このシナリオでは、企業はオンプレミスの Active Directory を使用せず、Entra ID と Jamf を使用してデバイスを管理します。これは、クラウドネイティブで最新の管理設定を意味します。以下は各オプションの評価です。
* オプションA: キャプティブポータル
* キャプティブ ポータルは通常、管理されていないデバイスやゲスト ユーザーの ID マッピングが必要な環境で使用されます。ユーザーが Web インターフェイスを通じて自分自身を認証するためのメカニズムを提供します。
* ただし、この場合、企業は Entra ID と Jamf を使用してデバイスを管理しているため、ID 情報はすでに他の手段で一元管理できます。キャプティブ ポータルは、ここでは理想的なソリューションではありません。
* このオプションは適切ではありません。
* オプション B: WMI クライアント プローブ用に構成されたユーザー ID エージェント
* WMI (Windows Management Instrumentation) クライアント プロービングは、Windows 環境で IP アドレスをユーザー名にマッピングするために使用されるメカニズムです。このアプローチはオンプレミスの Active Directory 展開に固有のものであり、Windows エンドポイントとの直接通信が必要です。
※当社ではオンプレミスADを持たず、Entra IDとJamfを使用しているため、この方法は適用できません。
* このオプションは適切ではありません。
* オプションC: 内部ゲートウェイを導入したGlobalProtect
* GlobalProtect は、安全なリモート アクセスを可能にする Palo Alto Networks の VPN ソリューションです。また、内部ゲートウェイと共に導入された場合、ID ベースのマッピングもサポートします。
* この場合、内部ゲートウェイを備えた GlobalProtect は、ゲートウェイを介して接続する管理対象デバイスに基づいてユーザーとデバイスの可視性を提供するメカニズムとして機能します。
* このオプションは適切です。
* オプションD: Cloud Identity EngineをEntra IDと同期
* Cloud Identity Engine は、Entra ID (旧 Azure AD) などの ID プロバイダーからの ID 情報を同期するためのクラウドベースのアプローチを提供します。
* Entra ID と Jamf を使用したクラウドネイティブ環境では、Cloud Identity Engine はシームレスに統合され、アプリケーションとデータの ID 可視性を提供するため、最適です。
* このオプションは適切です。
参考文献:
* Cloud Identity Engine に関する Palo Alto Networks のドキュメント
* Palo Alto Knowledge Base の GlobalProtect 構成と使用例