Hideyuki Sekiya, profile picture
Uploaded byHideyuki Sekiya
PDF, PPTX5,601 views

EMSを使用したクラウド時代のデバイス・ID管理

タイトル:第0回 EMS 勉強会 日時:2019年5月11日(土) 場所:日本マイクロソフト 品川グランドセントラルタワー スピーカー:関谷英之 説明: このセッションでは、EMSを使用したクラウド時代のデバイス・ID管理についてお伝えします、なぜ、従来のオンプレミス型のデバイス管理ソリューションではなく、Intuneなどのクラウドベースのデバイス管理ソリューションが必要なのか、その背景からお話しをさせていただき、Microsoft Intune・Azure AD Premiumに初めて触れる方向けの全体的な機能概要についての説明を致します。

Embed presentation

Download as PDF, PPTX
EMS を使用した クラウド時代の デバイス・ID管理 第0回 EMS勉強会 2019年5月11日(土) 関谷 英之
IT Infrastructure Engineer 関谷英之 Sekiya Hideyuki 略歴 SNS / Blog • SIer にて、Enterprise Mobility + Security 製品の導入支援を 担当。 • EMM 製品の RFP 作成支援なども行っていました。 • Silverlight コンソール時代から Intune を担当しています。 ※現在は離職中なので所属先はありません。 • Blog: https://techlife.tokyo • Twitter: @sugarlessboy8 • EMS を中心に、Microsoft365 系の情報を更新しています。 所属コミュニティ • Japan EMS User Group • WEB SITE: https://jpemsug.com/ (準備中) • Facebook Group: https://www.facebook.com/JPEMSUG/ • Connpass: https://ems-meeting.connpass.com/
本セッションのゴール ◼ 目的 • Microsoft Intuneを利用したデバイス管理方法の概要を知る • Azure AD Premiumを使用した認証制御機能の概要を知る ➢ EMSの基礎となる二つの製品について、どのような機能があり、これら二つの製 品を使用すると、どのようなことができるのか知っていただく
クラウド時代の課題
ワークスタイルの変化 従来、決められた時間に、決められた 場所で、決められたデバイスで仕事をす るワークスタイルから 現在、いつでも、どこでも、どのデバイス からも仕事が出来るワークスタイルへ変 わりつつあります
クラウド時代の組織の課題 ◼ Office365などのクラウドサービスを導入して、場所や時間やデバイスを問わず働くことが可能 になった ◼ しかし、これは裏を返せば、Office365にログイン出来てしまえば、組織の機密情報を閲覧・ 編集可能になってしまう状態 EMS を導入して、働き方改革をするだけではなく、組織全体のセキュリティも向上させましょ う
スマートフォン管理の課題 ◼ スマートフォン(iOS/Android)は、プライベートでの使用だけではなく、ビジネスでの活用も多 くなってきている。Office365 も様々なアプリケーションがスマートフォン向けアプリに対応して いるが、そのまま使用すると、企業情報が端末内に保存されてしまうなどの危険性がある。 Intune / Azure AD Premium の機能で、 企業情報へのアクセスを管理・承認された特定の 端末からのみに限定し、企業データの転送制限を して、セキュアにスマートデバイスを業務活用しま しょう!
Windows 管理の課題 ◼ これまで、組織のITシステムは、企業内にクライアント・サーバーを設置して、アプリケーションや 業務データを管理する手法が一般的だった。クラウド時代では、クラウドサービスの活用などの 要因によって、オンプレミス型ソリューションでの管理が難しくなってきている。 組織内・組織外のデバイスもIntuneを使用し て一元管理しましょう。 クラウドアプリケーションへの認証も、Azure AD Premiumの機能を使用して認証を制御しま しょう。
Azure Active Directory Premium Device Data Microsoft Intune Azure Information Protection EMS 3 つのポイント ID
Azure Active Directory Premium Device Data Microsoft Intune Azure Information Protection EMS 3 つのポイント ID
クラウド時代の デバイス・ID管理
• 従来のデバイス管理では、オンプレミス AD が組織内にあり、SCCM などのオンプレミス型の資産 管理ソリューションを使用して組織の PC を管理する手法が一般的でした。しかし、ワークスタイル の変化が進むにつれて、従来の管理手法では対応する事が難しい課題が出てきます。 ✓ クラウドアプリケーションへのアクセス制御 ✓ 社外で使用するデバイスの管理 ✓ BYODやリモートワーカーへの対応 • Microsoft Intune を使用したクラウド ベースの管理を使用すると、次のようなメリット があります。 ✓ 場所を問わない認証制御 ✓ 世界中どこにあるデバイスでも管理が可能 ✓ インターネット経由でのポリシー制御や端末状態の確認 クラウドベース管理について Microsoft Intune Windows Update
Microsoft Intune の概要 Microsoft Intune • Microsoft Intuneは、MDMソリューションではなく、EMM(エンタープライズ・モビリ ティ・マネジメント)ソリューションです。EMMでは、MDMの機能に加えて、MAMや MCMといった機能が実装されています。Intuneでは、これらの MDM、MAM、 MCM の機能を使用してデバイスを高度に管理し、保護していくことが可能です。 • Microsoft Intuneには、代表的な機能として次の 機能が実装されています。 ✓ デバイス構成管理(MDM) ✓ アプリケーション配信 ✓ アプリケーション保護(MAM) ✓ リモートワイプ(セレクティブワイプ・フルワイプ) ✓ デバイス情報収集 ✓ 登録制限(事前に登録済みの端末のみ登録を許可) ✓ コンプライアンス状態の評価
