ROOM
F
企業でのモバイルデバイス活用を支える
マイクロソフトのモバイルデバイス管理
ソリューション
日本マイクロソフト株式会社
Windowsデバイスソリューション営業本部 テクノロジー営業部 テクノロジースペシャリスト横田 幸郎
アジェンダ
• モバイルデバイス活用への課題
• モバイル デバイス活用
• モバイルデバイスのセキュリティ
• マイクロソフトのモバイルデバイス管理
ソリューション
ユーザーとデバイスを取り巻く環境
多種の OS に対するアプリケー ションの配布と管理の実現が 必要とされるアプリケーション
データ
コンプライアンスを守り、 リスクを抑えながらユーザーの データ活用を進めたい どこにいても仕事ができ、 どこからでも必要なリソース にアクセスできることを期待ユーザー
デバイスの種類と数の増加により これまでのデバイス管理基盤での 対応が困難デバイス
People-centric IT
アプリケーション
ユーザー
Empower users
ユーザーにデバイスの選択肢を 提供し、どのデバイスからも会 社のリソースへのアクセスを可 能にするUnify your environment
統合されたアプリケーションと デバイスの管理基盤をオンプレミ スとクラウドの両方で提供する
Protect your data
会社のデータを保護し、リスク を管理する
データ
デバイス
会社所有と個人所有のPC (これまで)
会社所有の PC
•
Windows Pro/ Enterprise
•
ドメインに参加
•
Group Policy で管理
•
ネットワークに接続
•
IT 管理者による管理
個人所有の PC
• Windows (Home)、 Mac OS
• ドメイン参加できない
• 管理できていない
• WiFi 接続が可能
• IT 管理者による管理は不可
• VPN、RDS による社内接続
現在のデバイス環境
会社所有の PC
•
Windows が多数を占める
•
ドメインに参加した PC
•
Group Policy/Active Directory
による管理
•
x86 Windows を対象とした
従来の管理インフラ
•
長期にわたる運用ノウハウ
•
管理と制御の拡張性
個人所有のデバイス/
会社所有のタブレット
• さまざまな OS とバージョン
(iOS、Android、Windows)
• ドメイン未参加のデバイス
• Group Policy/Active
Directory で管理できない
• 新しい MDM インフラでの
管理が必要
• OS ごとに異なる管理
モバイルデバイスの活用シーン
社内
インターネット ・クラウド メール・ スケジュール ユーザードメインに参加していないデバイスを AD DS
に登録すること
※ ローカル ユーザー単位の設定
シンプルなユーザー エクスペリエンス
Windows Server 2012 R2 の
Active Directory Federation Services (ADFS) を
利用
Windows Intune + SCCM 2012 R2
による接続情報の設定
ワークプレースへの参加
Start
Start
DRS – Device Registration Service
ワークプレースへの参加のメリット
- 社内リソース (アプリケーション/データ) へのアクセス制御
- リスク管理
- シームレスな二要素認証
- 個人所有のデバイスから社内リソースへアクセス
- シングルサインオン (SSO) – 資格情報の繰り返し入力は不要
- アプリケーションごとの認証情報の保存が不要
企業
ユーザー
企業ネットワーク
インターネット
Windows 8.1/RT 8.1 は3rd Party VPN
クライアントを OS に標準実装
F5、Junipar、Dell SonicWall、
CheckPoint の VPN に対応
VPN 自動実行でワンクリック操作で
サインイン
アプリケーションや接続先のネット
ワーク アドレスにより自動的に
VPN 起動
社内ネットワークへの接続
最新のデータにいつでも 複数のWindows デバイスからアクセス
複数の Windows デバイスから自分の
データにアクセス
業務データと個人データの
切り分けが可能 (Selective Wipe)
IRM との連携によるドキュメントの
アクセス制限と暗号化も可能
ワークフォルダー
社内リソースへのアクセス 全体像
• DirectAccess
• VPN
ユーザーはどこからでも、どの デバイスからでもアクセス可能 ユーザーとデバイスは Active Directory に よって統合認証されるDesktop
Virtualization
(VDI)
社内リソース
Mobile Device
Management
Device Management
Admin
モバイル デバイスのセキュリティ
• 社内環境やデータにアクセスするデバイスのリスク管理
• 適切に管理されたセキュアなデバイス活用
– セキュリティ ポリシーの順守
– 紛失、盗難への対策
– ネットワークのセキュリティ
– データのセキュリティ
• ユーザーへの徹底
パスワード
暗号化
VPN
VDI/RDS
セキュリティ ポリシー ウィルス対策デバイスの管理レベルに応じたアクセス
https
RDP
https
https/http
IPv6 over IPSec
IPv6 over IPv4 (w/ IPSec)
IPv6 packets on HTTPS
透過的
透過的
NEW!!
