ゼロトラストのポリシーは一般的にクラウドアプリケーションに適用され、アクセスが付与される前にIDとデバイスのコンプライアンスチェックが行われます。しかし、Wi-FiやVPNアクセスとなると、そうした同じシグナルは意思決定に含まれないことがよくあります。
そこにギャップが生まれます。デバイスは、OSが古い、または暗号化が無効になっていることが原因でMicrosoft IntuneのようなMDMでコンプライアンスチェックに失敗する場合でも、RADIUSを介してネットワークへの認証に成功することがあります。
Foxpass の最新の Cloud RADIUS 機能強化により、デバイスの状態シグナルをネットワーク認証の判断に組み込めるようになり、そのギャップを埋めるのに役立ちます。これにより、組織はゼロトラストの原則を Wi-Fi や VPN アクセスにも拡張できます。
デバイスコンプライアンスとネットワークアクセスの間にあるギャップ
多くの組織では、Microsoft Intune のコンプライアンスポリシーを使用して、すでにデバイスの状態評価を行っています。これらのポリシーは、企業リソースへのアクセスを許可する前に、OSのバージョン、暗号化の状態、その他のセキュリティ要件などを確認します。
ただし、これらのポスチャシグナルがネットワークアクセス自体に常に影響するとは限りません。
同時に、Microsoft Entra Conditional Access は、クラウド認証フローとトークン発行向けに設計されています。これは、Wi-Fi や VPN などの RADIUS ベースのサービスにおける認証経路の一部ではありません。
その結果、よくある認識のずれが生じます:
デバイスのコンプライアンスはMDMによって評価されます
ユーザーはRADIUSを介してネットワークに認証します
ネットワークアクセスを付与する際に、デバイスポスチャが考慮されないことがよくあります
つまり、追加の制御を実装しない限り、コンプライアンスを満たさなくなったデバイスでも企業のWi-FiやVPNに接続できてしまう可能性があるということです
Foxpassでデバイスポスチャベースのアクセス制御を導入
Foxpassでは、管理者がネットワークアクセスの判断を行う際に、IDと証明書の認証に加えてデバイスポスチャも取り入れられるようになりました。
デバイスコンプライアンスは引き続きMicrosoft Intuneによって評価され、その結果はMicrosoft Entra IDを通じて表示されます。Foxpass はこれらのポスチャシグナルを取得してキャッシュし、RADIUS 認証時にそれらを使用して、デバイスにネットワークアクセスを付与すべきかどうかを判断します。
設定に応じて、管理者は次のことができます:
準拠しているデバイスにのみアクセスを許可
コンプライアンスに準拠していないデバイスのアクセスを拒否
管理対象外またはコンプライアンスに準拠していないデバイスを隔離ネットワークに配置
このアプローチにより、組織は既存のID管理システムやデバイス管理システムを引き続き使用しながら、ネットワーク層でデバイスポスチャ要件を直接適用できます。
フルのネットワークアクセス制御(NAC)の複雑さなしで実現する、デバイスポスチャを考慮したアクセス
従来のNACソリューションは、エンドポイントエージェント、インライン強制適用アプライアンス、およびネットワーク全体にわたる継続的なデバイス検査に依存していることがよくあります。これらのシステムは高度な可視性と制御を提供できる一方で、運用の複雑さやインフラのオーバーヘッドを招く場合もあります。
Foxpassは、より軽量なアプローチを採用しています。デバイスの状態は引き続き組織の既存のMDMプラットフォームによって評価され、Foxpass は認証プロセス中にそれらのシグナルを適用します。適用はRADIUS認証時に行われるため、組織は追加のエージェント、インラインアプライアンス、または完全なNACインフラを導入することなく、デバイスの状態を考慮したネットワークアクセスの判断を実装できます。
多くのチーム、特にクラウドファーストまたは分散環境で運用しているチームにとって、これはネットワークエッジでデバイスのコンプライアンスを実施するための実用的な方法を提供します。
姿勢強制の仕組み
Foxpassのデバイスポスチャベースのアクセス制御は設定可能で、デフォルトでは有効になっていません。
Intune と Entra ID との統合が確立されると posture シグナルを利用できるようになりますが、管理者はポリシーを適用する方法とタイミングを選択できます。組織によっては、適用を開始する前にまずポスチャシグナルの監視を始める場合もあれば、コンプライアンスチェックに失敗したデバイスのアクセスをすぐに制限する場合もあります。
ポリシー要件に応じて、管理者は以下を実行でき�ます:
非準拠デバイスからのアクセスを完全に拒否
それらのデバイスを修復対応のために隔離ネットワークに配置します
強制適用を有効にする前に、引き続きpostureシグナルを監視します
認証フローのどこでこれらの判断が行われるのかを理解することも重要です。
Microsoft Intune はデバイスのコンプライアンスを評価します。Microsoft Entra ID はデバイスの状態情報を表示します。Foxpass は、RADIUS認証時のネットワークのアクセス判断にそのシグナルを利用します。
Wi-Fi と VPN の認証は RADIUS に依存しているため、これらの適用判断は、クラウドアプリケーションで使用される Microsoft Entra の条件付きアクセスモデルの外部で行われます。
ネットワークエッジにゼロトラストをもたらす
デバイスの状態をネットワーク認証の判断に組み込むことで、Foxpass はクラウドアプリケーションにとどまらず、ネットワーク自体にもゼロトラスト・ネットワーク接続のポリシーを拡張します。各接続は、ネットワークアクセスが付与される前に、ID、証明書、デバイスコンプライアンスなど複数のシグナルを使用して評価できます。
すでにMicrosoft IntuneとEntra IDを利用している組織にとって、これはWi‑FiとVPNのアクセスポリシーを既存のデバイスコンプライアンス要件に合わせるための、シンプルでわかりやすい方法です。
