働き方の多様化にともない、ノートパソコンやモバイルデバイスなど、持ち運び可能な端末の利用が増えました。
デバイスを社外に持ち出して利用する以上、紛失や情報漏洩のリスクも増加します。
また、デバイスの種類や台数が急増し、これまでの管理方法を見直さなければならなくなっているかもしれません。
複雑化するデバイス管理に頭を抱えている管理者の方もいらっしゃるのではないでしょうか。
Microsoftのデバイス管理「Intune」を使えば、パソコン・スマホ・タブレットなど各種デバイスの一括管理が可能です。
本記事では、「Intune」の機能を詳しく解説しています。これから導入を検討されている方はぜひ、参考になさってください。
リモートワークに潜むリスク
会社で支給されたパソコンをオフィスで使用する場合には、社内ネットワークでアクセスを制御することができます。
オフィス内利用ならば、社員の状況がある程度分かるため、対策もしやすいでしょう。
ところがリモートワークでは、どうしても外部ネットワークから社内のファイルにアクセスする必要が出てきます。
利用デバイスもパソコンだけではなく、スマホ・タブレットなど多様化し、管理が複雑になっているのが現状です。
また、管理者の目が届かないリモート環境では、セキュリティ対策はユーザー個人のスキルやリテラシー頼みの部分が大きくなってしまいます。
- デバイスを社外に持ち出した際に紛失した
- フリーWi-Fiに接続したら不正アクセス被害に遭った
- 怪しいアプリからマルウェアに感染した
このような事故を防ぐために、社内でITリテラシーの教育を行うことが重要です。
しかし、どんなに注意していても、セキュリティリスクを完全にゼロにすることはできません。
このため会社としては、デバイス管理ツールを利用して
- 事故が起きた場合にデータを保護する仕組みを作る
- 業務遂行に不要な操作ができないように制御する
といった対策を行い、被害を最小限に食い止めることが必要になります。
Microsoft 365のデバイス管理ツール「Intune」
デバイス管理ツールを選ぶ際に重要なのは、
- 機能の豊富さ
- 信頼性の高さ
- 使い勝手の良さ
上記の3点に加えて、将来的なモバイル端末の利用拡大も視野に入れると「対応デバイスの多さ」も重視したいところです。
これらの選定ポイントを満たすのが、Microsoft 365のデバイス管理「Intune」です。
提供元はMicrosoftですから、信頼性が非常に高いのは言うまでもありません。
Intuneだけ契約することもできますが、Officeのサブスクリプション「Microsoft 365」の対応プランに加入すれば、Officeアプリとデバイス管理が両方利用でき一石二鳥です。
対象デバイス
2022年11月現在の対象デバイス(OS)は次の通りです。
- Surface Hub
- Windows10/11
- Mac OS 11.6以降
- iOS 14.0以降
- iPadOS 14.0以降
- Android 8.0以降/エンタープライズ
Intuneの機能①MDM(デバイス管理)
Microsoftの「Intune」でできることを具体的に見ていきましょう。
MDM(Mobile Device Management、デバイス管理)は、モバイル端末を管理する機能のことです。
デバイスを登録しておくと、管理画面からデバイスをセットアップしたり、デバイスの状態を確認したり、必要な際にはリモート操作したりすることもできます。
デバイスがネットワークに繋がってさえいればあらゆる制御が可能なため、社給デバイスの管理に適しています。
デバイス制御
登録したデバイスに対し、ポリシーを利用して機能を制限します。
例えば、端末を不正利用やマルウェア感染から防ぐために、次のような設定を行うことが可能です。
- パスコードの桁数や複雑さを指定
- カメラの利用をロックする
- 外部メディアの接続を制限する
グループ単位でポリシー割り当て
デバイスグループを作成すると、グループ単位でポリシーを割り当てることができるようになります。
社外での活動が多い営業部と、セキュアな環境でインターネットバンキングを使う経理部では、使い方もセキュリティリスクの性質も全く異なりますね。
デバイスグループを分けておけば、それぞれの使い方に合わせてカスタマイズしたポリシーを配布することが可能です。
異動や担当替えの際は、ユーザー個別に設定変更を行わなくても、グループのメンバーを編集するだけで適切なポリシーに切り替えられます。
端末ロック・捜索
デバイスを紛失したときは、どうしても探すことに気を取られてしまいがち。
ですが、まず端末を不正利用から守ることが最優先です。
紛失に気づいたら、Intuneでデバイスを遠隔ロックしてから捜索しましょう。
Intune管理画面からは、端末の位置情報取得や、見つけやすくするためのサウンド再生など捜索サポートも可能です。
リモートワイプ
端末が手元に戻らない場合にも、情報漏洩だけは何としても防がなければなりません。
Intuneのリモートワイプを使うと、遠隔で端末のデータを消去し初期状態に戻せます。
この状態で万が一、第三者の手に渡っても、データにアクセスされるという最悪のケースは回避できますね。
Intuneの機能②MAM(アプリ管理)
Intuneには、MAM(Mobile Application Management、モバイルアプリケーション管理)機能も付いています。
MAMは、最近利用が増加しているBYOD(Bring Your Own Device、個人持ち込み端末)向けの機能で、端末内の業務用アプリとデータを管理するものです。
社用デバイス向けのMDMでは、端末の機能そのものをロックしたり、紛失時には強制的にフルワイプしたりすることが可能でしたが、私物の場合そうはいきません。
