Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Let's automate ems operation! !

1,070 views

Published on

I will explain the automation of EMS operation using the registration restriction of Intune BYOD devices as an example.
(Intune BYODデバイスの登録制限を例として使用して、EMS操作の自動化について説明します。)

Published in: Technology
  • Be the first to comment

Let's automate ems operation! !

  1. 1. EMS運用自動化のススメ ~INTUNE-BYOD端末の登録制限を題材にして~ SBテクノロジー株式会社 / 大須賀 謙太
  2. 2. 名前 : 大須賀謙太(NN:すか) 年齢 : 24(1995/7/5) 所属 : SBテクノロジー株式会社 仕事 : EMSに関するあれこれ(Intune/AIP/Azure AD) 趣味 : サッカー 釣り(ヤエン) ゲーム(LoL) Netflix 舞台鑑賞 ボードゲーム コメント : 最近Power Platformに浮気気味。 ←EMS系のBlogやってるので是非チェックお願いします。 自己紹介 @suka90988690 @大須賀 謙太 medium.com/kosuka-ems
  3. 3. すかのレポート 1995年、横浜市に生まれる。 学生時代はサッカーにあけくれ、PCに触れたという記憶はない。 高校卒業後はHAL東京専門学校にて、先端ロボット開発学科を専攻。 ロボット聴覚や機械学習、物理設計といったメカトロニクスを学ぶ。 当時お誘いのあったメーカーへ就職すると思いきや、気分でIT企業へ就職。 入社後の部門紹介で「デバイスセキュリティ」に出会い、今のEMSを学ぶ日々に至る。(楽しい) ちなみにエナジードリンクが好きでAmazon定期便を利用しているらしい。。。
  4. 4. 本題 こんな悩みありませんか? EMSの運用って大変!! これを解決する1つのアイデアを今回は発表します
  5. 5. 題材 こんな要望あります
  6. 6. 題材(INUTNE) 「Intune登録したBYOD端末であれば業務利用を許可したい。」 「対象プラットフォームはiOS/Androidのみ。」 「ただしIntune登録は社内承認済みの端末のみ許可する。」 「なるほどです。」 「それではこんな設計パターンでどうでしょう。」
  7. 7. 題材 以下の機能を組み合わせることで実現は可能。 ・ デバイスの登録 > 登録制限 > デバイスの種類の制限 → [iOS/Android] の [個人所有] をブロック。 ・ デバイスの登録 > 業務用デバイスの ID → 社内承認を通した端末の [シリアル or IMEI] 番号を登録。
  8. 8. 問題点 「社内承認を通した」には検討事項が山盛り ・ どこから社内申請を行うのか。 ・ 承認後の業務用ID登録は誰が行うのか ひとまず検討してみる(ユーザー/管理者) ・ 書類申請 → 承認 → 手動追加 → ユーザー通知 → Intune登録 ・ メール申請(etc) → 承認 → 手動追加 → ユーザー通知 → Intune登録 どちらにせよ、[手動追加/ユーザー通知] の運用負荷が発生する。
  9. 9. 題材 これを、 1. 何かしらの申請 2. 承認 3. 自動的に業務用IDが追加される 4. 自動的にユーザーへ通知 5. Intune登録 こうしたい。。。ですよね?
  10. 10. 解決方法 [Microsoft Power Automate] と [Graph API] で解決!
  11. 11. なにそれ(飛ばします) Microsoft Power Automate(以下Automate)とは、 アプリケーションとサービス間の自動ワークフローを作成するサービスで、 Microsoft 製品を含む様々なアプリケーションと連携してタスク自動化を実現。 (旧称:Microsoft Flow) Graph API とは、 Microsoft クラウドサービスのリソースアクセスを可能にする RESTful Web API のこと。 Version 1.0とbetaがある。業務用IDを追加するにはbetaの利用が必要。 (参考:https://docs.microsoft.com/ja-jp/graph/use-the-api)
  12. 12. こんなことが出来ます 1.Microsoft Formsにユーザーが端末情報を入力して回答。 2.Automate が回答をトリガーに自動処理。 ・ ユーザーID取得 ・ IMEI or シリアル番号取得 ・ 管理者へ承認要求を通知 3.管理者が通知を確認し、承認 4.Automate が承認をトリガーに自動処理 ・ Graph API 経由で業務用デバイスIDに追加 ・ ユーザーへメールで利用開始を通知 5.ユーザーがIntune登録
  13. 13. 実際のフロー ←拒否された場合の処理追加すると尚良し ←ついでにポリシーを適用するグループへ追加 すると尚良し
  14. 14. まとめ ・ EMSの運用って大変!だからこそ、 ・ 設計内容と運用整理 ・ どこが自動化可能か検討する ・ コメント Intuneに限って言えば、基本的な管理者操作はGraph APIでほぼ自動化可能だと思ってます。 ただ、「Docsの記載がー」とかで詰まったりするので、事前に検証はしましょう。(減点-10000点) 運用自動化で目指せ「ユーザーと管理者両方幸せになれる」環境!ということで発表は以上です。

×