Azure Active Directory Premium の概要 • Azure Active Directory (Azure AD) は、Microsoft のクラウドベースの ID およびアクセス管理サービス です。 オンプレミスの Active Directory とは別物です。 • Azure Active Directory には、幾つかのプランが存在し、Azure ADP も、P1とP2の二つのプランが存在し ます。利用可能な機能は多岐に渡りますが、今回は Intune と同時に導入するケースが多い、条件付きアクセ スの機能をメインにご紹介します。Azure AD 条件付きアクセスと、Intune のコンプライアンスポリシーを組み合 わせて導入する事で、デバイスのコンプライアンス準拠状態に基づいた動的な認証制御を実現する事が可能で す。
Microsoft Intune Azure Active Directory Premium 機能概要
管理コンソールについて Silverlight ポータル Azure Portal Microsoft365デバイス管理センター • Intune には、以下3つの管理コンソールが存在します。Silverlight ポータルでは、PC Agent 型の Windows 管理が可能でしたが、今後主流になる Windows10 の機能更新プログラムの制御に対応してい ないという欠点があります。 基本的には、Intune の操作には、Azure Portal または、Microsoft365 デバイ ス管理センターをご使用ください。 iOS Android Windows
Intune へのデバイス登録方法 Windows版ポータルアプリ 設定アプリからのデバイス登録 iOS版ポータルアプリ• Intuneを使用してデバイス管理を行う為には、 デバイスをIntune(および、Azure AD)に 登録する作業が必要です。 • 登録方法は様々ですが、代表的な例として 以下のような方法があります。 ◼ Windows ✓ ストアアプリ(ポータルアプリ)からの登録 ✓ 設定アプリからの登録 ✓ Autopilotを使用した自動登録 ◼ iOS / Android ✓ ポータルアプリ経由での登録 ✓ Apple DEPを使用した登録 • 上記の他に、Intune MDMに登録をせずにアプケーションのみ管理する手法として、MAM without Enrollment があります。 iOS Android Windows
デバイス登録制限 ◼ デバイス登録制限機能を使用する事で、会社が認めたデバイスのみ、Intune 登録を許可する事が可能です。 ◼ 管理者は、Intune登録可能なデバイスの IMEI / シリアル を事前に Intune にアップロードします。この機能 を使用する事で、管理者が Intune 登録を認めていないデバイス(私物デバイスなど)が Intune に登録され る事を防げます。(Windowsでは現在、シリアル番号による登録制限は実装されていません。) ユーザーが、私物デバイスを 勝手に Intune に登録する ことを防ぎます。 iOS Android Windows
インベントリ収集機能 Intuneから展開したポリシーの割り当て状態 iOS Android Windows ◼ Intuneでは、管理対象デバイスのハードウェア情報や、インス トールされたアプリケーション一覧を取得して管理者が確認する 事が可能です。 • Intuneには、デバイスの” 所有区分”が”企業”と、”個人”の2 種類存在し、アプリケーションの一覧は”企業”所有デバイスでの み確認ができます。  取得可能な情報例 ✓ アプリケーション一覧 (Win32 Appを除く) ✓ デバイス名 ✓ シリアル / IMEI番号 ✓ OS / OSバージョン ✓ 記憶域の容量 等 ハードウェア情報
◼ ユーザーがデバイスを紛失した際などに、デバイス内に格納されたデータを、管理者またはユーザー自身で遠隔削 除する事ができます。Intuneで実行可能なワイプ操作には、以下の2つの種類があります。  ワイプ(フルワイプ) ✓ デバイスを工場出荷時の状態に戻します。  リタイヤ(セレクティブワイプ) ✓ デバイス内の情報のうち、企業領域として 定義されているアプリケーションや設定のみ を削除します。その他の領域のデータは削除 されません。 ※これらのワイプ操作は、デバイスがインターネットに 接続され、Intuneと疎通可能な状態になり次第 実行されます。 リモートワイプ 機能 iOS Android Windows セレクティブワイプの実行イメージ リタイアを実行した場合、管理対象 アプリのみ、削除されます。
MAM機能 (スマートフォン) iOS Android Windows ◼ ユーザーは、個人のタスクと仕事のタスクの両方に社給デバイスを使用してしまうケースがあります。 システム的に ユーザーの生産性を維持したまま、意図的なデータ損失や意図しないデータ損失が起こらないようにする必要があ ります。Intune の MAM 機能を利用すると、企業領域として管理者が指定したアプリと、その他の領域でのデー タ転送を制限する事が可能です。 1台のデバイス内で、企業領域と、 個人領域を分離して、領域間の データ転送を制限する事が可能 ※MAM機能については、Intune へのデバイス登録は必須ではありません。MDM登録なしのデバイスに対してもMAM制御は実行できます。
MAM機能 - 補足 MAM機能を使用して、管理対象の 企業アプリを開くためにPIN や 生体認証を要求することが可能です。 iOS Android Windows 参考リンク https://docs.microsoft.com/en-us/intune/apps-supported-intune-apps ◼ MAM対象として指定可能なアプリは多岐に渡ります。Microsoft社のアプリのみではなく、他ベンダーの アプリもIntuneのMAM機能を使用する事が可能です。Microsoft 公式の Office アプリを MAM で管理 できるのは 現時点で Intune だけです。 MAM対応アプリの一覧(一部抜粋)
MAM機能 (Windows 10) iOS Android Windows ◼ Windows10 に対して、MAM を使用する場合には、Intune から、Windows Information Protection を 構成する事で、アプリケーション間のデータ転送を制限する事が可能です。企業のデータが、個人用のアプリや、オ ンラインストレージなどへ流出することを防ぐことができます。 ※MAM機能については、Intune へのデバイス登録は必須ではありません。MDM登録なしのデバイスに対してもMAM制御は実行できます。
