Microsoft 365

よくわかるMSクラウドサービスコラム第4回「Microsoft Intune」は何でもできる?

はじめに

今回ご紹介するのは「Microsoft Intune」です。
マイクロソフトのドキュメントによると、「Microsoft Intune」とは「『モバイルデバイス管理 (Mobile Device Management)、以下 MDM』と『モバイルアプリケーション管理 (Mobile Application Management)、以下MAM』 に焦点を当てたクラウドベースのサービス」であり、「マイクロソフトの Enterprise Mobility + Security(EMS)スイートの一部」と表現されています。

MDM とは文字通りスマートフォンや、タブレットなどのモバイル端末の管理を行うことで、MAM とはそれらのデバイスにインストールする(されている)アプリケーションを管理するということです。

ちなみに最後の EMS というのは、マイクロソフトが提唱するモバイル端末とセキュリティのためのプラットフォームのことで、「Microsoft Intune」のようなデバイス管理サービスの他にもユーザーとユーザーの権限を管理する「Azure Active Directory」や、「Active Directory」を様々な種類の高度な標的型サイバー攻撃から保護するのに役立つ「Microsoft Defender for Identity」など、管理・セキュリティ系の頼もしいクラウドサービスを多く提供しています。これらの詳しいサービスについては、機会があれば改めてご説明いたします。


「Microsoft Intune」のメリット

  1. クラウドサービス
    従来のようにオンプレミスによる管理ではなく、クラウドサービスであるため、管理用にサーバーを用意する必要もありませんし、セキュリティ上も管理が容易になります。
  2. コスト面
    上記の通りハードウェアを管理する必要がないため、調達コストや管理コスト的にも負担が軽減されます。
  3. 様々なプラットフォームに対応
    こちらは次項で詳しく説明しますが、Windows に限らず Android、iOS、macOS なども管理対象とすることができます。
  4. 会社端末に限らない
    会社から支給している端末はもちろん、、会社の情報を扱う個人所有の端末(BYOD)も管理対象にすることができるので、幅広く管理できます。

様々なデバイスが管理できる

それでは、本題の MDM と MAM について詳しく説明していきたいと思います。
まずは MDM についてですが、上述した通り「Microsoft Intune」にある機能の柱の一つである MDM はモバイル端末の管理ができます。一口にモバイル端末といってもスマートフォンやタブレットも、Android端末もiOSも管理できます。もちろんノートPCもデスクトップPCも、WindowsもMacOSも管理できてしまうので、モバイル端末とは言いつつ、一般的にビジネスシーンで活用される多くのプラットフォームの端末を管理できるのが特徴です。

お客様とやりとりさせていただく話題に「Microsoft だから iPhone は管理できないでしょう?」、とか「うちはWindows端末を使ってないから関係ないよね?」というものがよくあります。
これらは全くの誤解で、様々なOSや端末をしっかりカバーしているのが、「Microsoft Intune」の大きな特徴といっても過言ではない、頼もしい機能のひとつです。

また、「『Microsoft Intune』は以前に検証したけど、使いにくかったから結局使っていないよ。」といったお声をいただくこともありますが、「それはいつ頃ですか?」と伺うと「3年ぐらい前かな?」との返答が。こちらも非常に残念な誤解の独り歩きでして、3年前4年前の 「Microsoft Intune」 とは別製品といってもいいほどの、格段の進歩を遂げています。

では、どういうデバイス管理ができるのかという点についてですが、数多くあるデバイス管理機能の中でも特徴的なのが、「構成プロファイル機能」と「条件付きアクセス機能」です。

「条件付きアクセス機能」については、本コラムの第1回(前編後編)で説明させていただきましたのでここでは割愛し、「構成プロファイル機能」について詳しく説明していきます。


「構成プロファイル機能」とは

「構成プロファイル機能」とは、OS 毎にもつ機能の有効化・無効化を行う仕組みです。
「Windows Active Directory」では、グループポリシーとして馴染みの多い方もいらっしゃることと思います。
そんなデバイス管理をおこなうグループポリシーですが、ネットワーク上に接続されていないとポリシーを適用できないという難点があります。外回りの営業やテレワークの比率が上がっている今日、適用状況を保証できない管理者の方も多いことと思います。

そのような OS の機能毎の設定をしたり、設定内容についての変更禁止などの制限を付けたりした「属性のまとまり」を作り、それを各端末やグルーピングされた端末への「適用(割り当て)」を実現するのが、「構成プロファイル機能」です。
例えば、Windows ならばアプリストアへのアクセス制限や、設定画面内の変更制限をはじめ、「Microsoft Defender ファイアウォール」などセキュリティ関連の高度な設定も管理することができます。

また、グループポリシーでは Windows 以外の端末の制限を行う事はできませんでしたが、「Microsoft Intune」を用いることで、前述の通り Windows 以外のプラットフォームの制限が可能となるため、カメラの禁止や複雑なパスコードの強制、リモートワイプなど、スマートデバイスに対する制御も可能となります。


アプリケーションの一括管理

続いてもう一つの柱である MAM について説明させていたします。
基本的な機能は、管理している端末へのアプリケーションのインストール・アンインストールや、アプリに必要な設定の管理です。
こちらもデバイス管理同様に様々なプラットフォームへ向けてアプリケーションを管理できます。下図を見てもらうとわかります、カバーされている範囲の広さは必要十分と言えるでしょう。
特に各プラットフォーム向けのストアで展開されているアプリはもちろん、Windows であれば .exe や .msi といったWin32 対応のアプリケーション、mac であれば .pkg や .dmg ファイルにて提供されているアプリケーションのインストールや管理もできるのは、ビジネス上では嬉しいポイントと言えるのではないでしょうか?


一括管理が嬉しい

さて、これまで見てきたように「Microsoft Intune」では様々なプラットフォームの端末を登録し、管理できます。またそれぞれのアプリケーションについても同様に管理できますので、一元管理という観点でも非常に優れているサービスです。
既に皆さまが導入されているサービスなども含め、様々な管理ツール・サービスが発売されており、「Microsoft Intune」 よりも高性能や低価格のサービスもあるかと思います。しかし、それらのサービスを活用するには、それぞれのダッシュボードへログインし、登録や管理を行う必要があると思います。「Microsoft Intune」ではユーザー情報やデバイス情報、アクセス制限などを一元的に一括管理できるため、管理面での大幅な工数削減にも繋がります。

また、どうしても個人所有の端末を仕事で使ってもらう必要がある場合(BYOD)は、個人のデータ領域と仕事のデータ領域を分離することで退職や紛失時などには仕事の領域部分のみを安全にワイプすることができるといった機能があります。昨今のテレワークの増加や働き方の変化など様々な状況においてカバーしてくれる機能のも有難い部分ではないでしょうか?

このように「Microsoft Intune」はシンプルなデバイス管理からクラウドサービスへの柔軟なアクセス制限まで、お客様の課題解決に貢献できるサービスですので、これからデバイス管理を検討される方はもちろん、すでに他社サービスにて運用済みのお客様も、ぜひ一度ご検討いただければと思います。

その他にも疑問に思われた点やご質問についてはお気軽にディーアイエスサービス&ソリューションまでお問い合わせください。

次回は統合型セキュリティ ソリューション「Microsoft Defender for Endpoint」についてご紹介いたします。

本コラムは2021年12月現在の情報を基に作成しています。


関連コラム


関連導入事例

Print Friendly, PDF & Email