アジェンダ モバイルデバイス活用への課題 モバイルデバイス活用 モバイルデバイスのセキュリティ マイクロソフトのモバイルデバイス管理ソリューション

ROOM

F

企業でのモバイルデバイス活用を支える

マイクロソフトのモバイルデバイス管理

ソリューション

日本マイクロソフト株式会社

Windowsデバイスソリューション営業本部 テクノロジー営業部 テクノロジースペシャリスト

横田 幸郎

アジェンダ

• モバイルデバイス活用への課題

• モバイル デバイス活用

• モバイルデバイスのセキュリティ

• マイクロソフトのモバイルデバイス管理

ソリューション

ユーザーとデバイスを取り巻く環境

多種の OS に対するアプリケー ションの配布と管理の実現が 必要とされる

アプリケーション

データ

コンプライアンスを守り、 リスクを抑えながらユーザーの データ活用を進めたい どこにいても仕事ができ、 どこからでも必要なリソース にアクセスできることを期待

ユーザー

デバイスの種類と数の増加により これまでのデバイス管理基盤での 対応が困難

デバイス

People-centric IT

アプリケーション

ユーザー

Empower users

ユーザーにデバイスの選択肢を 提供し、どのデバイスからも会 社のリソースへのアクセスを可 能にする

Unify your environment

統合されたアプリケーションと デバイスの管理基盤をオンプレミ スとクラウドの両方で提供する

Protect your data

会社のデータを保護し、リスク を管理する

データ

デバイス

会社所有と個人所有のPC (これまで)

会社所有の PC

•

Windows Pro/ Enterprise

•

ドメインに参加

•

Group Policy で管理

•

ネットワークに接続

•

IT 管理者による管理

個人所有の PC

• Windows (Home)、 Mac OS

• ドメイン参加できない

• 管理できていない

• WiFi 接続が可能

• IT 管理者による管理は不可

• VPN、RDS による社内接続

現在のデバイス環境

会社所有の PC

•

Windows が多数を占める

•

ドメインに参加した PC

•

Group Policy/Active Directory

による管理

•

x86 Windows を対象とした

従来の管理インフラ

•

長期にわたる運用ノウハウ

•

管理と制御の拡張性

個人所有のデバイス/

会社所有のタブレット

• さまざまな OS とバージョン

(iOS、Android、Windows)

• ドメイン未参加のデバイス

• Group Policy/Active

Directory で管理できない

• 新しい MDM インフラでの

管理が必要

• OS ごとに異なる管理

モバイルデバイスの活用シーン

社内

インターネット ・クラウド メール・ スケジュール ユーザー

ドメインに参加していないデバイスを AD DS

に登録すること

※ ローカル ユーザー単位の設定

シンプルなユーザー エクスペリエンス

Windows Server 2012 R2 の

Active Directory Federation Services (ADFS) を

利用

Windows Intune + SCCM 2012 R2

による接続情報の設定

ワークプレースへの参加

Start

Start

DRS – Device Registration Service





ワークプレースへの参加のメリット

- 社内リソース (アプリケーション/データ) へのアクセス制御

- リスク管理

- シームレスな二要素認証

- 個人所有のデバイスから社内リソースへアクセス

- シングルサインオン (SSO) – 資格情報の繰り返し入力は不要

- アプリケーションごとの認証情報の保存が不要

企業

ユーザー

企業ネットワーク

インターネット

Windows 8.1/RT 8.1 は3rd Party VPN

クライアントを OS に標準実装

F5、Junipar、Dell SonicWall、

CheckPoint の VPN に対応

VPN 自動実行でワンクリック操作で

サインイン

アプリケーションや接続先のネット

ワーク アドレスにより自動的に

VPN 起動

社内ネットワークへの接続

最新のデータにいつでも 複数のWindows デバイスからアクセス

複数の Windows デバイスから自分の

データにアクセス

業務データと個人データの

切り分けが可能 (Selective Wipe)

IRM との連携によるドキュメントの

アクセス制限と暗号化も可能

ワークフォルダー

社内リソースへのアクセス 全体像

• DirectAccess

• VPN

ユーザーはどこからでも、どの デバイスからでもアクセス可能 ユーザーとデバイスは Active Directory に よって統合認証される

Desktop

Virtualization

（VDI）

社内リソース

Mobile Device

Management

Device Management

Admin

モバイル デバイスのセキュリティ

• 社内環境やデータにアクセスするデバイスのリスク管理

• 適切に管理されたセキュアなデバイス活用

– セキュリティ ポリシーの順守

– 紛失、盗難への対策

– ネットワークのセキュリティ

– データのセキュリティ

• ユーザーへの徹底

パスワード

暗号化

VPN

VDI/RDS

セキュリティ ポリシー ウィルス対策

デバイスの管理レベルに応じたアクセス

https

RDP

https

https/http

IPv6 over IPSec

IPv6 over IPv4 (w/ IPSec)

IPv6 packets on HTTPS

透過的

透過的

NEW!!

