1 ページ | マイクロソフトにおけるモバイル デバイス管理 マイクロソフトにおける モバイル デバイス管理 IT Showcase: 技術的なケース スタディ 公開日: 2016 年 2 月 状況 個人所有デバイスの業務利用が拡大するな か、IT 部門は、業務関連データと個人データ が複数のデバイス上に混在するデータ環境を 管理する必要性に迫られています。また、デ バイス、ユーザー、およびユーザー アクティ ビティごとに適切なレベルのアクセス権を付 与し、デバイスでの複数のアカウントと ID の 使用に対処する必要もあります。一方、従業 員は、セキュリティとコンプライアンスを確 "Bring Your Own Device" は、もはや単なる流行ではなく、確 固とした職場における主流の文化となりました。個人所有デバ イスを業務利用する従業員の増加に伴い、IT 部門はユーザーの 利便性とデータ セキュリティのバランスを取らなければならず、 特有の課題が生じています。Microsoft IT では、Enterprise 保するためにある程度の対策を取るつもりは Mobility Suite などのサービスを使用して、ID、デバイス、お あるものの、容易でスムーズで満足のいくエ よびアプリケーションを管理しています。その結果、従業員は、 クスペリエンスを得たいと考えています。し たがって、IT 部門には、リスクやコストの上 昇をおさえながら、複雑になることなく、コ ンシューマライゼーションの流れに対応して いく方法が必要です。 ソリューション シンプルな統合 IT ソリューションによって、デバイスを問わず 生産性を維持できるようになりました。 状況 Microsoft IT は、モバイル ワーカーに関する Bring Your Own Device (BYOD) の職場環境では、ユーザーは、いつでも、どこからでも、 一連の課題の 1 つとして、モバイル デバイス 任意のデバイスで作業できることを期待しています。さらに、昨今のユーザーは、複数の 管理に取り組んでいます。最初のステップ は、IT をクラウドベースに移行させ、モバイ ル ワーカーのニーズを満たすことです。こう した課題に対応するために、Microsoft IT で ID を所有していることが一般的で、業務関連であれ、個人的利用であれ、同じ自分のデバ イスを使用しています。たとえば、ビジネス会議に個人所有のタブレットを持ち込み、チー ムの Microsoft SharePoint サイト上のファイルにアクセスしたいと考えたり、Microsoft は、Microsoft Intune やその他の Microsoft Skype for Business を利用して、Microsoft PowerPoint でプレゼンテーションを共有した Azure サービスのソリューションが統合され りすることもあるでしょう。また、自分のスマートフォンで業務用/個人用両方の電子メー た Enterprise Mobility Suite を使用していま ル アカウントをチェックしたり、スマートフォンのカメラでホワイトボード セッションの す。 写真を撮って、ミーティングでワーク グループが行った共同作業を記録したりすることも あります。どちらの種類のデバイスでも、個人用アプリと業務用アプリの両方を混在させて 利点 低コストでスケーラブルなソリューション ユーザーによるさまざまな IT サービス へのアクセスを一元管理 いる可能性があります。 しかし、このようなデバイスの使用方法によって、従来の仕事とプライベートの境界があい 単一コンソールによるシンプルな管理 まいになり、ビジネス全体で容認できる方法でデバイスを管理することが重要になっていま コンプライアンスと高度なセキュリティ す。暗号化、パスワードの長さ、パスワードの複雑さ、パスワードの期間といったデータ ユーザーのニーズを満たす柔軟性 ポリシーは、あらゆるデバイス上の企業データのセキュリティを確保しつつ、従業員の個人 製品とテクノロジ 情報のプライバシーを維持できるものでなければなりません。 Microsoft Intune Microsoft Enterprise Mobility Suite Active Directory ドメイン サービス Microsoft Azure Active Directory Microsoft System Center 要になります。デバイスを紛失した場合や従業員が退職する場合に、IT 部門は何をすべき Configuration Manager 2012 でしょうか。企業リソースへのアクセス権を削除する必要がある個人所有デバイスから、そ Microsoft System Center れらのリソースをワイプするための一番の方法とは何でしょうか。 Configuration Manager 1511 IT 部門は、ユーザーが誰かを確実に特定し、デバイスに企業リソースへのアクセス権を付 与すべきかどうかを判断できる必要があります。また現在は、労働者が部署異動や転職を繰 り返す傾向もあるため、IT 部門には、そうした人やデバイスの流れを把握できる方法が必 要するに、IT 部門が今直面している課題は、データの管理、データへのアクセスの管理、 デバイス上での複数のアカウントと ID の使用への対処です。 2 ページ | マイクロソフトにおけるモバイル デバイス管理 ソリューション BYOD があらゆる規模の組織で一般的になるなかで、Microsoft IT はここ数年、モバイル デバイス管理 (MDM) に注力し、 利便性とセキュリティのバランスを適切に取るための戦略やベスト プラクティスを進化させてきました。 そして現在、以前とは少し違う方法で MDM に取り組んでいます。2013 年まで、取り組みの中心は、アプリケーションへ のアクセスの提供にありました。しかし今は、証明書やプロファイルのプロビジョニングによって定義されるアクセスが 中心です。将来的には、MDM システムと Microsoft Azure Active Directory が判断するデバイスの状態に基づく条件付き アクセスが中心になると考えています。 IT 部門が "ID およびアクセス管理"、"モバイル デバイスおよびアプリケーション管理"、"情報の保護" など、関連するさ まざまな課題に対処できるよう、Microsoft Intune チームと Microsoft Azure チームは連携してソリューションの提供に 向け取り組んでいます。