企業でのモバイルデバイス活用を支える マイクロソフトのモ...
TRANSCRIPT
ROOM
F企業でのモバイルデバイス活用を支えるマイクロソフトのモバイルデバイス管理ソリューション
日本マイクロソフト株式会社Windowsデバイスソリューション営業本部テクノロジー営業部テクノロジースペシャリスト
横田 幸郎
アジェンダ
• モバイルデバイス活用への課題
• モバイル デバイス活用
• モバイルデバイスのセキュリティ
• マイクロソフトのモバイルデバイス管理ソリューション
モバイルデバイス活用への課題
ユーザーとデバイスを取り巻く環境
多種の OS に対するアプリケーションの配布と管理の実現が必要とされる
アプリケーション データ
コンプライアンスを守り、リスクを抑えながらユーザーのデータ活用を進めたい
どこにいても仕事ができ、どこからでも必要なリソースにアクセスできることを期待
ユーザー
デバイスの種類と数の増加によりこれまでのデバイス管理基盤での対応が困難
デバイス
People-centric IT
アプリケーションユーザー
Empower users
ユーザーにデバイスの選択肢を提供し、どのデバイスからも会社のリソースへのアクセスを可能にする
Unify your environment
統合されたアプリケーションとデバイスの管理基盤をオンプレミスとクラウドの両方で提供する
Protect your data
会社のデータを保護し、リスクを管理する
データデバイス
管理基盤、セキュリティ ポリシー、アクセス コントロール
会社所有と個人所有のPC (これまで)
会社所有の PC
• Windows Pro/ Enterprise
• ドメインに参加
• Group Policy で管理
• ネットワークに接続
• IT 管理者による管理
個人所有の PC
• Windows (Home)、 Mac OS
• ドメイン参加できない
• 管理できていない
• WiFi 接続が可能
• IT 管理者による管理は不可
• VPN、RDS による社内接続
現在のデバイス環境
会社所有の PC
• Windows が多数を占める• ドメインに参加した PC• Group Policy/Active Directory
による管理• x86 Windows を対象とした
従来の管理インフラ• 長期にわたる運用ノウハウ• 管理と制御の拡張性
個人所有のデバイス/会社所有のタブレット
• さまざまな OS とバージョン(iOS、Android、Windows)
• ドメイン未参加のデバイス
• Group Policy/Active Directory で管理できない
• 新しい MDM インフラでの管理が必要
• OS ごとに異なる管理
モバイルデバイス活用
モバイルデバイスの活用シーン
社内
インターネット・クラウド
メール・スケジュール
ユーザー
Windows 8.1 / Windows RT 8.1
ドメインに参加していないデバイスを AD DSに登録すること※ ローカル ユーザー単位の設定
シンプルなユーザー エクスペリエンス
Windows Server 2012 R2 のActive Directory Federation Services (ADFS) を利用
Windows Intune + SCCM 2012 R2による接続情報の設定
ワークプレースへの参加 (Workplace Join)
ワークプレースへの参加
Start
Start
DRS – Device Registration Service
ワークプレースへの参加のメリット
- 社内リソース (アプリケーション/データ) へのアクセス制御- リスク管理- シームレスな二要素認証
- 個人所有のデバイスから社内リソースへアクセス- シングルサインオン (SSO) – 資格情報の繰り返し入力は不要- アプリケーションごとの認証情報の保存が不要
企業
ユーザー
企業ネットワークインターネット
Windows 8.1/RT 8.1 は3rd Party VPNクライアントを OS に標準実装
F5、Junipar、Dell SonicWall、CheckPoint の VPN に対応
VPN 自動実行でワンクリック操作でサインイン
アプリケーションや接続先のネットワーク アドレスにより自動的にVPN 起動
社内ネットワークへの接続
最新のデータにいつでも複数のWindows デバイスからアクセス
複数の Windows デバイスから自分のデータにアクセス
業務データと個人データの切り分けが可能 (Selective Wipe)
IRM との連携によるドキュメントのアクセス制限と暗号化も可能
ワークフォルダー
社内リソースへのアクセス 全体像
• DirectAccess• VPN
ユーザーはどこからでも、どのデバイスからでもアクセス可能
ユーザーとデバイスはActive Directoryによって統合認証される
DesktopVirtualization(VDI)
社内リソース
Mobile DeviceManagement
Device Management
Admin
モバイルデバイスのセキュリティ
モバイル デバイスのセキュリティ
• 社内環境やデータにアクセスするデバイスのリスク管理
• 適切に管理されたセキュアなデバイス活用
– セキュリティ ポリシーの順守
– 紛失、盗難への対策
– ネットワークのセキュリティ
– データのセキュリティ
• ユーザーへの徹底
パスワード
暗号化
VPN
VDI/RDS
セキュリティポリシーウィルス対策
デバイスの管理レベルに応じたアクセス
https RDP
https https/http
IPv6 over IPSecIPv6 over IPv4 (w/ IPSec)
IPv6 packets on HTTPS
透過的
透過的
NEW!!
