こんにちはMeraki製品担当の林です。

 

前回の記事ではスプラッシュページを使用したEntra IDによるユーザ認証の仕組みをご紹介しましたが、今回はEntra IDとの連携により本格的な認証ソリューションとしてご利用いただけるAccess Managerという機能についてご紹介します。

 

この機能は11月から正式リリースが予定される機能ですが、ザックリで言うとクラウド上に認証サーバを用意する機能です。

■Access Manager

https://documentation.meraki.com/Access_Manager

 

　そこだけ聞くと従来のMeraki認証と同じじゃないかと思われるかもしれませんが、ユーザ名とパスワードの組み合わせしか登録できなかったMeraki認証とは異なり、グループを使ったアクセス制御や権限割り当てが可能になりますし、証明書認証にも対応（証明書の発行は別途必要です）しているため、前述の通り”本格的な”認証サーバとして使うことができるソリューションです。

 

主なメリットとして、Access Managerはインターネット越しにアクセスポイントやスイッチからの認証要求を受ける形になりますので、オンプレミスに機器を追加する必要がありません。

特にMerakiの機器はそれぞれが802.1x認証のオーセンティケータとして振る舞うため、デバイス数が多い環境ではRADIUSサーバへの登録が非常に煩雑になる、というケースがありましたが、AccessManagerであればそうした設定も不要になります。

 

　Access Managerの仕組みとしては、API経由でEntra IDからユーザ情報の同期を受ける形で認証情報を取得しますので、別途Entra IDの環境があることが必須となります。

　同期したユーザ情報はAccess Managerポリシー設定などで使用しますが、認証自体は都度Access ManagerからEntra IDに対して実行される形です。

一先ずこちらのドキュメントを参考にユーザ名/パスワードを使う認証について、私の方でも早速触ってみましたが、Meraki側の設定は非常にシンプルで簡単でした。

 

　ただ、個人的にちょっと難しく感じたのはEntra ID側の設定です。

ドキュメントにも記載があるのですが上記の認証方法ではAccess ManagerがMFAに対応しないため、条件付きアクセスを使用してMFAを除外するような設定が必要でした。

このあたりが、本番環境を想定すると色々と考慮が必要になりそうなポイントかなという印象です。また、条件付きアクセスが必要になるとEntra ID側にはPremierライセンスが必要になりますのでご注意ください。

 

なお、Access Managerは正式リリース後に有償化され、ライセンス購入が必要となる予定となりますので、次回はこのライセンスの考え方についてご紹介したいと思います。

 

今回は以上です。

最後までお読みいただきありがとうございました。

全44回のMeraki過去記事を掲載中！

製品情報や導入事例を掲載中！

使いやすいと好評！選び方ガイド無料DL！

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Meraki 第162回「認証サーバ無しで本格的な認証を実現！Meraki Access Managerのご紹介」
• Security 第89回「Cisco Secure Accessのライセンスについて」
• Collaboration 第159回 「Webex Calling 機能紹介 その7 ~ グループ保留~」
• Security 第88回「NVMのご紹介」
• Meraki 第161回「追加機器無しですぐできる！スプラッシュページによるEntra ID認証」
• Collaboration 第158回 「Webex Calling 機能紹介 その６ ~ 無条件転送~」

一覧ページ