Microsoft Intuneで企業のモバイルデバイスを一括管理

エンタープライズモビリティ管理とMicrosoft Intune

増え続けるモバイルデバイスを効率的に運用管理するために

ノートパソコンやスマートフォン、タブレットといったモバイルデバイスの普及により、我々のワークスタイルは大きく変わりました。場所や時間、さらには使用するデバイスを選ばずに、いつでもどこでも仕事ができるようになったのです。今やモバイルデバイスは、従業員の生産性を向上させるツールとして欠かせない存在と言えます。

一方で、企業のIT管理者は、増え続けるモバイルデバイスの運用管理についても考えなければならなくなりました。多くの企業では、モバイルデバイスの運用管理について「モバイルデバイスでどう生産性を高めるか?」、「モバイルセキュリティをどう向上させるか?」という2つの課題を抱えています。例えば、社内システムに社外からもアクセスできるような仕組み作り、各デバイスにインストールされた業務アプリケーションの一括管理、不正利用やセキュリティへの対策、盗難・紛失時の情報漏えい対策などが挙げられます。場合によっては、従業員の私物デバイスを業務に利用できるようにする、いわゆる「BYOD(Bring your own device)」への対応も進めておく必要があるかもしれません。

これらの課題解決を包括的にサポートするために生まれたのが、「エンタープライズモビリティ管理(EMM)」と呼ばれるソリューションです。エンタープライズモビリティ管理に関する企業向けの製品やサービスは、各社から多数登場しています。代表的なものとしては以下のような製品・サービスが挙げられます。

主要なエンタープライズモビリティ管理製品
VMware AirWatch/BlackBerry Enterprise Mobility Suite/MobileIron/Citrix XenMobile/IBM MaaS360 with Watson/Microsoft Enterprise Mobility + Securityなど

本記事のメインテーマである「Microsoft Intune」は、上のリストで最後に挙げている「Microsoft Enterprise Mobility + Security」に統合されているサービスです。Microsoft Intuneについて詳しく解説する前に、まずはこのMicrosoft Enterprise Mobility + Securityについて簡単に触れておきましょう。

「人」「デバイス」「データ」の3要素を最適に管理

企業がクラウドサービスやモバイルデバイスを導入する場合、「人」「デバイス」「データ」の3要素を統合的に管理する必要があります。「Microsoft Enterprise Mobility + Securit」では、この3要素を「Azure Active Directory」「Microsoft Intune」「Azure Information Protection」といった3つのサービスを連携して管理する仕組みとなっています。

Microsoft Enterprise Mobility + Securitの主要3要素

Azure Active Directory

「人」
社内とクラウドIDの統合、シングルサインオンの実現

Microsoft Intune

「デバイス」
社外に持ち出すモバイルデバイスやアプリを一元管理

Azure Information Protection

「データ」
企業データの保護、アクセス権限の管理、情報漏えいの防止

  1. Azure Active Directory(Azure AD)

    セキュアな認証基盤を提供するサービスです。社内とクラウド環境のID/アクセスを統合、各種アプリケーションへのシングルサインオンを実現します。

  2. Microsoft Intune

    従業員が社外に持ち出すモバイルデバイス(Windows、Mac、iOS、Android)を一元管理できるクラウドサービスです。モバイルアプリケーション管理機能も含まれます。

  3. Azure Information Protection(AIP)

    社内データを保護し、安全なデータアクセスを提供するサービスです。電子メールやOfficeドキュメントなどを情報漏えいリスクから守ります。

Microsoft Enterprise Mobility + Securitは、上記以外にもさまざまなサービスが用意されています。とはいえ、上で挙げている3つのサービスがエンタープライズモビリティ管理としての代表的な要素と言えるでしょう(なお、契約プランによって提供サービスが異なってきます)。

Microsoft Intuneは、上で挙げた3要素の中で「デバイス」を管理するサービスです。次項では、Microsoft Intuneとはどういったものなのか、何ができるのかといった基本的な概要について紹介していきましょう。

Microsoft Intuneのおもな特徴

企業のモバイルデバイスを一括管理するのに最適なソリューション

多くの従業員は、ノートパソコンやスマートフォンを活用して外出先でも仕事をしたいと望んでいます。社用メールの送受信や会社リソースへのアクセスなどが社外からでも自由にできれば、仕事の生産性はより向上します。一方でIT管理者は、企業のモバイルデバイスをセキュリティポリシーに準拠して一括管理し、情報漏えいなどの各種リスクを未然に防ぐ必要があります。この両者のニーズをうまく解決してくれるのがMicrosoft Intuneです。

モバイルデバイスとモバイルアプリケーションを効率的に管理

Microsoft Intuneの機能には、大きく分けて「モバイルデバイス管理(MDM)」と「モバイルアプリケーション管理(MAM)」の2つが用意されています。ここでは、それぞれの機能について簡単に説明していきましょう。

Microsoft Intuneに含まれる2つの機能

モバイルデバイス管理
(MDM)

