統合管理ソフトウェア -...
TRANSCRIPT
111
統合管理ソフトウェア
ITライブラリーより (pdf 100冊)http://itlib1.sakura.ne.jp/
Windows Intune
222
本資料の関連資料は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)
http://itlib1.sakura.ne.jp/目次番号 275番(PDF)
2
3333
4
Problem and Situationin The Device Management
4
5
契約社員のデバイス 企業統合時の PC
組織のドメインに参加していない PC
管理の対象となるデバイスの多様化
外周りの営業用デバイス世界各国に広がるオフィス
限られた人員と予算
統一されていない煩雑な管理環境
組織の拡がりと IT 管理の業務要件との乖離
個人任せのデバイスの管理
デバイス管理における状況と課題
6
中堅~大規模の企業中小~中堅規模の企業
デバイス管理におけるユーザーのニーズと傾向
セキュリティ対策への取り組みは積極的だか、デバイス管理についてはコスト面から消極的
デバイスの管理はユーザーに委任
システム管理の専任担当者をたてることが難しい(導入、運用の容易さが必要)
クライアント管理システムがまだ未導入な企業が多い
社外PC(客先、リモートオフィス)の管理や在宅勤務などの多様な働き方への対応した管理に関心が高い
専任の管理者がいるが、デバイスの管理に加え、管理システム自体の運用管理が必要となっている
事業の拡大に伴う多拠点、多店舗、海外拠点のPC、デバイス管理が必要となっている
クライアント管理システムを既に導入されている企業が多い
7
クラウドベースのデバイス管理–多様化する働き方の変化への対応
オフィス 訪問先自宅 移動中
作業する場所の変化
働き方の見直し/事業継続性 (BCP)
Windows Intune が解決する「多様化する働き方」への対応
1) インターネット越しに管理可能2) 社内デバイスの管理にも利用可能3) 場所を問わず、遠隔サポートが可能
ノートPC
デスクトップPC
タブレット
作業するデバイスの多様化
スマートフォン
一人のユーザーが複数のデバイスを活用
Windows Intune が解決する「デバイスの多様化」への対応
1) 様々なデバイスを統合的に管理2) 利用者とデバイスの関連付け3) サーバー不要の迅速展開
8
デバイスの Anywhere と Any Device への対応
クラウドベースのクライアント PC およびモバイル デバイスの管理ソリューションを提供
▪ 管理対象デバイスのハードウェアやソフトウェアの情報を収集/管理
▪ アプリケーションや更新プログラムの配信とライセンス管理機能を提供
▪ アンチ マルウェアの提供と一元管理のための機能を提供
▪ iOS や Android も対象としたモバイル デバイスの管理
▪ Web ベースの管理コンソールからのユーザーとデバイスを紐づけた一元管理
▪ エンドユーザー向けのセルフ サービス ポータル サイトを提供
▪ 社内 Active Directory と連携したユーザーの管理と ADFS ベースの SSO に対応
▪ Office365 / Exchange Online と連携したサービスにアクセスするデバイスの管理に対応
9
Windows Intune の進化
SaaS の特性を活かした常に進化するサービス
2011 年 4 月
製品リリース
2011 年 10 月
2012 年 6 月
2012 年 12 月
2013 年 10 月
✓ パッチ管理✓ アンチウイルス✓ 資産管理
(ソフト/ハード/ライセンス)✓ リモート アシスタンス✓ ポリシー運用
✓ UI の改良✓ ソフトウェア配布✓ 帯域制御
✓ AD 連携✓ スマートフォン管理✓ ユーザー向けポータル提供
✓ Windows 8 対応✓ Windows RT 対応✓ Windows Phone 8 対応✓ iOS 対応✓ SCCM 2012 SP1 連携✓ ライセンス体系変更
✓ Windows 8.1 対応✓ Windows RT 8.1 対応✓ SCCM 2012 R2 連携✓ Android 対応
• 定期的な新機能の提供と既存機能の向上• より使いやすい管理コンソールの提供• ソフトウェア配布などの機能向上• 管理対象デバイスの拡大• お客様にとってより効果的なライセンス体系への移行
ISO/IEC 27001:2005 取得済みSLA - 99.9% 以上の可用性
10
Windows Intune Functional Overview
10
11
Windows Intune が提供する機能
✓ マルウェア対策
✓ 更新プログラムの管理
✓ 稼働監視とアラート通知
✓ リモート アシスタンス
✓ デバイスのインベントリ収集
✓ ライセンス管理
✓ セキュリティ ポリシーの管理
✓ ソフトウェア配布
✓ 各種レポート機能
PC モバイル
PC
PC
✓ リモートワイプ
PC
PC
PC
PC
PC
PC
モバイル
モバイル
モバイル
モバイル
機能 対象デバイス ※
モバイル
12
Windows Intune アーキテクチャ (PC 管理)
クライアント PC 管理のアーキテクチャ
IT 管理者
ブラウザーベース管理コンソール
マイクロソフトデータセンター
Windows Intune エージェント および関連サービス
ユーザー端末
Windows 8.1Windows 8Windows 7Windows VistaWindows XP SP3
Windows Intune Endpoint Protection
管理対象端末
デバイスの登録コマンド送受信
インベントリ情報送信ポリシー受信
更新プログラム・アプリケーション展開
各種管理・設定コマンドの実行
ポリシー作成と適用アプリケーションの登録
13
ExchangeActive Sync
管理対象端末
Windows Intune アーキテクチャ (モバイルデバイス管理)
モバイルデバイス管理のアーキテクチャ
IT 管理者
ブラウザーベース管理コンソール
マイクロソフトデータセンター
ユーザー端末
Windows 8.1Windows RT 8.1iOSWindows Phone
各デバイスベンダーの通知サービス
・Profile・証明書
コマンドの実行ポリシー作成と適用
アプリケーションの登録
コマンド通知
コマンド通知
デバイスの登録コマンド送受信
インベントリ情報送信ポリシー受信
アプリケーション受信
Android
デバイス情報の収集ポリシー送信コマンド送信
メールの送受信ポリシー受信コマンド受信
14
Windows Intune のサイト構成
サービスで提供される Web サイト
– テナントポータルサイト (管理者向け)
• ユーザーやドメインの管理
• サブスクリプション (契約) の管理
• サポート
– 管理コンソール (管理者向け)
