Azure Managed Service Column ＜Azure運用コラム＞今注目を集めるMicrosoft Intuneによるデバイス管理とは？デバイス管理でできることを解説します

デバイス管理の基本機能、仕組み、具体的な利用方法について解説

近年、 Microsoft 社の Teams の普及や Office 製品のサブスクリプション化に伴い、クラウドサービスとして利用可能な Microsoft 365 の利用が急増しています。

Microsoft 365 の利用ライセンスに含まれる Microsoft Intune （以下、 Intune ）はデバイス管理のクラウド型ソリューションサービスであり、インターネットを利用して管理、展開されモバイルデバイスのみならず、 Windows 、 mac OS などデバイス全般を適切に管理することができます。

本記事では Intune のデバイス管理の基本機能、仕組み、具体的な利用方法について解説します。

1.デバイス管理とは

デバイス管理の概要

デバイス管理とは組織が有する仮想マシン、物理コンピューター、モバイルデバイス、 IoT デバイスなどあらゆるデバイスの管理手法の総称です。モバイルデバイスを中心に管理されることから MDM （ Mobile Device Managements ）と呼称されますが、広義ではデバイス全般を含む管理を指します。

デバイス管理は企業ネットワークと重要データを不正なアクセスからの保護し、デバイスを組織のコンプライアンスポリシーへ準拠させ、適切なIT資産管理を実現する役割を担っています。

デバイス管理の機能と利点

デバイス管理では対象のデバイスに対し、アプリケーションの展開、更新、セキュリティやコンプライアンスポリシーへの適用管理、設定の構成、データとレポートの監視などの機能を提供します。

仮想デバイスも物理デバイスも遠隔操作で管理することができ、 Windows 、 mac OS 、 iOS 、 iPadOS 、 Android などの一般的に利用されている代表的な OS を取り扱うことができることから、 BYOD に対しても企業が求めるビジネスに最適なポリシーを一括で適用することができます。

さらにデバイス管理の状態に応じてクラウドサービスへのアクセスコントロールを行うことができるようになります。

2.Intuneとは

Intune は、 Microsoft 社が提供するクラウド型のデバイス管理ソリューションサービスです。デバイス管理として 2 種類のアプローチ手法を紹介します。

モバイルデバイス管理 （ MDM ： Mobile Device Managements ）

利用者は Intune にデバイスを登録し、証明書を使用して Intune と通信することでデバイス管理を実現します。 IT 管理者として、デバイスにアプリをインストールしたり、利用デバイスを特定のオペレーティングシステムのものに制限したり、個人のデバイスをブロックしたりすることができます。

またデバイスを紛失した場合、デバイスからすべてのデータを遠隔から削除することも可能です。また Intune は、 Android 、 iOS 、 iPadOS 、 Linux 、 mac OS 、 Windows など、様々なプラットフォームを管理できます。

モバイルアプリケーション管理（MAM:Mobile Application Management）

Intune にデバイスを登録することで、デバイスにインストールされるアプリケーションの管理も可能になります。アプリストアからアプリに接続して配布、 Microsoft 365 アプリの有効化、無効化、その他 Win32 アプリの展開、アプリ保護ポリシー作成、アプリのデータへのアクセスを管理も可能です。

Intuneの使い所について

Intune では MDM と MAM を組み合わせて利用することができます。これらの機能を組み合わせることで Intune がどのようなポイントにおいて使い所になるか解説します。

組織においてオーソライズされたアプリケーションにアクセスさせたい

利用者はどのような環境、デバイスにおいても組織がオーソライズしたアプリケーションを使用して作業する環境が求められます。

例えば、 Word 、 Excel 、 OneNote 、 PowerPoint 、 Teams などの Office スイートのアプリを、 PC やタブレットでどこでも利用できるようにしながら、移動が多い営業チームなどにおいては、 Teams 、 Excel 、 SharePoint のみに制限し、 個人用デバイスを含むすべてのデバイスで、電子メールの利用、オンライン会議への参加することなど、 Office スイーツ全体ではなく要件に応じて展開することができます。