社内
リソース
2012 R2
暗号化とアカウントのロックアウト
• Windows 8.1/ Windows RT 8.1 でデバイス
暗号化機能を提供
• マイクロソフト アカウントの認証に連動して
自動的に暗号化
• 指定された回数のログインに失敗すると
アカウントをロックする設定
• ロックの解除にはマイクロソフト アカウント
でアクセス可能な Skydrive 上に保存された
回復キーが必要
マイクロソフトのモバイルデバイス管理
ソリューション
マイクロソフトのデバイス管理ソリューション
オンプレミスの PC 管理
スケーラビリティと 柔軟性を兼ね備えた PC のトータルな ライフサイクル管理 ソリューションクラウド型 デバイス 管理
迅速な展開が可能なクラウド ベースの PC・モバイル デバイス管理ソリューションオンプレミスとクラウドが連携した統合
デバイス管理
PC + モバイルデバイスの強力で柔軟な管理機能 を提供する統合デバイス管理ソリューションSCCM 2012 R2 と Windows Intune
によるデバイスの統合管理
Devices & Platforms
Single admin console
デバイスの登録と管理
ADFS のフェデレーションにより デバイス登録時に AD の アカウントで認証 ユーザーはモバイル・BYOD デバイスを Windows Intune の管理対象として登録 Windows Intune の管理対象のデバイス から会社のポータルを通じて必要なアプ リケーションにアクセス可能 登録のプロセスで AD にデバイス オブジェクトが作成され、デバイス とユーザーのリンクを作成 Windows Intune からのデータ が SCCM に同期され、クラウドと オンプレミスでの統合管理が実現VPN 設定の管理
SSL VPN 設定の
配布
自動 VPN 接続
スタンダードな VPN
接続設定をサポート
Cisco、Juniper、F5、CheckPoint、
Dell SonicWall、MS の SSL VPN
設定をユーザーに配布/管理
PPTP、L2TP、IKEv2
標準的な VPN 接続をサポート
接続先のネットワークによる自動
VPN 接続 (Windows/RT 8.1、iOS)
アプリケーション起動時の自動
VPN 接続 (Windows/RT 8.1)
無線 LAN 接続と証明書の管理
Wi-Fi 設定
証明書の管理と配布
信頼されたルート証明書の配布
Simple Certificate Enrollment
Protocol(SCEP) のサポート
Wi-Fi プロトコルと認証設定の管理
デバイスが自動で接続する Wi-Fi
ネットワークの設定配布
ワークフォルダーの設定管理
Windows デバイス間の
フォルダー同期
Windows 8.1 +
Windows Server 2012 R2 の新機能
SCCM 2012 R2 と Windows
Intune でのサポート
会社のポータル アプリケーション
からワークフォルダーの設定を配布
社内リソースへのアクセスの設定
SCCM から社内リソースへのアクセス設定を配布
– VPN 設定の管理と配布
– VPN 自動起動設定の管理と配布
– Wi-Fi 接続設定の管理と配布
– 証明書の管理と配布
新機能の利点
– ユーザーが設定することなく
社内リソースへのアクセスを実現
サポート OS
– Windows 8.1/Windows RT 8.1
– iOS
– Android
(※ OS により対応機能が異なります)デバイスに対応したアプリケーションの配布
• アプリケーションに関する情報を設定
(情報はポータルでの表示などに使用)
• デバイス/ ユーザーコレクションに展開
• アプリケーション展開の種類とともに登録
Adobe Reader (MSI)アプリケーション (例: Adobe Reader)
Adobe Reader (App Store Link) Adobe Reader(Windows Store Link)
アプリケーション展開の種類
• Windows Installer (MSI) • Windows Script
• App-V 4.0 • App-V 5.0
• Windows 8 app package
(.appx /Windows Store Link) • Windows Phone
• iOS (.ipa /App Store Link)
• Android (.apk /Google Play Link) • Mac OS X
など
Adobe Reader (App-V)アプリケーション展開の種類
Adobe Reader アプリケーション定義セルフサービス ポータル
会社のポータル
ユーザー向けの統一されたポータル
ネイティブ ポータルアプリを提供
– Windows RT
– Windows x86/x64
– New!
– iOS
– New!
– Android
– Preview Available!
