windows 10 管理の再定義 - delli.dell.com/.../documents/ja-airwatch_windows_10_overview.pdf ·...

ホワイトペーパー 2017 年 1 月

WINDOWS 10 管理の再定義真のビジネスモビリティを実現するために

ホワイトペーパー | 2

WINDOWS 10 管理の再定義

目次はじめに.................................................................................................................................................................................3

VMware ソリューション...............................................................................................................................................4

コスト削減と管理の複雑化の緩和.............................................................................................................5

管理の簡素化.....................................................................................................................................................................8

WINDOWS 10 デバイスのセキュア化と制御.........................................................................................17

データ漏洩リスクの最小化..............................................................................................................................23

まとめ....................................................................................................................................................................................26



その一方で、BYOx の普及に伴って IT のコンシューマライゼーションとモバイル-クラウド戦略が急速に一般化し、企業が競争力を維持するための欠かせないツールとなりつつあるいま、エンドユーザーの生産性とコラボレーションという基本的な枠組みにとどまることなく、最新のビジネスモビリティ戦略を取り入れ、コアビジネスプロセスをモバイルクラウドモデルへと再構築することが、多くの企業にとっての急務となっています。

Microsoft 社の Windows 10 は、モバイルおよびクラウド対応の OS で、企業のエンドユーザーコンピューティング (EUC) 戦略に多大な影響を与えることが予想されています。この最新型の OS が提供する統合プラットフォームでは、アプリの構築に加え、Windows 10 搭載デバイスを使用するエンドユーザーに、場所を問わずに組織のコアプロセスを拡張することが可能です。ただし、このビジネスモビリティのビジョンをエンタープライズ規模で実現するには、まだ多くの課題が残っています。VMware が 2015 年に 1,000 人以上の IT 意思決定者を対象に実施した調査では、モビリティ戦略を採用する際の懸念として以下のような項目が上位に挙げられました 1。

1. 全体的なコストを削減し管理の複雑化を緩和する方法2. デバイスのセキュリティを確保し制御を常に維持する方法3. 企業データ漏洩のリスクを最小化する方法

VMware は、統合されたエンドポイント管理というビジョンを掲げて、これらの課題への対応に戦略的に取り組んでいます。VMware の EUC ソリューションを使用することによって企業のモビリティ戦略を最大限に活用することが可能になり、IT 部門は、真の「ビジネスイネーブラ｣としての役割を新たに定義することができるようになります。このホワイトペーパーでは、テクノロジーに関する意思決定者 (TDM) および IT 担当者を対象に、VMware がどのようにして Windows 10 を企業全体に展開し管理する方法を変革することができるのか説明します。

はじめに大部分の企業の IT 部門は、ユーザーやデバイス、アプリ、OS のサポートをメインとする変わり映えのしない業務を任されることが多く、しばしば企業のコストセンターと見なされています。

1 VMware State of Business Mobility Report. (VMware、2015 年 11 月発行)。ウェブ:<http://www.air-watch.com/lp/vmware-state-of-business-mobility-report-2015/>



VMware AirWatch® は Windows 10 管理をサポートし、企業の PC をよりスマートに展開し、制御し管理する方法を提供します。弊社ソリューションを使用することで、IT 部門は、必要とするツールや管理画面を一元化し、従来の PC ライフサイクル管理作業に潜む多くの問題 (代理セットアップとイメージングの必要性、ドライバの複雑な保守、OS 更新管理、ファイアウォール、ウイルス対策、暗号化ポリシーなど) を解消することができるようになるため、総コストを削減し、管理の複雑化を緩和することができます。

さらに、AirWatch を使用することで、IT 部門は、細分化されたセキュリティプロファイル、コンプライアンス設定、デバイス制限を通して、エンドユーザーのデバイスを制御し、セキュアにすることができます。また、企業が定義したコンプライアンスポリシーに遵守した管理デバイスのみがアプリやコンテンツ、Eメールにアクセスできるように制限することで、データ漏洩のリスクを最小限に抑えることができます。

以下、企業がビジネスモビリティ戦略を導入するにあたっての問題点、特に Windows 10 展開に関連する懸念を、VMware のエンドユーザーコンピューティングソリューションがどのように解決できるのかを詳しく説明します。