最初のステップは、IT をクラウドベースに移行させ、モバイル ワーカーのニーズを満たすことで す。 ID およびアクセス管理 複数のデバイスを業務に使用する従業員にとって、重要な利便性 (つまり、"要件") の 1 つは、シングル サインオン (SSO) と共通 ID を利用して、状況に合った任意のデバイスで仕事を進められるようになることです。共通 ID によって、デバイ ス上にあるかクラウド上にあるかに関係なく、アプリケーションのアクセス管理が可能になります。その結果、ユーザー は、複数のデバイス間で一貫したエクスペリエンスで、生産性を最大限維持できるようになります。 Microsoft IT は、SSO エクスペリエンスの提供、フェデレーションによる外部リソースへのアクセスの管理、およびオン プレミスとクラウドベースの ID ドメイン間で一貫した ID の管理を通じて、ID およびアクセス管理を実現しています。 これにより、IT 部門は、アクセス管理の課題に対応できるようになります。 以下にいくつかの具体的な機能を示します。 IT 部門は、Microsoft Windows Server Active Directory を使用すると共に、Azure Active Directory に接続して、 オンプレミスとクラウドベースのサービス間で共通の ID をユーザーに提供します。 IT 部門は、Active Directory フェデレーション サービス (AD FS) を使用して Azure と接続することで、一貫性のあ るクラウドベースの ID を実現できます。 ユーザーは、Azure Active Directory の自分のアカウントを通じて、Azure、Microsoft Office 365、およびサード パーティのアプリケーション間で共通の ID を使用できます。 開発者は、共通の ID モデルを使用するアプリケーションを構築して、オンプレミス アプリケーションの場合は Active Directory ドメイン サービスと、クラウドベース アプリケーションの場合は Azure と、アプリケーションを 統合できます。 Azure Active Directory では、Microsoft Online Directory Sync (DirSync) によって、オンプレミスの Active Directory ドメイン サービスと同期します。内部ユーザーは、セルフサービスでのパスワードの変更やリセット、セルフサービスで のグループ管理を行えるようになります。また、多要素認証がサポートされているため、内部ユーザーは自分のスマート カードを持ち歩く必要もなくなります。 多要素認証は、デバイスが悪意のあるユーザーの手に渡った場合や、正しく使用されなかった場合に、追加のセキュリ ティ層を提供します。ユーザーが、ログオンや、多要素認証の対象となる操作を実行しようとすると、アプリケーション またはサービスが、メッセージ送信/電話/モバイル アプリ使用によって、ユーザーの ID を確認します。通常、この追加の 認証要素は、暗証番号 (PIN) などの数値コードであり、一度だけの使用を目的としたものもあります。ユーザーがアプリ ケーションやサービスで次の操作に進むには、(通常、10 分などの制限時間内に) 応答しなければなりません。 資格情報のキャッシュを利用すると、企業は、デバイス上に資格情報をキャッシュできる期間を指定できます。これによ り、ユーザーがデバイスからアプリケーションやリソースにアクセスする場合のユーザー エクスペリエンスをカスタマイ ズすることが可能です。たとえば、ログオンやデバイスの登録時に資格情報をパスできる期間を指定することで、ユー ザーが資格情報を何度も入力しなくて済むようにできます。 3 ページ | マイクロソフトにおけるモバイル デバイス管理 モバイル デバイス管理 ユーザーは基幹業務 (LOB) アプリにアクセスして操作する場合、使用するデバイスの種類、使用頻度、実行しているプ ラットフォームの種類に関係なく、一貫したスムーズなエクスペリエンスを得たいと考えています。デバイスは簡単に登 録でき、アプリやその他の内部リソースはなじみのあるプロセスで検索/操作できなくてはなりません。また、デバイスを 業務に使用してもその中の個人データはきちんと保護されているので安心してよいこと、デバイスを管理環境から外した いときは自由に削除できることをポリシーによってユーザーに保証する必要があります。 デバイスの登録 Intune では、ユーザーが比較的すばやくデバイスを登録できます。注目すべき点は、このプロセスがオプトアウトではな くオプトインであるということです。そのため、IT から強制されると感じないので、エクスペリエンスがよりフレンド リーになります。ユーザーは、個人所有デバイスを業務利用できることの価値を認め、自発的にデバイスを登録するよう になります。 同様に、ユーザーがデバイスの業務利用をやめたい場合は、Intune コンソール (インフォメーション ワーカー用の Web ポータル) から簡単に削除できます。たとえば、デバイスを紛失または盗難した場合、ユーザーは、自分自身でデバイスを 削除することも、IT 担当者に削除を依頼することもできます。デバイスが削除されると、自動的にそのデバイスから会社 の資産も削除されます。デバイスには、完全なワイプを実行することも、セレクティブ ワイプのみ実行することもできま す。このドキュメントの後述のセクション「デバイスのインベントリからの削除/ワイプ」を参照してください。 Intune は、すべての登録デバイスを管理できる単一の管理コンソールを IT 部門に提供します。このソリューションの管 理上の利点には、セキュリティ レポートや監査レポートなどのレポート作成機能があります。 ポータル サイトのプロビジョニング Microsoft IT では、モバイル デバイスから企業リソースに接続するユーザーのために、ユーザーが必要とする Microsoft Windows アプリや LOB アプリをインストールして使用できる一種の "ワンストップ ショッピング" エクスペリエンスを 提供する目的で、ポータル サイトを利用しています。