清水理史の「イニシャルB」
中小企業のモバイル機器管理はこれで十分 Office 365のモバイルデバイス管理(MDM)機能を使う
(2015/9/7 06:00)
セキュリティを確保しながら、社員が所有するスマートフォンを業務に活用したいー。Office 365のMDMを利用すれば、そんな環境も比較的簡単に実現可能だ。「情報」だけでなく、「デバイス」も管理できるように進化したOffice 365に迫ってみた。
「BYOD」の入り口に
本格的な導入には物足りないかもしれないが、少なくとも入り口に立つことはできる。
一般法人向けに展開されているMicrosoftのOffice 365に、この春からモバイルデバイス管理機能が投入された。
これにより、数人規模の小さなオフィスでも、社員が所有するスマートフォンを企業のシステムに安全に接続したり、セキュリティ設定を強要したり、盗難や紛失などの万が一の場合でもデバイス上のデータを遠隔操作で削除(しかも個人データを残して企業データのみ削除)できるようになった。
BYOD(Bring Your Own Device)は、ユーザーには柔軟な使い方を、企業には機器導入のコストや管理の一部を手放せる画期的な考え方だが、これを実現するには、異なるプラットフォームのデバイスを適切に、しかも遠隔操作で管理する必要があるため、これまで中小規模の企業での導入は難しかった。
本来、BYODがもっとも求められる現場は中小なのに、導入の敷居が最も高いという状況だったわけだ。
しかし、今回、中小でも導入例の多いOffice 365に、MDMの機能が追加されたことで、この問題を解決する1つの糸口が見えてきた。
恐らく、MDM機能自体が、本格的な盛り上がりを見せるのは、Windows 10がMDMをサポートした段階やWindows 10 Mobileが登場してからだと考えられるが、現状のiOS(7以降)、Android(4以降)でも、パスワードの長さやミスした際の強制ワイプ、リモートからの選択ワイプなど、かなりの機能を利用できる。
現状、社員がなし崩し的に利用しているExchangeのメール、OneDriveのデータなど、社内のリソースも、これで安全に管理できるうえ、デバイスそのもののセキュリティも確保できることになる。
もはや、Office 365は、「情報」を管理するためだけのプラットフォームではなく、企業のハードウェア資産も統合的に管理できるプラットフォームになりつつあるわけだ。
Office 365のMDMで何ができるのか?
Office 365のMDMの中身は、別途、企業向けにサービスが提供されているIntuneだ。と言っても、フル機能が提供されるわけでなく、大きく「アクセス制御」、「デバイス管理」、「ワイプ」の3つの機能が提供される。
Wi-Fi接続のプロファイルやアプリのデプロイ、アプリ内操作の制限など、より高度な機能が必要なら、Intuneを利用すべきだが、クラウドへのアクセスとデバイスのセキュリティ設定を管理できれば十分というのであれば、Office 365のMDMでも十分と言えるだろう。
| Office365 | Intune | |
| 管理対象 | iOS/Android/Windows Phone※1 | iOS/Android/Windows Phone/Windows |
| アクセス制御 | MDM登録の強制とポリシーによる制限 | ← |
| デバイス管理 | ポリシーによるセキュリティ設定が可能(PINケタ数、強制ワイプ回数など) | ← |
| 選択ワイプ | 個人データはそのままに企業データのみ選択削除 | ← |
| 高度なデバイス管理 | - | Wi-Fi、VPNプロファイル管理 |
| アプリ管理 | - | 企業アプリのデプロイ |
| - | officeアプリでのコピー/貼り付け操作などの禁止 | |
| - | ブラウザーや各種ビューワーなどの指定したアプリの使用 | |
| PC管理 | - | PCも管理可能 |
- ※1:Windows 8.1/Windwos 8.1 RTのアクセス制限はExchange ActiveSyncでサポート
それでは、各機能をもう少し、詳しくみていこう。アクセス制御は、いわばMDMの利用の強要だ。デバイスの管理がユーザーに任されているBYODのような環境では、MDMの管理可に置くための設定をユーザーが実施してくれないケースが考えられる。
例えば、ユーザーがMDMの設定をせずに、Office 365のアカウントでメールをセットアップしたとしよう。この場合、受信されるメールはMDMへの登録をうながすメールのみで、既存の受信メールはデバイスに降ってこない。MDMの管理下に入ることで初めてOffice 365のサービスが使えるようになる。こういった機能などで、デバイスの社内リソースへのアクセスを制限できる。
デバイス管理は、グループポリシーによるPCの管理と同様に考えればわかりやすい。例えば、Office 365側で、デバイスのパスワード設定、パスワードの長さを定めておくと、MDMの管理下に入ったデバイスで、その設定が強要され、パスワードの設定(もしくは再設定)画面が表示される。