デバイスがプライベート兼用である場合、プライバシーの問題もあり、管理を徹底することは不可能です。
そこで、業務用アプリ・データとプライベートのアプリ・データを完全に分離して、業務用アプリ・データに対してのみ制御を行うのがMAMです。
アプリ管理
Intuneでは、デバイスに業務用アプリを割り当てる際に、管理設定を追加できます。
例えば次のような設定を行うことで、本人以外がデバイスを操作した場合に、業務用アプリやデータへのアクセスを防ぐことが可能です。
- アプリ起動時の認証必須化
- PINの長さや複雑さを指定
- タイムアウト後、再認証を実施
不正操作の防止
BYODで懸念すべきは第三者による悪用のみではなく、内部不正による情報漏洩にも注意する必要があります。
Intuneでは、業務用データのみに対し、目的外利用を厳格に制御することが可能です。
- アプリ間での切り取り・コピー・貼り付けを制限
- 未承認のクラウドへのバックアップをブロック
- 保存可能な場所を制限
データの分離
Intuneでは、業務用データとプライベートのデータを完全に分離して管理しています。
複数IDに対応しているので、業務とプライベートで同じアプリを使用していた場合にもデータが混ざることはありません。
紛失時にはデバイスごと初期化するフルワイプではなく、業務用のデータのみを消去する部分的ワイプを行うことができます。
Intuneを使うならMicrosoft 365がおすすめ
Intuneのモバイルデバイス管理は、Microsoftの「Enterprise Mobility + Security」というプランで提供されています。
| 価格 (年契約・ユーザー/月) |
特徴 | |
|---|---|---|
| Enterprise Mobility + Security E3 | 1,160円 | エンドポイント管理のみ |
| Enterprise Mobility + Security E5 | 1,790円 | エンドポイント管理、IDとアクセス管理、情報保護 等 |
デバイス管理システムとしては、少々高額な部類といえるかもしれません。
しかし、IntuneとOfficeを組み合わせることで、お得に利用する方法があるのをご存じでしょうか。
OfficeアプリをはじめとしたMicrosoftのサービスが定額で利用できる「Microsoft 365」には、Intuneが含まれているプランがあります。
Microsoft 365でIntuneを利用すれば、ユーザー管理もデバイス管理も「Microsoft 365管理センター」からまとめて行うことができるので、システム部門の作業を1つのシステムに集約することも可能です。
| 価格 (年契約・ユーザー/月) |
利用規模 | 特徴 | |
|---|---|---|---|
| Microsoft 365 Business Premium |
要問い合わせ | 300人以下 | OfficeデスクトップアプリとMicrosoftの各種ツールが利用可能、高度な脅威対策有 |
| Microsoft 365 E3 |
要問い合わせ | 人数上限なし | OfficeデスクトップアプリとMicrosoftの各種ツールが利用可能 |
| Microsoft 365 E5 |
要問い合わせ | 人数上限なし | E3の上位版、情報保護に対応 |
| Microsoft 365 F1 |
要問い合わせ | 人数上限なし | 現場向け、Office Webアプリが利用可能 |
| Microsoft 365 F3 |
要問い合わせ | 人数上限なし | F1の上位版、Exchange Online(メールサービス)付 |
NECネッツエスアイ
Microsoft 365のライセンス、料金紹介ページはこちら
まとめ
- リモートワーク、クラウド利用のセキュリティ対策として、デバイス管理システムは必須
- Microsoftの「Intune」は、MDM(デバイス管理)とMAM(アプリ管理)の両方に対応し、会社デバイスとBYODを一括管理できる
- Intuneは単体より、Microsoft 365ライセンスでの利用がお得
NECネッツエスアイでは、Microsoft 365のプラン選びから導入支援、カスタマイズなど、Microsoft 365の運用を総合的にサポートしています。
Microsoft 365の導入にあたりご不明点や不安な点がございましたら、ぜひ一度、当社へご相談ください。
【関連記事】合わせて読みたい
Microsoft 365 Defenderとは?ポータルサービスの役割も解説
Officeのサポート切れに注意!Microsoft 365でセキュリティ対策を強化
※記載されている会社名および製品名は、各社の商標または登録商標です。
SymphonictとはNECネッツエスアイが提供する、「共創でお客様のビジネスに新たな価値を提供する」をコンセプトに先端技術やサービスを繋ぎ・束ねることでIT・デジタル変革技術やツール・システムを皆様にお届けするデジタルトランスフォーメーション(DX)サービス。→Symphonictに関してはこちら
※免責事項
本コンテンツは一般的な情報の提供を目的としており、法律的、税務的その他の具体的なアドバイスをするものではありません。個別具体的事案については、必ず弁護士、税理士等の専門家にご相談ください。
本コンテンツの情報は、その情報またはリンク先の情報の正確性、有効性、安全性、合目的性等を
補償したものではありません。
また、本コンテンツの記載内容は、予告なしに変更することがあります。
Microsoft 365ならライセンス管理・ファイル共有が簡単に!