デバイス構成プロファイル (MDM) iOS Android Windows Microsoft Intune Windows Update ◼ Intune のデバイス構成プロファイルを使用すれば、各 OS 毎に必要となる設定を Intune から自動展開する事 が可能です。デバイス構成プロファイルの種類は非常に広範囲なので、ここでは一部のみご紹介します。この機能を 使用する事で、Intune 登録されたデバイスへの自動的な設定や制限を実施する事が可能です。 構成プロファイルの 例 パスワードの規則 iCloud 同期の制限 ホーム画面レイアウト 画面キャプチャー 配信の最適化 Cortana Windows Defender AV BitLocker ※一部のiOS向け設定は、デバイスを監視モードに設定している必要があります。
デバイス構成プロファイル (メール・証明書) iOS Android Windows ※Android でのメールプロファイル配布は、Samsung Knok と、Android Enterprise でのみサポートされています。 ◼ Intuneを使用して、ユーザーが業務を行う 為に必要な各プロファイルを展開する事が 可能です。 ◼ 電子メール設定・VPN・Wi-Fi・証明書など を自動的にデバイスに設定する事ができま す。 メール設定展開のイメージ 管理者 ※電子メールについては、OutlookアプリケーションをIntuneから展開し、ユーザー自身にサインインして利用してもらう方法もあります。
アプリ配信 iOS Android Windows ◼ Intune に登録されたデバイスに対して、アプリ配信をすることが可能です。アプリ構成ポリシーを配信する事で、ア プリ内の設定も管理者がカスタマイズする事が出来ます。アプリ配信は、強制インストールまたは、ユーザーが手動 で行う任意インストールを配信時に選択できます。
コンプライアンス評価 iOS Android Windows ◼ Intune のコンプライアンスポリシーを使用する事で、管理者が定義したコンプライアンスに、デバイスが準拠して いるか、もしくは非準拠状態なのかについて、管理コンソールまたは通知メールで知ることができます。後述する、 Azure AD 条件付きアクセスと本機能を組み合わせることで、コンプライアンス状態を満たしているデバイスの み、企業リソースへの認証を許可する事が可能となります。 定期的なチェックイン
条件付きアクセス iOS Android Windows ◼ Azure AD Premium の条件付きアクセスを利用する事で、Office365 や、 Azure ADと連携している SaaS アプリケーション、オンプレミス WEB アプリケーションへの認証を制御する事が可能です。条件付きアク セスは、単体でも利用ができますが、Intune と組み合わせて導入する事で、以下の図のようにデバイスの状 態に基づいたアクセス制御を行うことが可能です。
Windows Update 管理 iOS Android Windows ◼ Intune から、Windows Update ポリシーを管理対象デバイスに対して適用する事が可能です。Azure AD グループを作成し、グループ毎に、異なる適用時期を指定したり、万一 QU や FU を適用したデバイスで 問題が発生した場合にも、管理者が管理ポータルからロールバックを実行する事が出来ます。 ※ KB毎のロールバックは現在サポートされていません。5月の更新プログラムをロールバックする場合には、5月の更新プログラムが全てロールバックされます。 ※ FU のロールバックを実行する為には、デバイスに古い FU のプログラムが保持されている期間に実行する事が条件です。 FU/QU適用後に 問題が発生したグループ
Appendix
Windows Autopilot 連携 iOS Android Windows 参考リンク https://techlife.tokyo/windows-autopilot-hybrid-azure-ad-join-1514.html ◼ Intune と、Azure ADP、Windows Autopilot を組み合わせて使用する事によって、デバイスキッティング の自動化を行うことが可能です。Autopilot 単体では、デバイスの Azure AD への登録は可能ですが、自 動キッティングはできません。自動キッティングで行う内容は、Intune から MDM ポリシーなどで構成をしていく 必要があります。 ※Autopilotには、現在Azure AD Joinを行う方法と、Hybrid Azure AD Joinを行う方法がありますが、それぞれの詳細は次回以降の勉強会でお伝えします。
iOS Android Windows Power BI 連携 参考リンクhttps://techlife.tokyo/intune-dataware-house-1040.html ◼ Intune 管理対象端末の状態を一覧で確認する方法として、Windows Analytics を利用する方法もあり ますが、その他の方法として、Intune Dataware House を利用する事も可能です。Intune Dataware Houseを使用すれば、Power BI Desktop または、Power BI WEB 画面で管理対象デバイスのポリシー 準拠状態を一覧で確認する事が可能です。 Power BIアプリPower BI Desktop用レポート Azure Portal での可視化
iOS Android Windows Log Analytics 連携 ◼ Windows Analytics を利用すると、Intune 管理対象デバイスの状態を WEB 画面から管理者は一覧 で確認する事が可能です。これらの機能を利用するためには、Azure Log Analytics が必要です。Intune からの準備に必要な操作としては、業務用デバイス ID をカスタム構成プロファイルで配布するだけで完了でき ます。Windows Analyticsには、以下の3種類の機能があります。 ※本機能を利用する為には、診断データの送信レベルの要件や、Windows10 OSのライセンスなど、追加の要件があります。
EMSを使用したクラウド時代のデバイス・ID管理