社内リソース
2012 R2
暗号化とアカウントのロックアウト
• Windows 8.1/ Windows RT 8.1 でデバイス暗号化機能を提供
• マイクロソフト アカウントの認証に連動して自動的に暗号化
• 指定された回数のログインに失敗するとアカウントをロックする設定
• ロックの解除にはマイクロソフト アカウントでアクセス可能な Skydrive 上に保存された回復キーが必要
マイクロソフトのモバイルデバイス管理ソリューション
マイクロソフトのデバイス管理ソリューション
オンプレミスの PC 管理
スケーラビリティと柔軟性を兼ね備えたPC のトータルなライフサイクル管理ソリューション
クラウド型 デバイス 管理
迅速な展開が可能なクラウドベースの PC・モバイルデバイス管理ソリューション
オンプレミスとクラウドが連携した統合デバイス管理
PC + モバイルデバイスの強力で柔軟な管理機能を提供する統合デバイス管理ソリューション
SCCM 2012 R2 と Windows Intune
によるデバイスの統合管理Devices & Platforms
Single adminconsole
デバイスの登録と管理
ADFS のフェデレーションによりデバイス登録時に AD のアカウントで認証
ユーザーはモバイル・BYOD デバイスをWindows Intune の管理対象として登録Windows Intune の管理対象のデバイスから会社のポータルを通じて必要なアプリケーションにアクセス可能
登録のプロセスで AD にデバイスオブジェクトが作成され、デバイスとユーザーのリンクを作成
Windows Intune からのデータが SCCM に同期され、クラウドとオンプレミスでの統合管理が実現
社内リソースへの接続の管理
VPN 設定の管理
SSL VPN 設定の配布
自動 VPN 接続スタンダードな VPN接続設定をサポート
Cisco、Juniper、F5、CheckPoint、Dell SonicWall、MS の SSL VPN
設定をユーザーに配布/管理
PPTP、L2TP、IKEv2
標準的な VPN 接続をサポート
接続先のネットワークによる自動VPN 接続 (Windows/RT 8.1、iOS)
アプリケーション起動時の自動VPN 接続 (Windows/RT 8.1)
無線 LAN 接続と証明書の管理
Wi-Fi 設定 証明書の管理と配布
信頼されたルート証明書の配布
Simple Certificate EnrollmentProtocol(SCEP) のサポート
Wi-Fi プロトコルと認証設定の管理デバイスが自動で接続する Wi-Fi
ネットワークの設定配布Wi-Fi 接続に使用する証明書の指定
ワークフォルダーの設定管理
Windows デバイス間のフォルダー同期
Windows 8.1 +Windows Server 2012 R2 の新機能
SCCM 2012 R2 と WindowsIntune でのサポート
会社のポータル アプリケーションからワークフォルダーの設定を配布
社内リソースへのアクセスの設定
SCCM から社内リソースへのアクセス設定を配布– VPN 設定の管理と配布
– VPN 自動起動設定の管理と配布
– Wi-Fi 接続設定の管理と配布
– 証明書の管理と配布
新機能の利点– ユーザーが設定することなく
社内リソースへのアクセスを実現
サポート OS
– Windows 8.1/Windows RT 8.1
– iOS
– Android(※ OS により対応機能が異なります)
アプリケーションの管理
デバイスに対応したアプリケーションの配布
•アプリケーションに関する情報を設定(情報はポータルでの表示などに使用)•デバイス/ ユーザーコレクションに展開•アプリケーション展開の種類とともに登録
Adobe Reader(MSI)
アプリケーション (例: Adobe Reader)
Adobe Reader(App Store Link)
Adobe Reader(Windows Store Link)
