記事の監修
S・S
マネジメント&イノベーション事業部 開発部/ユニット1 サブリーダー
資格 Microsoft Offiece Specialist Master 2007、ITパスポート
2022年よりMicrosoft365とPowerPlatformの案件を担当。それ以前は業務・Web系システムを要件定義からリリースまでの開発に従事。
IT業界歴15年の経験を活かし、PJを牽引し後続の育成にも力を注ぐ。
趣味は散歩で、思考が煮詰まった際には、近所の緑道を散歩し、新たな発見や自然からのインスピレーションを受けている。
はこちら.png)
Microsoft IntuneととAzure Active Directory導入すれば、組織のセキュリティを高めることができます。この記事では、Microsoft Intuneとは何か、導入のメリット、効果的な活用ポイントについて解説します。
Microsoft Intuneとは、どのようなツールなのでしょうか。まずはIntuneについて解説します。
Microsoft Intuneは、主にPCやスマホなどデバイスを管理するためのツールです。汎用OSであるWindowsや一般業務アプリであるOfficeをリリースしているMicrosoft社が手掛けています。
何故、今Intuneの導入が必要なのでしょうか。Intune導入の背景を見ていきましょう。
一つは、以前に比べて業務が柔軟的になったことが挙げられます。ITテクノロジーを駆使することで社内だけでなく社外からでもモバイル端末を通し、社内のシステムにアクセスができるようになりました。
それにより利便性や生産性は大きく向上しますが、反面セキュリティリスクを抱えることにもなります。そこでIntuneによりシステムにアクセスするモバイル端末を適切に管理し、セキュリティを担保するわけです。
もう一つは、テレワークが一般的になったことが挙げられます。従来のワークスタイルは決まった時間にオフィスに出社し、業務時間が終了したら退勤するというものでした。
そういったオフィスメインの業務スタイルにもメリットがありますが、通勤による疲労や災害リスクなどのデメリットも生じます。テレワークに移行すればそういったデメリットは避けられますが、今度は「さまざまな環境から社内のシステムにアクセスが試みられる」といった状況が発生します。
社内ネットワークの内部に全ての端末があれば、さまざまな面で管理がしやすくなります。しかし、テレワークのように外部からのアクセスがメインになれば、各デバイスがポリシーに準拠しているかどうかを判別する必要が生じます。
Intuneによりモバイル端末を管理することで、その辺りを見極めることができます。
Azure Active Directoryは、クラウドベースのユーザやアクセス管理ためのサービスです。
Azure Active Directoryは、Intuneと同じくMicrosoft社が手掛けています。
Azure Active Directory には、様々な条件でアプリケーションへのアクセスを制御する条件付きアクセスという機能がります。
条件はIPアドレス、所属するグループ、ユーザー、デバイスなど複数の条件を組み合わせることができ、条件に満たないユーザからのクラウドに対するアクセスをブロックすることができます。
Azure Active DirectoryとIntuneの大きな違いは、Azure Active Directoryが主にクラウドのアクセス管理するためのツールである点です。
対して、Intuneはデバイスを管理するためのツールです。Intuneで端末を社内のポリシーに準拠させることができます。
現代ではクラウド環境で業務が完結することは少ないため、条件付きアクセスの条件にポリシーに準拠したデバイスのみとすることで、外からのクラウドのアクセスに対するセキュリティを強固にすることができます。
では、次にIntuneを導入するメリットを解説します。
Intuneを導入することで、業務に使用するデバイスを適切に管理できるようになります。以前のように全ての端末が社内ネットワーク内に置かれていればよいのですが、業務スタイルが柔軟的に変化した現代においてはなかなかそうもいきません。
Intuneを利用すれば、業務に使用するさまざまなデバイスを一元管理し、社内の情報やデータを保護することができます。登録されたデバイスは、Intuneの管理画面に表示され、デバイス名や所有者、シリアルナンバーなどを確認することが可能です。
Intuneを活用してモバイル端末を管理すれば、セキュリティを幅広く保護することができます。モバイル端末は高機能なのに軽量でどこにでも持ち運びやすいといったメリットを備えていますが、その分紛失しやすいといったリスクも抱えています。
Intuneにデバイスを登録しておけば、モバイル端末を紛失したり盗まれたりした際に組織データを遠隔的に削除することができます。業務用デバイスに導入するだけでセキュリティを高められるのもIntuneの特徴と言えるでしょう。
Intuneは、クラウドで運用されているツールです。システムの運用方式としては大まかに「オンプレミス」と「クラウド」がありますが、現在はクラウド型のものが主流になっています。
クラウドのメリットとしては、下記のようなものが挙げられるでしょう。
クラウド型のシステムは、利用環境の柔軟性が特徴です。さまざまな場所から多様なデバイスでアクセスされるような場合にメリットを得やすいでしょう。
IntuneとAzure Active Directoryを導入すれば、情シス担当者やシステム管理者の手間を大きく削減できます。社内イントラネットによるネットワーク構築が行われている場合、内部にあるデバイスは管理可能でしたが、外部からのアクセスに対応するのは手間がかかりました。
