Microsoft ITショーケース: マイクロソフトにおける iOS、OS X、および Android デバイスのモバイル生産性の実現
このポストは、IT Showcase: Enabling mobile productivity for iOS, OS X, and Android devices at Microsoft の翻訳です。
個人所有デバイスの業務利用がより一般的になる中、私たちは業務関連データと個人データが Windows デバイスと Windows 以外のデバイス上に混在するデータ環境を管理する必要性に迫られています。Microsoft IT は、Microsoft Intune と Azure Active Directory を使用して、最新のデバイス管理を実現し、ユーザー エクスペリエンスを向上させて、いつでもどこからでも企業リソースに安全にアクセスすることを可能にしました。このアプローチは、ユーザーに個人所有デバイスの業務利用という柔軟性と利便性を提供します。また、Windows 以外のデバイスを環境内に組み込み、管理し、保護することがいっそう容易になります。
今では、Windows 以外のコンピューターは、多様化の進むコンピューティング環境の一部となっています。私たちは、ほとんどのユーザーが OS X と Android オペレーティング システムを実行する企業を買収しており、Windows 以外のオペレーティング システムを実行するデバイスを使用して、こうしたオペレーティング システムのためのマイクロソフト製品を開発する多くの開発者を抱えています。
そのため、個人所有のデバイスと Windows 以外のデバイスを管理して、企業ネットワークに存在する Windows デバイスに適用されるセキュリティとコンプライアンスのポリシーに準拠させる手段を必要としていました。
セキュリティの確保とモビリティの実現を両立
私たちは Enterprise Mobility +Security (EMS) に含まれるサービスと機能を使用して生産性を高めることで、ユーザーが使用するデバイスに関係なく引き続き生産性を維持できるようにします。EMS は以下の機能を提供します。
- Azure Active Directory Premium を使用した ID およびアクセス管理により、オンプレミスおよびクラウド間の ID を管理。企業リソースへのシングル サインオンとセルフサービスを提供。ユーザーが希望のデバイスで作業できるようにするために、企業リソースへの一貫したアクセスを提供。
- Microsoft Intune を使用した、モバイル デバイス管理 (MDM)、モバイル アプリケーション管理 (MAM) 機能によるモバイル デバイスとアプリ管理で、ほぼすべてのデバイス上の企業アプリおよびデータの管理と保護を実現。
- Azure Rights Management (2016年10月より Aure Information Protection に名称変更) を使用した情報保護により、スマートフォン、タブレット、PC 全体にわたって企業データ (ファイル レベル、転送中と保存時) と電子メールを保護するための暗号化、ID、承認ポリシーを提供。
- Advanced Threat Analytics を使用した行動ベースの脅威分析により、シンプルかつ実用的なレポートで疑わしい活動と高度な脅威をリアルタイムで特定。
図 1. Enterprise Mobility + Security内のサービス
セキュリティ ポリシーの定義
私たちは、自分たちのサービスと、ユーザーがマイクロソフト リソースに接続するさまざまなデバイスに注目しました。私たちは、以下のことを確認するポリシーを策定および実装する必要があることを認識していました。
- デバイスを使用しているユーザーの本人確認
- デバイスを使用しているユーザーに、アクセスしようとしているデータへのアクセス許可があること
- デバイスの紛失/盗難時に備えた継続したデータ保護
既に Configuration Manager と Intune で管理されていた Windows デバイスに適用したセキュリティ ポリシーを、Windows 以外のデバイス上の管理対象の設定と構成に対する標準として使用しました。
技術的な制御手順の開発
私たちは、この標準を確立するために使用できる、技術的な制御手順 (デバイス上またはポリシー内で実装される特定の設定) を開発しました。使用した技術的制御手順の例としては、デバイスで最新のオペレーティング システムのバージョンを実行できること、最新の更新がインストールされていること、暗号化が有効にされていること、適切な認証が使用されていることを確認することなどが挙げられます。
