[PR] Microsoft 365を活用したエンドポイントデバイス管理とゼロトラストセキュリティ

「Microsoft 365」
エンドポイントデバイス管理と
ゼロトラストセキュリティ

企業や自治体におけるIT活用において、管理者の最大の悩みの一つはPCやタブレット、スマートフォンといったマルチプラットフォームのデバイス管理だろう。オフィスの外で利用されているデバイスやクラウド上のデータを管理するのは難しく、深刻化するセキュリティリスクへの対策が課題となっている。そして来年の10月のWindows 10 EOS（サポート終了）で予想される約1,800万台※1の法人でのWindows PCの移行、そしてNEXT GIGAで予想される900万台※2のデバイスの入れ替えに向けた技術者の確保も喫緊の課題だ。こうしたデバイス管理の課題を一気に解決するのがMicrosoft Intuneを中心としたMicrosoft 365の管理およびセキュリティ機能である。

※1　MM総研の2024年3月の調査。
※2　日本マイクロソフト調べ。

広がる境界線と多様化するデバイスにより
セキュリティリスクが深刻化

　ITの進化に伴い世の中が便利になる一方で、サイバー攻撃が容易にできるようになっており、セキュリティリスクが深刻化している。組織で業務に利用され、従業員が日々持ち歩くPCやタブレット、スマートフォンは、これらの脅威に直接触れる危険性があるため、デバイスを管理して保護することが重要となる。同時に組織には従業員が働きやすいIT環境を提供することも求められる。

　Microsoft Corporationの製品開発チームで「Microsoft Intune」（以下、Intune）を担当する篠木裕介氏は「サイバー攻撃は管理されていないデバイスから狙われるケースが多いことが知られています。ハイブリッドワークと呼ばれる多様な働き方が定着した現在ではモビリティがますます重視されるようになり、オフィスの内外からクラウドを含めて業務データにアクセスする機会が増え、防御しなければならない境界線が拡大しています」とセキュリティリスクについて指摘する。

　さらに「業務でユーザーが利用するデバイスはWindows PCだけではなくMac、iOSやAndroidといったタブレットやスマートフォンへと多様化しています。業務で利用している多様なデバイスに対してそれぞれセキュリティポリシーを管理するのは手間がかかり、人的なミスの原因になってしまうリスクもあります」と課題を指摘する。

　一般的に多様なプラットフォームのデバイスを管理するには、デバイス管理製品の導入が必要となる。さらにクラウドサービスを利用する際のIDやアカウントの管理も必要となる。これら全てを導入して製品を個別に運用する場合は、業務負担も大きく、そのコスト負担も生じる。こうした悩みを一気に解消してくれるのがマイクロソフトのMicrosoft 365に含まれる※3「Microsoft Entra ID（旧Azure Active Directory）」（以下、Entra ID）やIntuneだ。

※3　対応ライセンスについてはMicrosoft 365ライセンスを確認してほしい。

プラットフォームと場所を問わず
Intuneでデバイスを一元管理

Microsoft Corporation Customer Experience Engineering Customer Acceleration Team Senior Product Manager Microsoft Intune
**篠木裕介** 氏

　Microsoft 365の各種ソリューションを活用することで、ID・アクセス管理、デバイス管理、情報保護などのセキュリティ機能により、企業の情報を保護しながらハイブリッドワークなどのモビリティが高く従業員が働きやすいIT環境を提供できる。その中でエンドポイントのデバイスやアプリケーション管理を担う製品がIntuneだ。

　Intuneに登録されたデバイスに対して、構成ポリシーの割り当てやアプリケーションの配布、ソフトウェア更新プログラムの管理を行うことで、デバイスを常に最新に保ち、脆弱性を減らしてセキュアな構成を維持できる。IntuneではWindows PCやMacに加えてiPhoneやiPad、Androidといったタブレットやスマートフォンまで、多様なデバイスおよびプラットフォーム※4を一つの製品で管理でき、運用の手間と時間、コストの削減が期待できる。