アプリケーション展開の種類• Windows Installer (MSI)• Windows Script• App-V 4.0• App-V 5.0• Windows 8 app package
(.appx /Windows Store Link)• Windows Phone• iOS (.ipa /App Store Link)• Android (.apk /Google Play Link)• Mac OS X
など
Adobe Reader(App-V)
アプリケーション展開の種類
Adobe Readerアプリケーション定義
セルフサービス ポータル会社のポータル
ユーザー向けの統一されたポータル
ネイティブ ポータルアプリを提供– Windows RT– Windows x86/x64 – New!– iOS – New!– Android – Preview Available!
必要なアプリケーションをユーザーがインストール
ポータルから自分のデバイスを管理– Wipe の実行
セキュリティ設定の管理
モバイル デバイスのポリシー設定
• 強力で、きめ細やかなデバイス管理を実現する数多くの設定項目
• Windows、iOS、Android の各 OS に対応した各種ポリシーを管理コンソールから設定可能
• デバイスのポリシーを定期的にチェックし修復、および管理者への通知
設定可能なのポリシー項目 – (例)
※ このリストの項目以外にも多くの設定可能な項目があります
カテゴリ ポリシー 対象
パスワード パスワード必須 iOS, Android
最小文字数 iOS, Android, Win
有効期限(日数) iOS, Android, Win
複雑さ iOS, RT
品質 Android
記憶する数 iOS, Android, Win
ワイプするまでの失敗回数 iOS, Android, Win
ロックするまでの時間 iOS, Android, Win
デバイス 音声アシスタント iOS
ビデオチャット iOS
Game Center iOS
画面の取り込み iOS
ブラウザー 自動入力を許可する iOS, Win
Javascript を許可する iOS, Win
カテゴリ ポリシー 対象
ストア アプリケーション ストア iOS
アプリ内購入 iOS
クラウド バックアップ iOS
ドキュメントの同期 iOS
写真の同期 iOS
セキュリティ
アプリケーション インストールの許可
iOS
リムーバブル記憶域 Android
カメラ iOS, Android(※1)
ローミング 音声通話ローミング iOS
データローミング iOS, RT
暗号化 モバイル デバイス ファイルの暗号化
Android
Work folder Work folder URL Win
※ iOS: iOS 5以降、Android: Android 4、 Win: Windows 8.1/RT 8.1※1 Android 4.1
http://technet.microsoft.com/en-us/library/dn376523.aspx
モバイル デバイスのインベントリ
アプリケーション管理アプリケーションインベントリ
個人所有/会社所有デバイス
ユーザーが登録したデバイスは個人所有のデバイスとして登録
管理者は会社所有のデバイスに設定を変更可能
個人所有のデバイスではSCCM/Windows Intune でインストールされ
たアプリケーションの情報のみ取得
会社所有のデバイスではデバイスの全てのアプリケーションの情報を取得
個人所有/会社所有のデバイスで異なるアプリケーション
インストール方法を適用するための新しい条件設定
DEMO
モバイルデバイスの設定管理インベントリ収集
情報の保護
データの保護
紛失、盗難や BYOD デバイスの使用終了時のデータ保護
Full Wipeフル ワイプの可否はデバイスの OS とデバイス管理に依存• iOS/Android: 完全なデータのワイプと工場出荷状態へのリセット• Windows RT/ Windows 8: フルワイプ機能は無し
Selective Wipe• 業務に使用しなくなったデバイスから必要のなくなった業務アプリ、データを削除• ユーザーもしくは管理者が実行• デバイス管理基盤からのデバイス情報の削除• デバイス管理基盤からのアプリケーションのインストールと、設定の管理を無効化
