本記事は、2021年10月19日から10月29日にかけて開催された「情シスサミット 2021 ONLINE」のセッションのレポートです。
Windows 10 にエージェントが標準インストールされている Microsoft Intune とは何でしょうか。無いと困るシーンとはいったいどんな時なのでしょうか?あるとどんなシーンで便利になるのでしょう? 株式会社ソフトクリエイト 事業戦略本部 マイクロソフト技術部 松田 尚也部長が、Microsoft Intune による未来のデバイス管理を読み解きます。
1. Microsoft Intune とは何か
Microsoft Intune とは、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)を中心にしたクラウドベースのサービスです。携帯電話やタブレットにクライアントPCなど、組織で利用するデバイスの使い方を制御します。また、特定のポリシーを構成して、アプリケーションも制御できます。そのアーキテクチャイメージは以下になります。
(引用元: https://docs.microsoft.com/ja-jp/mem/intune/fundamentals/high-level-architecture )
PCやスマートフォンといったモバイルデバイスを社外で利用することが当たり前となっていますが、Microsoft Intune を活用すると、企業の様々なデバイスをクラウド上で管理することが可能です。今回はモバイルデバイス管理に焦点を当てて解説していきます。
2. Microsoft Intune のエージェントは Windows に標準搭載
Intune のエージェントは Windows に標準搭載されております。
Windows 10/11 であれば、標準で Microsoft Intune エージェントは搭載されている為、Intune サービス に Windows デバイスを登録すれば、管理をスタートすることができます。また、アップデートもOSとセットで更新されます。したがって、Windows OS のアップデートに対応するために個別にエージェントをバージョンアップしたり、管理サーバもアップデートしたり、といった手間がなく、運用が容易です。
3. Microsoft Intune があれば便利な4つのメリット
Microsoft Intune があると楽になる4つのメリットは以下になります。
まず最初は、Windows Update です。
Microsoft Intune があると、Windows Update はVPNを使わずにインターネット経由で品質更新プログラム、および機能更新プログラムを制御・管理できるようになります。例えば、各更新プログラム延期はグループに分けて配信を設定できるので、管理者が検証をしてから配布することを始め、現場の方のパソコンがいきなりアップデートされてしまう、といった状況も防げますし、帯域を逼迫しないように分散することができます。
2つ目のメリットは、デバイス管理です。
USBメモリやSDカードのような外部ストレージの利用は、テレワークでは極力避けたい、と考えるユーザーは圧倒的に多いでしょう。外部ストレージが使える状態というのは、セキュリティリスクでしかありません。情報システムの管理者からは、「とにかく使えなくすることだけができればいい」という意見を多く頂きます。こうした要望に Microsoft Intune の制御で対応することが可能です。
3つ目のメリットは、ストレージの暗号化です。
Windows 10 では、OSの機能である BitLocker でストレージの暗号化が可能です。しかし、標準設定ではOFFになっております。そのため、テレワークで利用しているパソコンが、すべて暗号化されているかどうかの確認と設定は大変です。そうした課題を解決するために、Microsoft Intune ではリモート操作で各デバイスの BitLocker 対応を確認し、必要があれば遠隔からONに設定できます。
ただし、BitLocker の設定ではパスワードが変わるので、現場の方にアナウンスしてからONにします。
最後は、Azure AD の条件付きアクセスの構成です。
Azure AD のPremiumプラン1か2を契約されている方は、Azure AD の条件付きアクセスが利用できます。条件付きアクセスとは、特定の条件下でのみMicrosoft 365にアクセスできるセキュリティ対策です。この条件付きアクセスを利用するために、Microsoft Intuneは必須となります。
このAzure ADとMicrosoft Intuneによる条件付きアクセスの設定は、セキュリティを高めるために重要な設定となります。
「もしも皆さんが、この機能を活用してグローバルIP制限や特定のデバイスの状態をチェックして判別するなど、より高度な設定を使われたいと思ったときには、ぜひ経験豊富なソフトクリエイトにご相談ください」と松田部長は提案しました。