Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

EMSを使用したクラウド時代のデバイス・ID管理

1,531 views

Published on

タイトル:第0回 EMS 勉強会
日時:2019年5月11日(土)
場所:日本マイクロソフト 品川グランドセントラルタワー
スピーカー:関谷英之

説明:
このセッションでは、EMSを使用したクラウド時代のデバイス・ID管理についてお伝えします、なぜ、従来のオンプレミス型のデバイス管理ソリューションではなく、Intuneなどのクラウドベースのデバイス管理ソリューションが必要なのか、その背景からお話しをさせていただき、Microsoft Intune・Azure AD Premiumに初めて触れる方向けの全体的な機能概要についての説明を致します。

Published in: Technology
  • Be the first to comment

EMSを使用したクラウド時代のデバイス・ID管理

  1. 1. EMS を使用した クラウド時代の デバイス・ID管理 第0回 EMS勉強会 2019年5月11日(土) 関谷 英之
  2. 2. IT Infrastructure Engineer 関谷英之 Sekiya Hideyuki 略歴 SNS / Blog • SIer にて、Enterprise Mobility + Security 製品の導入支援を 担当。 • EMM 製品の RFP 作成支援なども行っていました。 • Silverlight コンソール時代から Intune を担当しています。 ※現在は離職中なので所属先はありません。 • Blog: https://techlife.tokyo • Twitter: @sugarlessboy8 • EMS を中心に、Microsoft365 系の情報を更新しています。 所属コミュニティ • Japan EMS User Group • WEB SITE: https://jpemsug.com/ (準備中) • Facebook Group: https://www.facebook.com/JPEMSUG/ • Connpass: https://ems-meeting.connpass.com/
  3. 3. 本セッションのゴール ◼ 目的 • Microsoft Intuneを利用したデバイス管理方法の概要を知る • Azure AD Premiumを使用した認証制御機能の概要を知る ➢ EMSの基礎となる二つの製品について、どのような機能があり、これら二つの製 品を使用すると、どのようなことができるのか知っていただく
  4. 4. クラウド時代の課題
  5. 5. ワークスタイルの変化 従来、決められた時間に、決められた 場所で、決められたデバイスで仕事をす るワークスタイルから 現在、いつでも、どこでも、どのデバイス からも仕事が出来るワークスタイルへ変 わりつつあります
  6. 6. クラウド時代の組織の課題 ◼ Office365などのクラウドサービスを導入して、場所や時間やデバイスを問わず働くことが可能 になった ◼ しかし、これは裏を返せば、Office365にログイン出来てしまえば、組織の機密情報を閲覧・ 編集可能になってしまう状態 EMS を導入して、働き方改革をするだけではなく、組織全体のセキュリティも向上させましょ う
  7. 7. スマートフォン管理の課題 ◼ スマートフォン(iOS/Android)は、プライベートでの使用だけではなく、ビジネスでの活用も多 くなってきている。Office365 も様々なアプリケーションがスマートフォン向けアプリに対応して いるが、そのまま使用すると、企業情報が端末内に保存されてしまうなどの危険性がある。 Intune / Azure AD Premium の機能で、 企業情報へのアクセスを管理・承認された特定の 端末からのみに限定し、企業データの転送制限を して、セキュアにスマートデバイスを業務活用しま しょう!
  8. 8. Windows 管理の課題 ◼ これまで、組織のITシステムは、企業内にクライアント・サーバーを設置して、アプリケーションや 業務データを管理する手法が一般的だった。クラウド時代では、クラウドサービスの活用などの 要因によって、オンプレミス型ソリューションでの管理が難しくなってきている。 組織内・組織外のデバイスもIntuneを使用し て一元管理しましょう。 クラウドアプリケーションへの認証も、Azure AD Premiumの機能を使用して認証を制御しま しょう。
  9. 9. Azure Active Directory Premium Device Data Microsoft Intune Azure Information Protection EMS 3 つのポイント ID
  10. 10. Azure Active Directory Premium Device Data Microsoft Intune Azure Information Protection EMS 3 つのポイント ID