デバイスの暗号化を強要したり、画面キャプチャを禁止したりと、さまざまな機能が可能になっているが、設定できる機能は下の表のようにデバイスごとに若干の差がある。
最後のワイプは、デバイスの紛失や盗難対策ができる機能だ。万が一、デバイスがユーザーの管理下から離れたときに、デバイス上のデータをリモート操作で削除することができる。もちろん、単純なリモートワイプなら、Office 365以外のデバイス管理機能でも可能だが、Office 365で特徴的なのは選択ワイプが可能な点だ。
BYODの環境では、ユーザー自身のデバイスを業務に利用するため、当然、個人のメールアドレスなどが登録されている。いくら紛失や盗難に遭ったとは言え、業務データを守るために、これらのデータも一緒にフルワイプするのは、さすがにモラルに反する。
これに対して、選択ワイプでは、デバイス上に存在する企業のデータのみ削除できる。例えば、登録されているメールアカウントのうち、Googleのアカウントは残して、Office 365のアカウントだけ削除したり、OneDriveアプリでOffice 365のアカウントだけを削除できる。
これなら、IT担当者もちゅうちょせず、紛失・盗難にあった端末のワイプを実行できる。迷いや本人の確認待ちによる時間的なロスが、企業に与えるダメージを大きくすることも防止できるわけだ。
| Winodws Phone 8.1 | iOS 7.1以降 | Android 4以降 | ||
| セキュリティ | パスワードを要求 | ○ | ○ | ○ |
| シンプルなパスワードを禁止 | ○ | ○ | × | |
| 英数字のパスワードを要求 | ○ | ○ | × | |
| パスワードの最小文字数 | ○ | ○ | ○ | |
| デバイスがワイプされるまでのサインイン失敗回数 | ○ | ○ | ○ | |
| デバイスがロックされるまでのアイドル時間 | ○ | ○ | ○ | |
| パスワードの有効期限 | ○ | ○ | ○ | |
| パスワードの履歴を記憶して再利用を防止 | ○ | ○ | ○ | |
| 暗号化の設定 | デバイス上のデータの暗号化を要求 | 標準で暗号化済み | × | ○ |
| 脱獄対策 | デバイスの脱獄またはルート化は禁止 | 脱獄不可 | ○ | ○ |
| 電子メール管理 | 電子メールプロファイルを管理 | × | ○ | × |
| クラウドの設定 | 暗号化されたバックアップを要求 | × | ○ | × |
| クラウドバックアップの禁止 | × | ○ | × | |
| ドキュメントの同期の禁止 | × | ○ | × | |
| 写真の同期の禁止 | × | ○ | × | |
| システムの設定 | 画面キャプチャの禁止 | ○ | ○ | ○(Samsung Knoxのみ) |
| デバイスからの診断データ送信の禁止 | ○ | ○ | × | |
| アプリケーション設定 | デバイスでのデオ会議をブロックする | × | ○ | × |
| アプリケーションストアのアクセスをブロック | ○ | ○ | × | |
| アプリケーションストアにアクセスするときにパスワードを要求 | × | ○ | × | |
| デバイスの機能の設定 | リムーバブルストレージとの接続の禁止 | ○ | × | × |
| Bluetooth接続の禁止 | ○ | × | × | |
| その他 | CameraEnabled | ○ | ○ | ○ |
| RegionRatings | × | ○ | × | |
| MobiesRatings | × | ○ | × | |
| TVShowRating | × | ○ | × | |
| AppsRatings | × | ○ | × | |
| AllowVoiceDialing | × | ○ | × | |
| AllowVoiceAssistant | × | ○ | × | |
| AllowAssistantWhileLocked | × | ○ | × | |
| AllowPassbookWhileLocked | × | ○ | × | |
| MaxPasswordGracePeriod | × | ○ | × | |
| PasswordQuality | × | × | ○ | |
| SystemSecurityTLS | × | ○ | × | |
| WLANEnabled | ○ | × | × |
いつからこんなに親切になったのか
このように、BYODの入り口としては、十分な機能を備えたOffice 365だが、その使い方もずいぶんと親切になった。
かつてのOffice 365は、使おうとする機能が新しければ新しいほど、使い方がわかりにくいというケースが多かったのだが、今回のMDMに関しては、ベースがIntuneということもあり、かなり親切な日本語ガイドを参照しながらセットアップすることができる。
