本資料の関連資料は下記をクリックして ＰＤＦ一覧からお入り下さい ＩＴライブラリー pdf １００冊 目次番号 ２７５番 ＰＤＦ 222

1

11

統合管理ソフトウェア

ＩＴライブラリーより （pdf １００冊）

http://www.geocities.jp/ittaizen/itlib1/

2

22

本資料の関連資料は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （

pdf １００冊

）

http://www.geocities.jp/ittaizen/itlib1/

目次番号

２７５番（ＰＤＦ）

2

3

33

4

Problem and Situation

in The Device Management

5

契約社員のデバイス

企業統合時の PC

組織のドメインに

参加していない PC

管理の対象となるデバイスの多様化

外周りの営業用デバイス

世界各国に広がる

オフィス

限られた人員と予算

統一されていない

煩雑な管理環境

組織の拡がりと IT 管理の業務要件との乖離

個人任せの

デバイスの管理

デバイス管理における状況と課題

6

中堅～大規模の企業

中小～中堅規模の企業

デバイス管理におけるユーザーのニーズと傾向

セキュリティ対策への取り組みは積極的だか、

デバイス管理についてはコスト面から消極的

デバイスの管理はユーザーに委任

システム管理の専任担当者をたてることが難しい

（導入、運用の容易さが必要）

クライアント管理システムがまだ未導入な企業が多い

社外PC（客先、リモートオフィス）の管理や

在宅勤務などの多様な働き方への対応した管理に

関心が高い

専任の管理者がいるが、デバイスの管理に加え、

管理システム自体の運用管理が必要となっている

事業の拡大に伴う多拠点、多店舗、海外拠点の

PC、デバイス管理が必要となっている

クライアント管理システムを既に導入されている

企業が多い

7

クラウドベースのデバイス管理–多様化する働き方の変化への対応

オフィス

自宅

訪問先

移動中

作業する場所の変化

働き方の見直し/事業継続性 (BCP)

Windows Intune が解決する

「多様化する働き方」への対応

1) インターネット越しに管理可能

2) 社内デバイスの管理にも利用可能

3) 場所を問わず、遠隔サポートが可能

ノート PC デスクトップ PC タブレット

作業するデバイスの多様化

スマートフォン

一人のユーザーが複数のデバイスを活用

Windows Intune が解決する

「デバイスの多様化」への対応

1) 様々なデバイスを統合的に管理

2) 利用者とデバイスの関連付け

3) サーバー不要の迅速展開

8

デバイスの Anywhere と Any Device への対応

クラウドベースのクライアント PC およびモバイル デバイスの管理ソリューションを提供

 管理対象デバイスのハードウェアやソフトウェアの情報を収集/管理  アプリケーションや更新プログラムの配信とライセンス管理機能を提供  アンチ マルウェアの提供と一元管理のための機能を提供  iOS や Android も対象としたモバイル デバイスの管理  Web ベースの管理コンソールからのユーザーとデバイスを紐づけた一元管理  エンドユーザー向けのセルフ サービス ポータル サイトを提供

 社内 Active Directory と連携したユーザーの管理と ADFS ベースの SSO に対応

9

Windows Intune の進化

SaaS の特性を活かした常に進化するサービス

2011 年 4 月 製品リリース

2011 年 10 月

2012 年 6 月

2012 年 12 月

2013 年 10 月

 パッチ管理  アンチウイルス  資産管理 (ソフト/ハード/ライセンス)  リモート アシスタンス  ポリシー運用  UI の改良  ソフトウェア配布  帯域制御  AD 連携  スマートフォン管理  ユーザー向けポータル提供  Windows 8 対応  Windows RT 対応  Windows Phone 8 対応  iOS 対応  SCCM 2012 SP1 連携  ライセンス体系変更

 Windows 8.1 対応

 Windows RT 8.1 対応

 SCCM 2012 R2 連携

 Android 対応

• 定期的な新機能の提供と既存機能の向上

• より使いやすい管理コンソールの提供

• ソフトウェア配布などの機能向上

• 管理対象デバイスの拡大

• お客様にとってより効果的なライセンス体系への移行

ISO/IEC 27001:2005 取得済み

SLA - 99.9% 以上の可用性

10

Windows Intune Functional Overview

11

Windows Intune が提供する機能



マルウェア対策



更新プログラムの管理



稼働監視とアラート通知



リモート アシスタンス



デバイスのインベントリ収集



ライセンス管理



セキュリティ ポリシーの管理



ソフトウェア配布



各種レポート機能

PC

モバイル

PC

PC



リモートワイプ

PC

PC

PC

PC

PC

PC

モバイル

モバイル

モバイル

モバイル

機能

対象デバイス ※

モバイル

12

Windows Intune アーキテクチャ (PC 管理)

クライアント PC 管理のアーキテクチャ

IT 管理者

ブラウザーベース

管理コンソール

マイクロソフト データセンター Windows Intune エージェント および関連サービス

ユーザー端末

Windows 8.1 Windows 8 Windows 7 Windows Vista Windows XP SP3

Windows Intune Endpoint Protection

管理対象端末

デバイスの登録 コマンド送受信 インベントリ情報送信 ポリシー受信 更新プログラム・アプリケーション展開 各種管理・設定 コマンドの実行 ポリシー作成と適用 アプリケーションの登録

13

Exchange Active Sync 管理対象端末

Windows Intune アーキテクチャ (モバイルデバイス管理)

モバイルデバイス管理のアーキテクチャ

IT 管理者

ブラウザーベース

管理コンソール

マイクロソフト データセンター

ユーザー端末

Windows 8.1 Windows RT 8.1 iOS Windows Phone 各デバイスベンダーの 通知サービス ・Profile ・証明書 コマンドの実行 ポリシー作成と適用 アプリケーションの登録 コマンド通知 コマンド通知 デバイスの登録 コマンド送受信 インベントリ情報送信 ポリシー受信 アプリケーション受信 Android デバイス情報の収集 ポリシー送信 コマンド送信 メールの送受信 ポリシー受信 コマンド受信

