モバイル端末の効率的な管理には、Microsoft IntuneのようなMDMの利用が一般的です。しかし、こうしたツールを利用するためには、エンドポイントデータのマイグレーションが必要不可欠です。
業務を停止せずにスムーズに実施するためにも、適切な準備の下にマイグレーションを行いましょう。
エンドポイントとは?
エンドポイントデータのマイグレーションを実施するためには、エンドポイントの概念について理解しなければいけません。ここではエンドポイントと、それを管理するためのMDMについて解説します。
エンドポイントの概要
エンドポイントは、末端や終点を指す言葉です。使用する場面によって意味合いが異なりますが、通常ではPCやモバイル端末などを指します。これはデータ通信の最終地点に起因するものです。その他、電子機器内部では終端の端子やコネクタに用いたり、ソフトウェアではURLを指したりします。
またセキュリティ分野に関しても、「エンドポイントセキュリティ」という名称があり、こちらも同様に末端のデバイスを指します。近年では、エンドポイントのセキュリティを向上するために、モバイル端末を統合的に管理するMDMというツールを利用することがあります。
MDM(モバイルデバイス管理)
MDM(Mobile Device Management)は、モバイル端末を一括で管理するサービスです。企業のように、多くの端末を扱う場合に利用されます。
このサービスを活用することにより、以下のようなリスクの軽減に繋がります。
- 紛失時の情報漏洩
- 端末からの不正利用
- 端末からの情報の抜き出し
MDMでは、登録した端末を遠隔で操作できます。この機能により、従業員が端末を紛失したとしても、遠隔操作でロックをかけられるのです。そのほか、コンプライアンスに沿ったセキュリティの適用、端末監視、GPSの利用など、多くの管理機能を備え付けています。
![[動画]【最新AIによる情報整理術】ChatGPT × マインドマップで情報を『見える化』](https://www.cloud-for-all.com/hubfs/m365/images/cta_images/cta-middle-video-chatgpt-and-mind-map-to-visualize-information.png "[動画]【最新AIによる情報整理術】ChatGPT × マインドマップで情報を『見える化』")
エンドポイントのデータをマイグレーションするための準備
柔軟な働き方が大きく押し進められたことにより、オフィス以外で業務を行う企業が増えてきました。それに伴い企業PCを使用した業務から、モバイルデバイスや自宅のPCを使用して業務を行うようになったのです。
こうした試みには多くのメリットがありますが、環境の構築が大変です。そこで企業は、こうした環境の変化に対応するために、エンドポイントのマイグレーションを考えなくてはいけません。ここではマイグレーション先としてMicrosoft Intuneを想定して、その準備について解説していきます。
移行前のMDMからデバイスの情報を収集する
Microsoft Intuneへの移行後も、移行前と同じかそれ以上の管理を実施するために、移行前のMDMでどのようなタスクや機能を使用しているか確認する必要があります。たとえば、以下の情報を収集します。
- 登録している端末
- 適用しているコンプライアンス
- 適用しているプロファイル
- アプリ、コンテンツ
- グループ
- 管理者と管理手法
- デバイスのプロビジョニング方法
- オンプレミスコネクタ
移行前の状態をリスト化する
上記で収集した情報は、より詳細化してリストに起こします。また、移行後にどのような条件にするかを考えて、状態を定義しましょう。たとえば、それぞれ以下のような情報をまとめます。
1.デバイス情報
- 「端末数」
- 「OSバージョン」
- 「モデル」
- 「ユーザーのシリアル番号」
- 「IMEI」
2.コンプライアンスと構成
- 割り当て方針
- デバイスの登録モード
- 構成プロファイル
- コンプライアンスプロファイル
3.アプリケーション
- アプリケーションのカテゴリリスト
- 基幹業務アプリのグループ割り当て
- 公開アプリケーションと割り当て
- アプリケーションの制限グループ割り当て
4.グループ
- 既存MDMのグループリスト
- グループの種類
- グループのユーザーリスト
- 管理者、ロールリスト
5.Intuneに関連した情報
- サービスアカウント
- ライセンス
- 管理者アカウント
上記情報を詳細にまとめることで、移行後も効率的なデバイス管理が可能です。
その他移行に必要なプロセスを行う
デバイスの管理手法、セキュリティ、デプロイメントに関して、企業の業務に合わせて設計・導入を行います。Intuneでは、「構成プロファイル」「アプリ保護プロファイル」「エンドポイントセキュリティプロファイル」「セキュリティベースライン」を利用して、デバイス、アプリケーション、セキュリティに関する管理が可能です。
また、企業によっては独自の管理が発生します。クラウドとオンプレミスのハイブリッドワークや自動プロビジョニングなどを行う場合は、Microsoft Endpoint ManagerやApple ADE・Google Zero Touch・Android Enterpriseなどの設計を行いましょう。
エンドポイントのデータをマイグレーションするための手順
マイグレーションの準備を行ったら手順に沿って実施を行います。実施前後には問題が起きないように、手順の立案やアクセス制限の設定を考えなくてはいけません。
移行手順の立案
移行手順で最初に考慮するのは、デバイスの初期化です。管理手法によってデバイスの初期化が発生する場合としない場合があるので注意しなくてはいけません。初期化が発生する場合としない場合で、移行計画が大きく変わるため、この点を考慮して計画を立案しましょう。
また、移行をよりスムーズにするには、EBF Onboarderを利用するのもおすすめです。このソリューションは、MDM移行を支援するためのツールで、移行計画の作成から移行までを支援します。移行時に業務を停止する必要がなく、移行期間も短くすみます。
エンドユーザーのアクセス制限の設定
MDMから端末登録を解除すると保護下から外れます。そのため、セキュリティに脆弱になってしまうため注意が必要です。Intuneに登録するまでの間、企業のクラウドアプリケーションへのアクセスに制限をかける場合は、条件付きアクセス機能を利用します。この機能は、Azure ADに関連付けしたアプリケーションへのアクセスを特定のユーザーに限定できます。
制限方法は、「Intuneへの登録」や「アクティブディレクトリのドメインへの参加」から判断可能です。設定は、Azure ADのセキュリティ項目にある「条件付きアクセス」から新しいポリシーを追加します。
ユーザーの教育
Intuneの導入後は、使用方法や管理方法について共有します。「デバイスの登録方法」「関連したドキュメントの場所」「問題が発生した場合の問い合わせ先」などを周知しておきます。Intuneでは、デバイス登録方法などの動画も複数用意されているため、自己解決ができるようになっています。そのため、こうした情報をまとめて共有することで、問題発生時に個人で解決ができます。
また、個人用端末を管理する場合もあるため、収集される情報とされない情報、収集した情報をどのように利用されるのかを伝えておきます。個人用端末が管理されることに抵抗がある方も多いため、説明漏れがないようにしましょう。
まとめ
Microsoft社では、「Microsoft Hybrid Workforce Alliance」を開始しました。オフィスワーカーと在宅ワーカーを繋げるシステム作りやトレーニング、マーケティングなどICTを利用した幅広い手法を提供します。
このアライアンスを利用することで、ICTに関する知見がない企業でも、高度なシステムの導入に近づけます。
