マイクロソフトにおける iOS、OS X、 および Android デバイス

Microsoft IT ショーケース
マイクロソフトにおける iOS、OS X、
および Android デバイスの
モバイル生産性の実現
個人所有デバイスの業務利用がより一般的になる中、私たちは業務関連データと個人データが Windows デバイスと Windows 以
外のデバイス上に混在するデータ環境を管理する必要性に迫られています。Microsoft IT は、Microsoft Intune と Azure Active
Directory を使用して、最新のデバイス管理を実現し、ユーザー エクスペリエンスを向上させて、いつでもどこからでも企業リ
ソースに安全にアクセスすることを可能にしました。このアプローチは、ユーザーに個人所有デバイスの業務利用という柔軟性と
利便性を提供します。また、Windows 以外のデバイスを環境内に組み込み、管理し、保護することがいっそう容易になります。
今では、Windows 以外のコンピューターは、多様化の進むコンピューティング環境の一部となっています。私たちは、ほとんど
のユーザーが OS X と Android オペレーティング システムを実行する企業を買収しており、Windows 以外のオペレーティング
システムを実行するデバイスを使用して、こうしたオペレーティング システムのためのマイクロソフト製品を開発する多くの開発
者を抱えています。
そのため、個人所有のデバイスと Windows 以外のデバイスを管理して、企業ネットワークに存在する Windows デバイスに適用
されるセキュリティとコンプライアンスのポリシーに準拠させる手段を必要としていました。
セキュリティの確保とモビリティの実現を両立
私たちは Enterprise Mobility ＋Security (EMS) に含まれるサービスと機能を使用して生産性を高めることで、ユーザーが使用す
るデバイスに関係なく引き続き生産性を維持できるようにします。EMS は以下の機能を提供します。

Azure Active Directory Premium を使用した ID およびアクセス管理により、オンプレミスおよびクラウド間の ID を管理。
企業リソースへのシングル サインオンとセルフサービスを提供。ユーザーが希望のデバイスで作業できるようにするために、
企業リソースへの一貫したアクセスを提供。

Microsoft Intune を使用した、モバイル デバイス管理 (MDM)、モバイル アプリケーション管理 (MAM) 機能によるモバイル
デバイスとアプリ管理で、ほぼすべてのデバイス上の企業アプリおよびデータの管理と保護を実現。

Azure Rights Management (2016 年 10 月より Aure Information Protection に名称変更) を使用した情報保護により、ス
マートフォン、タブレット、PC 全体にわたって企業データ (ファイル レベル、転送中と保存時) と電子メールを保護するた
めの暗号化、ID、承認ポリシーを提供。

Advanced Threat Analytics を使用した行動ベースの脅威分析により、シンプルかつ実用的なレポートで疑わしい活動と高度
な脅威をリアルタイムで特定。
図 1. Enterprise Mobility ＋Security 内のサービス
Classified as Microsoft General
ページ 2 | Microsoft における iOS、OS X、および Android デバイスのモバイル生産性の実現
セキュリティ ポリシーの定義
私たちは、自分たちのサービスと、ユーザーがマイクロソフト リソースに接続するさまざまなデバイスに注目しました。私たちは、
以下のことを確認するポリシーを策定および実装する必要があることを認識していました。

デバイスを使用しているユーザーの本人確認

デバイスを使用しているユーザーに、アクセスしようとしているデータへのアクセス許可があること

デバイスの紛失/盗難時に備えた継続したデータ保護
既に Configuration Manager と Intune で管理されていた Windows デバイスに適用したセキュリティ ポリシーを、Windows 以
外のデバイス上の管理対象の設定と構成に対する標準として使用しました。
技術的な制御手順の開発
私たちは、この標準を確立するために使用できる、技術的な制御手順 (デバイス上またはポリシー内で実装される特定の設定) を開
発しました。使用した技術的制御手順の例としては、デバイスで最新のオペレーティング システムのバージョンを実行できること、
最新の更新がインストールされていること、暗号化が有効にされていること、適切な認証が使用されていることを確認することな
どが挙げられます。
構成の管理後に、各プラットフォームのネイティブのセキュリティ機能が、企業ネットワークに接続するために必要なアクセス セ
キュリティの種類を提供することを確認しました。Android デバイス向けのマルウェア対策保護など一部の領域では、デバイスを
コンプライアンスに準拠させるために追加のコンポーネントをインストールする必要があることがわかりました。
また、グローバル ユーザーのためのプライバシー規制にも注目し、そうしたユーザーの国または地域のプライバシー法によって保
護される個人所有デバイス上の使用情報を収集しないことを保証する必要がありました。
System Center Configuration Manager と
Microsoft Intune によるデバイスの管理
モバイル デバイス管理は、私たちのユーザーのモバイル生産性をサポートするための重要な要素です。マイクロソフトでは、その
ためのハイブリッド ソリューションを用意しています。ほぼ 52,000 のモバイル デバイスがクラウドベースの Microsoft Intune
サービスに登録されており、管理者は Microsoft Intune に統合された System Center Configuration Manager を介してデバイ
スを管理できます。
私たちは、現時点では以下のオペレーティング システムで Intune の登録をサポートしています。

