こんにちはAmiです。今回は業務用のモバイルデバイス管理ツール「Microsoft Intune」を扱っている際のクライアントさんからの頻出問題の一つMDM(Mobile Device Management)とMAM(Mobile Application Management)の使いどころについて書き残していこうと思う。
まずはMDMの性質についてまとめたい。
MDMとは
MDM(Mobile Device Management)と記載の通り端末を管理する意味です。ざっくり端末管理といってもなんのこっちゃなので、こんなことをやってる/やるならMDMと言い切れそうです。下記に3つの例を出してみます。
- デバイスにセキュリティ製品を導入して、登録、一覧で管理している。
- デバイスに設定ファイルやVPNのプロファイルを配布している。
- デバイスの利用状況などをインベントリ(端末情報を収集)している。
これらのどれか1つでもやっている場合MDMとなります。
なおIntuneでは、会社で支給するデバイス(BYCD)のほかに個人が持ち込んだデバイス(BYOD)の2パターンを管理することが可能です。 もちろんBYODとBYCDに課す制約を分けて管理できます。
MDMとしてデバイスを管理する場合は、管理対象のデバイスの設定を事細かに制御できることや、管理者が指定した構成に強制することができるので、デバイスごとにセキュリティレベルがバラバラになるといった問題に対処できます。(BYODデバイスに対してもおおむね同様に制御できる)
MDMでデバイスを管理する場合の流れ
①デバイス登録
②デバイス構成、アプリ配布
Intuneではデバイス構成ポリシーやデバイスコンプライアンスポリシーというキーワードです。
デバイス構成ポリシーとはIntuneに登録したデバイスに配布する定義で、デバイスの設定や、証明書の配布などを行うことができます。
デバイスコンプライアンスポリシーとはデバイスやユーザがデータにアクセスするために守られている必要のある状態を定義して、準拠していなければ利用者に警告を出すことができる機能です。
③データ保護(MAM)
④利用終了(破棄)
BYODでMDMをやるときはプライバシーに配慮する
MDMは事細かにデバイスを制御できるのが最大のメリットになりますが、BYODを管理する場合は事情が変わってきます。BYODのデバイスでIntuneのMDMで実現する場合
BYODの利用者はIntuneポータルアプリからセットアップが完了できるため、
がいちいち管理者が配布したマニュアルを見て設定をいじらずに済みますが、制御内容が厳しすぎると、ユーザの使い勝手が悪くなり、BYODの利用を敬遠してしまい本来の目的が達せされないジレンマがあると思っています。 またMDMではデバイス情報の収集もセットになるので、利用者に対してはプライバシー保護について十分な説明が求められます。
IntuneでMDMをやる場合は主に以下のようなで情報を収集します。
詳細については下記のドキュメントのリンク参照してください。
Intuneで収集される情報について一番詳細に記載されてます。
デバイスを登録した場合に会社が確認できる情報 | Microsoft Docs
- デバイスの所有者
- デバイス名
- デバイスのシリアル番号
- デバイス モデル (Google Pixel など)
- デバイスの製造元 (Microsoft など)
- オペレーティング システムとバージョン (iOS 12.0.1 など)
- デバイスの IMEI
- アプリ インベントリとアプリの名前 (Microsoft Word など)。
まとめ
組織においてMDMを導入する場合はどの程度厳格に管理するのか、使い勝手やセキュリティのバランスが重要なポイントとなってきます。
また、従業員等の個人のデバイスを仕事で使わせる場合には 利用者のプライバシーへの配慮も必要になります。
お問い合わせフォーム (Microsoft Forms) へ
0 コメント