• Windows Intune 管理サイト
– 会社のポータル (利用者向け)
• アプリケーションの配信
• デバイスの管理
• サポートのリクエスト
Intune 管理コンソール (管理者向け)
Intune ユーザー ポータル (利用者向け)
テナントポータルサイト (管理者向け)Intune ライセンス管理ユーザー登録Active Directory 同期ドメイン登録など
https://account.manage.Microsoft.com
15
Windows Intune User-Friendly Interface
15
16
クライアント エージェント (Windows Intune Center)
◼ 管理対象の PC に導入される Windows Intune へのユーザーインターフェース
◼ Windows Intune エージェントをセットアップすることで自動的に導入
◼ ユーザーからの下記操作のインターフェースを提供
– Windows Intune ユーザーポータルへのリンク
– 更新プログラムの確認
– Endpoint Protection の呼び出し
– リモートアシスタンスの要求
17
◼ Windows RT/Windows 8 用 Intune のエンドユーザー向けクライアント アプリケーション
– Windows ストア アプリケーションとして提供
◼ 提供機能
– アプリケーションのインストールと検索
• WinRT アプリケーションのインストール
• Windows Store アプリへのリンクを提供
• Web アプリケーションのリンク (URL) を提供
• アプリケーションのカテゴライズと検索機能を提供
– デバイス管理機能
• Windows Intune での管理対象デバイスの追加と削除
• ユーザー所有のモバイル デバイスをリモート ワイプ
➢ Windows 8/Windows RT はコンテンツ ワイプ
• 管理対象デバイスの名称変更
– ヘルプデスク・サポート デスクとの連携
• ポータル サイトとして会社名、メール アドレス、電話番号、連絡先、お知らせを表示
• サポート デスク の Web サイトを表示
Windows 8 / RT / 8.1 / RT 8.1 用 “会社のポータル” アプリ
Windows 8 / RT
Windows 8.1 / RT 8.1
18
参考:Windows Phone 8 用 "Mobile company portal"
◼ Windows Phone 8 用 Intune のエンドユーザー向けクライアント アプリケーション
– Windows Phone 8 アプリケーションとして提供
◼ 提供機能
– アプリケーションのインストールと検索
• Windows Phone アプリケーションのインストール
• Windows Phone Store アプリへのリンクを提供
• Web アプリケーションのリンク (URL) を提供
• アプリケーションのカテゴライズと検索機能を提供
– デバイス管理機能
• Windows Intune での管理対象デバイスの追加と削除
19
モバイル デバイス用のポータルサイトの提供
◼ "Mobile Company Portal"モバイル デバイスに最適化されたWeb ベースのポータル サイトを提供
– iOS デバイス版
– Android デバイス版
◼ Windows Intune での管理対象デバイスの追加と削除
– iOS デバイス版のみ対応
– Android デバイス版は EAS を介して管理
◼ アプリケーションの展開
– LOB アプリケーションのダウンロードとインストール
– Store への Web リンクの提供
• Apple Store
• Google Play
– アプリケーションのカテゴライズと検索機能を提供
◼ ヘルプデスク・サポート デスクとの連携
– ヘルプデスク・サポート デスクのコンタクト先を表示
20
Windows IntuneFunction and Management Console
20
21
IT 管理者用 Windows Intune 管理コンソール
◼ Windows Intune の管理者向けサイト
– システムの概要
– グループ
– 更新プログラム
– Endpoint Protection
– アラート
– ソフトウェア
– ライセンス
– ポリシー
– レポート
– 管理
◼ Silverlight ベースのWeb アプリケーションとして提供
22
効率のよい管理を実現-グループ
◼ 管理対象のユーザーやデバイスを仮想的なグループにカテゴライズして管理可能に
◼ ユーザーとデバイスを紐づけたユーザー中心の管理
◼ 動的なグループ管理
– AD のセキュリティ グループやマネージャー情報を使った動的なユーザー グループの更新
– グループへ静的なユーザー情報の追加も可能
– ユーザー グループに対するソフトウェアの展開やポリシーの適用が可能
– 条件などを様々なグループに取りまとめて管理可能
– アカウントは複数のグループに所属可能
◼ 各管理対象デバイスの情報もこちらからアクセス
・グループ毎にメンバーシップの条件を設定可能・条件にマッチしたユーザーやデバイスは
自動的にグループに所属する
ソフトウェアの展開やポリシーの適用はグループ単位に設定可能
・グループ毎のサマリーを表示可能
23
グループ-ハードウェア インベントリ
◼ 対象デバイスのハードウェア情報を管理
– デバイスの登録情報をカテゴリ別に収集管理
– ディスクやメモリなどのリソース管理
– ネットワークインターフェース、プリンター、モニターなどのデバイス情報の管理
PC のハードウェア情報 モバイル デバイスのハードウェア情報
PC と モバイル デバイスそれぞれで情報の表示が可能
Users_ipad
Users_ipad
ipad
24
グループ-ソフトウェア インベントリ
◼ 取得するソフトウェア情報
– "プログラムの追加と削除" の情報
◼ 7 つのメジャー カテゴリと 40 のマイナー カテゴリを使用して、インベントリ情報を整理して表示
仮想アプリケーション (App-V 環境)によるアプリ展開の情報収集が可能
アプリケーションのカテゴリを利用して情報の整理が可能
25
管理対象へのリモート タスクの実行
◼ 管理者がクライアント PC に対してタスクの実行を指示可能
– マルウェアのフル スキャンの実行
– マルウェアのクイック スキャンの実行
– コンピューターの再起動
– マルウェア定義の更新
– ポリシーの更新
• コンプライアンスへの対応ステータス更新
– インベントリの更新
• インベントリ情報の更新を実行
26
PC への更新プログラム配信と管理–更新プログラム
Microsoft Update & WSUSフレームワークに基づいた構成
運用に合わせた構成が可能
製品と分類の選択
更新プログラムの承認と拒否
自動承認規則の作成