IntuneとAzure Active Directoryであれば、外部からのアクセスにも対応可能です。Intuneに登録されているデバイスからのみ社内のメールやサービスにアクセスできるようにすれば逐一対応が不要になり、管理の手間が省けるでしょう。
Intuneを活用することで、従業員が持っている個人用デバイスを業務に利用することが可能です。一般的に従業員の個人用デバイスを業務活用するのは、会社にも従業員にも相応の負担を伴います。
Intuneを用いれば、Bring Your Own Device(BYOD)とセキュリティを両立可能です。もし従業員が自身の端末をIntuneに登録したがらない場合でも、アプリケーション管理のみに限定するといった細かなアプローチを行えます。
Intuneを導入すれば、登録デバイスにインストールされているアプリや更新プログラムを管理することが可能です。現代はテクノロジーの発展に伴い数多くのアプリがリリースされていますが、中にはセキュリティに問題が生じるものもあるかもしれません。
従業員が業務用の端末に自己判断でアプリをインストールすることを「シャドーIT」と呼びます。シャドーITの是非はケース・バイ・ケースですが、一般的には組織のセキュリティに問題を生じさせる可能性のある好ましくない行為と定義されています。
Intuneには、従業員のモバイル端末をそのまま業務に使用するためのBYODアプローチが用意されています。シャドーITによるセキュリティリスクがそのまま組織のセキュリティリスクに繋がるのを防ぐことができます。
では、次にIntuneを効率的に導入・活用するためのポイントをいくつかご紹介します。
IntuneととAzure Active Directoryではさまざまな管理を行うことができます。一例としては、下記のようなものが挙げられるでしょう。
IntuneとAzure Active Directoryによりデバイスとアカウントを管理する目的は、組織のデータを安全に保護することです。安全性を求めるのであれば要件を厳格にし、わずかでもリスクがあるデバイスからのアクセスは全てブロックするのが効果的かもしれません。
ただ、制限を厳しくすればするほど一般的な利便性は低下します。もちろんIntuneを正しく活用すれば安全性と利便性を両立することは可能ですが、どのような制限が組織にとってベストかを総合的に判断する必要があります。
IntuneととAzure Active Directoryに限らず、Microsoft社の製品はいずれも豊富な機能が搭載されています。機能が多ければ多いほどできることも増え自由度も高まりますが、その分運用ポリシーが複雑になりやすいといった難点もあるでしょう。
複雑なシステムやツールを業務に馴染ませるためには、なるべくシンプルな運用を心がけることが大事です。「一度設定してしまえばあとはシステムが自動的に行ってくれる」のであれば、運用の負荷を大きく下げられます。
あるいは「管理部は多少複雑になるが、一般ユーザーは複雑性を意識せず活用できる」でもよいかもしれません。「セキュリティを意識することなくセキュリティが保護される」のも一つの成功例です。
IntuneととAzure Active Directory効率的に導入・活用するためには、信用できるコンサルティングサービスを利用するのも手です。Intuneを導入する方法はいくつか存在するため、どれがベストかを自社で判断するのは難しい場合もあります。
多くのケースにおいて、Microsoft 365 Business Premiumのプランを契約するのがベターでしょう。しかし、Microsoft 365にもいくつかのプランが存在するため、選択の余地が発生します。
IntuneやAzure Active Directoryや他Microsoftサービスの導入実績を豊富に持つコンサルティングサービスを利用することで、より良い導入方法や活用方法を見つけることができます。
それでは、最後にIntune導入をおすすめしたい具体的なケースをいくつかご紹介します。
モバイル端末を頻繁に業務活用しているような場合、Intune導入によるメリットを得やすいでしょう。前述の通り、Intuneはモバイルを含むさまざまなデバイスを管理するためのツールです。
Intuneと活用すれば、従業員が所有している端末をそのまま業務に活用することもでき、コスト削減に繋がります。また、Azure Active Directoryで要件を満たさないデバイスからのアクセスをブロックすれば、外部からのアクセスを受け入れつつデータの安全性を保つことができます。
テレワークにおいても、IntuneとAzure Active Directoryは強い味方になってくれるでしょう。テレワークにおける問題の一つに「個々人がどのような環境からアクセスしているかが不明確になる」が挙げられます。
Azure Active Directoryは「アクセスを試みているデバイスが設定されたポリシーに準拠しているか否か」を判別してくれるツールです。複数人がそれぞれ異なる環境からアクセスすることが想定されるテレワークにおいて、セキュリティを保護してくれます。
Microsoft IntuneとAzure Active Directoryを導入すれば、組織のポリシーに準拠していないデバイスからのアクセスをブロックすることができます。適切な運用を行い、組織のセキュリティを強化しましょう。
ビズウインドでは、上記のような様々な課題でお困りのお客様に対して、
無料相談を実施致しております。
社内DX化のコンサルティングや営業支援システム、MAツールなどの
多くの導入実績から、プロの視点で様々な解決策をご提案させて頂きますので、
お気軽にご相談下さい。