手順としては、以下のような順番になる。初回のみ、DNSの構成や証明書の作成などが必要だが、具体的なレコードの内容や証明書取得手順の解説がきちんと表示されるので、ドキュメントを参照しながら、1つずつ設定していけば、迷うことはない。
失礼かもしれないが、Office 365が、「いつからのこんなに親切になったのか」と感心してしまった。
1.Office 365のアクティブ化
Office 365管理センターから操作
2.MDM用ドメインの構成
MDMで利用するホスト名をCNAMEで2つ追加
3.iOS用APN証明書の構成
AppleのサイトでApple Push Notification用証明書を作成
4.セキュリティグループの作成
Office 365のセキュリティグループを作成し、管理対象ユーザーを追加
5.デバイスポリシーを作成
デバイスに設定する制限のポリシーを作成し、セキュリティグループに割り当て
端末側の設定も簡単
一方、端末側は、BYODであれば、基本的にユーザーが設定することになる。このため、あまり複雑な設定が強いられると運用が難しくなるが、こちらもそんなに心配する必要はない。
最初にIntune用の「会社のポータル」アプリをインストールすれば、設定手順などを確認しながら、アカウントを登録できるので、スムーズに設定できる。
デバイス側での操作(ユーザー)
1.アプリのインストール
「会社のポータル」アプリをストアからダウンロード
2.サインイン
Office 365のユーザーでサインイン
3.機種ごとの構成を実行
iOSはAPN証明書のインストール。Windows Phoneは会社アカウントの追加
4.ポリシーに合わせた設定
ポリシーにより、パスワードの再設定画面などが表示されるので設定
5.会社用の構成
OutlookやOneDriveなどをインストールし、アカウントを構成する
手順3まででMDMの管理下にデバイスが置かれれば、Office 365側で設定したポリシーに従って、端末の強制設定が実行される。パスワードを設定していなければ警告から設定画面が自動的に表示されるし、パスワードのケタ数が足りなければ再設定がうながされる。画面キャプチャを禁止しておけば、画面キャプチャのキー操作をしてもポリシーによって禁止されているというメッセージが表示されるようになる。
ワイプに関しては、Office 365の管理ポータルから実行する。デバイスが登録されると「モバイルデバイス」の項目に一覧表示されるので、ワイプしたいデバイスを選択し、「ワイプ」もしくは「選択ワイプ」を実行すればいい。
試しに、Android 4.4搭載のデバイスで、OutlookアプリとOneDriveアプリに、個人用のアカウント(Googleと個人用OneDrive)とOffice 365のアカウントを登録してみたが、選択ワイプ実行で、同アプリから見事にOffice 365のアカウントのみが削除された。
これなら、個人に確認を取る前に、管理者の判断だけでデータをワイプしても問題ないだろう。
だたし、注意が必要な点もある。現状の選択ワイプで削除されるのは、OutlookやOneDriveアプリで管理されているデータに限られる点だ。
例えば、iOS搭載デバイスの「設定」の「メール/連絡先/カレンダー」、Android端末の「設定」のアカウントに、直接、Exchangeのアカウントが登録されている場合、これは管理対象にならないため、選択ワイプを実行してもメールを使い続けることができてしまう。
現状は、会社のメールはOutlookアプリ、データアクセスはOneDrvieアプリを必ず使うという運用で避けるしかないだろう。
手軽に始められるMDM
以上、Office 365のMDM機能を実際に使ってみたが、小規模なオフィスであれば十分な機能という印象だ。
個人の端末を使う以上、セキュリティ設定などをなかなか強要しにくいが、Office 365のMDMを利用すれば、パスワードや暗号化などを自動的にユーザーに強要できる。適用範囲をあらかじめ確認しておく必要はあるが、選択ワイプによって個人データは残したまま、デバイスから企業データのみを削除することも手軽にできるので、素早く、柔軟なセキュリティ対策ができるだろう。
もちろん、Office 365の契約によって、メールやOneDrive、SharePoint、Officeアプリなどさまざまな機能が使えるので、MDMの追加によって、さらにお得になったと言えるだろう。
なお、試しにWindows 10 Pro、およびWindows 10 Mobile(Insider)も登録してみたが、現状はアクセス管理もワイプも利用できなかった。今後、これらが対応してくれば、さらに便利になることは間違いないだろう。
清水 理史
製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できるWindows 8.1/7 XPパソコンからの乗り換え&データ移行」ほか多数の著書がある。