メインコンテンツまでスキップ
最終更新

Genie モバイルアプリを管理する

備考

プレビュー

この機能は パブリック プレビュー段階です。

このページは、組織でDatabricks Genieモバイルアプリの展開を準備しているITおよびセキュリティチームを対象としています。セキュリティモデル、推奨構成、およびデプロイプロセスについて説明します。

Genieモバイルアプリがデータを安全に保つ方法

Genieモバイルアプリは、既存のDatabricksガバナンスをバイパスしません。ユーザーは、DatabricksのWeb版と同じデータ権限とアクセス制御を継承します。

IDとアクセス

  • Genie Oneへのアクセスはワークスペースに限定され、データはUnity Catalogによって管理されます。ユーザーは、少なくともコンシューマーアクセス権を持っているワークスペースのみ表示されます。行レベルと列レベルのセキュリティは引き続き適用されます。コンシューマーアクセスとは何ですか?を参照してください。

  • アカウント レベルでプレビューを有効にしても、ユーザーアクセスは付与されません。お客様のアカウントへの認証は公式アプリのみ許可しています。メンバーシップと資格は、引き続き既存のユーザー管理プロセスに基づいています。

  • アプリはブラウザーと同じOAuthクライアントとフローを使用します。別途IdPアプリケーション登録は必要ありません。「認証とアクセス制御」を参照してください。

  • アプリはウェブ エクスペリエンスと同じ認証フローを使用します。login.databricks.comを介して、既存のIDプロバイダー(Microsoft Entra ID、Okta、SAML、Google、またはEメール OTP)でサインインするファーストパーティのOAuthクライアントです。既存のMFA、条件付きアクセス、デバイスポスチャポリシーはすべて適用され続けます。

デバイス保護

  • トークンは自動ローテーションで暗号化されています。認証済みのデバイスのみがGenie Oneにアクセスできます。
  • 認証には、お客様のIDプロバイダー、SSO、生体認証(顔認証や指紋認証)などの要素が使用されます。

ネットワーク・インフラストラクチャ

Genie アプリは、別のモバイル データプレーンを使用しません。

  • アプリケーションは、ブラウザと同様に、同じワークスペースおよびアカウントのURLにHTTPSを使用してアクセスします。モバイル専用のエンドポイントはなく、認証されていないAPIsもありません。
  • 既存のネットワークおよびDLPコントロールは、IPアクセスリスト、コンテキストベースのイングレス、Private Link、モバイルVPN、およびデバイス上のDLPを含め、引き続き適用されます。
  • Genie Mobile は、コンプライアンスセキュリティプロファイルが有効になっているワークスペースをサポートしています。ウェブブラウザのアクセスと同様に、コンプライアンスセキュリティプロファイルのワークスペース内のデータは、リージョンを移動したり離れたりすることはありません。

ベースライン構成の推奨事項

Genieアプリをデプロイする際に、次のベースラインセキュリティコントロールを適用します。組織のモバイル戦略がより厳しい場合は、より厳格な管理を適用してください。

制御

推奨ベースライン

アイデンティティ

MFA付きSSO

ネットワーク イングレス

IP アクセス リストがワークスペースで有効になっています。許可されたIPアドレスからデバイスが接続するための、VPNなどの構成方法。

ワークスペースの制御

Genieモバイルはアカウントレベルで有効です。VPNをご利用の場合は、VPNのIPアドレスが各ワークスペースで許可されていることを確認してください。

デバイス態勢

モバイル戦略に準拠したデバイスポスチャチェックを実施します。

アプリ配信

公開ストアからのインストール(App Store または Google Play)。

注記

アプリごとのVPNは、Genieアプリからのトラフィックのみがワークスペースに到達するため、最も強力なネットワーク制御を提供します。VPNはlogin.databricks.comとワークスペースホストの両方をカバーする必要があります。

アカウントレベルのIPアクセスリストは現在サポートされていません。ワークスペースレベルのIPアクセスリストを使用してモバイルアクセスを制御します。

環境を理解する

ワークスペース設定

Genieモバイルアプリを有効にする前に、次のワークスペース設定を確認してください。

  • 機能の有効化 :ユーザーに展開する前に、プレビューが有効になっていることを確認してください。「アプリを有効にする」を参照してください。
  • IPアクセスリスト :ワークスペースがIPアクセスリストを使用している場合、モバイルユーザーのIPアドレスをリストに含める必要があります。通常、VPNが必要です。

ネットワークアクセス

ワークスペースに IP アクセス リストがある場合、モバイル デバイスは許可された IP アドレスから接続する必要があります。VPNは最も一般的なソリューションです。

アプリごとのVPNは最も強力な分離を提供します。GenieアプリからのトラフィックのみがVPNを介してルーティングされます。アプリごとのVPNは、login.databricks.comとワークスペースホストの両方をカバーする必要があります。

ワークスペースへのアクセスが、パブリックイングレスがブロックされたPrivate Service Connect経由のみである場合、モバイルデバイスは、プライベートネットワーク内で終端するネットワークパスを必要とします。一般的なパターンには、次のものがあります。