More Related Content

PPTX
Hybrid Azure AD Join 動作の仕組みを徹底解説
byYusuke Kodama
 
PDF
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
by日本マイクロソフト株式会社
 
PDF
Intuneによるパッチ管理
bySuguru Kunii
 
PPTX
Azure AD の新しいデバイス管理パターンを理解しよう
byYusuke Kodama
 
PDF
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
byTAKUYA OHTA
 
PPTX
Microsoft Intune を用いたパッチ管理
byYutaro Tamai
 
PDF
【第1回EMS勉強会】Autopilot設計時のポイント
byyokimura
 
PDF
ID管理/認証システム導入の理想と現実
byNaohiro Fujie
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
byYusuke Kodama
 
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
by日本マイクロソフト株式会社
 
Intuneによるパッチ管理
bySuguru Kunii
 
Azure AD の新しいデバイス管理パターンを理解しよう
byYusuke Kodama
 
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
byTAKUYA OHTA
 
Microsoft Intune を用いたパッチ管理
byYutaro Tamai
 
【第1回EMS勉強会】Autopilot設計時のポイント
byyokimura
 
ID管理/認証システム導入の理想と現実
byNaohiro Fujie
 

What's hot

PDF
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
byShinichiro Kosugi
 
PDF
EMS 勉強会 第1回 Autopilot 祭り - Autopilot 最新情報
byDai Matsui
 
PDF
ハイブリッド時代のID基盤構成の基礎
byNaohiro Fujie
 
PDF
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
byTAKUYA OHTA
 
PPTX
モダンアクセスコントロール実現に向けた戦略策定方法
byYusuke Kodama
 
PDF
Azure ADと外部アプリのID連携/SSO - Deep Dive
byNaohiro Fujie
 
PPTX
IntuneとWSUSを使ってWindows Updateをやってみる。
byshotayamamura1
 
PDF
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
byYusuke Kodama
 
PDF
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
byTAKUYA OHTA
 
PDF
20210925_jazug_azure_what_to_do_first
byTomoakiOno
 
PDF
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
byTAKUYA OHTA
 
PDF
ROS2勉強会@別府 第7章Pythonクライアントライブラリrclpy
byAtsuki Yokota
 
PDF
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
by日本マイクロソフト株式会社
 
PDF
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
byTAKUYA OHTA
 
PDF
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
byMasaya Tahara
 
PDF
IT エンジニアのための 流し読み Windows 10 - Microsoft の更新プログラム管理インフラ比較 ~ WU / WSUS / SCCM ...
byTAKUYA OHTA
 
PPTX
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
PDF
S03_まずはここから!Microsoft 365 E3 でセキュリティの第一歩を踏み出す [Microsoft Japan Digital Days]
by日本マイクロソフト株式会社
 
PDF
IDaaS を正しく活用するための認証基盤設計
byTrainocate Japan, Ltd.
 