現在のところ、iOS または Android プラットフォームのユーザーは、 別のサイトからポータル サイトをインストールします。一方、Windows または Windows Phone プラットフォームの ユーザーの場合は、Intune サービスからポータル サイトがデバイスにプッシュされます。 ポータル サイトには約 350 個のアプリが含まれ、毎月 10 ~ 15 個のペースで新しいアプリが追加されています。プロビ ジョニングには、既存アプリの更新も含まれ、毎月 35 ~ 40 個ものアプリが更新されています。ひと月あたりのアプリ ケーションのインストール数は約 30,000 件に上り、サービスの可用性は 99% を超えています。 Microsoft IT のポータル サイトに関する 1 つの目標は、特定の役割やユース ケースに対応する一連のコンテンツと機能を パッケージ化したアプリを開発することです。たとえば、営業とマーケティングのユーザーの場合、GearUp アプリを使用 すれば、マイクロソフトが販売するすべての製品に関する情報 (提供価値や競争上の差別化要素など) をすぐに参照できま す。また、出張の多いユーザーの場合は、外出先で費用を簡単に調べることのできるアプリが提供されており、ユーザー は経費報告書をより迅速に作成して、コンプライアンスを高めることができます。 複数のモバイル デバイスに対応するポリシー 暗号化、パスワード、セキュリティ、電子メールの管理、その他の基本的な課題など、対象が何であれ、組織における MDM の基礎となるのが、ポリシーです。Intune では、ポリシーに関する情報を提供するダイアログ ボックスがユーザー に表示されます。ユーザーは、IT 部門からのアプリやサービスを受け入れることも、デバイスの登録をキャンセルするこ ともできます。 ユーザーからはなかなかそのありがたみを理解してもらえないのですが、ポリシーはユーザーにとって一種の保護にもな ります。同じ環境内の他のユーザーやデバイスが IT ポリシーによって管理されている場合、業務利用するデバイス上の ユーザー自身の個人データもより安全になります。モバイル デバイスのコンプライアンス設定の詳細については、「ポリ シーとセキュリティの構成」セクションを参照してください。 IT Showcase: 技術的なケース スタディ 4 ページ | マイクロソフトにおけるモバイル デバイス管理 モバイル アプリケーション管理 アプリケーションの観点から見ると、ユーザーとデバイスのプロビジョニングは、組織のモビリティ環境における重要な 要素です。たとえば、アプリの展開後、アプリ所有者は、Microsoft System Center の Operations Manager などのツー ルを利用して、アプリケーションの依存関係などの問題を発見し、アプリケーション コンポーネントを監視して、監視中 に見つかった問題の原因を分離することができます。さらに、Microsoft Visual Studio でトリアージと修復を行い、コー ド内の問題を修正することも可能です。一方、IT の観点から見ると、MDM サービス全体でアプリが安全に管理される必 要があります。また、LOB アプリには署名が行われ、管理されたユーザーによってのみアクセスが行われるようにしなけ ればなりません。 情報の保護 Microsoft IT には、情報の保護に関するいくつかの目標があります。たとえば、企業データのセキュリティを確保する、 ユーザーではなくデータを管理する、あらゆる信頼済みデバイス上のデータへのアクセスを提供するなどです。これらの 目標を達成するための手法には、前述のとおり暗号化やポリシーなどがあります。 また、Intune は、証明書プロファイルによって企業リソースへのアクセスを可能にします。管理されたデバイスを証明書 プロファイルを使って必要な証明書で構成すると、デバイス ユーザーは、Wi-Fi や仮想プライベート ネットワーク (VPN) などの接続を使用して、オンプレミスの企業リソースに接続できるようになります。IT 部門が証明書プロファイルを展開 すると、会社の公開キー基盤 (PKI) の信頼済みルート証明書によってデバイスのプロビジョニングが行われ、デバイス固 有の証明書を要求するように構成されます。 Microsoft IT は、アクセスと保護の精度を高めるために、条件付きアクセス機能を提供する予定です。たとえば、ファイ ルやリソースへの読み取り専用アクセスだけが必要なユーザーは、編集、印刷、転送などの操作ができなくなります。制 限付きアクセスの最も重要なシナリオの 1 つは、電子メールのプロビジョニングですが、その他のシナリオには、証明書 のプロビジョニングやプロファイルのプロビジョニングなどが挙げられます。これらの手法の組み合わせにより、IT 部門 は、データの管理に対応できるようになります。 展開 Microsoft IT は、MDM へのアプローチを進化させていますが、戦術的な観点から MDM を正確に実施する方法を検討する ことが重要になります。このセクションでは、System Center Configuration Manager と Intune の両方を含むハイブ リッド環境に適した展開ソリューションについて詳しく説明します。小規模な組織の場合は、Intune (ハイブリッド環境で なくスタンドアロン) だけで済むこともありますが、マイクロソフトをはじめ中規模から大規模の組織のほとんどは、 Configuration Manager を既に展開しており、Intune と組み合わせて使用しています。 アーキテクチャ MDM は、次のような連動する一連のコンポーネントで構成されます。 Configuration Manager: オンプレミスとクラウドベースの両方のデバイスを一元管理するための管理コンソールを 提供します。 Intune サブスクリプション: Configuration Manager と Intune 間の接続を確立します。Intune サービスの構成設 定 (デバイスを登録できるユーザーや、管理すべきモバイル デバイス プラットフォームなど) を指定します。 Microsoft Intune コネクタ サイト システムの役割: Configuration Manager サイトの役割です。