14

Windows Intune のサイト構成

サービスで提供される Web サイト

– テナントポータルサイト (管理者向け)

• ユーザーやドメインの管理 • サブスクリプション (契約) の管理 • サポート

– 管理コンソール (管理者向け)

• Windows Intune 管理サイト

– 会社のポータル (利用者向け)

• アプリケーションの配信 • デバイスの管理 • サポートのリクエスト Intune 管理コンソール (管理者向け) Intune ユーザー ポータル (利用者向け) テナントポータルサイト (管理者向け) Intune ライセンス管理 ユーザー登録 Active Directory 同期 ドメイン登録など https://account.manage.Microsoft.com

15

Windows Intune User-Friendly Interface

16

クライアント エージェント (Windows Intune Center)

 管理対象の PC に導入される Windows Intune へのユーザーインターフェース

 Windows Intune エージェントをセットアップすることで自動的に導入

 ユーザーからの下記操作のインターフェースを提供

– Windows Intune ユーザーポータルへのリンク

– 更新プログラムの確認

– Endpoint Protection の呼び出し

– リモートアシスタンスの要求

17

 Windows RT/Windows 8 用 Intune のエンドユーザー向けクライアント アプリケーション

– Windows ストア アプリケーションとして提供

 提供機能

– アプリケーションのインストールと検索

• WinRT アプリケーションのインストール • Windows Store アプリへのリンクを提供 • Web アプリケーションのリンク (URL) を提供 • アプリケーションのカテゴライズと検索機能を提供

– デバイス管理機能

• Windows Intune での管理対象デバイスの追加と削除 • ユーザー所有のモバイル デバイスをリモート ワイプ  Windows 8/Windows RT はコンテンツ ワイプ • 管理対象デバイスの名称変更

– ヘルプデスク・サポート デスクとの連携

• ポータル サイトとして会社名、メール アドレス、 電話番号、連絡先、お知らせを表示 • サポート デスク の Web サイトを表示

Windows 8 / RT / 8.1 / RT 8.1 用 “会社のポータル” アプリ

Windows 8 / RT

Windows 8.1 / RT 8.1

18

参考：Windows Phone 8 用 "Mobile company portal"

 Windows Phone 8 用 Intune のエンドユーザー向けクライアント アプリケーション

– Windows Phone 8 アプリケーションとして提供

 提供機能

– アプリケーションのインストールと検索

• Windows Phone アプリケーションのインストール • Windows Phone Store アプリへのリンクを提供 • Web アプリケーションのリンク (URL) を提供 • アプリケーションのカテゴライズと検索機能を提供

– デバイス管理機能

19

モバイル デバイス用のポータルサイトの提供

 "Mobile Company Portal"

モバイル デバイスに最適化された

Web ベースのポータル サイトを提供

– iOS デバイス版

– Android デバイス版

 Windows Intune での管理対象デバイスの追加と削除

– iOS デバイス版のみ対応

– Android デバイス版は EAS を介して管理

 アプリケーションの展開

– LOB アプリケーションのダウンロードとインストール

– Store への Web リンクの提供

• Apple Store • Google Play

– アプリケーションのカテゴライズと検索機能を提供

 ヘルプデスク・サポート デスクとの連携

– ヘルプデスク・サポート デスクのコンタクト先を表示

20

Windows Intune

Function and Management Console

21

IT 管理者用 Windows Intune 管理コンソール

 Windows Intune の管理者向けサイト

– システムの概要

– グループ

– 更新プログラム

– Endpoint Protection

– アラート

– ソフトウェア

– ライセンス

– ポリシー

– レポート

– 管理

 Silverlight ベースの

Web アプリケーションとして

提供

22

効率のよい管理を実現-グループ

 管理対象のユーザーやデバイスを仮想的なグループにカテゴライズして管理可能に

 ユーザーとデバイスを紐づけたユーザー中心の管理

 動的なグループ管理

– AD のセキュリティ グループやマネージャー情報を使った動的なユーザー グループの更新

– グループへ静的なユーザー情報の追加も可能

– ユーザー グループに対するソフトウェアの展開やポリシーの適用が可能

– 条件などを様々なグループに取りまとめて管理可能

– アカウントは複数のグループに所属可能

 各管理対象デバイスの情報もこちらからアクセス

・グループ毎にメンバーシップの条件を設定可能 ・条件にマッチしたユーザーやデバイスは 自動的にグループに所属する ソフトウェアの展開やポリシーの適用は グループ単位に設定可能 ・グループ毎のサマリーを表示可能

23

グループ-ハードウェア インベントリ

 対象デバイスのハードウェア情報を管理

– デバイスの登録情報をカテゴリ別に収集管理

– ディスクやメモリなどのリソース管理

– ネットワークインターフェース、プリンター、モニターなどの

デバイス情報の管理

PC のハードウェア情報 モバイル デバイスのハードウェア情報 PC と モバイル デバイスそれぞれで情報の表示が可能 Users_ipad Users_ipad ipad

24

グループ-ソフトウェア インベントリ

 取得するソフトウェア情報

– "プログラムの追加と削除" の情報

 7 つのメジャー カテゴリと 40 のマイナー カテゴリを

使用して、インベントリ情報を整理して表示

仮想アプリケーション (App-V 環境) によるアプリ展開の情報収集が可能 アプリケーションのカテゴリを 利用して情報の整理が可能

25

管理対象へのリモート タスクの実行

 管理者がクライアント PC に対してタスクの実行を指示可能

– マルウェアのフル スキャンの実行

– マルウェアのクイック スキャンの実行

– コンピューターの再起動

– マルウェア定義の更新

– ポリシーの更新

• コンプライアンスへの対応ステータス更新

– インベントリの更新

• インベントリ情報の更新を実行

26

PC への更新プログラム配信と管理–更新プログラム

Microsoft Update & WSUS

フレームワークに基づいた構成

運用に合わせた構成が可能

製品と分類の選択

更新プログラムの承認と拒否

自動承認規則の作成

ステータス管理とレポート

システム、グループ、コンピューターごとのステータス管理

更新状態レポート

インストールできなかった更新プログラム

コンピューターに必要な更新プログラムの数

インストール済みのコンピューター数

など

コンピューター グループに

ルールを適用

27

マルウェア対策–Endpoint Protection

 最新のマルウェア対策アプリケーションを提供

 Windows Intune に統合された、コンピューター グループごとのステータス管理を実現

– 保護されていないコンピューター

– 警告のあるコンピューター (スキャンの未実施、期限切れの定義ファイルなど)