Windows 8.1 および Windows 10 (ドメインに参加していない)

Windows 10 Mobile/Phone 8.1

OS X (OS X 10.9+)

iOS (iPad/iPhone 7.1+)

Android
Intune への個人所有デバイスの登録
ユーザーが個人所有デバイスを Intune で管理されるよう登録すると、プラットフォーム固有の Wi-Fi および VPN プロファイル
をプロビジョニングすることで、登録デバイスの企業ネットワークと会社ポータルへの接続が許可されます。会社ポータルでは、
ユーザーとその役割に関連する企業アプリケーションを利用できます。また登録により、企業ネットワークに接続するために必要
なすべての企業ポリシーおよび設定を、デバイスが自動的に受信できるよう設定されます。
個人所有または Windows 以外のデバイスを登録するには、ユーザーはまず Azure Multi-Factor Authentication に登録する必要
があります。また、最低 6 桁の数字で構成されるデバイス ロック PIN を選択することも必要です。モバイル デバイスは、暗号化
する必要があります。
microsoft.com/itshowcase
Classified as Microsoft General
2016 年 6 月
ページ 3 | Microsoft における iOS、OS X、および Android デバイスのモバイル生産性の実現
個人用データと企業データの分離
Intune の登録では、個人用データと企業データが明確に分離されます。ユーザーまたは管理者は、写真、個人の電子メール アカ
ウント、個人用アプリ、未処理のファイルなどの個人用データをそのまま残しつつ、デバイスから企業データを選択的にワイプで
きます。Intune がなければ、Exchange Active Sync を使用したデバイスのフル ワイプしか手段がありませんでした。
Intune の登録では、デバイスの物理的な追跡または位置サービスは有効になりません。また、機密データまたは個人用/企業の電
子メール アカウントの内容の可視性も提供されません。必要に応じて、セレクティブ ワイプ プロセスの一部として、企業の電子
メール アカウントが Intune により削除され、企業の電子メール アカウント設定と電子メール メッセージがデバイスから削除さ
れますが、メッセージの内容は Intune からはアクセスできません。
リモート データ ワイプを使用した個人所有のデバイスからの企業データ
の削除
ユーザーは会社ポータルからデバイスを登録解除するだけで、リモート データ ワイプ、または「エンタープライズ ワイプ」を実
行して、個人所有のデバイスから企業データをリモートで削除できます。この作業は、別の登録済み携帯電話を使用するか、PC で
セルフサービス ポータルにアクセスして実行できます。デバイスが登録解除されたら、そのアカウントに関連付けられた内部アプ
リとポリシーはすべて削除されます。
デバイスの紛失/盗難時には、ユーザーは私たちのセルフサービス Intune デバイス管理ポータルまたは Outlook Web Access
(OWA) を使用してワイプを開始するか、ヘルプデスクに連絡してサポート エンジニアにデバイスをリモートでワイプしてもらう
こともできます。
コンプライアンスの測定
Configuration Manager と Intune では、正常性チェックを実施したり、デバイスの状態の監視やレポート作成を実行できます。
Windows 以外のデバイスの場合は、ポリシーの適用は私たちが現在積極的に取り組んでいる分野です。現在、接続試行時のリア
ルタイムの正常性チェックにおいて、デバイスの企業リソースへのアクセスをブロックできる条件付きアクセス機能のパイロット
展開を実施しています。
Windows Phone、iOS、Android でのモビリティの管理
私たちは、Microsoft Intune を使用して、Windows Phone、iOS、Android デバイスを管理してきました。ユーザーは、セキュ
リティで保護された電子メールや、認証に Azure Active Directory フェデレーション サービスを使用するクラウドベースのアプ
リケーションまたは Web サイトにアクセスできます。
エンタープライズでの Mac の使用の実現
私たちは、OS X 管理のための Intune サポートの早期導入者です。試験運用の計画フェーズ中、私たちの最初のタスクは、Wi-Fi、
VPN のためのプロファイルを作成し、デバイス上で適用するセキュリティ ポリシーを決定することでした。セキュリティ ポリ