し、インストール済みの業務アプリとメールのデータ、および証明書を削除
Full Wipe および Selective Wipe
カテゴリ Windows 8.1/Windows RT 8.1
iOS Android
Full Wipe ー ○ ○
SelectiveWipe
E Mail EAS 経由のメールを削除 ー ー
会社のアプリからインストールされた企業アプリ
アンインストール + サイドローディングキーの削除
アンインストール ー
企業アプリのデータ
アクセス不可化 削除 ー
VPN / Wi-Fiプロファイル
○ ○ ー
証明書 削除&サーバーで失効 削除&サーバーで失効 サーバーで失効
設定(MDM ポリシー)
強制したポリシーの削除 強制したポリシーの削除 強制したポリシーの削除
管理エージェント OS ビルトイン 管理プロファイルの削除デバイス管理者の
特権の失効
デバイスの統合管理
デバイスの管理レベル
独立したデバイス
Workplace
JoinedDomain
JoinedStart Start
利用者 No access Partial access Full access
Mobile/BYOD devices
安全性
MDM
Joined
Partial access
Start
ユーザー認証 ○ ○ ○ ○
デバイス認証 ー ○ ○ ○
マルチファクター認証 ー ○ ○ ○
ワイプ、初期化 ー ー ○ ○
デバイス暗号化 ー ー ○ ○
グループポリシー ー ー ー ○
PC と モバイルデバイスの統合管理
モバイル デバイスと PC の統合管理• SCCM 管理コンソールですべての
デバイスを一元管理
• モバイルデバイス、PC のポリシーをデバイスの種類や用途に応じて設定し各デバイスに配布
• アプリケーションや各種設定を対象となるユーザーやデバイスに配布
• 日々増加するデバイスに対応可能なスケーラビリティ
DEMO
デバイスの統合管理
SCCM 2012 R2 と Windows Intune
によるデバイスの統合管理Devices & Platforms
Single adminconsole
People-centric IT
アプリケーションユーザー
Empower users
ユーザーにデバイスの選択肢を提供し、どのデバイスからも会社のリソースへのアクセスを可能にする
Unify your environment
統合されたアプリケーションとデバイスの管理基盤をオンプレミスとクラウドの両方で提供する
Protect your data
会社のデータを保護し、リスクを管理する
データデバイス
管理基盤、セキュリティ ポリシー、アクセス コントロール
Windows Intune ライセンス• ユーザー単位のライセンス体系
– 1 ユーザー ライセンスあたり 5 デバイスまで管理可能(PC、スマートフォン、タブレットなど)
• Windows Intune ライセンス に含まれる利用権
– Windows Intune の利用権
– System Center 2012 Configuration Manager (SCCM) の利用権
– System Center 2012 Endpoint Protection (SCEP) の利用権
ライセンスの種類利用可能な製品・機能
Windows Intune SCCM/SCEP
Windows Intune ○ ○
Windows Intune Add-onfor Core CAL/E-CAL ○ 既存ライセンスを利用
5 デバイス
SCCM + Windows Intune
EXPO 会場にて タッチ&トライ実施中!
EXPO(展示会場)WindowsZoneで紹介中Windows ストア アプリ
業務アプリケーションも続々リリース!!
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the
part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.