  11. 11. クラウド時代の デバイス・ID管理
  12. 12. • 従来のデバイス管理では、オンプレミス AD が組織内にあり、SCCM などのオンプレミス型の資産 管理ソリューションを使用して組織の PC を管理する手法が一般的でした。しかし、ワークスタイル の変化が進むにつれて、従来の管理手法では対応する事が難しい課題が出てきます。 ✓ クラウドアプリケーションへのアクセス制御 ✓ 社外で使用するデバイスの管理 ✓ BYODやリモートワーカーへの対応 • Microsoft Intune を使用したクラウド ベースの管理を使用すると、次のようなメリット があります。 ✓ 場所を問わない認証制御 ✓ 世界中どこにあるデバイスでも管理が可能 ✓ インターネット経由でのポリシー制御や端末状態の確認 クラウドベース管理について Microsoft Intune Windows Update
  13. 13. Microsoft Intune の概要 Microsoft Intune • Microsoft Intuneは、MDMソリューションではなく、EMM(エンタープライズ・モビリ ティ・マネジメント)ソリューションです。EMMでは、MDMの機能に加えて、MAMや MCMといった機能が実装されています。Intuneでは、これらの MDM、MAM、 MCM の機能を使用してデバイスを高度に管理し、保護していくことが可能です。 • Microsoft Intuneには、代表的な機能として次の 機能が実装されています。 ✓ デバイス構成管理(MDM) ✓ アプリケーション配信 ✓ アプリケーション保護(MAM) ✓ リモートワイプ(セレクティブワイプ・フルワイプ) ✓ デバイス情報収集 ✓ 登録制限(事前に登録済みの端末のみ登録を許可) ✓ コンプライアンス状態の評価
  14. 14. Azure Active Directory Premium の概要 • Azure Active Directory (Azure AD) は、Microsoft のクラウドベースの ID およびアクセス管理サービス です。 オンプレミスの Active Directory とは別物です。 • Azure Active Directory には、幾つかのプランが存在し、Azure ADP も、P1とP2の二つのプランが存在し ます。利用可能な機能は多岐に渡りますが、今回は Intune と同時に導入するケースが多い、条件付きアクセ スの機能をメインにご紹介します。Azure AD 条件付きアクセスと、Intune のコンプライアンスポリシーを組み合 わせて導入する事で、デバイスのコンプライアンス準拠状態に基づいた動的な認証制御を実現する事が可能で す。
  15. 15. Microsoft Intune Azure Active Directory Premium 機能概要
  16. 16. 管理コンソールについて Silverlight ポータル Azure Portal Microsoft365デバイス管理センター • Intune には、以下3つの管理コンソールが存在します。Silverlight ポータルでは、PC Agent 型の Windows 管理が可能でしたが、今後主流になる Windows10 の機能更新プログラムの制御に対応してい ないという欠点があります。 基本的には、Intune の操作には、Azure Portal または、Microsoft365 デバイ ス管理センターをご使用ください。 iOS Android Windows
  17. 17. Intune へのデバイス登録方法 Windows版ポータルアプリ 設定アプリからのデバイス登録 iOS版ポータルアプリ• Intuneを使用してデバイス管理を行う為には、 デバイスをIntune(および、Azure AD)に 登録する作業が必要です。 • 登録方法は様々ですが、代表的な例として 以下のような方法があります。 ◼ Windows ✓ ストアアプリ(ポータルアプリ)からの登録 ✓ 設定アプリからの登録 ✓ Autopilotを使用した自動登録 ◼ iOS / Android ✓ ポータルアプリ経由での登録 ✓ Apple DEPを使用した登録 • 上記の他に、Intune MDMに登録をせずにアプケーションのみ管理する手法として、MAM without Enrollment があります。 iOS Android Windows
  18. 18. デバイス登録制限 ◼ デバイス登録制限機能を使用する事で、会社が認めたデバイスのみ、Intune 登録を許可する事が可能です。 ◼ 管理者は、Intune登録可能なデバイスの IMEI / シリアル を事前に Intune にアップロードします。この機能 を使用する事で、管理者が Intune 登録を認めていないデバイス(私物デバイスなど)が Intune に登録され る事を防げます。(Windowsでは現在、シリアル番号による登録制限は実装されていません。) ユーザーが、私物デバイスを 勝手に Intune に登録する ことを防ぎます。 iOS Android Windows