PPTX
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
byShinichiro Kosugi
 
EMS 勉強会 第1回 Autopilot 祭り - Autopilot 最新情報
byDai Matsui
 
ハイブリッド時代のID基盤構成の基礎
byNaohiro Fujie
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
byTAKUYA OHTA
 
モダンアクセスコントロール実現に向けた戦略策定方法
byYusuke Kodama
 
Azure ADと外部アプリのID連携/SSO - Deep Dive
byNaohiro Fujie
 
IntuneとWSUSを使ってWindows Updateをやってみる。
byshotayamamura1
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
byYusuke Kodama
 
IT エンジニアのための 流し読み Windows - Windows のライセンス認証 & サブスクリプションのライセンス認証
byTAKUYA OHTA
 
20210925_jazug_azure_what_to_do_first
byTomoakiOno
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
byTAKUYA OHTA
 
ROS2勉強会@別府 第7章Pythonクライアントライブラリrclpy
byAtsuki Yokota
 
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
by日本マイクロソフト株式会社
 
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
byTAKUYA OHTA
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
byMasaya Tahara
 
IT エンジニアのための 流し読み Windows 10 - Microsoft の更新プログラム管理インフラ比較 ~ WU / WSUS / SCCM ...
byTAKUYA OHTA
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
S03_まずはここから!Microsoft 365 E3 でセキュリティの第一歩を踏み出す [Microsoft Japan Digital Days]
by日本マイクロソフト株式会社
 
IDaaS を正しく活用するための認証基盤設計
byTrainocate Japan, Ltd.
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 

Similar to EMSを使用したクラウド時代のデバイス・ID管理

PPTX
世界の事例から学ぶ「モビリティ」と「セキュリティ」のあるべき姿
byT.R. Nishi
 
PDF
Sec006 世界の事例から学
byTech Summit 2016
 
PPTX
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
byYusuke Kodama
 
PDF
Cld013 一体どこまででき
byTech Summit 2016
 
PPTX
Cld013 一体どこまででき
byTech Summit 2016
 
PDF
[SC10] 自社開発モバイルアプリの DLP 対応化を Microsoft Intune で可能に
byde:code 2017
 
PDF
Snr006 ソフトバンクが考
byTech Summit 2016
 
PDF
Sec009 これがハイブリッ
byTech Summit 2016
 
PDF
[Cloud OnAir] Talks by DevRel Vol.2 セキュリティ 2020年8月6日 放送
byGoogle Cloud Platform - Japan
 
PPTX
マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版
byjunichi anno
 
PDF
iAP&iAC 2014 Summer
byNTTDATA INTRAMART
 
PDF
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
bykumo2010
 
PDF
[Japan Tech summit 2017] SEC 010
byMicrosoft Tech Summit 2017
 
PDF
モバイルアプリケーション管理(MAM) 自社アプリ開発手法
byDai Matsui
 
PDF
【B-1】スマートデバイスとクラウドが実現するソフトウェアの革新~上陸した Windows Phone7 と Kinect による AR世界の実現~ 西脇資哲氏
byDevelopers Summit
 
PDF
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
byjunichi anno
 
PPTX
Android enterpriseで実現できる端末管理の世界
byDaisuke Tsutsumi
 
PPT
M2Mプラットフォームとビッグデータ (Cloudian Summit 2012)
byCLOUDIAN KK
 
PDF
Active Directory 最新情報 2012.8.31 暫定版
byjunichi anno
 
PDF
Sec004 cloud first、_mobile_first_におけるid
byTech Summit 2016
 
世界の事例から学ぶ「モビリティ」と「セキュリティ」のあるべき姿
byT.R. Nishi
 
Sec006 世界の事例から学
byTech Summit 2016
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
byYusuke Kodama
 
Cld013 一体どこまででき
byTech Summit 2016
 
Cld013 一体どこまででき
byTech Summit 2016
 
[SC10] 自社開発モバイルアプリの DLP 対応化を Microsoft Intune で可能に
byde:code 2017
 
Snr006 ソフトバンクが考
byTech Summit 2016
 
Sec009 これがハイブリッ
byTech Summit 2016
 
[Cloud OnAir] Talks by DevRel Vol.2 セキュリティ 2020年8月6日 放送
byGoogle Cloud Platform - Japan
 
マイクロソフトのITコンシューマライゼーション 1 - フレキシブルワークスタイルの概要 第2版
byjunichi anno
 
iAP&iAC 2014 Summer
byNTTDATA INTRAMART
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
bykumo2010
 
[Japan Tech summit 2017] SEC 010
byMicrosoft Tech Summit 2017
 
モバイルアプリケーション管理(MAM) 自社アプリ開発手法
byDai Matsui
 
【B-1】スマートデバイスとクラウドが実現するソフトウェアの革新~上陸した Windows Phone7 と Kinect による AR世界の実現~ 西脇資哲氏
byDevelopers Summit
 