Intune とオンプレ ミスの Configuration Manager 間のゲートウェイとして機能し、Intune に設定やソフトウェア展開情報を送信した り、モバイル デバイスから状態やインベントリ メッセージを取得したりします。 IT Showcase: 技術的なケース スタディ 5 ページ | マイクロソフトにおけるモバイル デバイス管理 図 1. Microsoft IT の MDM インフラストラクチャ 以降のセクションでは、Microsoft IT の MDM 展開に関するさまざまなアクティビティについて説明します。 展開プロセス Microsoft IT は、既存の Configuration Manager 環境での MDM の展開において、5 つの手順によるアプローチを取りま した。 手順 1: Configuration Manager 1511 または SP1 環境を構築する Microsoft IT は、MDM 専用の Configuration Manager 1511 プライマリ サイトを自社のドメイン階層に追加しました。 サーバー ハードウェアの構成は次のとおりです。 12 GB の RAM と 4 コア プロセッサを搭載した、仮想マシンを使用するプライマリ サイト サーバー 64 GB の RAM と 6 コア プロセッサを搭載した Microsoft SQL Server MDM 用のサイトを別途用意する必要はありません。MDM は大量のデバイスにも対応できるため、中小規模の組織のほと んどはサイトを別途用意する必要がなく、MDM を既存のサイト階層に取り入れることができます。 手順 2: ユーザーのプロビジョニングを行う Microsoft IT は、既存の運用 Configuration Manager 環境を使用して、マイクロソフトの社内 Active Directory フォレ スト全体に対しユーザーの探索を行いました。マイクロソフトのユーザー ベースは大規模なので、このプロセスには数時 間かかりましたが、MDM を有効にする前にすべてのユーザーが確実にユーザー コレクションに追加されました。 組織は、自社の BYOD 環境の範囲を検討して、完全なユーザーの探索を実施する必要があるかどうか、またはモバイル デ バイスの登録を許可するユーザーを Configuration Manager に手動で追加する必要があるかどうかを判断する必要があり ます。 手順 3: Intune サービスのプロビジョニングを行う Microsoft IT は、Microsoft Online Directory Services (MSODS) チームと連携して、Microsoft IT の組織ユーザー (テ ナント) アカウント用に Intune サービスをプロビジョニングすると共に、MDM サービスの Admin (Configuration IT Showcase: 技術的なケース スタディ 6 ページ | マイクロソフトにおけるモバイル デバイス管理 Manager で Intune サブスクリプションを作成する場合の認証に使用するアカウント) をセットアップしました。また、 Microsoft IT は、Active Directory チームと連携して、Online Directory Sync (DirSync) と Active Directory フェデレー ション サービス Windows Server 2012 R2 を構成しました。DirSync によって、すべてのユーザーがクラウドに同期さ れるようになり、AD FS によって、ユーザーが SSO を使用してあらゆるクラウド サービスにアクセスできるようになり ました。 マイクロソフトでは、既に Microsoft Office 365 やその他のクラウド サービスで使用している既存のテナント アカウント があったほか、データをクラウドに同期するために DirSync と AD FS も展開していました。それらのサービスをまだ展開 していない企業は、次の作業を実行する必要があります。 Intune 組織 (テナント) アカウントのサインアップを行う。 オンプレミスの Active Directory ユーザーを MSODS と同期するために DirSync を展開して構成し、クラウドベー スのアプリケーションに使用するユーザー ID を作成する。 AD FS を展開して、オンプレミスとクラウドベースの両方のアプリケーションで各ユーザーが単一の ID を使用でき るようにする。 手順 4: DNS リダイレクトをセットアップする ほとんどの企業は、エンタープライズ登録を <会社>.com にリダイレクトするためのドメイン ネーム システム (DNS) エ イリアス (CNAME レコード タイプ) を作成して、サーバーの自動検出を可能にすることでメリットが得られます。これに より、ユーザーは、自分のデバイスを登録する際に実際のサーバー名を知る必要がなくなります。 手順 5: デバイス固有の証明書を取得する デバイス プラットフォームごとに、アプリケーションを読み込むための要件が異なります。Microsoft IT は、Microsoft App チームと連携して、サポート対象のモバイル デバイスに必要な証明書を取得しました。 MDM の構成 MDM を有効にするには、Configuration Manager で Intune サブスクリプションを作成し、Intune コネクタの役割を定 義する必要があります。現在、MDM には、iOS、Android、Windows Phone など、あらゆるデバイス プラットフォーム と連動する機能が搭載されています。MDM をセットアップして構成するために、Microsoft IT は次のような手順を実行し ました。 1. 新しい Intune サブスクリプションを作成する。Microsoft IT は、サブスクリプションの作成ウィザードで、 [Configuration Manager コンソールによるこのサブスクリプションの管理を許可する] を選択しました。これにより、 Configuration Manager は、すべてのモバイル デバイスを管理する権限を持つソースとなり、オンプレミス システ ム、クラウドに接続されたデバイス、およびアプリケーションのライフ サイクル管理のための単一の管理コンソール を提供できるようになりました。 