社内

リソース

2012 R2

暗号化とアカウントのロックアウト

• Windows 8.1/ Windows RT 8.1 でデバイス

暗号化機能を提供

• マイクロソフト アカウントの認証に連動して

自動的に暗号化

• 指定された回数のログインに失敗すると

アカウントをロックする設定

• ロックの解除にはマイクロソフト アカウント

でアクセス可能な Skydrive 上に保存された

回復キーが必要

マイクロソフトのモバイルデバイス管理

ソリューション

マイクロソフトのデバイス管理ソリューション

オンプレミスの PC 管理

スケーラビリティと 柔軟性を兼ね備えた PC のトータルな ライフサイクル管理 ソリューション

クラウド型 デバイス 管理

迅速な展開が可能なクラウド ベースの PC・モバイル デバイス管理ソリューション

オンプレミスとクラウドが連携した統合

デバイス管理

PC + モバイルデバイスの強力で柔軟な管理機能 を提供する統合デバイス管理ソリューション

SCCM 2012 R2 と Windows Intune

によるデバイスの統合管理

Devices & Platforms

Single admin console

デバイスの登録と管理

ADFS のフェデレーションにより デバイス登録時に AD の アカウントで認証 ユーザーはモバイル・BYOD デバイスを Windows Intune の管理対象として登録 Windows Intune の管理対象のデバイス から会社のポータルを通じて必要なアプ リケーションにアクセス可能 登録のプロセスで AD にデバイス オブジェクトが作成され、デバイス とユーザーのリンクを作成 Windows Intune からのデータ が SCCM に同期され、クラウドと オンプレミスでの統合管理が実現

VPN 設定の管理

SSL VPN 設定の

配布

自動 VPN 接続

スタンダードな VPN

接続設定をサポート

Cisco、Juniper、F5、CheckPoint、

Dell SonicWall、MS の SSL VPN

設定をユーザーに配布/管理

PPTP、L2TP、IKEv2

標準的な VPN 接続をサポート

接続先のネットワークによる自動

VPN 接続 (Windows/RT 8.1、iOS)

アプリケーション起動時の自動

VPN 接続 (Windows/RT 8.1)

無線 LAN 接続と証明書の管理

Wi-Fi 設定

証明書の管理と配布

信頼されたルート証明書の配布

Simple Certificate Enrollment

Protocol(SCEP) のサポート

Wi-Fi プロトコルと認証設定の管理

デバイスが自動で接続する Wi-Fi

ネットワークの設定配布

ワークフォルダーの設定管理

Windows デバイス間の

フォルダー同期

Windows 8.1 +

Windows Server 2012 R2 の新機能

SCCM 2012 R2 と Windows

Intune でのサポート

会社のポータル アプリケーション

からワークフォルダーの設定を配布

社内リソースへのアクセスの設定

SCCM から社内リソースへのアクセス設定を配布

– VPN 設定の管理と配布

– VPN 自動起動設定の管理と配布

– Wi-Fi 接続設定の管理と配布

– 証明書の管理と配布

新機能の利点

– ユーザーが設定することなく

社内リソースへのアクセスを実現

サポート OS

– Windows 8.1/Windows RT 8.1

– iOS

– Android

(※ OS により対応機能が異なります)

デバイスに対応したアプリケーションの配布

• アプリケーションに関する情報を設定

(情報はポータルでの表示などに使用)

• デバイス/ ユーザーコレクションに展開

• アプリケーション展開の種類とともに登録

Adobe Reader (MSI)

アプリケーション (例: Adobe Reader)

Adobe Reader (App Store Link) Adobe Reader

(Windows Store Link)

アプリケーション展開の種類

• Windows Installer (MSI) • Windows Script

• App-V 4.0 • App-V 5.0

• Windows 8 app package

(.appx /Windows Store Link) • Windows Phone

• iOS (.ipa /App Store Link)

• Android (.apk /Google Play Link) • Mac OS X

など

Adobe Reader (App-V)

アプリケーション展開の種類

Adobe Reader アプリケーション定義

セルフサービス ポータル

会社のポータル

ユーザー向けの統一されたポータル

ネイティブ ポータルアプリを提供

– Windows RT

– Windows x86/x64

– New!

– iOS

– New!

– Android

– Preview Available!

必要なアプリケーションを

ユーザーがインストール

ポータルから自分のデバイスを管理

– Wipe の実行

モバイル デバイスのポリシー設定

• 強力で、きめ細やかな

デバイス管理を実現する

数多くの設定項目

• Windows、iOS、Android の

各 OS に対応した各種

ポリシーを管理コンソールから

設定可能

• デバイスのポリシーを定期的に

チェックし修復、および管理者

への通知

設定可能なのポリシー項目 – (例)

※ このリストの項目以外にも多くの設定可能な項目があります

カテゴリ ポリシー 対象

パスワード パスワード必須 iOS, Android

最小文字数 iOS, Android, Win 有効期限(日数) iOS, Android, Win 複雑さ iOS, RT

品質 Android

記憶する数 iOS, Android, Win ワイプするまでの失敗回数 iOS, Android, Win ロックするまでの時間 iOS, Android, Win デバイス 音声アシスタント iOS

