ご提案いただきありがとうございます。トラスト・ログインのプロダクトオーナーをしております森と申します。

こちらについて、詳細をお伺いできますでしょうか。「デバイス証明書のチェックを有効にする」の設定をオンにした後にユーザーを追加する際にどのような支障がある状況でしょうか。事前準備とは、どのような作業のことを想定されているのでしょうか。何にお困りなのか具体例をお聞かせいただけますでしょうか。

どうぞよろしくお願いいたします。

ありがとうございます。

デバイス証明書を利用しているユーザーとそうでないユーザー（仮にアイパスのユーザーとする）が混在しており、アイパスユーザーをデバイス証明書ありきにしたいケースが発生しました。

この場合、デバイス証明書をクライアント端末にDLしてもらうために、管理画面から対象ユーザーを追加する必要があると認識しております。

そして追加した時点で、対象ユーザーはTrustLoginが使用できない（デバイス証明書がまだない）ので、アイパスユーザーの時期に事前にデバイス証明書をDLできる準備期間があればと思った次第です。

よろしくお願いします。

コメントいただきありがとうございます。

パスワードのみでログインできる状況で、デバイス証明書の発行ができることをご希望と読み取りましたが、マニュアルにある通り「Secure Authentication Suite」へのログインに証明書は必要ないので、「デバイス証明書のチェックを有効にする」がオンの状態でもデバイス証明書の取得は可能となっております。こちらでも支障がある状況になりますでしょうか。

どうぞよろしくお願いいたします。

「Secure Authentication Suite」へのログインに証明書は必要ないので、「デバイス証明書のチェックを有効にする」がオンの状態でもデバイス証明書の取得は可能

私の理解が違うようなので、確認させてください。

パスワードのみでログインできるユーザーに対して、「承認デバイスの一括登録」は利用できない認識です。
また、SASアプリをインストールしてログインしても承認待ちになり、管理者側でリクエストの承認を行うまではデバイス証明書のインストールは行えないのではないでしょうか？？

状況を整理させていただきます。

①（管理者）「デバイス証明書のチェックを有効にする」をオンにする
②（管理者）新規ユーザーの追加
③（管理者）ユーザーにパスワード認証を割り当てる
④（管理者）ユーザーにデバイス証明書を割り当てる
⑤（管理者）ユーザーに承認デバイスを登録する
⑥（ユーザ）承認済みデバイスに「Secure Authentication Suite」をインストールする
⑦（ユーザ）「Secure Authentication Suite」にパスワードでログインする
⑧（ユーザ）デバイス証明書をインストールする

私の前回のコメントは①の実施後でも⑦⑧が可能であるという確認でした。対するお客様のコメントは④をしなければ⑤ができないという確認であるため別軸の話となっておりました。

お客様の感じる支障が「承認デバイスの登録」「リクエストの承認」を終えるまでユーザーがログインできないことであることと理解できました。そうなると、ユーザー別でデバイス証明書の有効/無効を制御する設定の追加をご希望とのことになりますでしょうか。管理者の作業が増えることと有効への設定漏れが懸念となりますが問題ございませんでしょうか。

私の理解が間違っておりましたらご指摘いただけますと幸いです。また別案がございましたらご提示いただければと存じます。

どうぞよろしくお願いいたします。

ユーザー別でデバイス証明書の有効/無効を制御する設定の追加を希望

ありがとうございます。この理解であっております。

管理者の作業が増えることと有効への設定漏れが懸念

こちら確かにその通りなのですが、[デバイス証明書で稼働]＆[パスワード認証で稼働]の混在した環境では、業務停止を避けるために「移行期間を設け」準備する方が管理者の作業は楽です（工数の差はないと思います）
加えて、もし実装可能でしたら猶予期間後有効になる日を指定することを必須とする機能があれば、設定漏れを防止できると思います。

現在の機能ですと、エンドユーザーがデバイス証明書をインストールできるタイミングを管理者は計る必要がありますので、これを緩和させたい目的でした。

よろしくお願いします。

初回の質問に誤りがあり混乱招き失礼しましたm(_ _)m

コメントいただきありがとうございます。
内容について承知いたしました。対応を検討いたします。

またお気づきのことがございましたらお知らせいただけますと幸いです。
どうぞよろしくお願いいたします。