2. ユーザー コレクションを定義する。Microsoft IT は、マイクロソフトの社内 Active Directory フォレスト全体に対す るユーザーの探索で検出されたユーザーに基づいて、マイクロソフトの全従業員のカスタム ユーザー コレクションを 作成しました。これにより、このコレクションのメンバーに、MDM での登録を許可するライセンスが確実に付与され るようにしました。 3. プラットフォーム、証明書、およびキーを構成する。Microsoft IT は、プラットフォームごとに必要な証明書を適用 しました。 4. コネクタの役割を割り当てる。Microsoft IT は、Intune コネクタ サイト サーバーの役割を中央管理サイト (CAS) サーバーに追加しました。Intune コネクタ サーバーの役割は、Intune と直接通信して、すべての着信および発信に おいて Configuration Manager と Intune 間の通信ゲートウェイを提供します。 IT Showcase: 技術的なケース スタディ 7 ページ | マイクロソフトにおけるモバイル デバイス管理 Cloud User Sync の監視 MDM を構成すると、Configuration Manager のコンポーネントである Cloud User Sync が、Configuration Manager と Intune 間の通信を提供します。Cloud User Sync は、ユーザーのコレクションを監視して追加の有無を確認し、変更があ れば Intune と同期してユーザーにライセンスを付与し、ユーザーが自分のデバイスを登録できるようにします。 Microsoft IT は、Cloud User Sync の監視について、次のような推奨事項を提案します。 ユーザーの差分探索と増分更新を使用する。AD ユーザーの探索の設定で差分探索を有効にし、コレクションの設定 で増分更新を選択すると、更新がより頻繁に同期されるようになります。これにより、新しいユーザーへのライセン スの付与と、無効にされたユーザーのライセンスの削除が迅速に行われるようになります。 Cloud User Sync の既定の設定を使用する。Cloud User Sync は、コレクションに追加された新しいユーザーにラ イセンスが付与され、登録が可能になった場合や、コレクションから削除されたユーザーの Intune ライセンスが取 り消された場合などの変更を同期します。既定では、同期は 5 分ごとに行われ、Configuration Manager の階層や ネットワークへの負荷が最小限で済みます。 次の Intune コネクタ ログ ファイルを監視する。 Dmpdownloader.log: Intune から Configuration Manager にダウンロードされたポリシーの変更を監視でき ます。 Dmpuploader.log: Configuration Manager から Intune にアップロードされたポリシーの変更を監視できま す。 Cloudusersync.log: Intune でのユーザーへのライセンスの付与を監視できます。 Configuration Manager の User_Disc テーブルの CloudUserID フィールドを使用して、ユーザーにライセンスが付 与されているかどうか確認する。 Null: デバイスを登録できるライセンスがユーザーに付与されていないことを示します。 すべてゼロの GUID: ユーザーは以前ライセンスが付与されていたが、現在はユーザー ライセンス コレクショ ンのメンバーではないことを示します。 ゼロ以外の GUID: デバイスを登録できるライセンスがユーザーに付与されていることを示します。 ユーザーには、デバイスごとに個別のライセンスが付与される必要はありません。ユーザーにライセンスが付与されると、 最大 20 台のデバイスのライセンスが提供されるためです。 デバイスの登録 Microsoft IT は、MDM アーキテクチャの構成に加え、ユーザー エクスペリエンスを展開の一環として計画する必要があ りました。その際、デバイスを登録するプロセスに次のような特徴を持たせようと考えました。 ユーザーが自分のデバイスを登録し、ポータル サイトへのアクセス権を得て、最小限のユーザー操作で LOB アプリ ケーションをインストールできる、優れたユーザー エクスペリエンスを提供する。 シームレスな SSO のインストールを可能にし、ユーザーがすぐに LOB アプリで作業できるようにする。AD FS に よって、マイクロソフト ユーザーがどのデバイスでも同じ資格情報 (自分の企業ユーザー ID、電子メール アカウン ト、およびネットワーク パスワード) を使用できるようにする。 ユーザーがデバイスを登録すると、Microsoft IT は、デバイスに関する一般情報 (メーカーなど) と、(Microsoft ストアか らでない) ポータル サイトからインストールされたすべての LOB アプリの一般情報を収集します。ポータル サイトは、新 たに登録されるすべてのデバイスに必要なアプリです。 IT Showcase: 技術的なケース スタディ 8 ページ | マイクロソフトにおけるモバイル デバイス管理 登録のトラブルシューティング Microsoft IT では、一部のユーザーが非標準のユーザー プリンシパル名 (UPN) を使用していたため、登録の失敗が 発生しました。登録プロセスはユーザーの UPN に基づきますが、一部のマイクロソフト ユーザーの UPN は標準の名 前付け規則から外れていただけでなく、ユーザー エイリアスとも違っていました。この問題を解決するために、 Microsoft IT は DNS リダイレクトを作成しました。 登録のトラブルシューティングを行うためのクライアント ログがなかったので、Microsoft IT は、トラブルシュー ティングに向けて体系的なアプローチを取る必要がありました。 Microsoft IT は、デバイスの登録に関する一般的な問題をトラブルシューティングする場合に、次のような問題を検 証することをお勧めします。 Admin が MDM を構成した。 Admin が特定のデバイスの種類の登録を有効にした。 Admin がモバイル デバイスの登録用にユーザーをプロビジョニングした。 