日本 - ソリューション・商品サイト
Microsoft Intuneでデバイス管理と情報漏えい対策を強化しよう
はじめに
外出先での作業や在宅勤務が当たり前になり、組織のPCやスマートフォンが社内外に散在する今、「PCをどう管理すればいいのか?」、「情報漏えいが心配」と悩む中小企業は少なくありません。こうした課題を解決する鍵となるのが、Microsoft 365に含まれるクラウド型デバイス管理サービス「Microsoft Intune」です。今回はMicrosoft Intuneを活用して、デバイスの一元管理と情報保護を実現する方法を紹介します。
組織のデバイス、管理できていますか?
リモートワークの導入や外出先での業務が増え、ノートPCやスマートフォンなどを持ち出して仕事をすることも多くなってきました。
しかし、こうしたデバイスをきちんと管理できていないケースも多いのではないでしょうか? 「私物のスマートフォンで仕事のメールを見る」、「在宅勤務で使った仕事のデータが個人のPCに残っている」、「パスワードが簡単すぎる」といったように、便利だからという理由で、セキュリティ上の問題が放置されることも珍しくありません。
また、「どうすればいいかわからない」という理由で、デバイスのセキュリティ設定や更新がユーザー任せになっているケースもあるのではないでしょうか?
拠点や働く場所が増えるほど、データの管理やデバイスごとの設定、OSやアプリケーションの更新、私物デバイス(BYOD)の制限など、見えないリスクが積み上がっていき、結果として、紛失・盗難時の情報漏えい、不審ログイン、不正なアプリケーションのインストールといった問題が発生する可能性も高くなっていきます。
そこで活用したいのが、Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5に含まれている「Microsoft Intune」の機能です。Microsoft Intuneを利用することで、組織のデバイスを一元管理することができます。
Microsoft Intuneとは?
Microsoft Intuneは、Microsoft 365に含まれるクラウド型のエンドポイント管理サービスです。Windows、macOS、iOS、Android™など異なるOSのデバイスをまとめて管理でき、ポリシー設定やアプリケーション配布、リモート操作、更新管理などをクラウド上で実行できます。これにより、従業員のデバイスを安全な状態に保ちつつ、管理負荷を大幅に減らすことが可能になります。
Microsoft Intuneは多くの機能を搭載しているため、まずはMicrosoft Intuneの全体像を把握することが大切です。特に専門のIT管理者が少ない中小企業では、以下のようなシーンでMicrosoft Intuneを活用することで「安全な働き方」を実現できます。
Point1
情報漏えいリスクの低減
紛失時のリモートワイプや条件付きアクセスで、データ流出を防止したい
Point2
管理業務の効率化
クラウドから全デバイスを一元管理し、拠点をまたぐ運用を簡単にしたい
Point3
私物デバイス(BYOD)・リモートワーク対応
在宅勤務時の社員の自宅PCや外出先での私物のスマートフォンも安全に利用したい
Point4
セキュリティポリシーの標準化
全社共通のルールを自動適用し、統一的な管理を実現したい
Point5
拡張性
Microsoft Defender for EndpointやMicrosoft Purview、Microsoft Entraとの連携で、さらに強固な体制を構築したい
中小企業で効くセキュリティ機能
Microsoft Intuneは、Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5に含まれるプランで、基本的な機能のほとんどが提供されます。このため、追加で費用が発生することはありません。ただし、iOSやAndroid™向けのVPNソリューションや会議用デバイスなどの特殊なデバイス管理向けのアドオンライセンス「Microsoft Intune P2」も用意されています。
Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5で利用できる機能は、具体的に以下のようなものがあります。
Point1
デバイス管理とセキュリティポリシー適用
パスワードの複雑さ、BitLockerによるディスク暗号化、ウイルス対策(Microsoft Defender)有効化など、OSの機能的な設定を組織のデバイスに一括で適用できます。
Point2
アプリケーション配布・制御
Officeアプリケーションや業務アプリケーションをデバイスに自動的に配布できます。また、インストールされているアプリケーションを検知し、スクリプトを使って許可されていないアプリケーションを強制削除することができます。
Point3
リモートワイプ/ロック
デバイスの紛失・盗難時にコンソールから数クリックで、デバイスをリモートから初期化、ロックできます。
Point4
組織のデータ保護
Outlook/Microsoft Teamsなど、アプリケーションで会社データのみを暗号化し、紛失などの場合も組織のデータだけをリモートから消去(セレクティブワイプ)できます。
Point5
条件付きアクセス
デバイスがMicrosoft Intuneの管理下にあり、組織のポリシーに準拠しているかどうかが確認されます。この状態をMicrosoft Entra条件付きアクセスと組み合わせて、準拠していないデバイス(私物PCなど)の利用を制限できます。
Point6
OS更新&パッチ管理
Microsoft Intuneの更新ポリシーを利用して、OSの更新プログラムを適用するタイミング(適用猶予期間など)を制御できます。また、更新プログラムの適用を自動化する「Windows Autopatch」と連携させることで、管理者の負担をさらに軽減することも可能です。
Microsoft Intuneを利用した組織のセキュリティ強化シナリオ
これらの機能を使って、どのように組織のセキュリティを強化できるのかを具体的に見てみましょう。
デバイスの紛失時にリモートからデータを消去
外出先や出張先で、万が一、デバイスを紛失してもMicrosoft Intuneからリモートでデバイスを消去できます。組織のデバイスが不正使用されたり、Microsoft 365のデータに不正アクセスされたりするのを防げます。
リモートからの操作でデバイスのデータを消去できる
組織のデータへのアクセスを制御
組織のデータへのアクセスを「準拠デバイス」のみに制限し、多要素認証をしないとアクセスできないように制限できます。国外からのアクセスなどを条件付きアクセスで制限するとで、組織外や私物デバイスからのアクセス制限に加え、アカウント漏洩による海外からの不正アクセスも防げます。
準拠していないデバイスからMicrosoft 365にアクセスすることを禁止できる
デバイスの設定を制限できる
デバイスの設定を制御できます。例えば、リムーバブルディスクへの書き込みアクセスを禁止し、デバイスから外部メディアへのデータの持ち出しを禁止したり、ブラウザーへの拡張機能の利用をブロックしたりできます。
リムーバブルディスクやブラウザーの拡張機能を禁止できる
Microsoft Intuneでの管理を始めよう
このように、Microsoft Intuneを利用することでPCやスマートフォンなどのデバイスを一元管理できます。Microsoft Intuneは「デバイス管理」と「情報保護」を中小企業でも無理なく実現できるクラウド基盤です。中小企業でも大企業並みのデバイス管理と情報保護を手軽に実現できるので、どこからでも安心して働ける環境を整えるのに役立ちます。
Microsoft Intuneは、Microsoft 365 Business PremiumやMicrosoft 365 E3、Microsoft 365 E5を契約している場合は追加費用なしで使えるため、すぐに始めることが可能です。まずは管理者アカウントでMicrosoft Intune管理センター(Microsoft Intune admin center)にサインインし、1~2台のデバイスを登録してみましょう。リモートロックの動作を試すだけでも、その利便性と安心感を実感できるはずです。
ただし、組織のニーズが複雑な場合、設定も複雑になります。「設定を間違えてアクセスができなくなったら困る」、「私物デバイス(BYOD)のルールをどう定めるべきか分からない」という場合は、専門家に相談することをおすすめします。リコージャパンでは、Microsoft製品に精通した「Microsoftソリューション エバンジェリスト」が、導入設計から運用支援までをサポートしています。
