1.(管理者向け)デバイス証明書オプションの割り当て~リクエストの承認

こちらのページでは、管理者によるデバイス証明書オプションの利用方法をご案内します。

目次:

デバイス証明書オプションの基本設定

メンバー・グループの割り当て

メンバーからの証明書リクエストを確認(承認/非承認)する

デバイス証明書の管理を行う

 

デバイス証明書オプションの基本設定

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、
    「デバイス証明書」の右にある「設定」ボタンを押します。
    01.png


設定の確認をします。
「編集」ボタンで以下2項目のオン/オフを切り替えられます。(緑がオンの状態)
02.png
①デバイス証明書のチェックを有効にする
 オンの場合、オプションを割り当てた全員に対して
デバイス証明書による認証を強制します。
 基本的にはデバイス証明書の配布が完了してからこちらをオンにしてください。

 操作者を本オプションに割り当てた状態でこちらを「オン」にすると
  すぐに強制ログアウトされ、デバイス証明書なしではログインできなくなります。
  必ず管理ページの利用が可能なPCでデバイス証明書を取得してから「オン」に
  変更するようにしてください。

②割り当てされたメンバーに通知をする
 オンの場合、オプション割り当て時にトラスト・ログインから利用者に対して
 設定ガイドのURLが記載された案内メールを送信します。
 オフの場合は割り当て時にメールを送信しません。管理者の方より利用方法をご案内ください。
 ※本オプションが送信するシステムメールは日本語版のみとなります。(英語版メールは今後対応の予定)

メンバー・グループの割り当て

  1. デバイス証明書設定画面上、「メンバー追加」または「グループ追加」より、
    デバイス制限を割り当てたいメンバー・グループを選択し、「追加」ボタンを押下します。
    k03.png
    k04.png

    ※「デバイス証明書のチェックを有効にする」を「オン」にした状態で
     操作者を「メンバーを追加」「グループを追加」でオプションに割り当てると
     強制ログアウトされ、デバイス証明書なしではログインできなくなります。
     本オプションの解除が必要になった場合は別の管理者に対応をご依頼ください。


  2. 登録したメンバーまたはグループに属するメンバー宛に、
    件名「【GMOトラスト・ログイン】デバイス証明書オプションご利用方法のお知らせ」メールが送信されます。
    なお、「割り当てされたメンバーに通知をする」をOFFにしている場合は
    管理者の方からメンバーへ利用方法をご案内ください。

    また「割り当て済み全メンバー&デバイス」に「メンバー」「グループ」の
    それぞれで割り当てを行なったメンバー一覧が表示されます。
    対象メンバーの招待ステータスが「招待済み」となっていることをご確認ください。
    k05.png

招待ステータスごとの状態は以下の通りです。

招待ステータス 説明
招待済み メンバーの招待が完了し、デバイスの登録が行える状態。
招待不可 他の企業IDに同一メールアドレスの登録があり、デバイス証明書オプションが割り当てられている状態。
複数企業IDでのオプション利用は行えないため、利用したい企業ID以外のオプション割り当てを外す必要があります。

 

メンバーからの証明書リクエストを確認(承認/非承認)する

  1. メンバー側でツールからの証明書リクエストが行われると、
    デバイス証明書 設定画面上の「デバイス情報」にリクエスト元のデバイス情報が表示されます。
    ※メンバーからの証明書リクエストはメールでも管理者に通知されます。(1日3回、8時間ごと)
    k06.png

  2. ステータスが「承認待ち」となっているデバイス情報を確認し、リクエストの承認/非承認を行います。

    リクエストを承認する場合

    ①対象のデバイスを選択し、「承認する」ボタンをクリックします。
    k07.png

    ②確認画面で「はい」をクリックします。
    k09.png


    ③ステータスが「承認済み」となると承認は完了です。
     ユーザー宛に
     件名「【GMOトラスト・ログイン】デバイス証明書の取得準備ができました」メールが
     送信され、証明書のインストールが可能となります。

    k10.png

    リクエストを承認しない場合

    ①対象のデバイスを選択し、「ブロックする」ボタンをクリックします。 k08.png
    ②確認画面で「はい」をクリックします。
    k11.png


    ③ステータスが「却下済」となるとブロック(非承認)された状態になります。
    k12.png
    ※一度ブロックしたデバイスでも、選択したうえで「ブロックを解除する」と
     再度承認可能な状態になります。

    デバイスのステータスごとの状態は以下の通りです。

    ステータス 説明
    承認待ち メンバーから証明書リクエストが行われ、管理者の承認を待っている状態
    承認済み 管理者側でリクエストの承認が完了している状態
    配布済み メンバー側で証明書のインストールが完了している状態
    却下済 管理者側でリクエストがブロック(非承認)された状態