VMware ソリューションVMware が掲げる統合されたエンドポイント管理というビジョンの核となるのは、AirWatch のエンタープライズモビリティ管理 (EMM) ソリューションです。



Windows 10 を導入することで、IT 管理者は、新しいエンタープライズモビリティ管理 (EMM) 機能を最大限に活用できるようになります。AirWatch は、従来のクライアント管理機能の長所はそのまま残し、業界トップレベルの EMM 機能と組み合わせて、シンプルな Windows 10 デスクトップとモバイルデバイスの管理ソリューションを提供します。

展開の効率化AirWatch ソリューションにより、IT 管理者のデバイス加入とプロビジョニングプロセスは大幅に簡素化されます。AirWatch は、パブリック (クラウドのドメインに参加) かプライベート (クラウド以外のドメインに参加) のいずれのネットワークでも、企業所有デバイス、BYOD、CYOD といった様々なシナリオにおける Windows 10 導入開始時に、直感的なエクスペリエンスを提供します。AirWatch は、オンプレミスの Microsoft Active Directory (AD) ともパブリッククラウドの Microsoft Azure AD とも統合することができ、デバイスをドメインに参加させる際のハイブリッド加入モデルとフルクラウド加入モデルをサポートします。

コスト削減と管理の複雑化の緩和

図 1: AirWatch による Windows 10 プロビジョニングのユースケース

設定 > アカウント電源を入れるだけで加入が完了

設定 > アカウント

Microsoft アプリを経由して加入

Out of Box Experience

ワークプレース加入

デバイス設定アプリケーションレベル導入の簡素化

(エンドユーザー)

導入の簡素化 (IT)

パッケージインストール

一括プロビジョニング



従来、イメージの作成とドメイン参加は、デバイスの加入プロセスのなかでも時間を要する複雑な作業でした。Windows 10 のランタイムプロビジョニングを AirWatch のプロダクトプロビジョニング機能と組み合わせることで、IT 管理者は、個々人の利用形態に合わせたイメージの再作成を行うことなく、より細分化されたポリシーベースのアプローチでデバイスの一括加入を行うことができます。

AirWatch では、特定デバイスのシリアル番号を一括インポートし、デバイスを受け取るユーザーのアカウントにマッピングすることができます。AirWatch ソリューションが提供する代理セットアップおよびプロビジョニングサービスの URL (検出、加入、ポリシー) が、Windows イメージングおよび構成デザイナー (ICD) に取り込まれます。

導入の簡素化 (エンドユーザー)

導入の簡素化 (IT)

エンドユーザーのセルフサービスによるデバイス加入で、IT 部門の対応は不要

再イメージングを行うことなく、ポリシーを使用してワンクリック

運用コスト/IT 部門の生産性


企業は、Azure Active Directory との統合を行い、エンドユーザーのセルフサービスによる最小限の操作でデバイス加入を行うことができます。IT 部門の対応は不要です。以下のような方法を利用することができます。

• 組み込まれた加入機能 (OOBE) を起動時に使用する• 認証情報を追加する • 業務用アプリケーション (Microsoft Office など) に

サインインする

職場の認証情報を使用してセルフサービスによって加入する方法では、デバイスをクラウドのドメインに参加させ、プロファイル、設定、アプリ、コンプライアンスポリシーを適切に構成し、 AirWatch の管理デバイスとしてセットアップします。これらすべてを一つの効率的なワークフローで行うことができます。



アプリケーション構成

• Bloatware 削除• MSI インストール• EXE インストール• DLL インストール• ドライバインストール• ストアアプリインストール• Windows 更新インストール• Windows ライセンスキー展開• カスタムスクリプト展開

• 証明書• Eメール• VPN• Wi-Fi• ファイアウォール• ウイルス対策• 暗号化• Windows 更新クライ

アント

• アプリケーション制限• アカウント追加• スタートメニュー構成• 壁紙構成• プリンター構成

図 2: アプリのリストや構成設定が含まれたプロビジョニングパッケージ

IT 部門は、AirWatch のプロダクトプロビジョニング機能 (「アプリケーション管理」セクション参照) を利用して、事前構成済みの単一の加入パッケージを作成できます。このパッケージによって、構成設定やアプリ (EXE、MSI など)、ソフトウェアの更新、ドライバ、ファイル、コマンドを、電子メールやメディアディスクでエンドユーザーにリモート配布し、ワンクリックでインストールすることができます。またこのパッケージは、管理者やエンドユーザーが直接 Windows の Work Access 設定にインポートすることもできます。