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
byjunichi anno
 
Android enterpriseで実現できる端末管理の世界
byDaisuke Tsutsumi
 
M2Mプラットフォームとビッグデータ (Cloudian Summit 2012)
byCLOUDIAN KK
 
Active Directory 最新情報 2012.8.31 暫定版
byjunichi anno
 
Sec004 cloud first、_mobile_first_におけるid
byTech Summit 2016
 

EMSを使用したクラウド時代のデバイス・ID管理

  • 1.
  • 2.
    IT Infrastructure Engineer 関谷英之 SekiyaHideyuki 略歴 SNS / Blog • SIer にて、Enterprise Mobility + Security 製品の導入支援を 担当。 • EMM 製品の RFP 作成支援なども行っていました。 • Silverlight コンソール時代から Intune を担当しています。 ※現在は離職中なので所属先はありません。 • Blog: https://techlife.tokyo • Twitter: @sugarlessboy8 • EMS を中心に、Microsoft365 系の情報を更新しています。 所属コミュニティ • Japan EMS User Group • WEB SITE: https://jpemsug.com/ (準備中) • Facebook Group: https://www.facebook.com/JPEMSUG/ • Connpass: https://ems-meeting.connpass.com/
  • 3.
    本セッションのゴール ◼ 目的 • MicrosoftIntuneを利用したデバイス管理方法の概要を知る • Azure AD Premiumを使用した認証制御機能の概要を知る ➢ EMSの基礎となる二つの製品について、どのような機能があり、これら二つの製 品を使用すると、どのようなことができるのか知っていただく
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
    Azure Active Directory Premium DeviceData Microsoft Intune Azure Information Protection EMS 3 つのポイント ID
  • 10.
    Azure Active Directory Premium DeviceData Microsoft Intune Azure Information Protection EMS 3 つのポイント ID
  • 11.
  • 12.
    • 従来のデバイス管理では、オンプレミス ADが組織内にあり、SCCM などのオンプレミス型の資産 管理ソリューションを使用して組織の PC を管理する手法が一般的でした。しかし、ワークスタイル の変化が進むにつれて、従来の管理手法では対応する事が難しい課題が出てきます。 ✓ クラウドアプリケーションへのアクセス制御 ✓ 社外で使用するデバイスの管理 ✓ BYODやリモートワーカーへの対応 • Microsoft Intune を使用したクラウド ベースの管理を使用すると、次のようなメリット があります。 ✓ 場所を問わない認証制御 ✓ 世界中どこにあるデバイスでも管理が可能 ✓ インターネット経由でのポリシー制御や端末状態の確認 クラウドベース管理について Microsoft Intune Windows Update
  • 13.
    Microsoft Intune の概要 MicrosoftIntune • Microsoft Intuneは、MDMソリューションではなく、EMM(エンタープライズ・モビリ ティ・マネジメント)ソリューションです。EMMでは、MDMの機能に加えて、MAMや MCMといった機能が実装されています。Intuneでは、これらの MDM、MAM、 MCM の機能を使用してデバイスを高度に管理し、保護していくことが可能です。 • Microsoft Intuneには、代表的な機能として次の 機能が実装されています。 ✓ デバイス構成管理(MDM) ✓ アプリケーション配信 ✓ アプリケーション保護(MAM) ✓ リモートワイプ(セレクティブワイプ・フルワイプ) ✓ デバイス情報収集 ✓ 登録制限(事前に登録済みの端末のみ登録を許可) ✓ コンプライアンス状態の評価
  • 14.
    Azure Active DirectoryPremium の概要 • Azure Active Directory (Azure AD) は、Microsoft のクラウドベースの ID およびアクセス管理サービス です。 オンプレミスの Active Directory とは別物です。 • Azure Active Directory には、幾つかのプランが存在し、Azure ADP も、P1とP2の二つのプランが存在し ます。利用可能な機能は多岐に渡りますが、今回は Intune と同時に導入するケースが多い、条件付きアクセ スの機能をメインにご紹介します。Azure AD 条件付きアクセスと、Intune のコンプライアンスポリシーを組み合 わせて導入する事で、デバイスのコンプライアンス準拠状態に基づいた動的な認証制御を実現する事が可能で す。
  • 15.
    Microsoft Intune Azure ActiveDirectory Premium 機能概要
  • 16.