  19. 19. インベントリ収集機能 Intuneから展開したポリシーの割り当て状態 iOS Android Windows ◼ Intuneでは、管理対象デバイスのハードウェア情報や、インス トールされたアプリケーション一覧を取得して管理者が確認する 事が可能です。 • Intuneには、デバイスの” 所有区分”が”企業”と、”個人”の2 種類存在し、アプリケーションの一覧は”企業”所有デバイスでの み確認ができます。  取得可能な情報例 ✓ アプリケーション一覧 (Win32 Appを除く) ✓ デバイス名 ✓ シリアル / IMEI番号 ✓ OS / OSバージョン ✓ 記憶域の容量 等 ハードウェア情報
  20. 20. ◼ ユーザーがデバイスを紛失した際などに、デバイス内に格納されたデータを、管理者またはユーザー自身で遠隔削 除する事ができます。Intuneで実行可能なワイプ操作には、以下の2つの種類があります。  ワイプ(フルワイプ) ✓ デバイスを工場出荷時の状態に戻します。  リタイヤ(セレクティブワイプ) ✓ デバイス内の情報のうち、企業領域として 定義されているアプリケーションや設定のみ を削除します。その他の領域のデータは削除 されません。 ※これらのワイプ操作は、デバイスがインターネットに 接続され、Intuneと疎通可能な状態になり次第 実行されます。 リモートワイプ 機能 iOS Android Windows セレクティブワイプの実行イメージ リタイアを実行した場合、管理対象 アプリのみ、削除されます。
  21. 21. MAM機能 (スマートフォン) iOS Android Windows ◼ ユーザーは、個人のタスクと仕事のタスクの両方に社給デバイスを使用してしまうケースがあります。 システム的に ユーザーの生産性を維持したまま、意図的なデータ損失や意図しないデータ損失が起こらないようにする必要があ ります。Intune の MAM 機能を利用すると、企業領域として管理者が指定したアプリと、その他の領域でのデー タ転送を制限する事が可能です。 1台のデバイス内で、企業領域と、 個人領域を分離して、領域間の データ転送を制限する事が可能 ※MAM機能については、Intune へのデバイス登録は必須ではありません。MDM登録なしのデバイスに対してもMAM制御は実行できます。
  22. 22. MAM機能 - 補足 MAM機能を使用して、管理対象の 企業アプリを開くためにPIN や 生体認証を要求することが可能です。 iOS Android Windows 参考リンク https://docs.microsoft.com/en-us/intune/apps-supported-intune-apps ◼ MAM対象として指定可能なアプリは多岐に渡ります。Microsoft社のアプリのみではなく、他ベンダーの アプリもIntuneのMAM機能を使用する事が可能です。Microsoft 公式の Office アプリを MAM で管理 できるのは 現時点で Intune だけです。 MAM対応アプリの一覧(一部抜粋)
  23. 23. MAM機能 (Windows 10) iOS Android Windows ◼ Windows10 に対して、MAM を使用する場合には、Intune から、Windows Information Protection を 構成する事で、アプリケーション間のデータ転送を制限する事が可能です。企業のデータが、個人用のアプリや、オ ンラインストレージなどへ流出することを防ぐことができます。 ※MAM機能については、Intune へのデバイス登録は必須ではありません。MDM登録なしのデバイスに対してもMAM制御は実行できます。
  24. 24. デバイス構成プロファイル (MDM) iOS Android Windows Microsoft Intune Windows Update ◼ Intune のデバイス構成プロファイルを使用すれば、各 OS 毎に必要となる設定を Intune から自動展開する事 が可能です。デバイス構成プロファイルの種類は非常に広範囲なので、ここでは一部のみご紹介します。この機能を 使用する事で、Intune 登録されたデバイスへの自動的な設定や制限を実施する事が可能です。 構成プロファイルの 例 パスワードの規則 iCloud 同期の制限 ホーム画面レイアウト 画面キャプチャー 配信の最適化 Cortana Windows Defender AV BitLocker ※一部のiOS向け設定は、デバイスを監視モードに設定している必要があります。
  25. 25. デバイス構成プロファイル (メール・証明書) iOS Android Windows ※Android でのメールプロファイル配布は、Samsung Knok と、Android Enterprise でのみサポートされています。 ◼ Intuneを使用して、ユーザーが業務を行う 為に必要な各プロファイルを展開する事が 可能です。 ◼ 電子メール設定・VPN・Wi-Fi・証明書など を自動的にデバイスに設定する事ができま す。 メール設定展開のイメージ 管理者 ※電子メールについては、OutlookアプリケーションをIntuneから展開し、ユーザー自身にサインインして利用してもらう方法もあります。