AirWatch の管理者コンソールにはデバイスダッシュボードがあり、IT 管理者は Windows 10 ベースのデバイスを含む組織のエンドポイント全体の概要をリアルタイムで確認できます。デバイスダッシュボードには、カスタマイズ機能、検索機能、フィルタ機能があるため、デバイスのプラットフォームや OS バージョン、順守状態、所有形態など、さまざまな条件に基づいて特定のデバイスを検索できます。ドリルダウン機能により、特定のデバイスセットに MDM アクションや管理機能をより簡単に素早く実行できます。

デバイス

管理の簡素化

すべてのデバイス、アプリ、OS プラットフォームの管理とレポート作成を行う統合されたダッシュボード


AirWatch の管理者コンソールでは、特定のデバイスを詳細に分析することもできます。たとえば、Windows 10 デバイスが管理対象として加入しているか、デバイスがパスコードおよび暗号化ポリシーを順守しているか、正常性構成証明の設定に基づきデバイスが健全な状態にあるかといった、デバイスのセキュリティ状態について詳細な情報を取得できます (「デバイスポスチャ」セクション参照)。

さらに、AirWatch には事前構成済みの多くのレポートとイベントログ機能があり、Windows 10 展開に関する結果主導型の有用な統計情報を管理者に提供します。また、カスタムレポートの作成、配布リストの定義、レポートの自動配信およびスケジュール設定等のすべてを、一元化された管理者コンソールから行うことができます。



図 3: AirWatch デバイスダッシュボード

デバイスインベントリAirWatch のコンソールには資産インテリジェンス機能が組み込まれています。IT 管理者は、特定の組織グループに属するデバイス、デバイスのネットワーク接続状態、特定アプリケーションがインストールされているデバイス、デバイスが侵害状態にあるかなど、事前構成された詳細なレポートでデバイスのさまざまなインベントリ情報を確認できます。

ホワイトペーパー | 1 0


アプリケーションPC を管理するにあたって IT 管理者が直面する課題の一つに、アプリエコシステムの断片化という問題があります。Windows 10 では、アプリの種類に応じて複数の配布ツールを使い分ける必要はありません。管理者は、単一の統合されたアプリストアからすべてのアプリ (EXE または MSI パッケージ、ウェブアプリ、リモートアプリ、ユニバーサルアプリ) にアクセスできるよう設定できます。この新しいストアは、Windows モバイル/デスクトップ双方のプラットフォームにわたり共通のコードベースを保持するアプリに対応しています。これにより、開発者は時間を節約でき、管理者は統合されたエンドポイント管理を推進することができます。

AirWatch を使用することで、管理者は、統合されたアプリカタログを導入し、企業が承認したアプリに一か所からアクセスできる環境をエンドユーザーに提供できます。また、AirWatch のアプリケーション構成ポリシーによって、信頼できるアプリだけがエンドユーザーのマシンで実行されるように制限を適用することも可能です (「アプリケーショングループ」セクション参照)。 IaaS (Identity as a Service) ソリューションである VMware Identity Manager を AirWatch と統合することで、IT 部門は企業アプリへのアクセスを制御しセキュア化することができ、エンドユーザーが場所やデバイスの種類を問わずにアプリにワンタッチアクセスできる環境を提供することができます (「シングルサインオン」セクション参照)。

VMware AirWatch® App Catalog™ は Microsoft Store と完全に統合し、プラットフォーム、ユーザーグループ、役割などに基づいて割り当てられたアプリをセルフサービスでインストールできるようにします。開発者や管理者は、アプリのインストールに関する統計情報を確認できるほか、フィードバック/コメントを収集したり、アップデート通知をプッシュしたりすることができます。

また、エンドユーザーのデバイスにアプリをサイレントインストールし、カタログのデザインやカテゴリをカスタマイズすることができます。AirWatch App Catalog は Windows 10 の加入ワークフローで自動的にデバイスにプッシュすることも、ウェブクリップとしてオンデマンドでインストールすることもできます。 Microsoft 社によるビジネス向け Windows ストアは、開発者、IT 意思決定者、および管理者が、企業向けの Windows 10 アプリを提供/検索/取得/管理/配布するための場です。AirWatch は、Microsoft 社と協力し、ビジネス向け Windows ストアと統合することでエンドユーザーである管理者が Windows 10 アプリにアクセスし、企業内に展開し使用できるようにしました。