デバイス証明書の管理を行う

発行される証明書について

・発行される証明書は各デバイスに紐付き、それぞれ異なるシリアル番号を持ちます。

・1ユーザーが同時に利用可能な証明書(デバイス数)の上限は10です。

・証明書はシリアル番号で特定して(デバイス単位で)の失効が可能です。
 ※失効された証明書は同時利用数に含まれません。
 

証明書のステータスを確認する

これまでに発行された証明書の情報は、
デバイス証明書 設定画面上の「証明書情報」より確認できます。

k13.png

証明書のステータスごとの状態は以下の通りです。

ステータス 説明
有効 メンバーの操作によって発行・インストールされ、アクセス制限に利用できる状態
失効済 管理者側で失効が行われ、アクセス制限には利用できない状態

 

ルート証明書/中間CA証明書

ご利用の際は、以下のリンクよりダウンロードください。

 ルート証明書 :trustloginrootca2022.crt

 中間CA証明書:trustloginclientauthca2022.crt



証明書を失効する

※一度失効した証明書を元の状態に戻すことはできません。
 対象のデバイスに対し再度証明書を発行するためには、改めてメンバーでの操作および
 管理者による承認が必要になりますのでご注意ください。

①対象の証明書を選択し、「失効する」ボタンをクリックします。
k14.png

②確認画面で「はい」をクリックします。
k15.png


③ステータスが「失効済」となると失効された状態になります。

k16.png

 

注意点事項

※既知の問題として、一度登録したデバイスを解除しても、別ユーザーで再利用できない問題が見つかっています。こちらは近日中に修正いたします。

 

本オプションについて、仕様上の注意事項がございます。管理者の方は、これらの内容についてご承知おきください。

・複数企業IDで同一メールアドレスのユーザーに対し本オプションを利用することはできません。利用したい企業ID以外のオプション割り当てを外す必要があります。

・本オプションが送信するシステムメールは日本語版のみとなります。(英語版メールは今後対応する予定です。)

・本オプションの非同期処理によって実行されたログは、企業IDを作成した管理者が操作したものとして記録されます。

・同じデバイスに対して複数ユーザーのデバイス証明書をインストールすることはできません。インストールをしようとしてもエラーで失敗します。

・一部の古いiPhone/iPadでは、SIMを入れた状態でないとデバイス情報を取得できないため、デバイス証明書を取得することができません。

・クライアント認証オプションと併用した場合、デバイス証明書オプションの方が優先されます。クライアント認証オプションの証明書ではログインできなくなります。

1.(管理者向け)デバイス証明書オプションの割り当て~リクエストの承認

こちらのページでは、管理者によるデバイス証明書オプションの利用方法をご案内します。

目次:

デバイス証明書オプションの基本設定

メンバー・グループの割り当て

メンバーからの証明書リクエストを確認(承認/非承認)する

デバイス証明書の管理を行う

 

デバイス証明書オプションの基本設定

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、
    「デバイス証明書」の右にある「設定」ボタンを押します。
    01.png


設定の確認をします。
「編集」ボタンで以下2項目のオン/オフを切り替えられます。(緑がオンの状態)
02.png
①デバイス証明書のチェックを有効にする
 オンの場合、オプションを割り当てた全員に対して
デバイス証明書による認証を強制します。
 基本的にはデバイス証明書の配布が完了してからこちらをオンにしてください。

 操作者を本オプションに割り当てた状態でこちらを「オン」にすると
  すぐに強制ログアウトされ、デバイス証明書なしではログインできなくなります。
  必ず管理ページの利用が可能なPCでデバイス証明書を取得してから「オン」に
  変更するようにしてください。

②割り当てされたメンバーに通知をする
 オンの場合、オプション割り当て時にトラスト・ログインから利用者に対して
 設定ガイドのURLが記載された案内メールを送信します。
 オフの場合は割り当て時にメールを送信しません。管理者の方より利用方法をご案内ください。
 ※本オプションが送信するシステムメールは日本語版のみとなります。(英語版メールは今後対応の予定)

メンバー・グループの割り当て

  1. デバイス証明書設定画面上、「メンバー追加」または「グループ追加」より、
    デバイス制限を割り当てたいメンバー・グループを選択し、「追加」ボタンを押下します。
    k03.png
    k04.png

    ※「デバイス証明書のチェックを有効にする」を「オン」にした状態で
     操作者を「メンバーを追加」「グループを追加」でオプションに割り当てると
     強制ログアウトされ、デバイス証明書なしではログインできなくなります。
     本オプションの解除が必要になった場合は別の管理者に対応をご依頼ください。


  2. 登録したメンバーまたはグループに属するメンバー宛に、
    件名「【GMOトラスト・ログイン】デバイス証明書オプションご利用方法のお知らせ」メールが送信されます。
    なお、「割り当てされたメンバーに通知をする」をOFFにしている場合は
    管理者の方からメンバーへ利用方法をご案内ください。