  26. 26. アプリ配信 iOS Android Windows ◼ Intune に登録されたデバイスに対して、アプリ配信をすることが可能です。アプリ構成ポリシーを配信する事で、ア プリ内の設定も管理者がカスタマイズする事が出来ます。アプリ配信は、強制インストールまたは、ユーザーが手動 で行う任意インストールを配信時に選択できます。
  27. 27. コンプライアンス評価 iOS Android Windows ◼ Intune のコンプライアンスポリシーを使用する事で、管理者が定義したコンプライアンスに、デバイスが準拠して いるか、もしくは非準拠状態なのかについて、管理コンソールまたは通知メールで知ることができます。後述する、 Azure AD 条件付きアクセスと本機能を組み合わせることで、コンプライアンス状態を満たしているデバイスの み、企業リソースへの認証を許可する事が可能となります。 定期的なチェックイン
  28. 28. 条件付きアクセス iOS Android Windows ◼ Azure AD Premium の条件付きアクセスを利用する事で、Office365 や、 Azure ADと連携している SaaS アプリケーション、オンプレミス WEB アプリケーションへの認証を制御する事が可能です。条件付きアク セスは、単体でも利用ができますが、Intune と組み合わせて導入する事で、以下の図のようにデバイスの状 態に基づいたアクセス制御を行うことが可能です。
  29. 29. Windows Update 管理 iOS Android Windows ◼ Intune から、Windows Update ポリシーを管理対象デバイスに対して適用する事が可能です。Azure AD グループを作成し、グループ毎に、異なる適用時期を指定したり、万一 QU や FU を適用したデバイスで 問題が発生した場合にも、管理者が管理ポータルからロールバックを実行する事が出来ます。 ※ KB毎のロールバックは現在サポートされていません。5月の更新プログラムをロールバックする場合には、5月の更新プログラムが全てロールバックされます。 ※ FU のロールバックを実行する為には、デバイスに古い FU のプログラムが保持されている期間に実行する事が条件です。 FU/QU適用後に 問題が発生したグループ
  30. 30. Appendix
  31. 31. Windows Autopilot 連携 iOS Android Windows 参考リンク https://techlife.tokyo/windows-autopilot-hybrid-azure-ad-join-1514.html ◼ Intune と、Azure ADP、Windows Autopilot を組み合わせて使用する事によって、デバイスキッティング の自動化を行うことが可能です。Autopilot 単体では、デバイスの Azure AD への登録は可能ですが、自 動キッティングはできません。自動キッティングで行う内容は、Intune から MDM ポリシーなどで構成をしていく 必要があります。 ※Autopilotには、現在Azure AD Joinを行う方法と、Hybrid Azure AD Joinを行う方法がありますが、それぞれの詳細は次回以降の勉強会でお伝えします。
  32. 32. iOS Android Windows Power BI 連携 参考リンクhttps://techlife.tokyo/intune-dataware-house-1040.html ◼ Intune 管理対象端末の状態を一覧で確認する方法として、Windows Analytics を利用する方法もあり ますが、その他の方法として、Intune Dataware House を利用する事も可能です。Intune Dataware Houseを使用すれば、Power BI Desktop または、Power BI WEB 画面で管理対象デバイスのポリシー 準拠状態を一覧で確認する事が可能です。 Power BIアプリPower BI Desktop用レポート Azure Portal での可視化
  33. 33. iOS Android Windows Log Analytics 連携 ◼ Windows Analytics を利用すると、Intune 管理対象デバイスの状態を WEB 画面から管理者は一覧 で確認する事が可能です。これらの機能を利用するためには、Azure Log Analytics が必要です。Intune からの準備に必要な操作としては、業務用デバイス ID をカスタム構成プロファイルで配布するだけで完了でき ます。Windows Analyticsには、以下の3種類の機能があります。 ※本機能を利用する為には、診断データの送信レベルの要件や、Windows10 OSのライセンスなど、追加の要件があります。

×