エンドユーザーがセルフサービスでアプリをインストール




プロダクトプロビジョニング

アプリケーションインベントリ

AirWatch では、アプリ、ファイル、コマンドを、「プロダクトプロファイル」を通してリモート配信できます。IT 管理者は、AirWatch のプロダクトプロビジョニング機能を使用し、組織内の Windows デスクトップを常に最新かつ使用可能な状態に維持するために、アプリ/ドライバ/ ファームウェア更新、さらには複雑なパッケージやスクリプトをプッシュ配信することができます。インストールのスケジュールやワークフローを自動化し、プロダクトプロビジョニングやソフトウェアの配布タスクをさらに簡素化することもできます。スケジュールを設定する際は、ネットワークやスケジュール、電源などの条件を指定し、それに基づいてインストールが行われるように構成することもできます。AirWatch ソリューションは MSI の基本的なインストールを完全にサポートしているだけでなく、従来のタスク自動化スクリプトエンジンも搭載しています。これは、従来であれば PC ライフサイクル管理 (PCLM) ツールを必要とした機能と同等の機能を提供します。このため、IT 管理者は、新たな EMM ベースの管理フローに移行しても、従来の優れた PCLM 機能を利用することができます。

AirWatch では、Windows デスクトップアプリ (従来型) と Metro アプリ (最新型) の完全なインベントリを管理/収集し、レポートを作成することができます。IT 管理者は、アプリケーションのバージョンや展開状況、選択したデバイス上でのアプリの有無、アプリケーションのリストとそのコストについてレポートを確認できるほか、その他様々なインベントリ機能にもアクセスできます。

図 4: AirWatch によるプロダクトプロビジョニング

アプリ

ファイル

コマンド



Office 365 のサポート

Eメール

Microsoft Office 365 を使用している場合、AirWatch と VMware Identity Manager は、既存のディレクトリサービス (LDAP) のユーザーグループと同期することで Office 365 アプリへのアクセスのプロビジョニングを簡単に自動で行うことができます。AirWatch と VMware Identity Manager の統合は、共通の ID による認証と、アプリへの条件付きアクセスを提供します。アプリへの条件付きアクセス機能を使用して、購入済みライセンスを保有する承認されたユーザーが管理デバイスを使用している場合のみ、Office 365 サービスへのアクセスが許可されるように設定することができます。

AirWatch は、Windows 10 向けに包括的な E メール管理機能を提供し、承認されたユーザーと順守状態にあるデバイスのみがメールにアクセスできるよう制限することで、企業の Eメールインフラのセキュア化をサポートします。

Eメールへのアクセスには、ネイティブのメールクライアント (Microsoft Outlook) を使用することも、VMware AirWatch® Inbox™ アプリケーションを使用することもできます。同じ組織内に Exchange Online や Office 365 といった複数のメール管理構成2 を展開することも可能です。これにより IT 管理者は、複数の拠点やユーザーグループが使用するさまざまな Eメール環境を一元管理できるほか、エンドポイントの一部が異なる環境にある場合のアップグレードまたは移行シナリオにも対応できます。

複数の Eメールインフラのサポートと管理の一元化


コンテンツAirWatch のコンテンツ管理ソリューションは、Windows デスクトップとモバイルデバイスでのコンテンツの配布とアクセスをセキュアに行います。IT 管理者は、管理者コンソールから管理コンテンツを構成してアップロードし、企業のファイルサーバ (Microsoft SharePoint、Microsoft OneDrive、ネットワーク共有など) と同期します。また、エンドユーザー向けの個人用コンテンツスペースを有効にすることもできます。エンドユーザーは、VMware AirWatch® Content Locker™ を使用してデータにセキュアにアクセスし、コンテンツを共有することができます。



従来のクライアント機能従来の PC 管理手法は、グループポリシーオブジェクト (GPO) に大きく依存していました。GPO では、ポリシーを取得する際はデバイスを企業ネットワークに接続し、再起動する必要があります。また、モバイルエンドポイントおよび Windows 以外のエンドポイントを保護し管理するためには、多くの場合、EMM ベースの管理インフラストラクチャが別途必要になります。

