クラウドやテレワークの普及に伴い、昨今の企業は社内外でさまざまなデバイスを使用しています。そこで多くの企業が直面するのが、多様化する端末の管理をいかに行うかという問題です。本記事では、Microsoft社のエンドポイントセキュリティソリューション「Microsoft Intune」について紹介をします。
エンドポイントプロテクションとは
エンドポイントプロテクションとはセキュリティ対策の一種です。「エンドポイントセキュリティ」や「エンドポイント対策」などと呼ばれる場合もあります。
そもそもエンドポイントとは、ネットワーク上の終点となるデバイスのことです。たとえば、デスクトップPC、ノートPC、スマートフォン、タブレットなどがエンドポイントの代表例です。サーバーやプリンター、あるいは仮想化環境などがここに含められる場合もあります。
つまりエンドポイントプロテクションとは、こうした末端の機器や、そこに保存される情報・システムなどをウイルスやサイバー攻撃から守るためのサイバーセキュリティのことを指します。コロナ禍や働き方改革などの影響を受けてリモートワークが普及し、従業員が社内外からさまざまな端末で会社のシステムやデータにアクセスするようになった今、エンドポイントプロテクションの重要性は非常に高まっています。
これからのエンドポイントプロテクションを担うMicrosoft Intune
続いては、Microsoft社が提供するエンドポイントソリューション「Microsoft Intune」の紹介をします。
Microsoft Intuneとは
Microsoft Intuneは、「Microsoft 365 E3」をはじめとしたライセンスに提供される法人向けのクラウドサービスです。「Microsoft Endpoint Manager(MEM)」の一機能として利用できます。
Intuneでは、社内外のPCから従業員のスマートフォンまで、業務で使用する多様なデバイス情報の管理、状況確認、制御・ポリシー、さらにはアプリの配信・制御まで、すべてをクラウドベースで行えます。また、物理デバイスだけでなく、Microsoft社の提供する仮想化デスクトップサービス「Windows 365 クラウドPC」の管理も可能です。
Active Directoryとの違い
Microsoft社の提供するデバイス管理サービスとして、Active Directory(AD)もよく知られています。どちらも同じ役割を担うサービスですが、両者の最も大きな違いは、想定されるデバイス使用環境にあります。
ADの場合、その使用環境は社内イントラネットが主に想定されます。したがって、リモートワークやノマドワークなどを取り入れた企業など、社外からもさまざまなデバイスがインターネット接続してくるような環境には適していません。
対して、Intuneはクラウドベースのサービスであり、社外のエンドポイントにも柔軟に対応できます。クラウドサービスやテレワークの普及に伴い、エンドポイントの多様化が進む中、Intuneは、より現代的なニーズに適したソリューションと言えます。
Intuneのメリット
Intuneのメリットとして、主に以下のことが挙げられます。
- 人的/費用的/時間的な管理コストの軽減
- 統一化されたセキュリティの実現
- 多様な働き方やBYODの加速
Intuneを活用することで、管理者は設定したユーザー(デバイス)のグループを一括で設定・管理できます。また、IntuneはWindows OSだけでなく、多様なOSに対応可能です。これによって企業はマルチデバイス環境においても統一的なセキュリティを効率的に実現し、従業員のニーズに対応した多様な働き方やBYOD(Bring Your Own Device:私物端末の業務利用)を加速できるのです。
Microsoft Intuneによるエンドポイントプロテクションの実践
続いては、Microsoft Intuneによってエンドポイントプロテクションを実際にどう設定できるのかを解説します。
構成プロファイルとは
Intuneの中核的な機能として、デバイス構成プロファイルの監視と管理を支援する機能が挙げられます。構成プロファイルとは簡単に言うと、組織内の各デバイスに割り当てられた設定情報のことです。
Intuneでは、個々のデバイスあるいはデバイスグループに対して、特定の機能や権限を有効または無効にする設定を行えます。また、Intuneは、Windows OSだけでなく、mac、Android、iOSなど多様なデバイス・OSを安全に管理するための統一された方法を提供しています。
デバイス構成プロファイルの設定
Intuneで行える構成プロファイルの例として、たとえば各デバイスの「Bluetoothへのアクセス許可」「社内ネットワークへのアクセス設定」「ソフトウェア更新の管理」などが挙げられます。Intuneでは、こうしたプロファイルの状態や割り当てられたデバイスを確認したり、プロファイルのプロパティを更新したりすることができるのです。
構成プロファイルにはさまざまな項目がありますが、管理者がゼロから全て設定する必要はありません。Intuneには数百もの設定が組み込まれた「管理用テンプレート」が用意されているので、管理者はそれを活用してグループごとに設定していけばいいのです。
これはセキュリティに関しても同様です。IntuneにはMicrosoft社のセキュリティチームの推奨構成として、「セキュリティベースライン」が用意されています。こうしたMicrosoft社のベストプラクティスを基にカスタマイズしていくことで、管理者は適切な構成プロファイルを効率的に作成可能です。
デバイス別の設定可能制約
先述の通り、IntuneはWindowsを筆頭に、以下のOSに対応しており、デバイスごとに具体的な制約や変更を加えられます。
- Windows 10/Windows 11
- iOS/iPadOS
- Android
- Android Enterprise
- MacOS
たとえば、Windows 10に対しては、デバイスをクラウド構成に変えられます。これはリモートワーカーや現場担当者などが使用するデバイスのユーザビリティやセキュリティを向上させるために最適化されたデバイス設定です。
また、各OS・デバイスに課せられる制約の具体例としては、「パスワード設定」「アプリのダウンロード」「WiFiやBluetoothのアクセス設定」「画面キャプチャやコピー&ペースト、カメラの使用」などが挙げられます。制限できる項目はOSごとに一部異なるので、設定の際は公式ページの説明などをご確認ください。
アプリの管理とストア統合
たとえBYODの場合でも、社員が業務で使用するアプリは、自社で指定して管理したい場合もあるでしょう。そこでIntuneには、デバイスで使用するアプリの管理を行える機能が搭載されています。
これを活用することで、管理者は社内外のデバイスにおけるアプリの追加からリタイアまでのライフサイクルを管理可能です。ここで管理できるアプリの種類には、ストアで取得できるアプリのほか、社内で作成またはカスタマイズされたアプリ、組み込みアプリ、Web上のアプリなど多様なものが含まれます。もちろん、Microsoft社が提供するアプリもそのひとつです。
また、Intuneではこうしたアプリを取得するためのストアを統合的に管理できます。具体的には、「Microsoft ストア」、「iOS/iPadOS ストア」、「Android ストア」がその対象です。たとえばビジネス向けMicrosoft Storeを利用すれば、組織用のアプリを必要人数分まとめて購入できます。
まとめ
Microsoft Intuneは、多様化したエンドポイントを効率的かつセキュアに管理するためのソリューションです。エンドポイントの管理に課題を感じている企業様は、エンドポイントプロテクションを本番環境で実践的に学べるワークショップにぜひご参加ください。