構成の管理後に、各プラットフォームのネイティブのセキュリティ機能が、企業ネットワークに接続するために必要なアクセス セキュリティの種類を提供することを確認しました。Android デバイス向けのマルウェア対策保護など一部の領域では、デバイスをコンプライアンスに準拠させるために追加のコンポーネントをインストールする必要があることがわかりました。
また、グローバル ユーザーのためのプライバシー規制にも注目し、そうしたユーザーの国または地域のプライバシー法によって保護される個人所有デバイス上の使用情報を収集しないことを保証する必要がありました。
System Center Configuration Manager と Microsoft Intune によるデバイスの管理
モバイル デバイス管理は、私たちのユーザーのモバイル生産性をサポートするための重要な要素です。マイクロソフトでは、そのためのハイブリッド ソリューションを用意しています。ほぼ 52,000 のモバイル デバイスがクラウドベースの Microsoft Intune サービスに登録されており、管理者は Microsoft Intune に統合された System Center Configuration Manager を介してデバイスを管理できます。
私たちは、現時点では以下のオペレーティング システムで Intune の登録をサポートしています。
- Windows 8.1 および Windows 10 (ドメインに参加していない)
- Windows 10 Mobile/Phone 8.1
- OS X (OS X 10.9+)
- iOS (iPad/iPhone 7.1+)
- Android
Intune への個人所有デバイスの登録
ユーザーが個人所有デバイスを Intune で管理されるよう登録すると、プラットフォーム固有の Wi-Fi および VPN プロファイルをプロビジョニングすることで、登録デバイスの企業ネットワークと会社ポータルへの接続が許可されます。会社ポータルでは、ユーザーとその役割に関連する企業アプリケーションを利用できます。また登録により、企業ネットワークに接続するために必要なすべての企業ポリシーおよび設定を、デバイスが自動的に受信できるよう設定されます。
個人所有または Windows 以外のデバイスを登録するには、ユーザーはまず Azure Multi-Factor Authentication に登録する必要があります。また、最低 6 桁の数字で構成されるデバイス ロック PIN を選択することも必要です。モバイル デバイスは、暗号化する必要があります。
個人用データと企業データの分離
Intune の登録では、個人用データと企業データが明確に分離されます。ユーザーまたは管理者は、写真、個人の電子メール アカウント、個人用アプリ、未処理のファイルなどの個人用データをそのまま残しつつ、デバイスから企業データを選択的にワイプできます。Intune がなければ、Exchange Active Sync を使用したデバイスのフル ワイプしか手段がありませんでした。
Intune の登録では、デバイスの物理的な追跡または位置サービスは有効になりません。また、機密データまたは個人用/企業の電子メール アカウントの内容の可視性も提供されません。必要に応じて、セレクティブ ワイプ プロセスの一部として、企業の電子メール アカウントが Intune により削除され、企業の電子メール アカウント設定と電子メール メッセージがデバイスから削除されますが、メッセージの内容は Intune からはアクセスできません。
リモート データ ワイプを使用した個人所有のデバイスからの企業データの削除
ユーザーは会社ポータルからデバイスを登録解除するだけで、リモート データ ワイプ、または「エンタープライズ ワイプ」を実行して、個人所有のデバイスから企業データをリモートで削除できます。この作業は、別の登録済み携帯電話を使用するか、PC でセルフサービス ポータルにアクセスして実行できます。デバイスが登録解除されたら、そのアカウントに関連付けられた内部アプリとポリシーはすべて削除されます。
デバイスの紛失/盗難時には、ユーザーは私たちのセルフサービス Intune デバイス管理ポータルまたは Outlook Web Access (OWA) を使用してワイプを開始するか、ヘルプデスクに連絡してサポート エンジニアにデバイスをリモートでワイプしてもらうこともできます。