– 最近解決されたマルウェア、フォロー アップが必要なマルウェア

– サード パーティ製マルウェア対策アプリケーションを実行しているコンピューター

(この場合 Windows Intune Endpoint Protection はポリシーでオフにします)

OS 標準のセキュリティ 機能と共存可能な マルウェア対策を クライアント ソフトウェアに同梱 感染したら 無効化し、 管理者と 本人に通知 感染したマルウェアの情報や 対処方法なども確認 定義ファイルを 自動更新

28

管理対象クライアントの稼働監視–アラート

 インターネット接続状況を監視し、端末の活用状況を把握

 アラート受信でトラブルを未然に防止

 アラート受信をカスタマイズ、有効/無効設定と閾値設定で必要なアラートのみを受信

報告を受ける前の事前予防的な 情報もアラートとして挙げるため、問題を最小化 構成情報を確認しながら、 アラートの要因をすばやく把握 インターネットに 接続すれば、 どこにいても 自動的に更新 トラブルシューティングのリンクを 参照し問題解決に必要な情報を入手

29

リモート アシスタンス

 リモートから画面を操作してサポート

 ユーザーと同じ画面を共有しながらリモート操作が可能に

 ユーザーとのチャットや操作のレコーディングにも対応

 現行バージョンでは Windows 8 には非対応

コンピューターのアラートや 資産管理情報を確認しながら、 作業ができるため効率的な サポート業務が可能に リモートで画面を操作できるため、 迅速にサポート作業が可能に

30

管理対象デバイスへのアプリケーション展開-ソフトウェア

 端末の場所を問わず、ソフトウェアの配布と展開が可能

 マイクロソフト製品、他社製品を問わず、. exe/. msi 形式のインストーラーによる展開が可能

 iOS/Android/Windows 8 アプリ の展開にも対応

 1 顧客あたり 20GB の Windows Azure ストレージを提供

部署や役割ごとに必要となる ソフトウェアを自動配布 Windows Azure ストレージに パッケージを保管

31

ユーザー中心のソフトウェア配信への対応

 ユーザーをターゲットとして対象のデバイスにソフトウェアを配信可能

– ユーザー ID の管理

• Azure Active Directory を使ったエンタープライズ レベルの ID 管理及び、認証サービス • Active Directory との連携機能の提供

 ユーザーとデバイスの紐づけ

– ユーザーとデバイスを関連付ける情報の登録とメンテナンス

– コンプライアンスに適合しないデバイスを利用しているユーザーの確認

デバイスを対象とした配信 ユーザーを中心とした配信 ユーザーに関連付けられた デバイス全体に展開 デバイスを指定して展開

32

新しいソフトウェア配布の仕組みへの対応

 Windows PC 向けだけでなく、iOS や Android へのソフトウェア配布にも対応

 各プラットフォームのアプリケーション ストアへのリンクを提供

 Windows 8/Windows RT 向けアプリケーションのサイド ローディングにも対応

ストアサイト

Windows

Intune

Windows RT / RT 8.1 Windows 8 / 8.1 Windows Phone 8 Android iPhone Windows XP Windows Vista Windows 7 Windows 8 / 8.1 会社のポータル

プッシュ配布 (Windows PC のみ)

プル配布 (デバイス問わず)

管理者がアプリをクラウドにアップロード

クラウド上のストレージとして Windows Azure Storage と連携し、 テナントごとに標準で 20GB のアプリ登録容量を提供 (有料で追加可能) Deep Link Windows XP Windows Vista Windows 7 Windows 8 / 8.1 .exe / .msi .exe / .msi .appx .apk .ipk

33

幅広いプラットフォームへのソフトウェア配布機能

 Windows 8 / 8.1 / RT / RT 8.1 へのアプリケーション配布に対応

– 従来の . exe, . msi, に加え、WinRT アプリ (. appx) の形式の配信に対応

• Windows 8 Pro/ドメインに参加していない

Windows 8 Enterprise/Windows RT への WinRT アプリには

サイド ローディング キーが必要

 様々なアプリケーション提供形態への対応

– Windows Intune からの 社内用 LOB アプリケーション展開

– Deep Link (ストアで公開されているアプリケーションの

インストール URL へのリンク) による展開

• Windows Store

• Windows Phone Store • App Store • Google Play

– Web アプリケーションの URL による展開

 デバイスに合わせたインストール エクスペリエンス

• Windows 8 /8.1: WinRT アプリ版 セルフサービス ポータルからの展開 (プル型) • Windows RT / RT 8.1: WinRT アプリ版 セルフサービス ポータルからの展開 (プル型) • Windows Phone 8: Windows Phone アプリケーション セルフサービス ポータル (プル型) • iOS, Android: Web ベースの セルフサービス ポータル

34

Windows Intune がサポートするソフトウェア展開

プラットフォーム Windows アプリケーション (. msi, . exe) ※ モバイル向けアプリケーション Side loading

Deep Links web apps . appx . ipa . apk . xap

Windows 8 / 8.1 ○ ○ - - - ○ ○ Windows RT / RT 8.1 - ○ - - - ○ ○ iOS - - ○ - - ○ ○ Android - - - ○ - ○ ○ Windows Phone 8 - - - - ○ ○ ○ Windows 7 / Vista /XP ○ - - - ○

