企業や組織でお勤めの皆さんにお尋ねします。仕事用に何台の端末を使用されていますか?
社内の机の上にはデスクトップ PC、社外での打ち合わせ用にはタブレット PC、自宅で会社のメールをチェックするのは個人所有のスマートフォン、といった方が多くいらっしゃるのではないでしょうか?端末の OS も、PC は Windows、タブレットは iOS、スマートフォンはアンドロイド、といったような混在環境が珍しくないと思います。
さまざまなタイプの端末の利便性を最大限享受しつつ、自社のセキュリティ ポリシーを遵守するのは IT 管理者にとって大きな課題です。それをクリアするためには、各端末やポリシーを効率的に管理することが不可欠で、巷にはありとあらゆるモバイル デバイス管理 (MDM) サービスがあふれています。
MDM を語るときには、モバイル デバイスに管理コマンドを送るサーバーと、そのサーバーからのコマンドを受け取りデバイス上で稼働するクライアント コンポーネントの両方を見る必要があります。MDM クライアントとしての Windows 10 は、Microsoft Intune、System Center Configuration Manager から管理できます。また、サードパーティの MDM サーバーから、Mobile Device Management プロトコルや、Mobile Device Enrollment プロトコル version 2 といったMDM プロトコルを通じて管理することができます。
ここでは、MDM クライアントとしての Windows 10 でサポートされているポリシーにスポットを当てたいと思います。
Windows 10 で進化した MDM 機能
Windows 8.1 でも組み込まれていた MDM ですが、Windows 10 では大きく進化し、企業内のデバイスを細かく管理できるようなポリシーがサポートされています。
実際、100 以上もの新しい MDM ポリシーが追加されましたが、中でもセキュリティに特化したポリシーをいくつかご紹介したいと思います。
- ID 管理の機能強化: Windows 10 では、Active Directory (AD) に加えて、Azure ADの使用をサポートします。そのため、Azure ID を追加して、社内の業務アプリや社内リソースにアクセスすることが可能になります。また、AD のアカウントで PC にログインした時に、Office 365 などのクラウド サービスにも自動的にログインすることが可能です。
- Microsoft Passportの PIN ポリシー: PIN にポリシーを設定し、ユーザーに特定条件を満たす PIN の使用を義務付けることが可能です。
- デバイスのワイプ: 業務データなどが入ったデバイスを紛失してしまった時など、MDMサーバーからこの機能を使用してリモートからデータをワイプすることができます。
- デバイスのロックダウン: 例えば、顧客へのデモンストレーション用に製品カタログのみを表示するデバイスなど、特定の用途でしか使用しないデバイスに対して管理者が設定したアプリのみに使用を制限することが可能です。
- 更新プログラムの管理と制御 (Windows 10 Pro または Enterprise バージョンのみ): 自社環境に合わせて、特定の要件を満たす更新の提供元とスケジュールを設定できます。
- 証明書管理: MDM サーバーを利用してクライアント証明書を SCEP (Simple Enrollment Protocol) で登録することが可能です。また、証明書の更新、削除もできるようになります。
ほかにも、エンタープライズ データ保護ポリシーの設定や複数ユーザーの管理等が可能になり、柔軟な混在環境を維持しながら企業や組織の生産性を安全に高めることができます。
今後も新しいタイプのデバイスが続々と登場して私たちの仕事環境を便利にし、作業効率を上げてくれることでしょう。IT 管理者の方は、ぜひ自社に最適な MDM サービスを見つけ、各端末やポリシーの効率的な管理を実現してください。