コンプライアンスの測定
Configuration Manager と Intune では、正常性チェックを実施したり、デバイスの状態の監視やレポート作成を実行できます。Windows 以外のデバイスの場合は、ポリシーの適用は私たちが現在積極的に取り組んでいる分野です。現在、接続試行時のリアルタイムの正常性チェックにおいて、デバイスの企業リソースへのアクセスをブロックできる条件付きアクセス機能のパイロット展開を実施しています。
Windows Phone、iOS、Android でのモビリティの管理
私たちは、Microsoft Intune を使用して、Windows Phone、iOS、Android デバイスを管理してきました。ユーザーは、セキュリティで保護された電子メールや、認証に Azure Active Directory フェデレーション サービスを使用するクラウドベースのアプリケーションまたは Web サイトにアクセスできます。
エンタープライズでの Mac の使用の実現
私たちは、OS X 管理のための Intune サポートの早期導入者です。試験運用の計画フェーズ中、私たちの最初のタスクは、Wi-Fi、VPN のためのプロファイルを作成し、デバイス上で適用するセキュリティ ポリシーを決定することでした。セキュリティ ポリシーは、環境内の Windows デバイス上のセキュリティ ポリシーとの均衡を図るよう設計されました。私たちは、Mac ユーザーにより一貫した作業 PC エクスペリエンスを提供することを望んでいました。私たちの目標は、企業リソースと電子メールへのセキュリティで保護されたアクセスを提供する、シンプルなユーザー エクスペリエンスを実現することでした。
また、Outlook クライアントに対して多要素認証を強制する必要もありました。昨年の私たちの全体的な戦略には、ユーザー名/パスワードベースの認証から、証明書ベースの認証に移行することが含まれていました。これは、後者によってセキュリティが強化されることに加え、同時に証明書とプロファイルを展開できるため、ユーザーにとってもより容易な方法であるためです。
次の図は、Mac コンピューターに対して簡単に新しいポリシーを実装し、コンプライアンス ルールを管理する様子を示しています。
図 2. Mac OS X の Policies プロパティを使用した新しいポリシーの実装とコンプライアンス ルールの管理
これまで 3 か月間 Intune for Mac パイロット プログラムを実行し、最初の 3 週間で 50 から 1,000 人のユーザーに拡大しました。一貫したユーザーおよび IT 管理エクスペリエンスを実現する OS X 管理の組み込みサポートにより、複数のステップから成るさまざまなプロセスが不要になりました。
レポート
System Center Configuration Manager 1602 環境では、Mac 管理のためのすべてのハードウェアおよびソフトウェア レポートも利用可能になりました。レポートおよび管理機能の統合により、デバイス、PC、およびその正常性状態を一元的に確認できます。
ユーザー エクスペリエンス
ユーザーは、会社ポータルから管理プロファイルをインストールして、自分の Mac コンピューターを登録する必要があります。管理プロファイルは、必要なソフトウェアをインストールし、企業 Wi-Fi 接続を有効にします。ユーザーは Outlook for Mac 2016、Skype for Business Mac Preview、System Center Endpoint Protection をインストールして、電子メール、会議など、その他のビジネス アクティビティへのアクセスと、マルウェア対策のサポートを有効にできます。リモート接続と企業リソースへのアクセスについては、VPN クライアントを利用できます。
まとめ
マイクロソフトでは、企業情報を保護しつつ、多様なデバイス間でモビリティと生産性をサポートします。Intune および EMS を使用することで、ユーザーに簡単な登録プロセス、一貫したユーザー エクスペリエンス、業務用/個人用の情報の分離を提供するという目標を達成することができました。
私たちのセキュリティ ポリシーは、対応プラットフォームそれぞれに含まれる固有のセキュリティ機能を利用して、Windows デバイスに適用したポリシーに基づいて設計しています。統一された最新の管理プラットフォームを持つことで、管理対象デバイス プラットフォームすべてに対するポリシーを作成および展開することが容易になります。