シーは、環境内の Windows デバイス上のセキュリティ ポリシーとの均衡を図るよう設計されました。私たちは、Mac ユーザーに
より一貫した作業 PC エクスペリエンスを提供することを望んでいました。私たちの目標は、企業リソースと電子メールへのセ
キュリティで保護されたアクセスを提供する、シンプルなユーザー エクスペリエンスを実現することでした。
また、Outlook クライアントに対して多要素認証を強制する必要もありました。昨年の私たちの全体的な戦略には、ユーザー名/パ
スワードベースの認証から、証明書ベースの認証に移行することが含まれていました。これは、後者によってセキュリティが強化
されることに加え、同時に証明書とプロファイルを展開できるため、ユーザーにとってもより容易な方法であるためです。
microsoft.com/itshowcase
Classified as Microsoft General
2016 年 6 月
ページ 4 | Microsoft における iOS、OS X、および Android デバイスのモバイル生産性の実現
次の図は、Mac コンピューターに対して簡単に新しいポリシーを実装し、コンプライアンス ルールを管理する様子を示していま
す。
図 2. Mac OS X の Policies プロパティを使用した新しいポリシーの実装とコンプライアンス ルールの管理
これまで 3 か月間 Intune for Mac パイロット プログラムを実行し、最初の 3 週間で 50 から 1,000 人のユーザーに拡大しまし
た。一貫したユーザーおよび IT 管理エクスペリエンスを実現する OS X 管理の組み込みサポートにより、複数のステップから成
るさまざまなプロセスが不要になりました。
レポート
System Center Configuration Manager 1602 環境では、Mac 管理のためのすべてのハードウェアおよびソフトウェア レポート
も利用可能になりました。レポートおよび管理機能の統合により、デバイス、PC、およびその正常性状態を一元的に確認できます。
ユーザー エクスペリエンス
ユーザーは、会社ポータルから管理プロファイルをインストールして、自分の Mac コンピューターを登録する必要があります。管
理プロファイルは、必要なソフトウェアをインストールし、企業 Wi-Fi 接続を有効にします。ユーザーは Outlook for Mac 2016、
Skype for Business Mac Preview、System Center Endpoint Protection をインストールして、電子メール、会議など、その他
のビジネス アクティビティへのアクセスと、マルウェア対策のサポートを有効にできます。リモート接続と企業リソースへのアク
セスについては、VPN クライアントを利用できます。
microsoft.com/itshowcase
Classified as Microsoft General
2016 年 6 月
ページ 5 | Microsoft における iOS、OS X、および Android デバイスのモバイル生産性の実現
まとめ
マイクロソフトでは、企業情報を保護しつつ、多様なデバイス間でモビリティと生産性をサポートします。Intune および EMS を
使用することで、ユーザーに簡単な登録プロセス、一貫したユーザー エクスペリエンス、業務用/個人用の情報の分離を提供する
という目標を達成することができました。
私たちのセキュリティ ポリシーは、対応プラットフォームそれぞれに含まれる固有のセキュリティ機能を利用して、Windows デ
バイスに適用したポリシーに基づいて設計しています。統一された最新の管理プラットフォームを持つことで、管理対象デバイス
プラットフォームすべてに対するポリシーを作成および展開することが容易になります。
詳細情報
Microsoft IT
microsoft.com/itshowcase (英語)
Microsoft Intune makes it easy to bring your own device with confidence (英語)
© 2016 Microsoft Corporation. All rights reserved. Microsoft および Windows は、米国 Microsoft Corporation の米国および
その他の国における登録商標または商標です。記載されている会社名、製品名には、各社の商標のものもあります。このドキュメ
ントは情報の提供のみを目的としています。明示または黙示に関わらず、これらの情報についてマイクロソフトはいかなる責任も
負わないものとします。
microsoft.com/itshowcase
Classified as Microsoft General
2016 年 6 月