　さらにMicrosoft 365ではクラウドベースでID・アクセス管理を提供するEntra IDも提供される。Entra IDは多要素認証やシングルサインオン、アクセス制御などの機能により、クラウドサービスへのログイン情報の漏えいや、アクセス権限設定の不備、共有設定のミスなどによる情報漏えいを防ぐことができる。管理者にとってもクラウドサービスのID・アカウントを一括管理できることで業務負担が軽減できるメリットもある。

　Intuneには管理下のデバイスに対してIT管理者があらかじめ定めたセキュリティポリシーに準拠しているかを定期的に自動でチェックし、準拠状況を判定する機能がある。この機能とEntra IDのアクセス制御機能である「条件付きアクセス」を組み合わせると、ポリシーに準拠するデバイスからのみ業務データにアクセスさせるよう構成できる。

※4　OSによって機能に一部制限がある。

Windows 10 EOS と NEXT GIGA への対応は
Windows Autopilot と Intuneで効率化

　来年はWindows 10 EOSやNEXT GIGAに伴う大規模なPCのリプレースが行われることはご存じの通りだ。企業や学校で多数のPCを同時にリプレースする際は、イメージの作成・展開、初期設定などの、いわゆるキッティングに伴う労力と時間、コストをいかに削減するかが課題となる。そこで「Windows Autopilot」を活用してデバイスの初期登録のプロセスを簡易化できる。

　Windows Autopilot は新たに配布するPCを、クラウドを介してリモートで一斉にキッティングできる次世代のデバイスセットアップ方法だ。事前にデバイス情報をWindows Autopilotに登録して構成の準備を行っておく。そしてPCをユーザーに配布し、ユーザーは新しいPCからインターネットを通じてEntra IDでデバイスを認証する。

　するとWindows Autopilotにより自動的にIntuneとEntra IDに初期登録が行われ、続いてIntune からデバイスやユーザーに対して割り当てられた構成ポリシーやアプリケーションといった設定がクラウドから自動で展開されるという手順だ。

　このときユーザーはオフィスに出社することなく、自宅などのリモートワーク環境でもユーザー自身で認証・初期設定・展開を自動で行うこともできる。IT管理者も展開のための設定をIntuneでカスタマイズや管理できるので、現場対応を大幅に削減可能だ。

　この手法を活用すれば企業はもちろん、NEXT GIGAでのPCの配布・展開も大幅な効率化が期待できる。またPCの新規導入に限らず、導入後にPCが故障した際にユーザーに予備機を提供して環境を再現する運用にも役立つ。

　篠木氏は「キッティングの手法には選択肢があり、それぞれに特長やメリットがあると考えていますが、Windows 10 EOSおよび NEXT GIGAへの対応に向けて、Intuneによるクラウドネイティブのデバイス管理・登録手法を候補の一つとしてぜひご検討ください。またお客さまやパートナーさまからのフィードバックに基づいてIntuneの設定方法のガイドやビデオトレーニングを提供しています。設定方法のガイドには学校向けデバイスのIntune 設定方法と設定テンプレート※5を準備していますので、パートナーの皆さまがゼロから設定を検討しなくても済みます」とアピールする。

　なお、日本マイクロソフトでは、ゼロタッチデバイス管理パートナー認定取得制度などのノウハウ提供によるパートナー支援も行っている。

※5　日本マイクロソフトではインターネットで公開されている「Microsoft Learn チュートリアル」の「学校でデバイスを展開および管理する」やYouTubeチャンネルの「Intune for Education（日本語）」を通じて、Microsoft Intune の設定方法など活用のハウツー情報を提供している。「教育機関向けの一般的な構成」は、学生が利用するデバイスのIntune 設定を構成する際のテンプレートとして活用できるので、NEXT GIGA の導入を支援するパートナーにお勧めする。

「Microsoft Learn チュートリアル」の「学校でデバイスを展開および管理する」
https://learn.microsoft.com/ja-jp/mem/intune/industry/education/tutorial-school-deployment/introduction

YouTubeチャンネルの「Intune for Education（日本語）」
https://m.youtube.com/playlist?list=PLMuDtq95SdKsthBc6hgTRP-YdhHEuCXrw