ビデオチャット iOS Game Center iOS 画面の取り込み iOS

ブラウザー 自動入力を許可する iOS, Win Javascript を許可する iOS, Win

カテゴリ ポリシー 対象 ストア アプリケーション ストア iOS アプリ内購入 iOS クラウド バックアップ iOS ドキュメントの同期 iOS 写真の同期 iOS セキュリ ティ アプリケーション インストールの許可 iOS リムーバブル記憶域 Android カメラ iOS, Android(※1) ローミング 音声通話ローミング iOS データローミング iOS, RT 暗号化 モバイル デバイス ファイル の暗号化 Android Work folder Work folder URL Win

※ iOS: iOS 5以降、Android: Android 4、 Win: Windows 8.1/RT 8.1 ※1 Android 4.1

モバイル デバイスのインベントリ

アプリケーション管理

アプリケーション

インベントリ

個人所有/会社所有

デバイス

ユーザーが登録したデバイスは 個人所有のデバイスとして登録 管理者は会社所有のデバイスに設定を 変更可能 個人所有のデバイスではSCCM /Windows Intune でインストールされ たアプリケーションの情報のみ取得 会社所有のデバイスではデバイスの 全てのアプリケーションの情報を取得 個人所有/会社所有のデバイスで 異なるアプリケーション インストール方法を適用するための 新しい条件設定

DEMO

モバイルデバイスの設定管理

インベントリ収集

データの保護

紛失、盗難や BYOD デバイスの使用終了時のデータ保護

Full Wipe

フル ワイプの可否はデバイスの OS とデバイス管理に依存

• iOS/Android: 完全なデータのワイプと工場出荷状態へのリセット

• Windows RT/ Windows 8: フルワイプ機能は無し

Selective Wipe

• 業務に使用しなくなったデバイスから必要のなくなった業務アプリ、データを削除

• ユーザーもしくは管理者が実行

• デバイス管理基盤からのデバイス情報の削除

• デバイス管理基盤からのアプリケーションのインストールと、設定の管理を無効化

し、インストール済みの業務アプリとメールのデータ、および証明書を削除

Full Wipe および Selective Wipe

カテゴリ Windows 8.1

/Windows RT 8.1 iOS Android

Full Wipe ー ○ ○ Selective Wipe E Mail EAS 経由のメールを削除 ー ー 会社のアプリからインス トールされた企業アプリ サイドローディングキーの削除アンインストール + アンインストール ー 企業アプリの データ アクセス不可化 削除 ー VPN / Wi-Fi プロファイル ○ ○ ー 証明書 削除＆サーバーで失効 削除＆サーバーで失効 サーバーで失効 設定 (MDM ポリシー) 強制したポリシーの削除 強制したポリシーの削除 強制したポリシーの削除 管理エージェント OS ビルトイン 管理プロファイルの削除 デバイス管理者の_{特権の失効}

デバイスの管理レベル

独立した

デバイス

Workplace

_Joined

Domain

_Joined

Start Start

利用者

_{No access}

_{Partial access}

_{Full access}

Mobile/BYOD devices

安全性

MDM

Joined

Partial access

Start

ユーザー認証

○

○

○

○

デバイス認証

ー

○

○

○

マルチファクター認証

ー

○

○

○

ワイプ、初期化

ー

ー

○

○

デバイス暗号化

ー

ー

○

○

グループポリシー

ー

ー

ー

○

PC と モバイルデバイスの統合管理

モバイル デバイスと PC の統合管理

• SCCM 管理コンソールですべての

デバイスを一元管理

• モバイルデバイス、PC のポリシーを

デバイスの種類や用途に応じて設定し

各デバイスに配布

• アプリケーションや各種設定を

対象となるユーザーやデバイスに配布

• 日々増加するデバイスに対応可能な

スケーラビリティ

DEMO

SCCM 2012 R2 と Windows Intune

によるデバイスの統合管理

Devices & Platforms

Single admin console

People-centric IT

アプリケーション

ユーザー

Empower users

ユーザーにデバイスの選択肢を 提供し、どのデバイスからも会 社のリソースへのアクセスを可 能にする

Unify your environment

統合されたアプリケーションと デバイスの管理基盤をオンプレミ スとクラウドの両方で提供する

Protect your data

会社のデータを保護し、リスク を管理する

データ

デバイス

Windows Intune ライセンス

• ユーザー単位のライセンス体系

– 1 ユーザー ライセンスあたり 5 デバイスまで管理可能

(PC、スマートフォン、タブレットなど)

• Windows Intune ライセンス に含まれる利用権

– Windows Intune の利用権

– System Center 2012 Configuration Manager (SCCM) の利用権

– System Center 2012 Endpoint Protection (SCEP) の利用権

ライセンスの種類 利用可能な製品・機能

Windows Intune SCCM/SCEP Windows Intune

○

○

Windows Intune Add-on

for Core CAL/E-CAL

○

既存ライセンスを利用

5 デバイス

EXPO(展示会場)WindowsZoneで紹介中

Windows ストア アプリ

© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.