MicrosoftのIntune IT管理プラットフォームは、Microsoft 365の一部であり、モバイルデバイス管理技術を活用してWindows以外にも多くのデバイスを管理できます。事実上のモバイル管理標準を活用したIntuneは、企業所有のデバイスだけでなく、BYOD(Bring Your Own Device)プログラムの一環としてユーザー個人が所有するデバイス上の業務情報も保護する、ロータッチの管理環境を提供します。
Intune は Windows PC を管理するためのツールであり、System Center のクラウド代替(または拡張機能)として機能していると考える人が多いでしょう。しかし、Intune はより広範な機能を備えているため、Android や iOS の管理、そしてデバイスへのエンタープライズソフトウェアの配布にも強力なツールとなります。操作が簡単なため、最小限の制御から完全な制御まで、幅広い管理オプションが用意されており、ユーザーはデバイスに展開する機能と、どの程度の制御を放棄するかを選択できます。
デバイスの登録
管理対象デバイスはIntuneに登録する必要があります。BYODと専用デバイスの2つの選択肢があります。BYODデバイスはユーザー自身のハードウェアですが、専用デバイスは企業所有で、多くの場合、1回限りの使用に限られます。専用デバイスは、バーコードスキャナーを内蔵したAndroidの倉庫在庫管理ハードウェアや、フィールドサービスエンジニアに配布される作業管理ハードウェアなどのデバイスに最適です。実際には、タスクワーカー向けの専用デバイスと、ナレッジワーカー向けのBYODに分かれています。
参照: Microsoft Word と Excel の無料代替ソフト 10 選(TechRepublic ダウンロード)
Intuneに登録されたBYODデバイスには、Android Enterpriseプロファイルが設定されます。これにより、管理対象アプリケーションとデータ用の安全な専用ワークスペースが作成されます。プロファイルを設定すると、メールアカウントの設定や企業ネットワークへのWi-Fiアクセス、ユーザーがビジネスアプリケーションのスクリーンショットを撮れるようにするなど、スマートフォンのほとんどの機能をプロファイルで制御できるようになります。Android Enterprise対応のスマートフォンを探す必要はありません。最近のAndroidリリースにはすべてこの機能が搭載されています。
Intune を Google Play に接続する
画像: Microsoft
Intune で Android を管理するには、まず Intune テナントを G Suite に関連付けられていない Gmail アカウントに接続します。これはサービスアカウントであり、Android と Google Play サービスとの連携に使用され、Google が「managed Google Play」と呼ぶものを制御します。Intune の Android サポート設定の一環として、組織のニーズに合わせてカスタマイズされた Google Play ストアのエンタープライズ インスタンスを作成します。
マネージド Google Play インスタンスを接続すると、Intune ポータルサイトアプリを通じて展開されるアプリケーションを設定できます。新しいアプリは、Play ストア経由で配信される前に、Intune 管理ポータルから選択して特定のユーザーに割り当てることができます。これは、エンタープライズライセンスを持つアプリ、または Google Play ストアのプライベートエリアに保管できる独自のアプリ(登録済みのデバイスとユーザーのみがアクセス可能)経由で行うことができます。完全に管理されたデバイスは、承認されたアプリのみに制限することも、ストアへのフルアクセスを許可してユーザーがあらゆるアプリをインストールできるようにすることもできます。購入を制限したり、この制限を解除してユーザー自身の Google アカウントですべてのアプリにアクセスできるようにしたりすることも可能です。
コンプライアンスの確保
Intune を使用して Android を管理する上で最も重要な点の 1 つは、コンプライアンス認証のサポートです。Intune では、Android Enterprise デバイスの主要なデバイス機能をカバーするコンプライアンス ポリシーを作成できます。主要なバグを修正した OS リリースが必須となるように、OS の最小バージョンから開始します。また、テストされていないベータ版をロックアウトしたり、ルート化されたデバイスを制限したりするために、OS の上限レベルを設定することもできます。その他の設定では、使用するパスワードの種類と、生体認証が利用可能な場合にそれを強制するかどうかを指定します。
Lookoutセキュリティプラットフォームなどの他のAndroid管理ツールとの統合も可能です。これにより、Lookoutを使用してデバイスの脅威レベルを設定し、デバイスのリスク評価を管理できます。サポートされているその他のセキュリティプラットフォームには、Google Play ProtectやSafetyNetデバイス認証などがあります。Intuneは、デバイスが暗号化されたストレージを使用していること、そして既知のソースのみを使用していることを保証することもできます(企業アプリをサイドローディングしている場合は、このオプションを無効にする必要があります)。同様に、ユーザーに適切なバージョンの企業ポータルがインストールされていることも確認します。
参照: G Suite: ビジネスプロフェッショナル向けのヒントとコツ (無料 PDF) (TechRepublic)
コンプライアンス違反が発生しても、デバイスの動作が停止することはありません。企業リソースへのアクセスがブロックされるだけです。これは現代のデバイス管理において重要な側面です。デバイスを無効にするのではなく、ユーザーが引き続き個人用デバイスとして使用できるようにし、ソフトウェアをアップデートしたり、ログイン方法を変更したりして、スマートフォンをコンプライアンスに適合させる機会を提供することが重要なのです。
Intune と Microsoft 365 の操作
デバイスとユーザーがIntuneに登録すると、AndroidスマートフォンやタブレットでもWindows PCと同じWebベースの管理コンソールを使用できます。同じクエリを実行し、取得できる情報もほぼ同じです。Microsoft 365の他の機能の一部として、Enterprise Management Suiteの他の機能にもアクセスできます。これにより、Androidアプリで条件付きアクセスを使用して、管理対象デバイスのみが企業データにアクセスできるようにしたり、情報権限管理を使用してOutlook経由で送信される情報を管理したりできます。企業データは個人データから分離されているため、BYODデバイスで企業アプリをアンインストールすると、ユーザーの写真やその他の貴重な個人データに影響を与えることなく、そのデータが削除されます。
Intuneの便利な機能の一つに、デバイス専用のサブスクリプションがあります。キオスクモードでユーザーに割り当てられていないデバイスを管理している場合、低コストのサブスクリプションを使用して、ユーザーに割り当てることなく、Intuneデバイス群に追加できます。これは、POSデバイスとして使用されるタブレットやスマートフォン、またはレストランの座席割り当てを管理するキオスクなどに適しています。
Androidデバイスの人気が高まっており、Intuneのモバイルデバイス管理ツールの有用性がますます高まっています。このツールを使ってGoogleのエンタープライズAndroid機能を管理すれば、社内メールやネットワークへのアクセス権限の付与から、管理の厳しいデバイスへのエンタープライズソフトウェアの導入まで、組織内のすべてのデバイスとユーザーに適切な制御を適用できます。Microsoft 365の一部として提供されるIntuneにより、PCと同じツールでユーザーのスマートフォンを管理できるようになり、多くのツールがすべてのデバイスで利用可能になります。