    また「割り当て済み全メンバー&デバイス」に「メンバー」「グループ」の
    それぞれで割り当てを行なったメンバー一覧が表示されます。
    対象メンバーの招待ステータスが「招待済み」となっていることをご確認ください。
    k05.png

招待ステータスごとの状態は以下の通りです。

招待ステータス 説明
招待済み メンバーの招待が完了し、デバイスの登録が行える状態。
招待不可 他の企業IDに同一メールアドレスの登録があり、デバイス証明書オプションが割り当てられている状態。
複数企業IDでのオプション利用は行えないため、利用したい企業ID以外のオプション割り当てを外す必要があります。

 

メンバーからの証明書リクエストを確認(承認/非承認)する

  1. メンバー側でツールからの証明書リクエストが行われると、
    デバイス証明書 設定画面上の「デバイス情報」にリクエスト元のデバイス情報が表示されます。
    ※メンバーからの証明書リクエストはメールでも管理者に通知されます。(1日3回、8時間ごと)
    k06.png

  2. ステータスが「承認待ち」となっているデバイス情報を確認し、リクエストの承認/非承認を行います。

    リクエストを承認する場合

    ①対象のデバイスを選択し、「承認する」ボタンをクリックします。
    k07.png

    ②確認画面で「はい」をクリックします。
    k09.png


    ③ステータスが「承認済み」となると承認は完了です。
     ユーザー宛に
     件名「【GMOトラスト・ログイン】デバイス証明書の取得準備ができました」メールが
     送信され、証明書のインストールが可能となります。

    k10.png

    リクエストを承認しない場合

    ①対象のデバイスを選択し、「ブロックする」ボタンをクリックします。 k08.png
    ②確認画面で「はい」をクリックします。
    k11.png


    ③ステータスが「却下済」となるとブロック(非承認)された状態になります。
    k12.png
    ※一度ブロックしたデバイスでも、選択したうえで「ブロックを解除する」と
     再度承認可能な状態になります。

    デバイスのステータスごとの状態は以下の通りです。

    ステータス 説明
    承認待ち メンバーから証明書リクエストが行われ、管理者の承認を待っている状態
    承認済み 管理者側でリクエストの承認が完了している状態
    配布済み メンバー側で証明書のインストールが完了している状態
    却下済 管理者側でリクエストがブロック(非承認)された状態


デバイス証明書の管理を行う

発行される証明書について

・発行される証明書は各デバイスに紐付き、それぞれ異なるシリアル番号を持ちます。

・1ユーザーが同時に利用可能な証明書(デバイス数)の上限は10です。

・証明書はシリアル番号で特定して(デバイス単位で)の失効が可能です。
 ※失効された証明書は同時利用数に含まれません。
 

証明書のステータスを確認する

これまでに発行された証明書の情報は、
デバイス証明書 設定画面上の「証明書情報」より確認できます。

k13.png

証明書のステータスごとの状態は以下の通りです。

ステータス 説明
有効 メンバーの操作によって発行・インストールされ、アクセス制限に利用できる状態
失効済 管理者側で失効が行われ、アクセス制限には利用できない状態

 

ルート証明書/中間CA証明書

ご利用の際は、以下のリンクよりダウンロードください。

 ルート証明書 :trustloginrootca2022.crt

 中間CA証明書:trustloginclientauthca2022.crt



証明書を失効する

※一度失効した証明書を元の状態に戻すことはできません。
 対象のデバイスに対し再度証明書を発行するためには、改めてメンバーでの操作および
 管理者による承認が必要になりますのでご注意ください。

①対象の証明書を選択し、「失効する」ボタンをクリックします。
k14.png

②確認画面で「はい」をクリックします。
k15.png


③ステータスが「失効済」となると失効された状態になります。

k16.png

 

注意点事項

※既知の問題として、一度登録したデバイスを解除しても、別ユーザーで再利用できない問題が見つかっています。こちらは近日中に修正いたします。

 

本オプションについて、仕様上の注意事項がございます。管理者の方は、これらの内容についてご承知おきください。

・複数企業IDで同一メールアドレスのユーザーに対し本オプションを利用することはできません。利用したい企業ID以外のオプション割り当てを外す必要があります。

・本オプションが送信するシステムメールは日本語版のみとなります。(英語版メールは今後対応する予定です。)

・本オプションの非同期処理によって実行されたログは、企業IDを作成した管理者が操作したものとして記録されます。

・同じデバイスに対して複数ユーザーのデバイス証明書をインストールすることはできません。インストールをしようとしてもエラーで失敗します。

・一部の古いiPhone/iPadでは、SIMを入れた状態でないとデバイス情報を取得できないため、デバイス証明書を取得することができません。

・クライアント認証オプションと併用した場合、デバイス証明書オプションの方が優先されます。クライアント認証オプションの証明書ではログインできなくなります。