目的
CLOMO MDM を使って、iOS の Cloudflare One Agent に UUID を使った Managed App Configuration の適用を実装します。
CLOMO MDM とは
無料トライアルを利用させてもらいました。
- 本番環境と同等の機能が10デバイスまでご利用いただけます。
- トライアル環境がそのまま本番環境に移行できます。
- トライアル期間中のお困りごとは、サポートスタッフが対応します。
プロファイル設定
Mobile Device Management for iOS 基本設定
MDM構成プロファイル設定を、以下の手順に沿って進めます。
- ベンダー署名付き CSR ファイルの作成
- Apple Push Certificates Portal で証明書を作成
- 証明書ファイルをアップロード
証明書プロファイルの設定
iOS では、手動で Cloudflare のルート証明書をインストールする必要があります。
On mobile devices, you will need to install the certificate manually.
そのため、以下の手順に沿って証明書プロファイルの設定を進めます。
Cloudflare Zero Trust のルート証明書を下記リンクの手順に従ってダウンロードします。
ダウンロードした証明書ファイルを利用して「証明書プロファイル設定」を追加して設定を完了します。
VPN 構成プロファイルの設定
VPN 構成プロファイルの設定を、以下の手順に沿って進めます。
- 識別子 =
com.cloudflare.cloudflareoneagent - VPN 識別子 =
com.cloudflare.cloudflareoneagent - サーバ =
cloudflare-dns.com
iOS Marketplace アプリの追加
以下の手順に沿って「Cloudflare One Agent」iOS Marketplace アプリの追加します。
その後、アプリ管理設定プロファイルの設定が可能です。
以下の修正が反映された Cloudflare One Agent Version 1.7 以降の表示となることを確認してください。
1.7 (Nov 21, 2024)
- Resolved an issue preventing users from connecting to the WARP tunnel after updating the app to version 1.5.
- Fixed a crash while deserializing the data from the MDM file.
アプリ管理設定プロファイルの設定
以下の手順に沿って、アプリ管理設定プロファイルの設定をします。
アプリケーションは「Cloudflare One Agent」を指定します。
Cloudflare One Agent で設定可能なパラメータは下記リンクを参照ください。
例えば、以下のような値に設定します。
-
organization=YOUR_TEAM_NAME(文字列 > 固定値) -
auto_connect=0(整数) -
onboarding=false(真偽値 > いいえ) -
service_mode=warp(文字列 > 固定値) -
switch_locked=false(真偽値 > いいえ)
デバイス設定
iOS デバイスを CLOMO MDM 管理下に登録
以下の手順で、設定した MDM 構成プロファイルをインストールします。
VPN、証明書プロファイルインストール
以下の手順で設定した VPN、証明書プロファイルをインストールします。
また、以下のように自動適用プロファイルに設定することもできます。
Cloudflare One Agent アプリをインストール
アプリケーションのインストールを通知する方式では、デバイス上でポップアップが表示されます。
デバイスユーザーがアプリケーションのインストールを許可すると、インストールがおこなわれます。
アプリ管理設定プロファイルをインストール
Cloudflare One Agent アプリのインストール後に、アプリ管理設定プロファイルをインストールすることで、Cloudflare One Agent アプリの各種パラメータ設定が適用されます。
この時点で、組織の設定に紐づいた形で Cloudflare Zero Trust を使い始めることができます。
Device UUID デバイスポスチャの実装
unique_client_id パラメータに、デバイスごとに異なる UUID を埋め込む手順を確認します。
カスタムユーザー情報設定
カスタムユーザー情報として、UUID を追加して保存します。
UUID を生成
uuidgen コマンドや以下のオンラインツールを使って UUID を生成します。
ユーザー情報に生成した UUID を追加
以下のようにユーザー情報を編集できます。
デバイスとユーザー情報の関連付け
以下の手順に沿って、デバイスとユーザー情報の関連付けをおこないます。
CLOMO 管理中のデバイスもしくは事前登録デバイスのみ、所有者を関連付けることができます。
それ以外のデバイスの「所有者情報」は変更できません。
アプリ管理設定プロファイルにパラメータを追加して再適用
以下のパラメータ設定をアプリ管理設定プロファイルに追加して再適用します。
-
unique_client_id=UUID(文字列 > 値)
Cloudflare One Agent の iOS アプリでは、「設定 > 詳細 > デバイスポスチャ」からパラメータで埋め込まれた unique_client_id の値を確認できます。
Cloudflare Zero Trust 設定
以下のドキュメントを参考に、デバイス ID リストに、生成した UUID をエントリとして追加します。
デバイスポスチャログ
以下のように Device UUID デバイスポスチャチェックをパスしたログが確認できます。
{
"ClientVersion": "6.81",
"DeviceID": "xxx",
"DeviceManufacturer": "Apple",
"DeviceModel": "iPhone12,8",
"DeviceName": "iPhone",
"DeviceSerialNumber": "xxx",
"DeviceType": "ios",
"Email": "user1@example.com",
"OSVersion": "17.6.1",
"PolicyID": "xxx",
"PostureCheckName": "iOS UUID",
"PostureCheckType": "unique_client_id",
"PostureEvaluatedResult": true,
"PostureExpectedJSON": {
"id": "xxx",
"accountID": "xxx"
},
"PostureReceivedJSON": {
"value": "CA69F736-7D5B-406E-9397-ABE1EF1F0B52"
},
"Timestamp": "2024-12-02T12:05:31Z",
"UserUID": "xxx"
}
まとめ
今回は CLOMO MDM を使って、問題なく iOS 端末に設定を埋め込んだ形で Cloudflare One Agent を配布できることがわかりました。
unique_client_id を使った Device UUID デバイスポスチャも iOS で実装できました。
引き続き、こうした連携についての実績が増えたらいいなと思います。