リモートワークやBYOD(私物端末の業務利用)の普及により、モバイルデバイスの管理はMicrosoft 365管理者にとって不可欠なスキルとなりました。今回は、モバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)の基本概念、Intuneを使った管理の概要、リモートワイプやアプリ保護ポリシーの意義、BYOD環境での運用ポイントについて解説します。
モバイルデバイス管理(MDM/MAM)の基本概念
モバイルデバイス管理には、大きく分けて「MDM」(Mobile Device Management)と「MAM」(Mobile Application Management)の2つのアプローチがあります。
| MDM(デバイス管理) | デバイス全体を管理対象とし、OSレベルの制御(パスワードポリシー、暗号化、リモートワイプなど)を行う。デバイス自体が組織所有の場合に適している |
| MAM(アプリケーション管理) | 業務用アプリとそのデータに焦点を当て、デバイス自体ではなくアプリレベルでセキュリティを確保する。BYOD環境で特に重要 |
管理の目的と意義
モバイル管理の本質は「生産性とセキュリティのバランス」にあります。ユーザーがどこからでも安全に業務データにアクセスできる環境を提供しつつ、以下のリスクを最小化することが目的です。
- デバイス紛失・盗難時の情報漏洩
- マルウェア感染や不正アクセス
- 意図しないデータ共有や外部流出
Microsoft 365 MDMとIntuneを使ったデバイス管理の概要
Microsoft 365には標準で利用できるMDM機能(Basic Mobility and Security)が装備されていますが、本格的なモバイル管理とデバイスセキュリティを実現するには、Intuneを導入すべきです。組織規模が大きく、BYODや多様なデバイスが混在する環境では、Intuneの導入が特に有効です。
Intuneはクラウドベースのサービスで、各種モバイルデバイスを一元管理できます。Intuneには、基本機能のPlan 1とより高機能なPlan 2やIntune Suiteがあります。
Microsoft 365 MDMとの違い
Microsoft 365の標準MDM機能とIntuneの主な違いは以下の通りです。
| 機能 | Microsoft 365 MDM | Intune |
|---|---|---|
| 管理対象 | 基本的なデバイス制御 | デバイス+アプリ+データ |
| MAM機能 | 限定的 | アプリ保護ポリシー対応 |
| 詳細設定 | 不可 | VPN/Wi-Fi設定等可能 |
Intune Plan 1を含むプランと含まないプラン
Microsoft 365 MDMは、ほぼすべての法人向けMicrosoft 365プランで利用できます。しかし、Intune Plan 1は、契約しているMicrosoft 365のプランによって標準で利用できる場合と、有料のIntune Plan 1ライセンスを追加購入しなければならない場合があります。
| Intune Plan 1を含むプラン | Microsoft 365 E3、Microsoft 365 E5、Microsoft 365 F1、Microsoft 365 Business Premium、Enterprise Mobility + Security (EMS) E3、Enterprise Mobility + Security (EMS) E5 |
|---|---|
| Intune Plan 1を含まないプラン | Microsoft 365 E1、Microsoft 365 Business Basic、Microsoft 365 Business Standard、Office 365 E1、Office 365 E3、Office 365 E5Microsoft 365 E1 |
なお、Intuneを有効化しているテナントでは、Microsoft 365 MDMを有効化できません。Intuneが優先されます。
Intuneの各プランの違い
Intuneの各プランの違いの概要は以下の通りです。
(1)Intune Plan 1(基本機能) Intune Plan 1を含んでいるMicrosoft 365プランでは、追加費用をかけずに利用できます。
- クロスプラットフォームのエンドポイント管理(Windows、macOS、iOS、iPadOS、Android)
- モバイルアプリケーション管理(MAM)
- 組み込みのエンドポイントセキュリティ
- エンドポイント分析(基本)
- Microsoft Configuration Managerとの統合(ハイブリッド管理)
(2)Intune Plan 2(追加機能)
Intune Plan 1への追加パッケージで、事前にPlan 1を所有していることが前提です。Intune Plan 1の機能に以下の機能を追加します。
- Intune Tunnel for MAM:iOS/Android向けの軽量VPN(デバイス登録不要)
- 特殊デバイス管理:AR/VRデバイス、会議室用デバイス、大型スマートスクリーンなどの管理
(3)Intune Suite(最上位パッケージ)
Intune Plan 1やPlan 2の全機能含んでいるため、Plan 1やPlan 2を購入する必要はありません。Intune Plan 1とPlan 2の全機能に加えて、以下の機能があります。
- Remote Help:IT管理者が安全にリモートサポート
- Endpoint Privilege Management(特権管理)
- Advanced Endpoint Analytics(高度な分析)
これらの高度な機能は、特に大規模組織やセキュリティ要件の高い環境で有効です
Microsoft 365 MDMを有効化する手順
Intuneをすでに使用していているテナントでMDMを有効化することはできません。IntuneはMDMに優先されます。