それに対し、Windows 10 のプラットフォーム管理は、GPO から EMM ベースへと根本的に移行します。AirWatch を使用することで、パブリックネットワーク上でもプライベートネットワーク上でも Windows 10 デバイスを構成し、リアルタイムでにワイヤレスでの更新を行うことができます。また AirWatch は、ネイティブの OS 設定による暗号化、ウイルス対策、マルウェア対策、ファイアウォールをサポートしており、サードパーティ製のソフトウェアやエージェントを購入してサポートする必要はありません。従来の GPO ベースの管理と新しい EMM ベースのアプローチを共存させることも可能です。管理者の方がアプローチをどちらか一つに絞る必要はありません。 AirWatch のアプローチでは、従来の PC ライフサイクル管理 (PCLM) の優れた機能と EMM 機能の長所を取り入れて、IT 生産性の向上、コストの削減、エンドポイントセキュリティの改善を目指しています。

従来の PC 管理ツールのライセンスを統合または排除

設備投資コスト/インフラ

アップデートWindows 10 には、モビリティとクラウドを念頭において設計された新しい更新サービスが導入されています。これは、OS アップグレードの概念を、消去して置き換えるモデルから、OS および機能のアップデートを定期的にワイヤレスでプッシュ配信するモデルへと変換させました。新たに導入されたサービスとしての Windows 更新プログラムには、更新ブランチと呼ばれるサービス提供プランが用意されています。管理者は、企業に適したアプローチと重要度に基づいて、機能やセキュリティ更新プログラムの展開スケジュールを制御することができます。このような変更の導入によっても、企業には、新しい更新機能を十分に活用するためにもクラウドベースの管理ツールを使用する必要性が生じています。



更新、パッチ、ドライバの管理をはじめとする従来の複雑な PC ライフサイクルタスクを排除

運用コスト/IT 部門の生産性Windows 10 には、モビリティとクラウドを念頭において設計された新しい更新サービスが導入されています。これは、OS アップグレードの概念を、消去して置き換えるモデルから、OS および機能のアップデートを定期的にワイヤレスでプッシュ配信するモデルへと変換させました。新たに導入されたサービスとしての Windows 更新プログラムには、更新ブランチと呼ばれるサービス提供プランが用意されています。

管理者は、企業に適したアプローチと重要度に基づいて、機能やセキュリティ更新プログラムの展開スケジュールを制御することができます。このような変更の導入によっても、企業には、新しい更新機能を十分に活用するためにもクラウドベースの管理ツールを使用する必要性が生じています。

AirWatch は、企業組織全体にわたって Windows 更新プログラムがどのように管理され配信されるかをきめ細かく制御することができます。IT 管理者は、ユーザーが自分で OS 更新プログラムにアクセスするように設定することも、Windows 更新プログラムソースからの定期受信を通じてデバイスに強制的に適用するように設定することもできます。AirWatch は、新しい Microsoft 更新サービスと統合できるだけでなく、企業の既存の Windows Server Update Services (WSUS) もサポートします。

管理者は、デバイスに更新プログラムを配信する方法 (自動、ユーザーによる承認の有無など) についてポリシーを設定し、更新によってユーザーの生産性が低下しないようにインストール日時を選択してメンテナンススケジュールを設定できます。また AirWatch では、Windows の更新と同時に他の Microsoft 製品またはサードパーティ製品の更新をインストールするかどうか、さらに Windows Insider ビルドをエンドユーザーにプッシュ配信するかどうかを選択することもできます。Windows 10 で新たに導入された、ピアツーピアのアップデート配信の最適化機能にも対応しており、ユーザーは更新やアプリをより迅速に取得できます。

アップデート



さらに管理者は、AirWatch から Windows ネイティブのウイルス対策ツールである Windows Defender のポリシーを管理し、順守ポリシーを構築することができます。IT 管理者は、リアルタイム監視の有効化、ウイルス定義の更新とスキャンのスケジュール設定、例外の追加、脅威レベルに応じた自動アクションの選択など、監視およびスキャンに関するさまざまなポリシーを詳細に設定できます。ネイティブの Windows Defender ポリシーに加え、サードパーティ製ウイルス対策ソリューションの順守ルールを構成することで、監視を確実に実行し、ウイルスの定義と署名ファイルを最新の状態に維持することができます。