    管理コンソールについて Silverlight ポータル AzurePortal Microsoft365デバイス管理センター • Intune には、以下3つの管理コンソールが存在します。Silverlight ポータルでは、PC Agent 型の Windows 管理が可能でしたが、今後主流になる Windows10 の機能更新プログラムの制御に対応してい ないという欠点があります。 基本的には、Intune の操作には、Azure Portal または、Microsoft365 デバイ ス管理センターをご使用ください。 iOS Android Windows
  • 17.
    Intune へのデバイス登録方法 Windows版ポータルアプリ 設定アプリからのデバイス登録 iOS版ポータルアプリ• Intuneを使用してデバイス管理を行う為には、 デバイスをIntune(および、AzureAD)に 登録する作業が必要です。 • 登録方法は様々ですが、代表的な例として 以下のような方法があります。 ◼ Windows ✓ ストアアプリ(ポータルアプリ)からの登録 ✓ 設定アプリからの登録 ✓ Autopilotを使用した自動登録 ◼ iOS / Android ✓ ポータルアプリ経由での登録 ✓ Apple DEPを使用した登録 • 上記の他に、Intune MDMに登録をせずにアプケーションのみ管理する手法として、MAM without Enrollment があります。 iOS Android Windows
  • 18.
    デバイス登録制限 ◼ デバイス登録制限機能を使用する事で、会社が認めたデバイスのみ、Intune 登録を許可する事が可能です。 ◼管理者は、Intune登録可能なデバイスの IMEI / シリアル を事前に Intune にアップロードします。この機能 を使用する事で、管理者が Intune 登録を認めていないデバイス(私物デバイスなど)が Intune に登録され る事を防げます。(Windowsでは現在、シリアル番号による登録制限は実装されていません。) ユーザーが、私物デバイスを 勝手に Intune に登録する ことを防ぎます。 iOS Android Windows
  • 19.
    インベントリ収集機能 Intuneから展開したポリシーの割り当て状態 iOS Android Windows ◼Intuneでは、管理対象デバイスのハードウェア情報や、インス トールされたアプリケーション一覧を取得して管理者が確認する 事が可能です。 • Intuneには、デバイスの” 所有区分”が”企業”と、”個人”の2 種類存在し、アプリケーションの一覧は”企業”所有デバイスでの み確認ができます。  取得可能な情報例 ✓ アプリケーション一覧 (Win32 Appを除く) ✓ デバイス名 ✓ シリアル / IMEI番号 ✓ OS / OSバージョン ✓ 記憶域の容量 等 ハードウェア情報
  • 20.
    ◼ ユーザーがデバイスを紛失した際などに、デバイス内に格納されたデータを、管理者またはユーザー自身で遠隔削 除する事ができます。Intuneで実行可能なワイプ操作には、以下の2つの種類があります。  ワイプ(フルワイプ) ✓デバイスを工場出荷時の状態に戻します。  リタイヤ(セレクティブワイプ) ✓ デバイス内の情報のうち、企業領域として 定義されているアプリケーションや設定のみ を削除します。その他の領域のデータは削除 されません。 ※これらのワイプ操作は、デバイスがインターネットに 接続され、Intuneと疎通可能な状態になり次第 実行されます。 リモートワイプ 機能 iOS Android Windows セレクティブワイプの実行イメージ リタイアを実行した場合、管理対象 アプリのみ、削除されます。
  • 21.
    MAM機能 (スマートフォン) iOS AndroidWindows ◼ ユーザーは、個人のタスクと仕事のタスクの両方に社給デバイスを使用してしまうケースがあります。 システム的に ユーザーの生産性を維持したまま、意図的なデータ損失や意図しないデータ損失が起こらないようにする必要があ ります。Intune の MAM 機能を利用すると、企業領域として管理者が指定したアプリと、その他の領域でのデー タ転送を制限する事が可能です。 1台のデバイス内で、企業領域と、 個人領域を分離して、領域間の データ転送を制限する事が可能 ※MAM機能については、Intune へのデバイス登録は必須ではありません。MDM登録なしのデバイスに対してもMAM制御は実行できます。
  • 22.
    MAM機能 - 補足 MAM機能を使用して、管理対象の 企業アプリを開くためにPINや 生体認証を要求することが可能です。 iOS Android Windows 参考リンク https://docs.microsoft.com/en-us/intune/apps-supported-intune-apps ◼ MAM対象として指定可能なアプリは多岐に渡ります。Microsoft社のアプリのみではなく、他ベンダーの アプリもIntuneのMAM機能を使用する事が可能です。Microsoft 公式の Office アプリを MAM で管理 できるのは 現時点で Intune だけです。 MAM対応アプリの一覧(一部抜粋)
  • 23.
    MAM機能 (Windows 10) iOSAndroid Windows ◼ Windows10 に対して、MAM を使用する場合には、Intune から、Windows Information Protection を 構成する事で、アプリケーション間のデータ転送を制限する事が可能です。企業のデータが、個人用のアプリや、オ ンラインストレージなどへ流出することを防ぐことができます。 ※MAM機能については、Intune へのデバイス登録は必須ではありません。MDM登録なしのデバイスに対してもMAM制御は実行できます。
  • 24.