モバイルアプリケーション管理
(MAM)

  1. モバイルデバイス管理(MDM)

    「モバイルデバイス管理(MDM)」とは、従業員が使うモバイルデバイスを管理システムに登録しておき、IT管理者が一括管理できる仕組みです。Microsoft Intuneの場合、会社所有のものだけでなく従業員が所有する私物のデバイスも管理対象として登録が行えます。そのため「BYOD」への対応も比較的容易に実現が可能です。

    モバイルデバイス管理を行うには、従業員が仕事で使うモバイルデバイスをMicrosoft Intuneに登録しておく必要があります。とはいえ、IT管理者がすべてのモバイルデバイスをひとつひとつ登録していくのはあまり現実的ではありません。Microsoft Intuneはセルフサービス型のデバイス管理に対応しており、従業員自身がモバイルデバイスを管理対象デバイスとして登録できます。登録方法は、モバイルデバイスにMicrosoft Intuneアプリケーションをインストールして必要な設定を行うだけです。従業員は、いちいちIT管理管理者にお伺いを立てる必要もなく、使いたいモバイルデバイスを好きなタイミングで登録し、スムーズに業務へ活かすことができるでしょう。また、IT管理者への負担も軽減されるといった大きなメリットも期待できます。

    登録されたモバイルデバイスは、企業のセキュリティポリシーに準拠するようにネットワークやセキュリティの各種設定を一括で行えます。セキュリティポリシーを満たしたモバイルデバイスは会社リソースへのアクセスが許可され、外出先でも社内と同じようにメールの送受信やファイルの閲覧が可能です。なお、Microsoft Intuneに登録したモバイルデバイスであっても、セキュリティポリシーを満たしていないデバイスは会社リソースへのアクセスが制限されます。

    さらに、デバイスの紛失/盗難時には、遠隔操作で端末をロックしたり、端末内の管理対象データを削除(リモートワイプ)したりが可能です。端末ロックやリモートワイプも従業員自身で操作できるので、IT管理者に連絡して対応してもらう手間が省け、万が一の場合でも迅速な対応が行えます。また、後述するモバイルアプリケーション(MAM)機能との連携により、リモートワイプ時には会社配信のアプリケーションやデータのみを削除することが可能です。従業員の私物デバイスをリモートワイプする場合、端末内のデータをすべて削除するのではなく、個人の写真やデータ、アプリケーションだけは残しておく、といった対応もできるようになっています。

  2. モバイルアプリケーション管理(MAM)

    「モバイルアプリケーション管理(MAM)」とは、モバイルデバイスで利用する会社配信のアプリケーションやデータを管理する仕組みです。先ほどのモバイルデバイス管理(MDM)は「どのモバイルデバイスが業務に利用されるのか」といったデバイス自体を管理するものですが、モバイルアプリケーション管理(MAM)は、「モバイルデバイスをどういった用途で使うのか」といった用途(アプリケーション)を管理するものとなります。

    Microsoft Intuneでは、モバイルデバイス内に業務専用領域を作成し、業務で使うアプリケーションのインストールや使用制限などを細かく設定できます。私物デバイスの業務利用(BYOD)を行う場合でも、個人の領域(連絡先や写真、アプリケーションなど)と分けて管理できるので、従業員のプライバシーを守りつつ、企業データの漏えいリスクを防ぐことが可能です。これにより、従業員は私物のデバイスをプライベートでいつもどおり使いつつ、業務でも活用できるようなります。

    また、業務領域と個人領域間におけるデータの持ち出しをセキュリティポリシーで制限することもできます。例えば、会社配信のアプリケーションで開いたOfficeファイルやPDFを、個人領域のアプリケーションに渡す、コピー&ペーストで個人領域のアプリケーションに貼り付ける、といった行為を制限することが可能です。そのため、管理対象とされていない別のデバイスに会社のデータが持ち出され、外部に情報が流出する、といったリスクを防ぐことができます。


    ※図参照/https://docs.microsoft.com/ja-jp/intune/byod-technology-decisions

Microsoft IntuneはOffice 365もそのまま利用可能

Microsoft Intuneの大きな特徴として、マイクロソフトの純正アプリケーションと高い親和性を持っているということが挙げられます。特に、業務ツールのスタンダードになっている「Office 365」は、Microsoft Intuneと綿密に連携することが可能です。そのため、各種モバイルデバイスでOfficeファイルをスムーズに扱うことができます。

他社の類似MDMおよびMAMサービスでOfficeファイルを扱う場合、WordやExcelといった純正アプリケーションではなく、Office互換の独自アプリケーションを利用するケースもあります。その際、ファイルがうまく開けなかったり、レイアウトが崩れたりなど、ファイルの互換性に問題が発生することもよくあるのです。Microsoft Intuneであれば、Office 365の各種アプリケーションがそのまま使えるため、このような互換性問題を気にせず使うことができます。

記事:狩野 文孝

PAGE TOP