35

利用者向けセルフサービス ポータルの提供

 ポータル サイトの提供

– Windows Intune で管理された端末の利用者に向けたセルフサービス ポータル

• Windows PC 向けポータル サイト https://portal.manage.microsoft.com • モバイル向けポータル サイト https://m.manage.microsoft.com

 利用デバイスの登録と管理

– デバイスとの紐づけを管理

– 利用中のデバイス一覧の参照

 ソフトウェア カタログ

– ソフトウェアの検索とインストール

– ユーザー自身が利用中のデバイスに必要な

ソフトウェアのインストールを選択

– ローカルのデバイス及び、リモートの

デバイスへのソフトウェア インストール

– ソフトウェア インストール時に

管理者権限は不要

 サポート デスクの連絡先等の情報を提供

36

所持ライセンスの効率的な管理 - ライセンス

 ボリューム ライセンスの契約情報を自動インポート可能

 パッケージ版、プレインストール版 (OEM) 、他社製品のライセンス管理にも対応

(手動インポートにて対応)

 インストール数とライセンス購入数の突き合わせレポートを提供

カタログと照合し、オートコンプリートで入力 業務に必要なソフトウェアのライセンスの最適化を支援 必要以上なライセンスの購入やライセンスの不足を事前に防げます。

37

管理対象 PC の設定を一元管理 - ポリシー

 Windows Intune エージェント、PC のファイアウォール、マルウェア対策の設定を一元的に設定

 ネットワーク帯域幅の使用制限が可能 (バックグラウンド インテリジェント転送サービス = BITS)

 Active Directory (AD) 併用時は AD グループ ポリシーを優先

コンピューターの場所に縛られず、 構成内容でグループ化 利用しやすい テンプレートベースの設定 組織の要件にあわせて、 構成を作成し、迅速に展開  グループ ポリシーと重複した場合 – GPO との重複は GPO 優先 – グループ階層構造の一番下のレベルに関連したポリシーを優先 – 順位がつかない場合「最終更新時刻」が最新のもの優先  定義済み項目をカスタマイズして適用 – 標準で 8 ～ 9.5 時間毎に コンピューターで実行 – 8 ～ 22 時間ごとにサービスから ダウンロード

38

レポートのエクスポートが可能

管理対象デバイスの状況を視覚化-レポート

 5 種類のレポートを提供

– 更新レポート

– 検出されたソフトウェア レポート

– コンピューター インベントリ レポート

– ライセンス購入のレポート

– ライセンスのインストール レポート

 CSV ファイルへのエクスポートも可能

レポートの例 レポート概要

39

Windows Intune の設定と管理 - 管理

 サービス全体の確認や設定を実施

– 更新プログラム自動承認設定

– アラートと通知機能

– テナント管理者の管理

– クライアント ソフトウェアの入手

 サービス状態の表示

クラウド サービスの状態表示 Windows Intune の設定

40

Windows Intune

Mobile Device Management

41

Exchange ActiveSync と連携したモバイル デバイス管理

Windows Intune によるモバイル デバイスの直接管理

モバイル デバイス管理の機能 (直接管理と EAS 連携)

 Exchange ActiveSync (EAS) を介した管理機能と Windows Intune からの直接管理機能を実装

– Windows 8.1 (OMA-DM) / RT / RT 8.1 / Windows Phone 8 / iOS デバイスが直接管理可能

– 直接管理と EAS を介した管理を併用することも可能

– Android デバイスは EAS を介した管理となる

メールの同期 間接的な管理 リモート ワイプ要求 インベントリ情報の収集 ポリシーの適用 Exchange から Intune に 情報を同期 メールの同期 直接管理 リモート ワイプ要求 インベントリ情報の収集 ポリシーの適用 Exchange から Intune に 情報を同期 アプリケーションの配布 リモート ワイプ要求 インベントリ情報の収集 ポリシー適用 ポータル サイトへアクセス Windows RT Windows Phone 8 iOS デバイス ポータル サイトへアクセス

42

Windows Intune 管理対象デバイス全体像

 Windows Intune でのデバイス管理の概念

– 同期可能な Exchange Server は オンプレミスおよび Exchange Online 双方に対応

Windows Phone 8

Windows RT / RT 8.1

iOS

企業イントラネット (x86/x64) Windows 8 / 8.1 Windows 7 Windows Vista Windows XP

Windows 8.1

Windows 7

Windows Vista

Windows XP

Android

(x86/x64) 直接管理とアプリ配布 直接管理とアプリ配布 Web ベースで すべてのデバイスを 一元管理 Android App の配布 Exchange ActiveSync を介した管理

アプリの配布

43

Office 365 と連携したモバイルデバイス管理

Office365 に Exchange Active Sync で接続しているすべてのモバイルデバイスの情報を一元的に管理可能

ユーザー デバイス シリアル番号 様々なインベントリ XXXXXX XXXXXX XXXXXX XXXXXX YYYYYYYY YYYYYYYY YYYYYYYY YYYYYYYY 既存の Office 365 の環境にシステム変更を伴わずに Windows Intune 側の設定のみで連携可能 モバイルデバイスの インベントリ情報 デバイスへの ポリシー適用や ワイプの実行通知 サービスを利用中のすべての モバイルデバイスの情報を一元管理 ユーザーのポータルサイトから 使用中のデバイスの確認や リモートワイプの実行が可能