必要なアプリケーションを
ユーザーがインストール
ポータルから自分のデバイスを管理
– Wipe の実行
モバイル デバイスのポリシー設定
• 強力で、きめ細やかな
デバイス管理を実現する
数多くの設定項目
• Windows、iOS、Android の
各 OS に対応した各種
ポリシーを管理コンソールから
設定可能
• デバイスのポリシーを定期的に
チェックし修復、および管理者
への通知
設定可能なのポリシー項目 – (例)
※ このリストの項目以外にも多くの設定可能な項目があります
カテゴリ ポリシー 対象
パスワード パスワード必須 iOS, Android
最小文字数 iOS, Android, Win 有効期限(日数) iOS, Android, Win 複雑さ iOS, RT
品質 Android
記憶する数 iOS, Android, Win ワイプするまでの失敗回数 iOS, Android, Win ロックするまでの時間 iOS, Android, Win デバイス 音声アシスタント iOS
ビデオチャット iOS Game Center iOS 画面の取り込み iOS
ブラウザー 自動入力を許可する iOS, Win Javascript を許可する iOS, Win
カテゴリ ポリシー 対象 ストア アプリケーション ストア iOS アプリ内購入 iOS クラウド バックアップ iOS ドキュメントの同期 iOS 写真の同期 iOS セキュリ ティ アプリケーション インストールの許可 iOS リムーバブル記憶域 Android カメラ iOS, Android(※1) ローミング 音声通話ローミング iOS データローミング iOS, RT 暗号化 モバイル デバイス ファイル の暗号化 Android Work folder Work folder URL Win
※ iOS: iOS 5以降、Android: Android 4、 Win: Windows 8.1/RT 8.1 ※1 Android 4.1
モバイル デバイスのインベントリ
アプリケーション管理
アプリケーション
インベントリ
個人所有/会社所有
デバイス
ユーザーが登録したデバイスは 個人所有のデバイスとして登録 管理者は会社所有のデバイスに設定を 変更可能 個人所有のデバイスではSCCM /Windows Intune でインストールされ たアプリケーションの情報のみ取得 会社所有のデバイスではデバイスの 全てのアプリケーションの情報を取得 個人所有/会社所有のデバイスで 異なるアプリケーション インストール方法を適用するための 新しい条件設定DEMO
モバイルデバイスの設定管理
インベントリ収集
データの保護
紛失、盗難や BYOD デバイスの使用終了時のデータ保護
Full Wipe
フル ワイプの可否はデバイスの OS とデバイス管理に依存
• iOS/Android: 完全なデータのワイプと工場出荷状態へのリセット
• Windows RT/ Windows 8: フルワイプ機能は無し
Selective Wipe
• 業務に使用しなくなったデバイスから必要のなくなった業務アプリ、データを削除
• ユーザーもしくは管理者が実行
• デバイス管理基盤からのデバイス情報の削除
• デバイス管理基盤からのアプリケーションのインストールと、設定の管理を無効化
し、インストール済みの業務アプリとメールのデータ、および証明書を削除
Full Wipe および Selective Wipe
カテゴリ Windows 8.1
/Windows RT 8.1 iOS Android
Full Wipe ー ○ ○ Selective Wipe E Mail EAS 経由のメールを削除 ー ー 会社のアプリからインス トールされた企業アプリ サイドローディングキーの削除アンインストール + アンインストール ー 企業アプリの データ アクセス不可化 削除 ー VPN / Wi-Fi プロファイル ○ ○ ー 証明書 削除&サーバーで失効 削除&サーバーで失効 サーバーで失効 設定 (MDM ポリシー) 強制したポリシーの削除 強制したポリシーの削除 強制したポリシーの削除 管理エージェント OS ビルトイン 管理プロファイルの削除 デバイス管理者の特権の失効
デバイスの管理レベル
独立した
デバイス
Workplace
Joined
Domain
Joined
Start Start
利用者
No access
Partial access
Full access
Mobile/BYOD devices
安全性
MDM
Joined
Partial access
Startユーザー認証
○
○
○
○
デバイス認証
ー
○
○
○
マルチファクター認証
ー
○
○
○
ワイプ、初期化
ー
ー
○
○
デバイス暗号化
ー
ー
○
○
グループポリシー
ー
ー
ー
○
PC と モバイルデバイスの統合管理
モバイル デバイスと PC の統合管理
• SCCM 管理コンソールですべての
デバイスを一元管理
• モバイルデバイス、PC のポリシーを
デバイスの種類や用途に応じて設定し
各デバイスに配布
• アプリケーションや各種設定を
対象となるユーザーやデバイスに配布
• 日々増加するデバイスに対応可能な
スケーラビリティ
DEMO
SCCM 2012 R2 と Windows Intune
によるデバイスの統合管理
Devices & Platforms
Single admin console
People-centric IT
アプリケーション
ユーザー
Empower users
ユーザーにデバイスの選択肢を 提供し、どのデバイスからも会 社のリソースへのアクセスを可 能にするUnify your environment
統合されたアプリケーションと デバイスの管理基盤をオンプレミ スとクラウドの両方で提供する
Protect your data
会社のデータを保護し、リスク を管理する
データ
デバイス
Windows Intune ライセンス
• ユーザー単位のライセンス体系
– 1 ユーザー ライセンスあたり 5 デバイスまで管理可能
(PC、スマートフォン、タブレットなど)
• Windows Intune ライセンス に含まれる利用権
– Windows Intune の利用権
– System Center 2012 Configuration Manager (SCCM) の利用権
– System Center 2012 Endpoint Protection (SCEP) の利用権
ライセンスの種類 利用可能な製品・機能
Windows Intune SCCM/SCEP Windows Intune
○
○
Windows Intune Add-onfor Core CAL/E-CAL
○
既存ライセンスを利用5 デバイス
EXPO(展示会場)WindowsZoneで紹介中
Windows ストア アプリ
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.