  • オンプレミスまたはワークスペースネットワークにピアリングされたVPCで終端するモバイルVPN。
  • ExpressRoute、Direct Connect、または企業ゲートウェイ経由のモバイルネットワークブレイクアウトを伴う Interconnect、およびプライベートサービス Connect。

詳細については、「ユーザーからDatabricksへのネットワーキング」を参照してください。

iOS: ユニバーサルリンクとAASAファイル

iOSでは、GenieアプリはApple Universal Linksを使用して、ワークスペースホスト上の/one/*へのリンクと、login.databricks.com上の/mobile-redirectをインターセプトします。Apple は、アプリがそのドメインを初めて認識したときに、各ホストから「https://<host>/.well-known/apple-app-site-association」を取得することで、これを検証します。

ネットワークがこのパスをブロックする場合(例えば、認証されていないリクエストを削除するプロキシなど)、ユニバーサルリンクのインターセプトは、アプリ内ではなくSafariでワークスペースURLを開くことに自動的にフォールバックし、/mobile-redirect へのOAuthコールバックはユーザーをアプリに戻しません。アプリの初回起動時に、このパスがデバイスのアクティブなネットワークから到達可能であることを確認してください。

iOSでのアプリごとのVPN

iOSのログインリダイレクトはシステムブラウザで開きます。アプリ内では開きません。GenieアプリのみにスコープされたアプリケーションごとのVPNでは、サインイン画面に対応しません。サインインの失敗を回避するには:

  • デバイス全体のVPN、またはシステムブラウザとGenieアプリのアプリごとのVPNで、login.databricks.comをカバーします。
  • どのアプリがフローを開始したかに関係なく、login.databricks.comとワークスペース ホストを常にカバーするZTNAまたはデバイス トンネルのポスチャを使用します。

サポートされていない

  • コンテキストベースのイングレス :Genie One モバイルパスは、現在、アカウントレベルのコンテキストベースのイングレスポリシーに対応していません。IP/VPNの代替としてコンテキストベースのイングレスを使用している場合は、代わりにワークスペースのIPアクセスリストでモバイルユーザーをゲート処理してください。
  • TLS inspection :アプリは証明書をピン留めしていません。デバイスによって信頼されている企業ルート証明書を提示するTLSインスペクションプロキシは、お客様のMDMが標準メカニズム(Apple構成プロファイルまたはAndroidデバイス証明書ストア)を介して企業ルートをデバイスに配信する場合に機能します。証明書のピン留めは、一般提供開始前に追加される場合があります。

デプロイメントプロセス

Genieモバイルアプリを展開するには、次の一般的なステップに従ってください。

  1. ワークスペースを準備してください。 Genie Mobileがアカウントレベルで有効になっていることを確認します。モバイルからのアクセスを許可するユーザーのワークスペースを特定します。VPNを使用している場合は、ワークスペースのIPアクセスリストをVPNエグレスIPで更新します。
  2. ネットワーク態勢を決定してください。 ほとんどの企業では、これはアプリごとのVPNまたはデバイス トンネルです。login.databricks.comとワークスペースのドメインを含めるように更新してください。モバイルデバイスがワークスペースにアクセスできることを確認してください。
  3. 使用しているIDプロバイダーのポリシーを更新します。 モバイルポリシーがワークスペースへの認証を許可し、デバイスのポスチャー要件を適用することを確認してください。
  4. アプリをデプロイしてください。 このアプリは、Apple App Store および Google Play から入手可能です。MDMを使用している場合は、MDMカタログにcom.databricks.one.mobileを管理対象iOS Storeアプリまたは管理対象Google Playアプリとして追加し、ターゲットデバイスグループに割り当てます。
  5. ユーザーの小グループで試してください。 アプリのインストール、VPN設定、サインイン、Genieスペースを開く手順をユーザーに案内します。ヘルプデスクドキュメント作成のため、エラーを記録してください。
  6. 広く展開されます。 インストールプロセスおよびVPN要件を、ITコミュニケーションチャンネルを通じてユーザーに伝達してください。

IPアクセスリスト

モバイルデバイスが使用するネットワークからの送信IPアドレスを、**ワークスペースレベル**のIPアクセスリストに追加する。アカウントのIPアクセスリストは、現在モバイルサインインパスでは適用されていません。

ワークスペースの IP アクセス リストの構成を参照してください。

VPNとネットワークの到達可能性

ワークスペースがPrivate Link、PrivateLink、またはPrivate Service Connectからのみアクセスできる場合は、login.databricks.comとワークスペースホストの両方をカバーするモバイルVPNを設定してください。

IDプロバイダーポリシー

IDプロバイダーにGenieモバイルアプリを、モバイル戦略に沿ったSSO、条件付きアクセス、MFA、およびデバイスポスチャルールを適用して、許可されたクライアントとして追加します。

アプリディストリビューション

アプリはApple App StoreおよびGoogle Play ストアで利用できます。

MDM 経由でデプロイするには、MDM プロバイダーのドキュメントを参照してください。

モバイルデバイス管理 (MDM) の互換性

Genieアプリは次のMDMに対応しています。

このページの見出し