Windows Intune と Office365 は認証基盤を共有するため

44

モバイル デバイス管理の強化-ポリシー設定の概要

 Windows Intune の モバイル デバイスへのポリシー管理

– セキュリティ ポリシーは、モバイル デバイス管理機関を介して直接管理

– Exchange ActiveSync を介したモバイル デバイス管理も可能

• Android デバイス および Windows Phone 7.x デバイス は EAS を通した管理が必要

• セキュリティ ポリシー テンプレートは、直接管理するデバイスおよび EAS で管理されるデバイスの双方に適用

– レポート機能の提供

• セキュリティ ポリシーの提供状態の確認が可能

45

モバイル デバイス管理の強化-ポリシー設定の概要

カテゴリ 設定項目 Exchange ActiveSync_(Android) Windows RT iOS

パスワード モバイル デバイスのロック解除にパスワードを必要とする ○ ○ ○ 必要なパスワードの種類 ○ ○ ○ パスワードの最小文字数 ○ ○ ○ 単純なパスワードを使用する ○ ✕ ○ デバイスをワイプするまでの連続サインイン エラーの回数 ○ ○ ○ デバイスの画面がロックされるまでの非アクティブな時間 (分) ○ ○ ○ パスワードの有効期限 (日数) ○ ○ ○ パスワードの履歴を保存する ○ ○ ○ ピクチャ パスワードと PIN を許可する ✕ ○ ✕ デバイス制限 カメラを使用する ○ ✕ ○ Web ブラウザーを使用する ○ ✕ ○ iCloud へのバックアップの許可 ✕ ✕ ○ ドキュメントと iCloud の同期の許可 ✕ ✕ ○ フォトストリームと iCloud の同期の許可 ✕ ✕ ○ メール ユーザーが電子メールの添付ファイルをダウンロードできるようにする ○ ✕ ✕ 電子メールを同期する期間 ○ ✕ ✕ 選択した設定を完全にサポートしないモバイル デバイスを Exchange と同期させる ○ ✕ ✕ 暗号化 モバイル デバイスで暗号化を必要とする ○ ✕ ○ メモリ カードの暗号化を必要とする ○ ✕ ✕

46

リモートワイプの実装 (Windows Intune)

 リモートワイプの実行

– 管理コンソールのインベントリからデバイスを削除を実行

– ユーザーのポータル サイトのデバイス管理からデバイスの削除を実行

 リモートワイプの種類

– フル ワイプ

• デバイスの情報がすべて削除され、工場出荷時の状態に切り戻される動作

– セレクティブ ワイプ

• 管理対象からの離脱時に、特定のデータ、設定、リソースなどが 選択的に削除される動作

47

管理対象からの離脱時に削除される情報

 管理対象デバイスに保存された情報をリモートから削除

– インベントリ情報の削除をトリガーとして削除が実行

– 削除をするかどうかは選択することが可能 (インベントリ情報の削除のみの動作も可)

Windows RT

Windows 8.1 (OMA-DM) iOS Exchange Active Sync(Android)

展開済みサイド ローディング キー 削除されない --

--展開済みアプリケーション _{展開したアプリは実行不可}サイド ローディングで 実行可能 --ポータルサイトからの

アプリケーションの新規インストール インストール不可 インストール不可

--展開済みのポリシー 保持 _{(強制は無効化されるため任意に変更可能)}保持 _{Exchange の デフォルトポリシーが適用}Windows Intune のポリシーが削除

工場出荷状態に戻す 未対応 対応 _{(デバイスの仕様に依存)}対応

48

Cooperation with

System Center 2012 Configuration Manager

49

SCCM 2012 R2 と Windows Intune で実現するマルチデバイス管理

 SCCM と Windows Intune の連携

– SCCM と Windows Intune を連携により PC とモバイルデバイス統合管理を実現

 SCCM 管理コンソールからの一元管理

– SCCM 管理コンソールにすべてのデバイスの管理作業を統合

 豊富なモバイルデバイス管理機能

– アプリケーション/ 3

rd

_{Party VPN 設定/ Wi-Fi 設定の配布、インベントリ収集、証明書のインストール、}

ポリシー設定、ワイプ等の管理機能を提供

 PC のライフサイクルマネジメント

Single admin console Windows PC (XP/Vista/7/8/8.1), Windows to Go Windows Embedded Mac OS /Linux/Unix Windows 8.1 & RT Windows Phone 8 iOS Android

モバイルデバイスの管理

PC の管理

50

SCCM 2012 R2 & Windows Intune の構成例

Windows Azure Directory Synchronization

Windows Azure

Active Directory

イントラネット環境

管理者 SCCM 2012 R2 SCCM 2012 R2 管理コンソール Active Directory PC モバイルデバイス 利用者

インターネット環境

※モバイルデバイスから会社のポータルへのアクセス時に SSO を必要とする場合は別途 ADFS の環境が必要 Intune connector 経由での Intune への接続と管理 社内の AD ユーザーを Windows Azure AD に同期 社内の AD ユーザー情報を SCCM に反映

51

サポート対象 OS - SCCM 2012 R2 + Windows Intune

OS Platform Management Agent End User Experience

Windows 8.1

SCCM エージェント ソフトウェア センター / アプリケーション カタログ 管理エージェント (OMA-DM) Windows セルフサービス ポータル アプリ

Windows PC (8,7,Vista,XP) SCCM エージェント ソフトウェア センター / アプリケーション カタログ Windows RT / RT8.1 管理エージェント (OMA-DM) Windows セルフサービス ポータル アプリ

Windows Phone 8 管理エージェント (OMA-DM) Windows Phone 8 セルフサービス ポータル アプリ iOS Apple MDM プロトコル Native iOS アプリ + モバイル Web ポータル

Android Android MDM エージェント (OMA-DM) Native Android アプリ + モバイル Web ポータル

Mac SCCM エージェント 未対応 PC モバイル PC モバイル モバイル モバイル モバイル PC

52

モバイル デバイスの統合管理

 モバイル デバイスと PC の統合管理

– SCCM と Windows Intune を連携させることにより、SCCM 管理コンソールですべてのデバイスを一元管理

– モバイルデバイス、PC のポリシーをデバイスの種類や用途に応じて設定し配布

– SCCM と AD の同期によりワークプレースに参加したデバイスの情報を取得

– アプリケーションや各種設定を対象となるユーザーやデバイスに配布

– 日々増加するデバイスに対応可能なスケーラビリティ (最大 10万台、Windows Intune 単体では 5000 台)