ステータス管理とレポート
システム、グループ、コンピューターごとのステータス管理
更新状態レポート
インストールできなかった更新プログラム
コンピューターに必要な更新プログラムの数
インストール済みのコンピューター数 など
コンピューター グループにルールを適用
27
マルウェア対策–Endpoint Protection
◼ 最新のマルウェア対策アプリケーションを提供
◼ Windows Intune に統合された、コンピューター グループごとのステータス管理を実現
– 保護されていないコンピューター
– 警告のあるコンピューター (スキャンの未実施、期限切れの定義ファイルなど)
– 最近解決されたマルウェア、フォロー アップが必要なマルウェア
– サード パーティ製マルウェア対策アプリケーションを実行しているコンピューター(この場合 Windows Intune Endpoint Protection はポリシーでオフにします)
OS 標準のセキュリティ
機能と共存可能な
マルウェア対策を
クライアント ソフトウェアに同梱
感染したら
無効化し、
管理者と
本人に通知
感染したマルウェアの情報や
対処方法なども確認
定義ファイルを
自動更新
28
管理対象クライアントの稼働監視–アラート
◼ インターネット接続状況を監視し、端末の活用状況を把握
◼ アラート受信でトラブルを未然に防止
◼ アラート受信をカスタマイズ、有効/無効設定と閾値設定で必要なアラートのみを受信
報告を受ける前の事前予防的な
情報もアラートとして挙げるため、問題を最小化
構成情報を確認しながら、
アラートの要因をすばやく把握
インターネットに
接続すれば、
どこにいても
自動的に更新
トラブルシューティングのリンクを
参照し問題解決に必要な情報を入手
29
リモート アシスタンス
◼ リモートから画面を操作してサポート
◼ ユーザーと同じ画面を共有しながらリモート操作が可能に
◼ ユーザーとのチャットや操作のレコーディングにも対応
◼ 現行バージョンでは Windows 8 には非対応
コンピューターのアラートや
資産管理情報を確認しながら、
作業ができるため効率的な
サポート業務が可能に
リモートで画面を操作できるため、
迅速にサポート作業が可能に
30
管理対象デバイスへのアプリケーション展開-ソフトウェア
◼ 端末の場所を問わず、ソフトウェアの配布と展開が可能
◼ マイクロソフト製品、他社製品を問わず、. exe/. msi 形式のインストーラーによる展開が可能
◼ iOS/Android/Windows 8 アプリ の展開にも対応
◼ 1 顧客あたり 20GB の Windows Azure ストレージを提供
部署や役割ごとに必要となる
ソフトウェアを自動配布
Windows Azure ストレージに
パッケージを保管
31
ユーザー中心のソフトウェア配信への対応
◼ ユーザーをターゲットとして対象のデバイスにソフトウェアを配信可能
– ユーザー ID の管理
• Azure Active Directory を使ったエンタープライズ レベルの ID 管理及び、認証サービス
• Active Directory との連携機能の提供
◼ ユーザーとデバイスの紐づけ
– ユーザーとデバイスを関連付ける情報の登録とメンテナンス
– コンプライアンスに適合しないデバイスを利用しているユーザーの確認
デバイスを対象とした配信
ユーザーを中心とした配信
ユーザーに関連付けられたデバイス全体に展開
デバイスを指定して展開
32
新しいソフトウェア配布の仕組みへの対応
◼ Windows PC 向けだけでなく、iOS や Android へのソフトウェア配布にも対応
◼ 各プラットフォームのアプリケーション ストアへのリンクを提供
◼ Windows 8/Windows RT 向けアプリケーションのサイド ローディングにも対応
ストアサイト
Windows Intune
Windows RT / RT 8.1Windows 8 / 8.1
Windows Phone 8AndroidiPhone
Windows XPWindows VistaWindows 7Windows 8 / 8.1
会社のポータル
プッシュ配布 (Windows PC のみ) プル配布 (デバイス問わず)
管理者がアプリをクラウドにアップロードクラウド上のストレージとして Windows Azure Storage と連携し、テナントごとに標準で 20GB のアプリ登録容量を提供(有料で追加可能)
Deep Link
Windows XPWindows VistaWindows 7Windows 8 / 8.1
.exe / .msi
.exe / .msi
.appx
.apk
.ipk
33
幅広いプラットフォームへのソフトウェア配布機能
◼ Windows 8 / 8.1 / RT / RT 8.1 へのアプリケーション配布に対応
– 従来の . exe, . msi, に加え、WinRT アプリ (. appx) の形式の配信に対応
• Windows 8 Pro/ドメインに参加していないWindows 8 Enterprise/Windows RT への WinRT アプリにはサイド ローディング キーが必要
◼ 様々なアプリケーション提供形態への対応
– Windows Intune からの 社内用 LOB アプリケーション展開
– Deep Link (ストアで公開されているアプリケーションのインストール URL へのリンク) による展開
• Windows Store
• Windows Phone Store
• App Store
• Google Play
– Web アプリケーションの URL による展開
◼ デバイスに合わせたインストール エクスペリエンス• Windows 8 /8.1: WinRT アプリ版 セルフサービス ポータルからの展開 (プル型)
• Windows RT / RT 8.1: WinRT アプリ版 セルフサービス ポータルからの展開 (プル型)
• Windows Phone 8: Windows Phone アプリケーション セルフサービス ポータル (プル型)
• iOS, Android: Web ベースの セルフサービス ポータル
• Windows 7/Vista/XP: Web ベースのポータル
34
Windows Intune がサポートするソフトウェア展開
プラットフォームWindows アプリケーション
(. msi, . exe) ※
モバイル向けアプリケーション
Side loading
Deep Links web apps
. appx . ipa . apk . xap
Windows 8 / 8.1 ○ ○ - - - ○ ○
Windows RT / RT 8.1 - ○ - - - ○ ○
iOS - - ○ - - ○ ○
Android - - - ○ - ○ ○
Windows Phone 8 - - - - ○ ○ ○