    デバイス構成プロファイル (MDM) iOS AndroidWindows Microsoft Intune Windows Update ◼ Intune のデバイス構成プロファイルを使用すれば、各 OS 毎に必要となる設定を Intune から自動展開する事 が可能です。デバイス構成プロファイルの種類は非常に広範囲なので、ここでは一部のみご紹介します。この機能を 使用する事で、Intune 登録されたデバイスへの自動的な設定や制限を実施する事が可能です。 構成プロファイルの 例 パスワードの規則 iCloud 同期の制限 ホーム画面レイアウト 画面キャプチャー 配信の最適化 Cortana Windows Defender AV BitLocker ※一部のiOS向け設定は、デバイスを監視モードに設定している必要があります。
  • 25.
    デバイス構成プロファイル (メール・証明書) iOS AndroidWindows ※Android でのメールプロファイル配布は、Samsung Knok と、Android Enterprise でのみサポートされています。 ◼ Intuneを使用して、ユーザーが業務を行う 為に必要な各プロファイルを展開する事が 可能です。 ◼ 電子メール設定・VPN・Wi-Fi・証明書など を自動的にデバイスに設定する事ができま す。 メール設定展開のイメージ 管理者 ※電子メールについては、OutlookアプリケーションをIntuneから展開し、ユーザー自身にサインインして利用してもらう方法もあります。
  • 26.
    アプリ配信 iOS Android Windows ◼Intune に登録されたデバイスに対して、アプリ配信をすることが可能です。アプリ構成ポリシーを配信する事で、ア プリ内の設定も管理者がカスタマイズする事が出来ます。アプリ配信は、強制インストールまたは、ユーザーが手動 で行う任意インストールを配信時に選択できます。
  • 27.
    コンプライアンス評価 iOS Android Windows ◼Intune のコンプライアンスポリシーを使用する事で、管理者が定義したコンプライアンスに、デバイスが準拠して いるか、もしくは非準拠状態なのかについて、管理コンソールまたは通知メールで知ることができます。後述する、 Azure AD 条件付きアクセスと本機能を組み合わせることで、コンプライアンス状態を満たしているデバイスの み、企業リソースへの認証を許可する事が可能となります。 定期的なチェックイン
  • 28.
    条件付きアクセス iOS Android Windows ◼Azure AD Premium の条件付きアクセスを利用する事で、Office365 や、 Azure ADと連携している SaaS アプリケーション、オンプレミス WEB アプリケーションへの認証を制御する事が可能です。条件付きアク セスは、単体でも利用ができますが、Intune と組み合わせて導入する事で、以下の図のようにデバイスの状 態に基づいたアクセス制御を行うことが可能です。
  • 29.
    Windows Update 管理 iOSAndroid Windows ◼ Intune から、Windows Update ポリシーを管理対象デバイスに対して適用する事が可能です。Azure AD グループを作成し、グループ毎に、異なる適用時期を指定したり、万一 QU や FU を適用したデバイスで 問題が発生した場合にも、管理者が管理ポータルからロールバックを実行する事が出来ます。 ※ KB毎のロールバックは現在サポートされていません。5月の更新プログラムをロールバックする場合には、5月の更新プログラムが全てロールバックされます。 ※ FU のロールバックを実行する為には、デバイスに古い FU のプログラムが保持されている期間に実行する事が条件です。 FU/QU適用後に 問題が発生したグループ
  • 30.
  • 31.
    Windows Autopilot 連携 iOSAndroid Windows 参考リンク https://techlife.tokyo/windows-autopilot-hybrid-azure-ad-join-1514.html ◼ Intune と、Azure ADP、Windows Autopilot を組み合わせて使用する事によって、デバイスキッティング の自動化を行うことが可能です。Autopilot 単体では、デバイスの Azure AD への登録は可能ですが、自 動キッティングはできません。自動キッティングで行う内容は、Intune から MDM ポリシーなどで構成をしていく 必要があります。 ※Autopilotには、現在Azure AD Joinを行う方法と、Hybrid Azure AD Joinを行う方法がありますが、それぞれの詳細は次回以降の勉強会でお伝えします。
  • 32.
    iOS Android Windows PowerBI 連携 参考リンクhttps://techlife.tokyo/intune-dataware-house-1040.html ◼ Intune 管理対象端末の状態を一覧で確認する方法として、Windows Analytics を利用する方法もあり ますが、その他の方法として、Intune Dataware House を利用する事も可能です。Intune Dataware Houseを使用すれば、Power BI Desktop または、Power BI WEB 画面で管理対象デバイスのポリシー 準拠状態を一覧で確認する事が可能です。 Power BIアプリPower BI Desktop用レポート Azure Portal での可視化
  • 33.
    iOS Android Windows LogAnalytics 連携 ◼ Windows Analytics を利用すると、Intune 管理対象デバイスの状態を WEB 画面から管理者は一覧 で確認する事が可能です。これらの機能を利用するためには、Azure Log Analytics が必要です。Intune からの準備に必要な操作としては、業務用デバイス ID をカスタム構成プロファイルで配布するだけで完了でき ます。Windows Analyticsには、以下の3種類の機能があります。 ※本機能を利用する為には、診断データの送信レベルの要件や、Windows10 OSのライセンスなど、追加の要件があります。