ユーザーがいくつかのデバイスを同時に登録しようとしていない。また、システムに 20 台を超えるモバイル デ バイスを登録していない。 Windows Phone 8.1 デバイスの場合は、コード署名証明書が正しく構成されている。 iOS デバイスの場合は、Apple Push Notification Service 証明書が構成されていて、有効期限が切れていない。 また、デバイスで iOS v5.0 以降が実行されている。 登録に関する教訓 Microsoft IT は、登録プロセスで発生した (特に、ユーザーの教育要件に関する) いくつかの問題から次のような教訓を得 ました。 ユーザーは、Microsoft IT が自分の個人所有デバイスについて確認/収集した情報の種類について不安を感じていまし た。Microsoft IT は、デバイス自体の一般情報 (メーカーなど) とポータル サイトからインストールされたすべての LOB アプリに関する一般情報のみ収集し、個人情報 (電話番号、個人用アプリ、Microsoft ストアからインストール されたアプリなど) は収集しないことを説明して、ユーザーを安心させる必要がありました。 ユーザーは、各種モバイル デバイス プラットフォームの登録プロセスの違いに混乱することがありました (たとえば、 プラットフォームによっては、デバイスに管理プロファイルを追加するための追加画面が表示される場合があるなど)。 この課題に対処するために、Microsoft IT は、各デバイスの登録プロセスを文書化して、そのドキュメントを自社の サポート Web サイト「ITWeb」で提供するようにしました。 ポリシーとセキュリティの構成 会社のセキュリティを確保しながらも、優れたエンド ユーザー エクスペリエンスを提供するために、Microsoft IT は次の マイクロソフト チームと連携する必要がありました。 マイクロソフト セキュリティ チーム。モバイル デバイスでのマイクロソフトの社内コンプライアンス設定 (パスワー ド ポリシーや暗号化の設定など) を適用するポリシーを定義しました。 Exchange チーム。Exchange ActiveSync (EAS) と MDM 間のポリシー設定の整合性を確保しました。 Microsoft IT は、Configuration Manager に組み込まれているモバイル デバイスの既定のコンプライアンス規則を利 用しました。モバイル デバイスの新しい構成アイテム (CI) (トラブルシューティングを容易にするために、デバイス の種類ごとに異なる CI) を作成し、Microsoft IT のセキュリティ要件に基づく値を持つ組み込みのコンプライアンス 規則を追加しました (表 1 参照)。次に、それらの CI の構成ベースラインを作成し、構成ベースラインの対象をモバ イル デバイスのコレクションとしました。 IT Showcase: 技術的なケース スタディ 9 ページ | マイクロソフトにおけるモバイル デバイス管理 表 1. Microsoft IT でのモバイル デバイスのコンプライアンス設定 会社のポリシー Windows Phone Android iOS パスワードの最小文字数 6 6 6 パスワードの有効期限 70 日間 設定なし 設定なし 単純なパスワードを許可する 設定なし 設定なし × 5 5 5 ○ ○ 設定なし 15 分 5分 15 分 デバイスをワイプするまでの ログオン失敗回数 モバイル デバイスのファイル の暗号化 モバイル デバイスをロックす るまでのアイドル時間 Microsoft IT は、モバイル デバイス ポリシーについて、次のような推奨事項を提案します。 最高のエンド ユーザー エクスペリエンスを実現するために、EAS と MDM 間でパスワード/PIN ポリシーなどのポリ シーの整合性を取るようにする。きわめて厳格なポリシーを適用しても、ユーザー エクスペリエンスに一貫性がない と、サポートへの問い合わせが増える可能性があるためです。 ポリシーが特定のデバイス プラットフォームに適用されない場合、どのプラットフォームがそのポリシーをサポート していないかが報告されるようにする。共通のポリシーを使用することで、管理を簡素化できます。たとえば、あら ゆるモバイル デバイス プラットフォーム間で同じパスワード要件を設定すれば、さまざまなパスワード ポリシーを サポートするための複数の CI や異なるデバイス コレクションが不要になります。 プラットフォーム間でポリシーの整合性を取ることができない場合は、カスタム デバイス コレクションを作成する。 Configuration Manager コンソールに、登録デバイスがデバイスの種類ごとに表示されます。[エージェント エディ ション] 属性を使用して、カスタム デバイス コレクションを作成してから、対象をポリシー ベースラインの各コレク ションとします。 CI と構成ベースラインの両方で、デバイスにコンプライアンス設定を適用するために、[対応していない設定を修復 する] を有効にする。有効にしないと、レポートに登録デバイスの現在のコンプライアンス状態が反映されますが、 コンプライアンス規則/設定はそれらのデバイスに適用されません。 デバイスのインベントリからの削除/ワイプ 他の組織と同様に、マイクロソフトにも、ユーザーの退職やデバイスの紛失に備えてセキュリティを強化する手段が必要 です。紛失したデバイスのセキュリティを確保したり、今後使用されないデバイスをインベントリから削除するために、 Microsoft IT は、デバイスにワイプ コマンドを発行します。 ワイプ コマンドには、次の 2 種類があります。 フル ワイプ: デバイスが工場出荷時の状態に戻ります。会社およびユーザーのデータと設定がすべて削除されます。 フル ワイプは、Windows Phone、iOS、および Android の各デバイスで実行できます。 セレクティブ ワイプ: 会社のデータのみ削除されます。セレクティブ ワイプで削除される具体的なデータや、デバイ ス上に残るデータへの影響は、デバイス プラットフォームによって異なります。 デバイスのワイプやインベントリからの削除を実行できる管理者を制限するために、Microsoft IT は、Configuration Manager の役割ベースのアクセス制御 (RBAC) を使用して、一部の管理者に対してコンソールでの表示を制限しました。 