Windows 7 / Vista /XP ○ - - - - - ○
35
利用者向けセルフサービス ポータルの提供
◼ ポータル サイトの提供
– Windows Intune で管理された端末の利用者に向けたセルフサービス ポータル
• Windows PC 向けポータル サイトhttps://portal.manage.microsoft.com
• モバイル向けポータル サイトhttps://m.manage.microsoft.com
◼ 利用デバイスの登録と管理
– デバイスとの紐づけを管理
– 利用中のデバイス一覧の参照
◼ ソフトウェア カタログ
– ソフトウェアの検索とインストール
– ユーザー自身が利用中のデバイスに必要なソフトウェアのインストールを選択
– ローカルのデバイス及び、リモートのデバイスへのソフトウェア インストール
– ソフトウェア インストール時に管理者権限は不要
◼ サポート デスクの連絡先等の情報を提供
36
所持ライセンスの効率的な管理 - ライセンス
◼ ボリューム ライセンスの契約情報を自動インポート可能
◼ パッケージ版、プレインストール版 (OEM) 、他社製品のライセンス管理にも対応(手動インポートにて対応)
◼ インストール数とライセンス購入数の突き合わせレポートを提供
カタログと照合し、オートコンプリートで入力
業務に必要なソフトウェアのライセンスの最適化を支援
必要以上なライセンスの購入やライセンスの不足を事前に防げます。
37
管理対象 PC の設定を一元管理 - ポリシー
◼ Windows Intune エージェント、PC のファイアウォール、マルウェア対策の設定を一元的に設定
◼ ネットワーク帯域幅の使用制限が可能 (バックグラウンド インテリジェント転送サービス = BITS)
◼ Active Directory (AD) 併用時は AD グループ ポリシーを優先
コンピューターの場所に縛られず、
構成内容でグループ化
利用しやすい
テンプレートベースの設定
組織の要件にあわせて、
構成を作成し、迅速に展開
◼ グループ ポリシーと重複した場合
– GPO との重複は GPO 優先
– グループ階層構造の一番下のレベルに関連したポリシーを優先
– 順位がつかない場合「最終更新時刻」が最新のもの優先
◼ 定義済み項目をカスタマイズして適用
– 標準で 8 ~ 9.5 時間毎にコンピューターで実行
– 8 ~ 22 時間ごとにサービスからダウンロード
38レポートのエクスポートが可能
管理対象デバイスの状況を視覚化-レポート
◼ 5 種類のレポートを提供
– 更新レポート
– 検出されたソフトウェア レポート
– コンピューター インベントリ レポート
– ライセンス購入のレポート
– ライセンスのインストール レポート
◼ CSV ファイルへのエクスポートも可能
レポートの例
レポート概要
39
Windows Intune の設定と管理 - 管理
◼ サービス全体の確認や設定を実施
– 更新プログラム自動承認設定
– アラートと通知機能
– テナント管理者の管理
– クライアント ソフトウェアの入手
◼ サービス状態の表示
クラウド サービスの状態表示
Windows Intune の設定
40
Windows IntuneMobile Device Management
40
41
Exchange ActiveSync と連携したモバイル デバイス管理 Windows Intune によるモバイル デバイスの直接管理
モバイル デバイス管理の機能 (直接管理と EAS 連携)
◼ Exchange ActiveSync (EAS) を介した管理機能と Windows Intune からの直接管理機能を実装
– Windows 8.1 (OMA-DM) / RT / RT 8.1 / Windows Phone 8 / iOS デバイスが直接管理可能
– 直接管理と EAS を介した管理を併用することも可能
– Android デバイスは EAS を介した管理となる
メールの同期
間接的な管理
リモート ワイプ要求
インベントリ情報の収集
ポリシーの適用Exchange から Intune に情報を同期
メールの同期
直接管理
リモート ワイプ要求
インベントリ情報の収集
ポリシーの適用Exchange から Intune に情報を同期
アプリケーションの配布リモート ワイプ要求インベントリ情報の収集ポリシー適用
ポータル サイトへアクセス
Windows RTWindows Phone 8iOS デバイス
ポータル サイトへアクセス
42
Windows Intune 管理対象デバイス全体像
◼ Windows Intune でのデバイス管理の概念
– 同期可能な Exchange Server は オンプレミスおよび Exchange Online 双方に対応
Windows Phone 8
Windows RT / RT 8.1
iOS
企業イントラネット
(x86/x64)
Windows 8 / 8.1Windows 7Windows VistaWindows XP
Windows 8.1Windows 7Windows VistaWindows XPAndroid
(x86/x64)
直接管理とアプリ配布
直接管理とアプリ配布
Web ベースですべてのデバイスを
一元管理
Android App の配布
Exchange ActiveSync を介した管理アプリの配布
43
Office 365 と連携したモバイルデバイス管理
Office365 に Exchange Active Sync で接続しているすべてのモバイルデバイスの情報を一元的に管理可能
ユーザー デバイス シリアル番号 様々なインベントリ
XXXXXX
XXXXXX
XXXXXX
XXXXXX
YYYYYYYY
YYYYYYYY
YYYYYYYY
YYYYYYYY
既存の Office 365 の環境にシステム変更を伴わずにWindows Intune 側の設定のみで連携可能
モバイルデバイスのインベントリ情報
デバイスへのポリシー適用やワイプの実行通知
サービスを利用中のすべてのモバイルデバイスの情報を一元管理
ユーザーのポータルサイトから使用中のデバイスの確認やリモートワイプの実行が可能
Windows Intune と Office365 は認証基盤を共有するためユーザー情報はサービス間で完全に同期され、変更や再登録は不要
44
モバイル デバイス管理の強化-ポリシー設定の概要
◼ Windows Intune の モバイル デバイスへのポリシー管理
– セキュリティ ポリシーは、モバイル デバイス管理機関を介して直接管理
– Exchange ActiveSync を介したモバイル デバイス管理も可能
• Android デバイス および Windows Phone 7.x デバイス は EAS を通した管理が必要
• セキュリティ ポリシー テンプレートは、直接管理するデバイスおよび EAS で管理されるデバイスの双方に適用