個人所有・会社所有の分類管理 アプリケーションの情報収集 アプリケーションの管理 ユーザーが登録したデバイスは 個人所有のデバイスとして登録 管理者は会社所有のデバイスに 設定を変更可能 個人所有のデバイスでは 管理されたアプリケーションの情報のみ取得 会社所有のデバイスではデバイスの 全てのアプリケーションの情報を取得 個人所有 / 会社所有のデバイス間で 異なるアプリケーション インストール方法を 適用するための新しい条件設定に対応

53

モバイル デバイスのポリシー設定

 ポリシーによる管理機能の向上

– Windows Intune と比べ、強力できめ細やかなデバイス管理を実現する数多くの設定項目

– Windows、iOS、Android の各 OS に対応した各種ポリシーを管理コンソールから設定可能

カテゴリ ポリシー 対象 パスワード パスワード必須 iOS, Android

最小文字数 iOS, Android, Win 有効期限(日数) iOS, Android, Win

複雑さ iOS, RT

品質 Android

記憶する数 iOS, Android, Win ワイプするまでの失敗回数 iOS, Android, Win ロックするまでの時間 iOS, Android, Win デバイス 音声アシスタント iOS

ビデオチャット iOS Game Center iOS 画面の取り込み iOS

ブラウザー 自動入力を許可する iOS, Win Javascript を許可する iOS, Win

カテゴリ ポリシー 対象 ストア アプリケーション ストア iOS アプリ内購入 iOS クラウド バックアップ iOS ドキュメントの同期 iOS 写真の同期 iOS セキュリ ティ アプリケーション インス トールの許可 iOS リムーバブル記憶域 Android カメラ iOS, Android(※1) ローミング 音声通話ローミング iOS データローミング iOS, RT 暗号化 モバイル デバイス ファイル の暗号化 Android Work folder Work folder URL Win

54

社内リソースへのアクセスの設定

 社内リソースアクセス設定の新機能

– VPN 設定の管理と配布

– VPN 自動起動設定の管理と配布

– Wi-Fi 接続設定の管理と配布

– 証明書の管理と配布

 新機能の利点

– ユーザーが設定することなく

社内リソースへのアクセスを実現

 サポート OS

– Windows 8.1

– Windows RT 8.1

– iOS

– Android

※ OS により対応機能が異なります

55

ネットワーク定義情報の展開

 VPN 設定の管理

– スタンダードな VPN 接続をサポート

• PPTP、L2TP、IKEv2 など標準的な VPN 接続をサポート

– 主要ベンダーの SSL VPN を OS が標準サポート

• Cisco、Juniper、F5、CheckPoint、Dell SonicWall、MS の SSL VPN 設定をユーザーに配布/管理

– 自動 VPN 接続

• 接続先のネットワークによる自動 VPN 接続 (Windows/RT 8.1、iOS) • アプリケーション起動時の自動 VPN 接続 (Windows/RT 8.1)

 無線

LAN 接続と証明書の管理

– Wi-Fi 設定

• Wi-Fi プロトコルと認証設定の管理 • デバイスが自動で接続する Wi-Fi ネットワークの設定配布 • Wi-Fi 接続に使用する証明書の指定

– 証明書の管理と配布

• 信頼されたルート証明書の配布

• Simple Certificate Enrollment Protocol (SCEP) のサポート

 ワークフォルダーの設定管理

– Windows デバイス間のフォルダー同期

56

アプリケーションの管理

 ユーザーの使用デバイスに応じたアプリケーションの提供と適切な展開手法の自動適用

– デバイスへの割り当てとユーザーへの割り当てを組み合わせて展開可能

• SCCM からアプリケーションに関する情報を設定  登録したアプリケーション定義をデバイス / ユーザーコレクションに展開  アプリケーション展開の種類とともに登録  デバイスに割り当てたアプリケーションはプッシュ展開

 アプリケーション トリガー

VPN

– VPN による社内ネットワーク接続が必要なアプリケーションの

起動やサイトへの接続時に自動的に VPN 接続

– SCCM 2012 R2 のアプリケーション配布時に設定可能

サイドローディング アプリケーション定義 Store への リンク VDI環境へのリンク アプリケーション展開の種類 デバイスの所有者に割り当て ユーザーとデバイスに関連付けられた アプリケーション展開の一元管理 ユーザーはどのデバイスからでも自分に割り当てられた アプリケーションが使用可能となる環境を構成可能に

57

リモートワイプの実装 (Windows Intune + SCCM 連携)

 管理対象デバイスに保存された情報をリモートから削除

– インベントリ情報の削除をトリガーとして削除が実行

– 削除をするかどうかは選択することが可能 (インベントリ情報の削除のみの動作も可)

カテゴリ Windows 8.1

/Windows RT 8.1 iOS Android

Full Wipe ー ○ ○ Selective Wipe 電子メール 、予定表 EAS 経由のメールを削除 ー ー 企業のアプリ _{サイドローディングキーの削除}アンインストール + アンインストール ー 企業アプリのデータ アクセス不可化 削除 ー 企業のデータ (WorkFolder) ○ ー ー VPN / Wi-Fi プロファイル ○ ○ ー 証明書 削除＆サーバーで失効 削除＆サーバーで失効 サーバーで失効 設定 (MDM ポリシー) 強制したポリシーの削除 強制したポリシーの削除 強制したポリシーの削除 管理エージェント OS ビルトイン 管理プロファイルの削除 デバイス管理者の_{特権の失効}

58

Windows 8.1 Pro/Enterprise の管理機能比較

管理機能 SCCM/SCEP_{2012 R2 (Cloud Only)}Intune _{(Cloud Only)}Intune SCCM 2012 R2_Intune

管理アーキテクチャ PC 管理 PC 管理 モバイルデバイス管理 モバイルデバイス管理

1 管理エージェント SCCM/SCEP_Agent Intune_Agent 不要 (OS に同梱) 不要 (OS に同梱)