テスト階層で MDM のパイロット展開を実施したら、運用階層に移る前に Configuration Manager コンソールからすべて のデバイスを削除することが重要です。 IT Showcase: 技術的なケース スタディ 10 ページ | マイクロソフトにおけるモバイル デバイス管理 レポート Configuration Manager には、MDM にすぐに使用できる組み込みのレポート (アプリ、ハードウェア インベントリ、設 定管理に関するレポートなど) が多数用意されているため、カスタム レポートを作成する必要はありません。また、デス クトップ デバイスとモバイル デバイスの管理用に個別のレポートを作成する必要もありません。同じレポートを使用して、 どちらの環境のレポートも作成できます。 Microsoft IT は、Configuration Manager の組み込みレポートを使用して、自社の MDM 環境のレポートを作成しました。 具体的には、次の 2 つの組み込みレポートから、アプリケーションのインストール状況とポリシーのコンプライアンス状 況について、MDM に役立つ洞察を得ました。 セキュリティ ポリシーのコンプライアンス レポート ([ホーム] > [ConfigMgr_<sitecode>] > [コンプライアンスと 設定の管理] > [構成基準ごとのコンプライアンス対応の概要]) アプリケーションのコンプライアンス レポート ([ホーム] > [ConfigMgr_<sitecode>] > [ソフトウェアの配布 - ア プリケーションの監視] > [アプリケーションのコンプライアンス]) また、Configuration Manager コンソールの監視機能を使用することで、アプリの展開およびセキュリティ ポリシーのコ ンプライアンス状況を容易に確認し、資産レベルまでドリルダウンできました。 Configuration Manager の組み込みのレポート作成機能があるのでカスタム レポートを作成する必要はありませんでした が、Microsoft IT は、Microsoft SQL Server 2012 Reporting Services を使用して、マイクロソフトのエグゼクティブ管 理者用にカスタムの統合デバイス管理 (UDM) ダッシュボードを作成しました。このダッシュボードは、エグゼクティブ管 理者がグラフから登録数の傾向を確認できるだけでなく、Microsoft IT のその他のダッシュボードと同様の外観を備えて います。 成果 デバイスやアプリケーションの管理と展開を効率化するソリューションを作成することで、Microsoft IT は、リソースや 管理オーバーヘッドを追加することなく、初回実装時の一元管理されたデバイスの範囲を 10% 増やすことができました。 Microsoft IT では、この範囲は迅速かつ継続的に拡大していくと見ており、100,000 台を超えるモバイル デバイスを一元 管理できる可能性もあると考えています。 利点 モバイル デバイス管理の利点には、次のようなものがあります。 低コストでスケーラブルなソリューション。Intune は、Microsoft IT 環境のインフラストラクチャ、ハードウェア、 ネットワークの複雑さを増すことなく、既存の Configuration Manager 環境に統合できます。エンタープライズ レ ベルのスケーラビリティを備え、Configuration Manager の対応範囲を拡張して、各種デバイス プラットフォームの 管理をサポートします。 シンプルな管理。Configuration Manager コンソールは、デバイスの管理を統合することで、各種のデバイスにわ たって、運用管理、アプリケーション管理、レポートの作成を行うことができる単一のコンソールを Microsoft IT の 管理者に提供します。 ユーザーの能力強化。MDM は、各種デバイス プラットフォーム間で一貫したエンド ユーザー エクスペリエンスを提 供します。マイクロソフト ユーザーは、ポータル サイトを通じて個人所有デバイスを登録し、社内のビジネス アプ リケーションをインストールし、各自のモバイル デバイスを管理できるようになり、どこにいてもどのデバイス上で も生産性を高めることができます。 コンプライアンスの維持。マイクロソフトのコンプライアンス要件やセキュリティ要件を満たすために、各種デバイ ス プラットフォーム間でコンプライアンス ポリシーを維持しつつ、マイクロソフト ユーザーに優れたエンド ユー ザー エクスペリエンスを提供します。Microsoft IT の管理者が Configuration Manager を使用してデバイスから会 社のデータやアプリケーションを削除できるため、デバイスの紛失、盗難、廃棄時のセキュリティ リスクが低下しま した。また、マイクロソフト ユーザーが、ポータル サイトを使用して自分でデータやアプリケーションを削除するこ ともできるようになりました。 IT Showcase: 技術的なケース スタディ 11 ページ | マイクロソフトにおけるモバイル デバイス管理 ベスト プラクティス Microsoft IT は、MDM の実装について、次のような方法を検討することを推奨します。 展開を計画する。展開前にしっかりと計画を行うことで、展開の効率が高まります。 Configuration Manager 階 層 を 確 認 し 、MDM の 最 適 な 統 合 方 法 を 特 定 す る 。 前 述 の と お り 、Configuration Manager 階層に MDM 用のサイトを別途用意する必要はありません。 どのプラットフォームを組織がサポートするかを把握する。これは、アプリの展開に必要な証明書の種類を判断する 際に役立ちます。 ユーザーによる登録を可能にする前に、証明書とサイドローディング キーを取得して展開する。他のチームと連携す ることで、アプリの証明書プロセスを効率化できます。 Configuration Manager のユーザーの探索を使用して、具体的にユーザーを特定してライセンスを付与してから、 ユーザーをカスタム コレクションに追加し、ユーザー アカウントが Intune と同期されるようにする。 