– レポート機能の提供
• セキュリティ ポリシーの提供状態の確認が可能
– 複数のシステムからポリシーを受け取っている場合にはもっとも安全なポリシーが適用
45
モバイル デバイス管理の強化-ポリシー設定の概要カテゴリ 設定項目
Exchange ActiveSync(Android)
Windows RT iOS
パスワード
モバイル デバイスのロック解除にパスワードを必要とする ○ ○ ○
必要なパスワードの種類 ○ ○ ○
パスワードの最小文字数 ○ ○ ○
単純なパスワードを使用する ○ ✕ ○
デバイスをワイプするまでの連続サインインエラーの回数 ○ ○ ○
デバイスの画面がロックされるまでの非アクティブな時間 (分) ○ ○ ○
パスワードの有効期限 (日数) ○ ○ ○
パスワードの履歴を保存する ○ ○ ○
ピクチャ パスワードと PIN を許可する ✕ ○ ✕
デバイス制限
カメラを使用する ○ ✕ ○
Web ブラウザーを使用する ○ ✕ ○
iCloud へのバックアップの許可 ✕ ✕ ○
ドキュメントと iCloud の同期の許可 ✕ ✕ ○
フォトストリームと iCloud の同期の許可 ✕ ✕ ○
メール
ユーザーが電子メールの添付ファイルをダウンロードできるようにする ○ ✕ ✕
電子メールを同期する期間 ○ ✕ ✕
選択した設定を完全にサポートしないモバイルデバイスを Exchange と同期させる ○ ✕ ✕
暗号化モバイル デバイスで暗号化を必要とする ○ ✕ ○
メモリ カードの暗号化を必要とする ○ ✕ ✕
46
リモートワイプの実装 (Windows Intune)
◼ リモートワイプの実行
– 管理コンソールのインベントリからデバイスを削除を実行
– ユーザーのポータル サイトのデバイス管理からデバイスの削除を実行
◼ リモートワイプの種類
– フル ワイプ
• デバイスの情報がすべて削除され、工場出荷時の状態に切り戻される動作
– セレクティブ ワイプ
• 管理対象からの離脱時に、特定のデータ、設定、リソースなどが選択的に削除される動作
47
管理対象からの離脱時に削除される情報
◼ 管理対象デバイスに保存された情報をリモートから削除
– インベントリ情報の削除をトリガーとして削除が実行
– 削除をするかどうかは選択することが可能 (インベントリ情報の削除のみの動作も可)
Windows RTWindows 8.1 (OMA-DM)
iOSExchange Active Sync
(Android)
展開済みサイド ローディング キー 削除されない -- --
展開済みアプリケーションサイド ローディングで
展開したアプリは実行不可実行可能 --
ポータルサイトからのアプリケーションの新規インストール
インストール不可 インストール不可 --
展開済みのポリシー 保持保持
(強制は無効化されるため任意に変更可能)Windows Intune のポリシーが削除
Exchange の デフォルトポリシーが適用
工場出荷状態に戻す 未対応 対応対応
(デバイスの仕様に依存)
47
48
Cooperation with System Center 2012 Configuration Manager
48
49
SCCM 2012 R2 と Windows Intune で実現するマルチデバイス管理
◼ SCCM と Windows Intune の連携
– SCCM と Windows Intune を連携により PC とモバイルデバイス統合管理を実現
◼ SCCM 管理コンソールからの一元管理
– SCCM 管理コンソールにすべてのデバイスの管理作業を統合
◼ 豊富なモバイルデバイス管理機能
– アプリケーション/ 3rd Party VPN 設定/ Wi-Fi 設定の配布、インベントリ収集、証明書のインストール、ポリシー設定、ワイプ等の管理機能を提供
◼ PC のライフサイクルマネジメント
Single adminconsole
Windows PC(XP/Vista/7/8/8.1),
Windows to GoWindows Embedded
Mac OS /Linux/Unix
Windows 8.1 & RTWindows Phone 8
iOSAndroid
モバイルデバイスの管理
PC の管理
50
SCCM 2012 R2 & Windows Intune の構成例
Windows AzureDirectory
Synchronization
Windows Azure Active Directory
イントラネット環境
管理者
SCCM 2012 R2
SCCM 2012 R2管理コンソール
Active Directory
PC モバイルデバイス
利用者
インターネット環境
※モバイルデバイスから会社のポータルへのアクセス時に SSO を必要とする場合は別途 ADFS の環境が必要
Intune connector 経由でのIntune への接続と管理
社内の AD ユーザーをWindows Azure AD に同期
社内の AD ユーザー情報をSCCM に反映
51
サポート対象 OS - SCCM 2012 R2 + Windows Intune
OS Platform Management Agent End User Experience
Windows 8.1
SCCM エージェント ソフトウェア センター / アプリケーション カタログ
管理エージェント (OMA-DM) Windows セルフサービス ポータル アプリ
Windows PC (8,7,Vista,XP) SCCM エージェント ソフトウェア センター / アプリケーション カタログ
Windows RT / RT8.1 管理エージェント (OMA-DM) Windows セルフサービス ポータル アプリ
Windows Phone 8 管理エージェント (OMA-DM) Windows Phone 8 セルフサービス ポータル アプリ
iOS Apple MDM プロトコル Native iOS アプリ + モバイル Web ポータル
Android Android MDM エージェント (OMA-DM) Native Android アプリ + モバイル Web ポータル
Mac SCCM エージェント 未対応
PC
モバイル
PC
モバイル
モバイル
モバイル
モバイル
PC
52
モバイル デバイスの統合管理
◼ モバイル デバイスと PC の統合管理
– SCCM と Windows Intune を連携させることにより、SCCM 管理コンソールですべてのデバイスを一元管理
– モバイルデバイス、PC のポリシーをデバイスの種類や用途に応じて設定し配布
– SCCM と AD の同期によりワークプレースに参加したデバイスの情報を取得
– アプリケーションや各種設定を対象となるユーザーやデバイスに配布