2 管理コンソール SCCM Intune Intune SCCM 2 アプリケーション管理 ◎ ○ ○ ○ 3 マルウェア対策 ○ ○ - -4 ハードウェアインベントリ ◎ ○ ○ ○ 5 ソフトウェアインベントリ ◎ ○ - ○ 6 リモート コントロール ○ - - -7 コンプライアンス設定 (PC 設定) ◎ ○ - -8 コンプライアンス設定 (モバイルデバイスポリシー設定)New - - ○ ○ 9 OS展開 ○ - - -10 電源管理 ○ - - -11 ソフトウェア メータリング ○ - - -12 利用者によるデバイスの登録 - ○ ○ ○

13 証明書の配布 New △ (AD GPO) - - ○

14 3rd _{Party VPN 設定 New △ (PowerShell) - - ○}

15 Wifi プロファイルの設定New △ (AD GPO) - - ○

59

Windows 8.1 RT のモバイルデバイス管理機能比較

管理機能 Intune (Cloud Only) SCCM 2012 R2 & Intune 管理アーキテクチャ モバイル デバイス管理 モバイル デバイス管理 1 管理エージェント 不要 (OS に同梱) 不要 (OS に同梱) 2 管理コンソール Intune SCCM 2 アプリケーション管理 ○ ○ 3 マルウェア対策 - -4 ハードウェアインベントリ ○ ○ 5 ソフトウェアインベントリ - ○ 6 リモート コントロール - -7 簡易モバイルデバイスポリシー設定 ○ -8 コンプライアンス設定 (モバイルデバイスポリシー設定) New - ○ 9 利用者によるデバイスの登録 ○ ○ 10 証明書の配布 New - ○ 11 VPN 設定 New - ○ 12 Wifi プロファイルの設定New - ○ 13 セレクティブ ワイプ New - ○

60

iOS のモバイルデバイス管理機能の比較

管理機能 Intune (Cloud Only) SCCM 2012 R2 & Intune 管理アーキテクチャ モバイル デバイス管理 モバイル デバイス管理

1 管理エージェント Apple MDM Protocol Apple MDM Protocol

2 管理コンソール Intune SCCM 3 アプリケーション管理 ○ ○ 4 ハードウェアインベントリ ○ ○ 5 ソフトウェアインベントリ - ○ 6 簡易モバイルデバイスポリシー設定 ○ -7 コンプライアンス設定(モバイルデバイスポリシー設定) - ○ 8 利用者によるデバイスの登録 ○ ○ 9 証明書の配布 New - ○ 10 VPN 設定 New - ○ 11 Wifi プロファイルの設定 New - ○ 12 セレクティブ ワイプ/フル ワイプ New ○ ○

61

Android のモバイルデバイス管理機能の比較

管理機能 Intune (Cloud Only) SCCM 2012 R2 & Intune 管理アーキテクチャ モバイル デバイス管理 モバイル デバイス管理 1 管理エージェント - Android MDM agent 2 管理コンソール - SCCM 3 アプリケーション管理 - ○ 4 ハードウェアインベントリ - ○ 5 ソフトウェアインベントリ - ○ 6 簡易モバイルデバイスポリシー設定 - -7 コンプライアンス設定(モバイルデバイスポリシー設定) - ○ 8 利用者によるデバイスの登録 - ○ 9 証明書の配布 New - ○ 10 VPN 設定 New - ○ 11 Wifi プロファイルの設定 New - ○ 12 セレクティブ ワイプ/フル ワイプ New - ○

62

Device Management of Leverage Scene

63

社内ネットワーク インターネット

デバイス管理のシナリオごとの構成

 管理対象となるデバイスの種類や利用される場所などの要件に応じた、適切な管理インフラの構成が可能

– PC 管理の構成

– モバイルデバイスを含む、マルチデバイス管理の構成

構成 ② 社内設置型で社内外の PC を一元管理 SCCM SCCM の 管理コンソール 社内の PC 社外の PC 社内ネットワーク インターネット 社内の PC 社外の_PC Windows Intune の 管理コンソール 構成 ③‘ SaaS 型で 社内外の PC とモバイルデバイスを一元管理 タブレットや スマートフォン 社内ネットワーク インターネット 社内の PC 社外のPC Windows Intune の 管理コンソール 構成 ③ SaaS 型で社内外の PC を一元管理 社内ネットワーク 構成 ① 社内設置型で 社内のPC を一元管理 SCCM SCCM の 管理コンソール 社内の PC 社内ネットワーク インターネット 構成 ④ 社内設置型で社内外の PC とモバイルデバイスを一元管理 SCCM SCCM の 管理コンソール 社内の PC 社外の PC タブレットや スマートフォン

64

マイクロソフトのデバイス管理ソリューションの特徴

 社内設置型 とクラウド設置型のデバイス管理ソリューションを展開中

10万台規模の スケーラビリティ 収集情報の詳細な カスタマイズが可能 PC を完全に管理 モバイルデバイスの_{管理は不可} 中小規模向け (7,000台まで) 収集情報の詳細な カスタマイズが不可 PC の簡易的な管理 モバイルデバイスの 簡易的な管理 10万台規模の スケーラビリティ 収集情報の詳細な カスタマイズが可能 PC を完全に管理 モバイルデバイスを_{詳細に管理} 自社でサーバーの 構築と運用が必要 マイクロソフトが サーバーを提供 導入に SI が必要 導入が容易 自社でサーバーの 構築と運用が必要 導入に SI が必要 JailBreak 情報など インベントリ情報の追加 端末を制御する MDM ポリシーの追加 社内へのアクセスに 必要なリソース展開

65

マイクロソフトのデバイス管理ソリューション

 社内設置型 とクラウド設置型のデバイス管理ソリューションを展開中

インベントリ収集 更新プログラム管理 アプリケーション展開と管理 OS展開 マルウェア対策 稼働監視 コンプライアンス設定 電源管理 ソフトウェアメータリング リモコン モバイル PC ライセンス管理 ポリシー管理 レポーティング インベントリ収集 更新プログラム管理 アプリケーション展開と管理 マルウェア対策 コンプライアンス設定 リモコン ライセンス管理 ポリシー管理 レポーティング インベントリ収集 アプリケーション展開と管理 ポリシー管理 インベントリ収集 更新プログラム管理 アプリケーション展開と管理 OS展開 マルウェア対策 稼働監視 コンプライアンス設定 電源管理 ソフトウェアメータリング リモコン ライセンス管理 ポリシー管理 レポーティング インベントリ収集 アプリケーション展開と管理 ポリシー管理 証明書展開 VPN 定義展開 Wi-Fi 定義展開