すべてのデバイスでのキュリティを担保したい

デバイス管理におけるセキュリティ対策はウイルス対策、マルウェア対策が必須です。 Intune へ登録されたデバイスおよびアプリを保護することが求められます。Windows 10 / 11 デバイスでは、 Microsoft Defender for Endpoint と Intune を一緒に使用することができます。

また Intune はさまざまな Mobile Threat Defense （ MTD ）パートナーと統合されており、サードパーティ製の製品でも併用することが可能です。

場所や部門によってITを分散管理したい

企業のデバイス管理を行うにあたって、例えば支社や支店といった場所や組織単位などの管理を分散して行うことが求められます。Intune では、分散 IT にはスコープタグ機能とデバイス登録をカテゴリ毎に行うことで、管理対象に対しアクセス制御をかけることが可能です。

3.Intuneの具体的な仕組み

ここまで紹介した使い所に対する企業ニーズに応えるために、 Intune では具体的な機能として「デバイス管理ベース」と「アプリケーション管理ベース」で具体的な仕組みについて解説します。

デバイス管理ベースでOSレベルのシステム設定やセキュリティなどを一括で管理する仕組み

Intune のユーザーアカウントは、 Azure 内の Azure AD のアカウントと統合されており、 Intune へデバイスを登録すると同時に、 Azure AD へも登録することになります。

Intuneにはコンプライアンスポリシーという機能があります。これは管理対象のデバイスの状態を細かく指定できる機能です。データが暗号化されているか、セキュリティ対策は行われているか、モバイルデバイスのパスワードは有効になっているか、 OS が更新されているかなどを一元的に管理することが可能となります。

このコンプライアンスポリシーでデバイスの状態がデータとして収集され、デバイス一覧で「準拠」、「非準拠」といった状態を確認できます。この状態に基づき、 Azure AD で信頼できるデバイスのみをアクセスさせる判断を行なっています。

図版出典：Microsoft Webinarより抜粋

デバイスにインストールされたアプリケーションを管理する仕組み

Intune の MAM 機能にはアプリ保護ポリシー機能があります。これは組織がオーソライズしたアプリ内にデータが格納され、組織のデータが安全な状態にあることを保証するルールです。

例えば、利用者が保護対象の企業データへのアクセス、コピーを行った時、アプリ内での操作を監視し、その操作を「許可」、「拒否」の判断をします。

他にもデバイスのローカルストレージに会社のデータが保存されることを禁止したり、アプリ保護ポリシーで保護されていない他のアプリへのデータ移動を制限することができます。

Microsoft Office アプリなどの多くの仕事効率化アプリは、 MAM によって管理することができます。また認可されたアプリケーション以外、デバイスにインストールさせない、アクセスさせないというアプリケーションレベルの制限も可能です。この制限も Azure AD の条件付きアクセスの機能により提供される仕組みです。

図版出典：Microsoft Webinarより抜粋

4.まとめ

Intune のデバイス管理は MDM 、 MAM という 2 つのアプローチがあり、それぞれの制御機能は Azure AD と連携することで仕組みが構成されています。そのことによってアクセス条件を細かく設定することができ、組織が定めるルールを一元的に管理しシンプルな運用を実現することができます。

働き方の環境が変化し、リモート環境、デバイスの多様化が進む中で、企業が情報セキュリティをしっかり管理するために、デバイス管理を行う機能が非常に重要な機能です。 Intune ではセキュリティを向上させながら、生産性向上、効率化、業務品質を実現することができるデバイス管理ソリューションです。自社での導入が難しく感じられる場合、詳細については専門家への相談をお勧めします。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Microsoft Intune

• 

  Microsoft Azure Certificationとは？Azureの知識とスキルを証明できる認定資格について解説

• 

  今注目を集めるデバイス管理 Microsoft Intune！デバイスの登録機能について解説します