– 日々増加するデバイスに対応可能なスケーラビリティ (最大 10万台、Windows Intune 単体では 5000 台)
個人所有・会社所有の分類管理 アプリケーションの管理アプリケーションの情報収集
ユーザーが登録したデバイスは個人所有のデバイスとして登録
管理者は会社所有のデバイスに設定を変更可能
個人所有のデバイスでは管理されたアプリケーションの情報のみ取得
会社所有のデバイスではデバイスの全てのアプリケーションの情報を取得
個人所有 / 会社所有のデバイス間で異なるアプリケーション インストール方法を
適用するための新しい条件設定に対応
53
モバイル デバイスのポリシー設定
◼ ポリシーによる管理機能の向上
– Windows Intune と比べ、強力できめ細やかなデバイス管理を実現する数多くの設定項目
– Windows、iOS、Android の各 OS に対応した各種ポリシーを管理コンソールから設定可能
カテゴリ ポリシー 対象
パスワード パスワード必須 iOS, Android
最小文字数 iOS, Android, Win
有効期限(日数) iOS, Android, Win
複雑さ iOS, RT
品質 Android
記憶する数 iOS, Android, Win
ワイプするまでの失敗回数 iOS, Android, Win
ロックするまでの時間 iOS, Android, Win
デバイス 音声アシスタント iOS
ビデオチャット iOS
Game Center iOS
画面の取り込み iOS
ブラウザー 自動入力を許可する iOS, Win
Javascript を許可する iOS, Win
カテゴリ ポリシー 対象
ストア アプリケーション ストア iOS
アプリ内購入 iOS
クラウド バックアップ iOS
ドキュメントの同期 iOS
写真の同期 iOS
セキュリティ
アプリケーション インストールの許可
iOS
リムーバブル記憶域 Android
カメラ iOS, Android(※1)
ローミング 音声通話ローミング iOS
データローミング iOS, RT
暗号化 モバイル デバイス ファイルの暗号化
Android
Work folder Work folder URL Win
54
社内リソースへのアクセスの設定
◼ 社内リソースアクセス設定の新機能
– VPN 設定の管理と配布
– VPN 自動起動設定の管理と配布
– Wi-Fi 接続設定の管理と配布
– 証明書の管理と配布
◼ 新機能の利点
– ユーザーが設定することなく社内リソースへのアクセスを実現
◼ サポート OS
– Windows 8.1
– Windows RT 8.1
– iOS
– Android
※ OS により対応機能が異なります
55
ネットワーク定義情報の展開
◼ VPN 設定の管理
– スタンダードな VPN 接続をサポート
• PPTP、L2TP、IKEv2 など標準的な VPN 接続をサポート
– 主要ベンダーの SSL VPN を OS が標準サポート
• Cisco、Juniper、F5、CheckPoint、Dell SonicWall、MS の SSL VPN 設定をユーザーに配布/管理
– 自動 VPN 接続
• 接続先のネットワークによる自動 VPN 接続 (Windows/RT 8.1、iOS)
• アプリケーション起動時の自動 VPN 接続 (Windows/RT 8.1)
◼ 無線 LAN 接続と証明書の管理
– Wi-Fi 設定
• Wi-Fi プロトコルと認証設定の管理
• デバイスが自動で接続する Wi-Fi ネットワークの設定配布
• Wi-Fi 接続に使用する証明書の指定
– 証明書の管理と配布
• 信頼されたルート証明書の配布
• Simple Certificate Enrollment Protocol (SCEP) のサポート
◼ ワークフォルダーの設定管理
– Windows デバイス間のフォルダー同期
• 会社のポータル アプリケーションからワークフォルダーの設定を配布
56
アプリケーションの管理
◼ ユーザーの使用デバイスに応じたアプリケーションの提供と適切な展開手法の自動適用
– デバイスへの割り当てとユーザーへの割り当てを組み合わせて展開可能
• SCCM からアプリケーションに関する情報を設定
➢ 登録したアプリケーション定義をデバイス / ユーザーコレクションに展開
➢ アプリケーション展開の種類とともに登録
➢ デバイスに割り当てたアプリケーションはプッシュ展開
◼ アプリケーション トリガー VPN
– VPN による社内ネットワーク接続が必要なアプリケーションの起動やサイトへの接続時に自動的に VPN 接続
– SCCM 2012 R2 のアプリケーション配布時に設定可能 サイドローディング
アプリケーション定義
Store へのリンク
VDI環境へのリンク
アプリケーション展開の種類
デバイスの所有者に割り当て
ユーザーとデバイスに関連付けられたアプリケーション展開の一元管理
ユーザーはどのデバイスからでも自分に割り当てられたアプリケーションが使用可能となる環境を構成可能に
57
リモートワイプの実装 (Windows Intune + SCCM 連携)
◼ 管理対象デバイスに保存された情報をリモートから削除
– インベントリ情報の削除をトリガーとして削除が実行
– 削除をするかどうかは選択することが可能 (インベントリ情報の削除のみの動作も可)
カテゴリWindows 8.1
/Windows RT 8.1iOS Android
Full Wipe ー ○ ○
Selective Wipe
電子メール 、予定表 EAS 経由のメールを削除 ー ー
企業のアプリアンインストール +
サイドローディングキーの削除アンインストール ー
企業アプリのデータ アクセス不可化 削除 ー
企業のデータ (WorkFolder) ○ ー ー
VPN / Wi-Fi プロファイル ○ ○ ー
証明書 削除&サーバーで失効 削除&サーバーで失効 サーバーで失効
設定 (MDM ポリシー) 強制したポリシーの削除 強制したポリシーの削除 強制したポリシーの削除
管理エージェント OS ビルトイン 管理プロファイルの削除デバイス管理者の
特権の失効
58
Windows 8.1 Pro/Enterprise の管理機能比較
管理機能SCCM/SCEP
2012 R2Intune
(Cloud Only)Intune
(Cloud Only)SCCM 2012 R2
Intune
管理アーキテクチャ PC 管理 PC 管理 モバイルデバイス管理 モバイルデバイス管理
1 管理エージェントSCCM/SCEP
AgentIntuneAgent
不要 (OS に同梱) 不要 (OS に同梱)
2 管理コンソール SCCM Intune Intune SCCM
2 アプリケーション管理 ◎ ○ ○ ○
3 マルウェア対策 ○ ○ - -
4 ハードウェアインベントリ ◎ ○ ○ ○
5 ソフトウェアインベントリ ◎ ○ - ○
