従業員1人で複数の業務用デバイスを利用する今日、運用管理の主な課題は社内リソースにアクセスする多様なデバイスをどう管理するかだ。
また、テレワークシフトに伴いPC管理が複雑化したことでサイバー攻撃のポイントが増え、デバイス単位のセキュリティ強化は必須だ。
そんな中、Windowsデバイスを利用する環境で管理サービスの選択肢に挙げられるのは、Microsoftの「Intune」だ。その基本的な使い方をアイエスエフネットの野村優衣氏が解説し、同社のエンジニアの山本浩之氏がデモンストレーションを実施した。
業務で利用する情報デバイスはPC、タブレット、スマートフォンの主に3種類だ。デバイスごとにさまざまなOSが使用され、ハードウェアも異なれば、導入するアプリも異なる。
従来は「WSUS」(Windows Server Update Service)や「AD」(Active Directory)といった、オンプレミスのIT資産管理ツールなどでデバイスを管理した。ただ、テレワークシフトに伴い利用場所を問わずに多様なデバイスが社内リソースにアクセスするケースが増え、社内ネットワーク内のPCだけを管理していればよいわけではなくなった。そこで注目されるのがクラウド型のデバイス管理サービスだ。
その中でもMicrosoftの「Intune」は、WindowsのクライアントPCを使用する企業にとっては選択肢から外せない存在だ。機能を紹介する前に、ハイブリッドワークにおけるデバイス管理の3つの課題を整理する。
ファイアウォールの有効化やHDDの暗号化、アンチウイルスの有効化などデバイスのセキュリティ構成を把握できないことが、ネットワーク経由の不正侵入や内部に存在する脅威への対応を難しくする。
セキュリティ構成がユーザー任せでは、デバイス配布時に会社のポリシー通りに正しく構成しても、OSやアプリのアップデート時に変更されたりユーザーが自分の判断で手動で変更したりする可能性がある。デバイスの構成を管理者が常に把握でき、ポリシーに違反するものを発見して対処する仕組みが必要だ。
アップデート管理をユーザーに任せると放置されることが多く、最新の脅威に対応できない。また、アップデートの影響を未検証のままユーザーが適用すると思わぬトラブルが起きる。
アップデートを全対象デバイスに適用する前に、一度テスト機で検証し、問題ないことを確認した上で、スケジュールを組んでグループごとにアップデートを自動適用する仕組みが必要だ。
管理対象外のデバイス(シャドーIT)から社内リソースにアクセスされる可能性がある。管理外のデバイスは、不正に接続された悪意あるデバイスの場合もあれば、十分なセキュリティ対策が施されていない個人所有デバイスの場合もある。どちらにしても社内のクラウドストレージやサービスに保存されたリソースが脅威にさらされる。
管理対象外のデバイスによる社内リソースへのアクセスを防ぐため、全デバイスを常時管理してポリシー違反のデバイスの接続を拒否し、アクセスがあった場合は管理者が対処できる仕組みが必要だ。
これらのリスク対策としてMicrosoftが提唱するのが「モダンマネジメント」だ。従来オンプレミスでされてきたデバイス運用管理の仕組みを、クラウドサービスの仕組みに変えることを意味する。デバイスのインターネット接続を前提に、社内外問わず散在するデバイスを管理する仕組みだ。
中核ツールとしてMicrosoftが提供するのが「Enterprise Mobilit+Security(EMS)」で、デバイス管理ツールのIntuneが含まれている。Intuneは単体ライセンスもあるが、単体ではアクセス制御機能が含まれず、リスク対策としての効果は限られる。
Intuneは、モダンマネジメントで必要な4つの機能を備えている。
これらの管理機能で、デバイスの構成をポリシーに沿って整えてからユーザーに配布する「キッティング」業務の負荷も軽減できる。
管理機能をどのように利用できるのかを、実際の画面とともに見ていく。
管理者がクラウド上の管理画面にアクセスして登録されているデバイスの状態を確認や管理できる。構成や設定がポリシーに準拠しているか簡単に把握できる(図1)。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。