AD FS を有効にして、ユーザーが同じユーザー名とパスワードで会社のリソースにアクセスできるようにする。 セキュリティ チームや Exchange チームと連携して、各種デバイス プラットフォーム間でパスワードとポリシーの 整合性を取り、会社のセキュリティを損なうことなく、優れたユーザー エクスペリエンスを実現する。 すべての関係チーム間でのコラボレーションを促進する。組織内のいくつかの異なるチーム (セキュリティ、コンプ ライアンス、アプリケーション開発者、サービス、インフラストラクチャ プロバイダーなど) が関与する必要がある 場合もあります。すべての関係者が早期に情報を提供し、連携してスムーズに展開できるようにすることが重要です。 情報伝達と対応準備に関する詳細な計画を策定する。ユーザーとヘルプデスクの対応準備に役立つ、よく練られたサ ポート計画とドキュメントがあれば、サポート コストを削減できます。 展開前にヘルプデスクの技術者のトレーニングを行う。最新デバイスのサポートに役立つトレーニングとサポート コ ンテンツを用意してください (特に、デバイス プラットフォーム間のユーザー エクスペリエンスが異なる場合)。 ユーザーを教育する。ユーザーにサポート対象のデバイス プラットフォームごとの登録手順に関するドキュメントを 提供することで、サポートへの問い合わせを減らせます。登録してからポータル サイト アプリのインストールが可能 になるまでどれくらいの時間がかかるかを伝えます。ユーザーの不安を軽減するために、ユーザーが自分のデバイス 上のどのような情報が収集されるのかを理解できるようにします。また、一般的な質問に関する FAQ (よく寄せられ る質問) を作成し、あらゆる既知の問題を文書化します。 登録プロセスを計画する。優れたユーザー エクスペリエンスを実現し、サポート コストを削減するために、ポータル サイトと LOB アプリをどのように展開するかを検討します。 ポータル サイトのアプリケーションを分類して整理し、見つけやすくする。 セキュリティ グループを使用して、アプリ ユーザーが表示できる内容を、社内でのユーザーの役割に基づいて制限する。 ポータル サイトでどのアプリを公開するかを、ビジネス ニーズに基づいて決定する。また、アプリをインベントリか ら削除するまでにポータル サイトでアプリを保持する期間を決定する。 どのアプリに頻繁に変更が行われる可能性があるかを評価し、アプリ全体を展開する代わりにディープ リンクを使用 することを検討する。 Windows Phone ソフトウェア開発キット (SDK) の Windows Phone エミュレーターを使用して、Windows Phone 登録エクスペリエンスをテストする。 IT Showcase: 技術的なケース スタディ 12 ページ | マイクロソフトにおけるモバイル デバイス管理 リソース Configuration Manager と Microsoft Intune を使用してモバイル デバイスを管理する https://technet.microsoft.com/library/jj884158.aspx Microsoft Intune https://www.microsoft.com/ja-jp/server-cloud/products-Microsoft-Intune.aspx System Center 2012 Configuration Manager のドキュメント ライブラリ https://technet.microsoft.com/library/gg682041.aspx System Center のテクニカル ドキュメント https://technet.microsoft.com/library/hh546785.aspx ディレクトリ同期のロードマップ https://technet.microsoft.com/library/hh967642.aspx 関連ケース スタディ Microsoft IT での System Center 2012 Configuration Manager の展開方法 (英語) https://www.microsoft.com/itshowcase/Article/Content/126 Microsoft IT による統合デバイス管理の説明 (英語) http://channel9.msdn.com/Blogs/Microsoft-IT-Showcase/Microsoft-IT-Discusses-Deployment-of-Unified-DeviceManagement モバイル ファースト、クラウド ファーストのビジネス環境で再利用可能な API の構築 (英語) https://www.microsoft.com/itshowcase/Article/Content/493 IT をイノベーション エンジンに変換する (英語) https://www.microsoft.com/itshowcase/Article/Content/373 詳細情報 マイクロソフト製品またはサービスの詳細については、Microsoft Sales Information Center、(800) 426-9400 (米国内)、 Microsoft Canada Order Centre、(800) 933-4750 (カナダ国内) にお問い合わせください。米国 50 州とカナダ以外の お客様は、最寄りのマイクロソフト オフィスまでご連絡ください。Web 上の情報については、次のアドレスにアクセスし てください。 http://www.microsoft.com Microsoft IT http://www.microsoft.com/microsoft-IT (英語) © 2016 Microsoft Corporation. All rights reserved. Microsoft and Windows are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. This document is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY. IT Showcase: 技術的なケース スタディ
© Copyright 2024 ExpyDoc