6 リモート コントロール ○ - - -
7 コンプライアンス設定 (PC 設定) ◎ ○ - -
8 コンプライアンス設定 (モバイルデバイスポリシー設定) New - - ○ ○
9 OS展開 ○ - - -
10 電源管理 ○ - - -
11 ソフトウェア メータリング ○ - - -
12 利用者によるデバイスの登録 - ○ ○ ○
13 証明書の配布 New △ (AD GPO) - - ○
14 3rd Party VPN 設定 New △ (PowerShell) - - ○
15 Wifi プロファイルの設定 New △ (AD GPO) - - ○
16 セレクティブ ワイプ New - - - ○
59
Windows 8.1 RT のモバイルデバイス管理機能比較
管理機能 Intune (Cloud Only) SCCM 2012 R2 & Intune
管理アーキテクチャ モバイル デバイス管理 モバイル デバイス管理
1 管理エージェント 不要 (OS に同梱) 不要 (OS に同梱)
2 管理コンソール Intune SCCM
2 アプリケーション管理 ○ ○
3 マルウェア対策 - -
4 ハードウェアインベントリ ○ ○
5 ソフトウェアインベントリ - ○
6 リモート コントロール - -
7 簡易モバイルデバイスポリシー設定 ○ -
8 コンプライアンス設定 (モバイルデバイスポリシー設定) New - ○
9 利用者によるデバイスの登録 ○ ○
10 証明書の配布 New - ○
11 VPN 設定 New - ○
12 Wifi プロファイルの設定 New - ○
13 セレクティブ ワイプ New - ○
60
iOS のモバイルデバイス管理機能の比較
管理機能 Intune (Cloud Only) SCCM 2012 R2 & Intune
管理アーキテクチャ モバイル デバイス管理 モバイル デバイス管理
1 管理エージェント Apple MDM Protocol Apple MDM Protocol
2 管理コンソール Intune SCCM
3 アプリケーション管理 ○ ○
4 ハードウェアインベントリ ○ ○
5 ソフトウェアインベントリ - ○
6 簡易モバイルデバイスポリシー設定 ○ -
7 コンプライアンス設定(モバイルデバイスポリシー設定) - ○
8 利用者によるデバイスの登録 ○ ○
9 証明書の配布 New - ○
10 VPN 設定 New - ○
11 Wifi プロファイルの設定 New - ○
12 セレクティブ ワイプ/フル ワイプ New ○ ○
13 Jail Break / Root 化の検知 New - ○
61
Android のモバイルデバイス管理機能の比較
管理機能 Intune (Cloud Only) SCCM 2012 R2 & Intune
管理アーキテクチャ モバイル デバイス管理 モバイル デバイス管理
1 管理エージェント - Android MDM agent
2 管理コンソール - SCCM
3 アプリケーション管理 - ○
4 ハードウェアインベントリ - ○
5 ソフトウェアインベントリ - ○
6 簡易モバイルデバイスポリシー設定 - -
7 コンプライアンス設定(モバイルデバイスポリシー設定) - ○
8 利用者によるデバイスの登録 - ○
9 証明書の配布 New - ○
10 VPN 設定 New - ○
11 Wifi プロファイルの設定 New - ○
12 セレクティブ ワイプ/フル ワイプ New - ○
13 Jail Break / Root 化の検知 New - ○
62
Device Management of Leverage Scene
62
63
社内ネットワーク インターネット
デバイス管理のシナリオごとの構成
◼ 管理対象となるデバイスの種類や利用される場所などの要件に応じた、適切な管理インフラの構成が可能
– PC 管理の構成
– モバイルデバイスを含む、マルチデバイス管理の構成
構成 ② 社内設置型で社内外の PC を一元管理
SCCM
SCCM の管理コンソール
社内のPC
社外のPC
社内ネットワーク インターネット
社内のPC
社外のPC
Windows Intune の管理コンソール
構成 ③‘ SaaS 型で 社内外の PC とモバイルデバイスを一元管理
タブレットやスマートフォン
社内ネットワーク インターネット
社内のPC
社外のPC
Windows Intune の管理コンソール
構成 ③ SaaS 型で社内外の PC を一元管理
社内ネットワーク
構成 ① 社内設置型で 社内のPC を一元管理
SCCM
SCCM の管理コンソール
社内のPC
社内ネットワーク インターネット
構成 ④ 社内設置型で社内外の PC とモバイルデバイスを一元管理
SCCM
SCCM の管理コンソール 社内の
PC
社外のPC
タブレットやスマートフォン
64
マイクロソフトのデバイス管理ソリューションの特徴
◼ 社内設置型 とクラウド設置型のデバイス管理ソリューションを展開中
10万台規模のスケーラビリティ
収集情報の詳細なカスタマイズが可能
PC を完全に管理モバイルデバイスの
管理は不可
中小規模向け(7,000台まで)
収集情報の詳細なカスタマイズが不可
PC の簡易的な管理モバイルデバイスの
簡易的な管理
10万台規模のスケーラビリティ
収集情報の詳細なカスタマイズが可能
PC を完全に管理モバイルデバイスを
詳細に管理
自社でサーバーの構築と運用が必要
マイクロソフトがサーバーを提供
導入に SI が必要 導入が容易
自社でサーバーの構築と運用が必要
導入に SI が必要
JailBreak 情報などインベントリ情報の追加
端末を制御するMDM ポリシーの追加
社内へのアクセスに必要なリソース展開
65
マイクロソフトのデバイス管理ソリューション
◼ 社内設置型 とクラウド設置型のデバイス管理ソリューションを展開中
インベントリ収集 更新プログラム管理
アプリケーション展開と管理
OS展開
マルウェア対策 稼働監視
コンプライアンス設定
電源管理
ソフトウェアメータリングリモコン
モバイルPC
ライセンス管理 ポリシー管理
レポーティング
インベントリ収集 更新プログラム管理
アプリケーション展開と管理マルウェア対策
コンプライアンス設定
リモコン
ライセンス管理 ポリシー管理
レポーティング
インベントリ収集 アプリケーション展開と管理 ポリシー管理
インベントリ収集 更新プログラム管理
アプリケーション展開と管理
OS展開
マルウェア対策 稼働監視
コンプライアンス設定
電源管理
ソフトウェアメータリングリモコン
ライセンス管理 ポリシー管理
レポーティング
インベントリ収集
アプリケーション展開と管理
ポリシー管理
証明書展開
VPN 定義展開
Wi-Fi 定義展開
66
Windows IntuneLicense and Provide Form
66
67
