) ActiveSync 許可
● 有安裝裝置憑證(新規則)

將可以存取的狀況整理後,即為以下情形:
● 公司網域內:筆電/行動裝置=由於是在特定的 Global IP 內所以允許存取
● 公司網域外: 筆電=經由 VPN 所以允許存取 行動裝置=有裝置憑證即允許存取

藉由這些方案,除了 Email 以外的行動裝置 App 也都能使用了。大畑認為,由公司方面宣布可以使用的行動裝置 App,可以減少使用者偷偷使用未經許可 App 的這種「影子 IT」發生的情形。
而裝置憑證不論在 Windows 或 Mac 上都能安裝,即使是 VPN 連線情況不佳時,也能提供容易使用的 Office 365 環境,進而實現多元工作模式的員工需求,大畑這麼說。
在 2018 年上半年進行服務的比較和抉擇,6、7 月份進行測試和簽約,8 月準備導入,9 月即正式導入。

裝置憑證的選擇方法

HENNGE One 的裝置憑證有以下三個種類:

● 共用:可以和其他使用者共用、需要輸入密碼
● 個人:不能共用、需要輸入密碼
● 無密碼:不能共用、不需輸入密碼

裝置憑證派發之後也可以更改,所以不需要太過擔心發錯,以下為三種憑證的特點:

● 共用:雖然在派發時會指定使用者,但該使用者以外也可以輸入自己的帳號密碼來存取 Office 365,可以運用在公共裝置上
● 個人:只有派發時指定的使用者可以使用,只需要輸入密碼,適合個人裝置
● 無密碼:能做到無密碼登入,不必擔心帳號密碼遺失,有一定之便利性

一次性派發大量裝置憑證之注意事項

導入的時候,首先進行了裝置憑證的測試,準備好有安裝裝置憑證及沒有安裝的裝置,並做了能否使用憑證登入 Teams 等測試。
接著必須通知使用者,將從 ADFS 轉換到 HENNGE One 的服務,並且同時進行憑證的派發,準備時間大約花了一個月。關於這點,大畑建議:「大量派發裝置憑證時,最好先確認使用者的信箱都正確,能收到憑證安裝的信件」、「憑證安裝的信件中有設定安裝的最後期限,為了讓使用者都能在期限內安裝,必須多花一些心思宣傳」。
三麗鷗在 2018 年 9 月切換成 HENNGE One 時,同時移除了 IaaS 上的 ADFS 伺服器,並將 Office 365 環境與 HENNGE One 綁定。從決定到導入僅僅用了 3 個月,可以說是非常迅速。

裝置憑證的派發、安裝順序

一般裝置憑證的派發步驟如下。如果全部都由 IT 管理者來做會很辛苦,所以訣竅是讓使用者自己完成特定步驟。

1. 登記:運用 Microsoft Forms,讓使用者登記必要的資訊以申請裝置憑證。統一使用 Forms,而不是使用郵件等方法會讓後續處理變得輕鬆。需要登記的有:姓名、Email(預先填入)、裝置識別 MAC 位址或 IMEI 碼、備註(電話等)。順帶一提,為了確保信件被確實收取,三麗鷗統一將憑證安裝信寄到 Office 365 信箱,再由員工轉寄到自己的裝置上。
2. 確認:IT 部門會針對申請內容確認(是否為公司配發裝置等)。三麗鷗會跟 MDM 自動蒐集的 IMEI 碼、或是和書面資料做比對。
3. 準備:TSV 檔案 確認完成後,將 Forms 的回答資料複製到 TSV 檔案中。
4. 派發作業:完成 TSV 檔案後上傳到 HENNGE One 的管理畫面,使用者就會馬上收到憑證安裝的信件。而取消裝置憑證的授權也是在同個頁面進行。

使用者安裝裝置憑證的步驟如下:

1. 下載裝置憑證 將憑證安裝的信件轉寄到要安裝的裝置上,依照信中的步驟下載裝置憑證。在 iOS 裝置上可能需要做憑證的信賴設定。
2. 下載認證用的 App 裝置憑證需要搭配 Microsoft Authenticator 一起使用。
3. 登入 打開想要使用的 App,輸入 Email 並按下登入後即會跳轉到 HENNGE One 的登入畫面,在這裡選取「使用裝置憑證登入」並輸入密碼後即可登入。
4. 開始使用 App 認證後即可使用 App。

裝置憑證的運用技巧

開始運用裝置後,使用者需要進行其他申請的狀況有以下三種:

● 新裝置的憑證派發申請
● 換裝置的申請
● 使用者變更的申請

除了沒有安裝過憑證的裝置之外,有些明明應該有安裝過的裝置也會提出派發申請,本來應該要請使用者提出使用者變更的申請才對,但為了減輕管理上的負擔,大畑在這種狀況下也會直接再次派發裝置憑證。 另外,裝置變更或使用者變更的情形,需要申請新裝置和作廢舊裝置,如果要嚴格執行的話會增加很多手續,因此大畑採取以下做法:

● 疏忽未使用者更新 -> 換裝置時更新至最新的使用者、刪除使用者等於使用時效到期
● 重複派發憑證 -> 除了最新的憑證以外其餘失效
● 不明裝置上的憑證 -> 只要沒有在 MDM 登記的裝置一律失效

大畑認為訣竅在於「有彈性地管理」。「基本上都是共同使用,即使不是一開始申請的使用者也可以使用。裝置都是公司簽約的,每兩、三年都會更換裝置,更新之後裝置的持有者再申請憑證即可。雖然每台裝置都可以安裝不只一張的憑證,但在盤點之後只會留下最新的憑證。裝置毀損更換時,本來應該申請裝置變更(不然會有裝置不在了但憑證還在的情形),但如以新裝置方式申請也可以,之後會在盤點後處理。以這樣的方式來減輕管理上的負擔」大畑說。
使用裝置憑證來管理裝置時,需要更新存取控制的政策。「更新存取控制政策時難免會緊張,但有任何問題都可以馬上詢問技術支援,甚至可以幫忙設定」因此大畑非常推薦使用 HENNGE One。 最後,大畑整理了剛剛提出的運用裝置憑證的三個重點:

● 運用裝置憑證可以放心讓員工使用行動裝置 App,並且實現多元工作方式
● 推薦使用共用類型的裝置憑證
● 更新存取控制政策時可以和技術支援討論

※此文章中所描述之使用感想僅為主觀意見,無法保證所有使用者皆會有同樣感想。