(1)EdgeなどのWebブラウザで以下のURLに接続し、Microsoft 365テナント管理者のユーザー名、パスワードでサインインしてください。
https://compliance.microsoft.com/basicmobilityandsecurity
※Microsoft 365管理コンソールにサインインしてから、Webブラウザのアドレスバーに、URLを入力してもかまいません。
(2)「機能を有効にする」をクリックして、数分待つ。
(3)「ポリシー」「組織設定」などのMDM設定メニューが表示されるようになる。
Intuneライセンス購入の手順
(1)Microsoft 365管理センターで、「マーケットプレース」をクリックする(Microsoft 365のウランによっては管理センターの「課金情報」→「サービスを購入する」メニュー)
(2)「すべての製品」をクリックする
(3)検索ボックスに「Intune」と入力してEnterキーを押す
(4) Intune Plan 1のトライアルライセンス。一定期間一定数、無料で利用できます。
(5) Intune Plan 1
(6) Intune Plan 2
(7) Intune Suite
ライセンの詳細を確認して購入するには、「詳細」ボタンをクリックしてください。なお、管理センターから購入する場合は、マイクロソフトからの直接購入となり、決済用クレジットカードの登録が必要になります。 ITベンダーなどの代理店からライセンスを購入する場合は、代理店に相談してください。
主な管理機能
(1)デバイス登録とインベントリ管理 登録されたデバイスのOSバージョン、インストールアプリ、ハードウェア情報などを可視化します。以下にIntuneのダッシュボードの例を紹介します。
(2)コンプライアンスポリシー セキュリティ基準(暗号化要件、OSバージョンなど)を定義し、準拠していないデバイスを自動検出します。
(3)条件付きアクセス連携 Microsoft Entra ID(旧 Microsoft Azure Active Directory)と連携し、非準拠デバイスからのアクセスを自動ブロックします。
リモートワイプとアプリ保護ポリシーの意義
続いて、リモートワイプとアプリ保護ポリシーを紹介しましょう。
リモートワイプの種類と用途
デバイス紛失時や従業員退職時には、リモートワイプがセキュリティを担保する最終手段となります。リモートワイプは、従業員が使用していたモバイルデバイスから、業務データを強制的に削除します。
- 完全ワイプ:デバイスを工場出荷状態にリセット。会社所有デバイス向け
- 選択的ワイプ:業務データのみ削除。BYOD環境で個人データを保護
アプリ保護ポリシー(MAM)の役割
MAMはBYOD環境の要となる概念です。アプリレベルで以下の制御を実現します。
- データ分離:業務アプリ内データを個人領域から隔離(例:業務用OneDriveと個人用ギャラリーの分離)
- 操作制限:業務アプリから個人アプリへのコピー・貼り付け禁止、スクリーンショット無効化
- 条件付き起動:デバイスが非準拠状態の場合、業務アプリの起動をブロック
BYOD環境での運用ポイント
私物端末の業務利用(BYOD)はコスト削減や柔軟性向上をもたらす一方、以下の課題があります。
- セキュリティリスク:マルウェア感染や脆弱性のある個人アプリの存在
- プライバシー問題:業務データ削除と個人データ保護の両立
安全なBYOD運用の原則
そこで、安全にBYODを運用する際は、以下を原則とする必要があります。
(1)MAMの優先適用 デバイス全体の管理(MDM)ではなく、アプリ保護ポリシー(MAM)を主体としたアプローチが推奨されます。
(2)明確な利用ポリシーの策定 データ保存ルールや許可アプリの定義、私用利用の制限などを文書化して、組織の規約として「情報セキュリティポリシー」で明確に規定する必要があります。
(3)ユーザー教育の徹底 セキュリティリスクやデータ取り扱いルールを継続的に周知。情報セキュリティポリシーと合わせて、年1回以上の教育研修が必要です。
(4)Microsoft Cloud App Security(MCAS)の活用 異常なデータ転送やサードパーティクラウドサービスの使用を監視する。
管理者としての心構え
最後に、管理者としての心構えを3点紹介します。
「ゼロトラスト」の視点
モバイル管理では「デバイスやネットワークを無条件で信頼しない」というゼロトラストの考え方が重要です。すべてのアクセス要求を検証し、最小権限の原則に基づいたアクセス制御を実践します。
ライフサイクル管理の徹底
デバイス管理は「登録→監視→更新→廃棄」のライフサイクル全体を視野に入れる必要があります。特に以下に注意します。
- 定期的なコンプライアンスチェックの実施
- OSやアプリの更新状況の監視
- 利用終了時のデータ消去プロセスの確立
柔軟なポリシー設計
一律のポリシー適用ではなく、デバイスの種類(会社所有/BYOD)やユーザーの役職、アクセスするデータの機密度に応じた段階的なポリシー設計が効果的です。
また、Microsoft 365のシステム的なポリシーだけでなく、組織の規約である情報セキュリティポリシーと整合性を保つためにも、組織の経営管理部門・法務部門とも連絡を密にして、情報共有、ポリシー設計に当たる必要があります。
まとめ
Microsoft 365におけるモバイル管理は、多様な働き方を支える重要な基盤です。MDM/MAMの基本概念を理解し、Intuneを活用した適切なポリシー設計、BYOD環境におけるMAMの優先適用、リモートワイプやアプリ保護ポリシーによるデータ保護を組み合わせることで、生産性とセキュリティの両立を実現できます。 最終回となる次回は「運用・サポートと管理者としての心構え」について、ヘルプデスク体制の構築、障害対応フロー、情報収集の重要性などを解説します。
軍事とIT 第642回 米空軍、X-62 VISTAにファントム・ストライクを搭載へ