Windows Intune のライセンス提供形態
◼ ユーザー単位のライセンス体系
– 1 ユーザー ライセンスあたり 5 デバイスまで管理可能 (PC、スマートフォン、タブレットなど)
◼ EA/ESA で提案可能なライセンスは以下の通り
– Windows Intune SKU
– Windows Intune Add-on SKU (Core CAL/E-CAL へのアタッチが可能)
◼ Windows Intune SKU に含まれる利用権
– Windows Intune の利用権
– System Center 2012 Configuration Manager (SCCM) の利用権 ※非永続利用権
– System Center 2012 Endpoint Protection (SCEP) の利用権 ※非永続利用権
製品の種類利用可能な機能 ライセンスの提供形態
Windows Intune SCCM/SCEP Windows SA EA/ESA MOSP EES
Windows Intune ○ ○ ○ ○
Windows Intunewith SA ○ ○ ○ ○
Windows Intune Add-onfor Core CAL/E-CAL ○ ○ ○
68
Core CAL / E CAL / CML
Intune Add-on SKU
Windows Intune SKU で実現するマルチデバイスの統合管理
◼ オンプレミスの SCCM による PC の管理と Windows Intune によるモバイルデバイスの管理によるマルチデバイスの統合管理ソリューションを実現
管理対象のプラットフォーム
単一の管理コンソール
Windows PCs(x86/64, Intel SoC),
Windows to GoWindows Embedded
Mac OS X
Windows 8.1 PCs & RTWindows Phone 8
iOSAndroid
SCCM管理コンソールからの一元管理SCCM 管理コンソールにすべてのデバイスの管理作業を統合
豊富なモバイルのデバイス管理機能アプリケーション/ VPN/ Wi-Fi 設定の配布、インベントリ収集、証明書のインストール、ポリシー設定、ワイプ等の管理機能を提供
管理対象のプラットフォーム
Windows Intune SKU
69
Windows Intune の ライセンスにおける留意ポイント
◼ Windows Intune ライセンスの留意ポイント
– 最少購入数 (EA/ESA/EES)
• 新規 EA/ESA として 250 ライセンスから購入することが可能です。 ( 250 ライセンスは Office365 との合算が可能)
• 既存 Core CAL / E-CAL への Windows Intune Add on は 1 ユーザー分から購入可能です。
• 既存の EA/ESA をお持ちでないお客様でも、250 ライセンスより 新規 ESA の契約で購入いただけます。※ Office365 のライセンス体系と同じものになります。
– 契約期間
• 新規 EA の場合、通常は 3 年
• Add-on の場合には、既存の Core CAL / E-CAL の契約内容によります。
◼ 既存ライセンスとのオンラインサービス ライセンスの過不足を調整するためのWindows Intune 用のブリッジライセンスを提供
– Core CAL Bridge for Intune
• Exchange / Sharepoint / Lync / Win CAL を Windows Intune に付与
– Core CAL Bridge for Intune & O365
• Win CAL を Windows Intune + Office365 E1/E3 に付与
70
Windows Intune の活用パターン
◼ 既存のライセンスへの Windows Intune ライセンスのアタッチが可能
オンプレミス オンライン
71
Point
71
72
契約社員のデバイス 企業統合時の PC
組織のドメインに参加していない PC
管理の対象となるデバイスの多様化
外周りの営業用デバイス世界各国に広がるオフィス
限られた人員と予算
統一されていない煩雑な管理環境
組織の拡がりと IT 管理の業務要件との乖離
個人任せのデバイスの管理
デバイス管理における状況と課題
73
デバイスの Anywhere と Any Device への対応
クラウドベースのクライアント PC およびモバイル デバイスの管理ソリューションを提供
▪ 管理対象デバイスのハードウェアやソフトウェアの情報を収集/管理
▪ アプリケーションや更新プログラムの配信とライセンス管理機能を提供
▪ アンチ マルウェアの提供と一元管理のための機能を提供
▪ iOS や Android も対象としたモバイル デバイスの管理
▪ Web ベースの管理コンソールからのユーザーとデバイスを紐づけた一元管理
▪ エンドユーザー向けのセルフ サービス ポータル サイトを提供
▪ 社内 Active Directory と連携したユーザーの管理と ADFS ベースの SSO に対応
▪ Office365 / Exchange Online と連携したサービスにアクセスするデバイスの管理に対応
74
Windows Intune
◼ 最低限の投資でマルチ デバイス管理を実現
– Windows Intune は、マルチ デバイス管理、ライセンス管理、アンチ マルウェア対策、
MDM 機能等を All in One でご提供します
– デバイス管理のための機器や設備、それにかかわる年間保守料金等が不要となります
– 画面共有により、リアルタイム ヘルプデスクの提供が可能です
– 使いやすい UI を準備しており、トレーニング不要で数時間で利用できるようになります
◼ IT 管理業務の軽減化
– 全ての端末の可視化をはかり、適正な業務用デバイスの管理を提供できます
– 管理のオペレーションに必要となるのは Web ブラウザーだけです
– 更新プログラムの自動適用やアンチ マルウェア対策機能によりセキュリティを強固に保てます
– グループ毎にポリシーが適用できる為、運用負担が軽減されます
– ソフト/ハードのインベントリが取得できるので資産管理が容易に実現できます
– Office365 との連携により導入や運用の業務を一元化することが可能です。
◼ 法的問題解決の一助として
– アンチ マルウェア対策機能や更新プログラム管理による重要な脆弱性への対策・管理が可能です
– MDM (リモート ワイプ) による情報漏えい対策にも対応しております
– 適正なライセンス管理による使用許諾違反への防止策となります
757575
本資料の関連資料は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)
http://itlib1.sakura.ne.jp/目次番号 275番(PDF)
75
76
76