66

Windows Intune

License and Provide Form

67

Windows Intune のライセンス提供形態

 ユーザー単位のライセンス体系

– 1 ユーザー ライセンスあたり 5 デバイスまで管理可能 (PC、スマートフォン、タブレットなど)

 EA/ESA で提案可能なライセンスは以下の通り

– Windows Intune SKU

– Windows Intune Add-on SKU (Core CAL/E-CAL へのアタッチが可能)

 Windows Intune SKU に含まれる利用権

– Windows Intune の利用権

– System Center 2012 Configuration Manager (SCCM) の利用権 ※非永続利用権

– System Center 2012 Endpoint Protection (SCEP) の利用権 ※非永続利用権

製品の種類 利用可能な機能 ライセンスの提供形態

Windows Intune SCCM/SCEP Windows SA EA/ESA MOSP EES

Windows Intune

○

○

○

○

Windows Intune

with SA

○

○

○

○

Windows Intune Add-on

68

Core CAL / E CAL / CML

Intune Add-on SKU

Windows Intune SKU で実現するマルチデバイスの統合管理

 オンプレミスの SCCM による PC の管理と Windows Intune によるモバイルデバイスの管理による

マルチデバイスの統合管理ソリューションを実現

管理対象のプラットフォーム 単一の管理 コンソール Windows PCs (x86/64, Intel SoC), Windows to Go Windows Embedded Mac OS X Windows 8.1 PCs & RT Windows Phone 8 iOS Android SCCM 管理コンソールからの一元管理 SCCM 管理コンソールにすべてのデバイスの管理作業を統合 豊富なモバイルのデバイス管理機能アプリケーション/ VPN/ Wi-Fi 設定の配布、インベントリ収集、 証明書のインストール、ポリシー設定、ワイプ等の管理機能を提供 管理対象のプラットフォーム

69

Windows Intune の ライセンスにおける留意ポイント

 Windows Intune ライセンスの留意ポイント

– 最少購入数 (EA/ESA/EES)

• 新規 EA/ESA として 250 ライセンスから購入することが可能です。 ( 250 ライセンスは Office365 との合算が可能) • 既存 Core CAL / E-CAL への Windows Intune Add on は 1 ユーザー分から購入可能です。

• 既存の EA/ESA をお持ちでないお客様でも、250 ライセンスより 新規 ESA の契約で購入いただけます。 ※ Office365 のライセンス体系と同じものになります。

– 契約期間

• 新規 EA の場合、通常は 3 年

• Add-on の場合には、既存の Core CAL / E-CAL の契約内容によります。

 既存ライセンスとのオンラインサービス ライセンスの過不足を調整するための

Windows Intune 用のブリッジライセンスを提供

– Core CAL Bridge for Intune

• Exchange / Sharepoint / Lync / Win CAL を Windows Intune に付与

– Core CAL Bridge for Intune & O365

70

Windows Intune の活用パターン

 既存のライセンスへの Windows Intune ライセンスのアタッチが可能

71

Point

72

契約社員のデバイス

企業統合時の PC

組織のドメインに

参加していない PC

管理の対象となるデバイスの多様化

外周りの営業用デバイス

世界各国に広がる

オフィス

限られた人員と予算

統一されていない

煩雑な管理環境

組織の拡がりと IT 管理の業務要件との乖離

個人任せの

デバイスの管理

デバイス管理における状況と課題

73

デバイスの Anywhere と Any Device への対応

クラウドベースのクライアント PC およびモバイル デバイスの管理ソリューションを提供

 管理対象デバイスのハードウェアやソフトウェアの情報を収集/管理  アプリケーションや更新プログラムの配信とライセンス管理機能を提供  アンチ マルウェアの提供と一元管理のための機能を提供  iOS や Android も対象としたモバイル デバイスの管理  Web ベースの管理コンソールからのユーザーとデバイスを紐づけた一元管理  エンドユーザー向けのセルフ サービス ポータル サイトを提供

 社内 Active Directory と連携したユーザーの管理と ADFS ベースの SSO に対応

74

Windows Intune

 最低限の投資でマルチ デバイス管理を実現

– Windows Intune は、マルチ デバイス管理、ライセンス管理、アンチ マルウェア対策、

MDM 機能等を All in One でご提供します

– デバイス管理のための機器や設備、それにかかわる年間保守料金等が不要となります

– 画面共有により、リアルタイム ヘルプデスクの提供が可能です

– 使いやすい UI を準備しており、トレーニング不要で数時間で利用できるようになります

 IT 管理業務の軽減化

– 全ての端末の可視化をはかり、適正な業務用デバイスの管理を提供できます

– 管理のオペレーションに必要となるのは Web ブラウザーだけです

– 更新プログラムの自動適用やアンチ マルウェア対策機能によりセキュリティを強固に保てます

– グループ毎にポリシーが適用できる為、運用負担が軽減されます

– ソフト/ハードのインベントリが取得できるので資産管理が容易に実現できます

– Office365 との連携により導入や運用の業務を一元化することが可能です。

 法的問題解決の一助として

– アンチ マルウェア対策機能や更新プログラム管理による重要な脆弱性への対策・管理が可能です

– MDM (リモート ワイプ) による情報漏えい対策にも対応しております

– 適正なライセンス管理による使用許諾違反への防止策となります

75

7575

本資料の関連資料は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （

pdf １００冊

）

http://www.geocities.jp/ittaizen/itlib1/

目次番号

２７５番（ＰＤＦ）

75

76