以前は、ほとんどの従業員が雇用主が提供し所有するデバイスで作業していたため、企業は構成管理ツールを使用してデバイス上のデータを管理・保護していた。
現在のトレンドは、よりハイブリッドでフレキシブルなアプローチへとシフトしている:BYODである。BYOD とは、"Bring Your Own Device"(自分のデバイスを持ち込む)という意味だ。この取り決めでは、従業員は自宅でもオフィスでも、個人所有のデバイスを柔軟に仕事に使うことができる。
しかし、この傾向は、様々なオペレーティング・システム上で動作する様々なモバイル・デバイス上でデータを保護することを困難にしている。Microsoft Configuration Managerを使用している企業は、Windows、macOS、Windows Serverデバイスのみの管理に限られている。
マイクロソフトは、この問題を解決するためにMicrosoft Intuneという製品を発売した。Intuneを使用することで、IT管理者はAndroid、iOS/iPadOS、macOS、Windowsといった主流のOS上で動作するノートパソコン、タブレット、スマートフォンを管理することができる。
この記事はMicrosoft Mobile Device Managementのガイドです。マイクロソフトのモバイルデバイス管理エコシステムがどのように機能し、どのようにあなたのビジネスに導入できるかを学びます。
マイクロソフトは、企業が所有するデバイスや従業員が所有するデバイスに保存されているデータをリモートで管理、アクセス、保護するためのソリューションとテクノロジーを提供している。このようなデバイスとデータの管理は、モバイルデバイス管理(MDM)と呼ばれている。
Microsoft Endpoint Manager(MEM)は、Microsoft 365サービススタックの一部であり、MEMブランドのもと、Configuration ManagerとIntuneのサブスクリプションが提供される。この2つのプラットフォームにより、会社所有のものであれ従業員所有のものであれ、会社のデータにアクセスするあらゆるデバイスのデータを完全にコントロールできる。Endpoint Managerの他に、ユーザー/従業員データを保存するためにAzure Active Directory(Azure AD)サブスクリプションも必要だ。
Endpoint Managerは、ユーザーを社内ネットワークにアクセスさせる前に、Azure ADからこのデータを取得し、検証する。
Endpoint Manager、Intune、Azure Active Directoryはクラウドネイティブなソリューションである。ただし、Microsoftには、オンプレミスのアクティブ・ディレクトリとオンプレミスのコンフィギュレーション・マネージャーをIntuneと連携させるための規定がある。
Intuneにはモバイル・アプリケーション管理(MAM)機能もあり、IT管理者はユーザーのデバイス上の個々のアプリケーションへのアクセス、更新、トラブルシューティング、管理を行うことができる。
MDM + MAMは従業員にもメリットがある。例えば、誤って会社のポリシーに違反したり、アプリを手動でアップデートしたりする心配がなくなる。
Microsoft MDMとMAMを併用することで、組織は従業員のプライバシーを損なうことなく、組織所有のデバイスや従業員所有のデバイスに保存された企業データを完全に管理できる。
MDMサービスでは、機密性の高い企業データにアクセスする際のデバイスの動作を規定するセキュリティ・ポリシーを作成できます。これらのポリシーは、ユーザーが企業ポータル(ウェブサイトやアプリケーション)にサインインする方法や、サインイン後にできること、できないことを指示します。従業員が自分のデバイスを職場に持ち込みたい場合は、これらのポリシーを受け入れる必要があります。
モバイル・デバイス管理の使用例をいくつか紹介しよう:
データ保護の例としては、以下のようなものがある:
さらに、データをクラウドまたは組織の中央サーバーに自動的に保存するようIntuneに指示するポリシーを作成することで、データ損失を防ぐことができます。また、従業員による機密データの削除を無許可にすることもできます。
以下は、マイクロソフトのモバイルデバイス管理ソリューションの特徴である:
MDMエコシステムを一から構築したい場合でも、すでにオンプレミスのMDMサービスを導入している場合でも、Microsoft MDMへの移行にはいくつかの選択肢がある。
すでにシステムを導入している場合は、4つのオプションから選ぶことができる:
MDMをゼロから導入する場合、以下の2つの簡単な選択肢がある:
IntuneとConfiguration ManagerはMicrosoft Endpoint Managerブランドで販売されており、Microsoft 365ソリューションに含まれています。したがって、Intuneを導入するには、以下のいずれかの ライセンスが必要です:
次のステップは、Endpoint Managerにサインインし、Intuneにサインアップすることだ。
その後、以下の手順に従ってください:
BYOD ワークプレイス・エコシステムでは、Intune を MDM 権限として設定する必要があります。Intuneは、従業員と組織が所有するデバイスを登録できます。IntuneはWindows、iOS、macOS、Androidプラットフォームをサポートしています。サポートされるプラットフォームとそれぞれのバージョンのリストをご確認ください。
ユーザーはAzure ADに登録されている必要があります。
様々なデバイスのライセンスを取得し、Intuneに登録するためのガイドです:
IT管理者はMicrosoft Endpoint Managerを通じてデバイスを管理できる。ここで、以下のようなアクションを実行できる:
以下は、あなたが実行できるアクションの全リストです。
Intuneにはモバイルアプリケーション管理機能があり、管理者は登録されたデバイス上のアプリケーションをプッシュ、設定、保護、管理できる。
まず、Intuneで管理したいアプリを追加することから始めます。次に、データ保護を確実にするために、アプリのポリシーを作成します。Intuneのコンソールには、アプリのインストールと脆弱性のステータスが表示されます。Intuneでアプリを管理する方法については、マイクロソフトのガイドを参照してください。
従業員は、BYOD のモバイル・デバイス管理の仕組みを十分に理解していない可能性があります。プライバシーの侵害は、従業員を不安にさせます。
エンドユーザーが個人所有のデバイスでIntuneが参照できるものとできないものについて教育することで、ユーザー・エクスペリエンスとコンプライアンスを向上させることができます。例えば、Intuneは写真、テキストメッセージ、電子メール、通話、ウェブ履歴、ファイル、管理されていないアプリのインベントリなどの個人データにアクセスできません。一方、IT管理者は、デバイスのモデル名、製造元、デバイスの所有者名、アプリのインベントリを確認できます。
Intuneがデバイス上でアクセスできる内容については、このドキュメントを従業員と共有し、個人所有のデバイスを登録するかどうかを従業員に選択させることができます。
加入を希望する場合は、このビデオ機器加入ガイドが非常に役に立つだろう。
登録後、従業員は以下のガイドを参考にして、会社のポータルからアプリをダウンロードし、BYODモデルが提供する利便性を享受することができます:
組織の機密情報を漏らすことは、その人の出世を危うくする可能性がある。したがって、古い携帯電話を売買する際には、その携帯電話が完全に消去され、工場出荷時の状態であることを確認することで、信頼性を確保することができる。
Phonecheck レポートは、デバイスが安全にワイプされ、工場出荷時の設定に復元されたかどうかを確認するために使用できます。MDMソフトウェアが登録されたままのデバイスを購入することは避けたい。
Phonecheckは、デバイスがロック解除されているか、紛失や盗難の届け出がされているか、バッテリーが正常か、修理済みか、ブラックリストに登録されているかなどをチェックする、完全なモバイルデバイス処理ソリューションを提供しています。再販業者は、Phonecheck 認証により、安心して古い携帯電話を売買することができます。