ファイアウォール従来のクライアント管理機能の一つに、プライベートおよびパブリックネットワークのファイアウォールポリシーがありますが、これについても AirWatch 管理者コンソールでより効率的に管理できるようになります。

暗号化AirWatch で BitLocker 暗号化ポリシーを構成し、ディスク全体または OS パーティションのみをサイレントに暗号化することができます。BitLocker 回復キーのエスクローは、管理者が AirWatch 管理者コンソール内で行うことも、IT 管理の負担を軽減する新しいセルフサービスモデルの一環として、エンドユーザーがセルフサービスポータル (SSP) で行うこともできます。これは、IT 部門の負荷を軽減する新しいセルフサービスモデルの一環として導入することができます。

エンドユーザーによるセルフサービスの実現AirWatch に用意されているエンドユーザー向けの多数のセルフサービス機能を使用して、エンドユーザーやクライアントのサポートによる IT 部門の負担をさらに軽減することができます。これにより、IT 部門はより価値を生み出すタスクに専念することができます。

ウイルスおよびマルウェア対策

エンドユーザーによるセルフサービス管理により、ヘルプデスクへの問い合わせと IT 部門の負担を軽減




表 1: AirWatch セルフサービスポータル (SSP) で Windows 10 デバイスに対して実行できる機能

セルフサービスポータル (SSP)前述のとおり、エンドユーザーはデバイス加入やアプリ/更新インストールをセルフサービスで行うことができますが、AirWatch ではさらに、エンドユーザーが自分のデバイスをリモートで監視し管理できるように管理者がセルフサービスポータル (SSP) をセットアップすることで、IT 部門やヘルプデスクへのサポート依頼の負荷を軽減できます。エンドユーザーは、セルフサービスポータルから、自分のデバイスの企業情報ワイプ、BitLocker のパーソナル回復キーの閲覧、メッセージの送信といった、さまざまなデバイス管理タスクを行うことができます。SSP から Windows デスクトップおよびモバイルデバイスに対して実行できるタスクは以下のとおりです。

デバ

イス

削除

デバ

イス

クエ

リ

デバ

イス

ワイ

プ

企業

情報

ワイ

プ

デバ

イス

/画面

ロッ

ク

デバ

イス

位置

特定

メッ

セー

ジ送

信

Agen

t ダウ

ンロ

ード

BitL

ocke

r キー

回復

登録

削除

加入

メッ

セー

ジ閲

覧

加入

メッ

セー

ジ再

送信

アプ

リトー

クン

生成

アプ

リトー

クン

取消

Eメー

ルの

管理

利用

規約

の確

認

S/M

IME 証

明書

アッ

プロ

ード

アクション

Windows デスクトップ

Windows モバイル

X X

X

X

X XX

X

X

X

X

X X X X X X X X X

X X X X X X X



デバイスプロファイルデバイスプロファイルは、AirWatch を使用してデバイスを管理しセキュア化する際の主要な手段です。プロファイルには、Windows 10 デバイスに適用されるペイロード (設定、構成、制限など) が含まれています。Windows 10 ユーザーとデバイスに関する、ID/アクセス確保 (パスコード、資格情報、Passport for Work など)、データ (データ保護、暗号化など)、脅威からの保護 (ウイルス対策、ファイアウォールなど) といった主要な問題を緩和するために、管理者がポリシーを設定する際には、ペイロードが役に立ちます。管理者は、AirWatch を使用して Windows 10 デスクトップとモバイルデバイスの双方のプロファイルを構成し、特定のスマートグループに割り当てることができます。スマートグループとは、管理者が定義するカスタマイズ可能なグループで、これによってどのプラットフォーム/デバイス/エンドユーザーがアプリケーション/順守ポリシー/デバイスプロファイルを受け取るかが決まります。表 2 は、AirWatch がサポートする Windows デバイスのプロファイルペイロードの一覧です。

Windows 10 デスクトップおよびモバイルデバイスの保護は、まず、エンドポイントを EMM 管理に加入させることから始まります。これにより、企業のアプリ、リソース、リポジトリへのアクセスを管理対象のエンドポイントのみに確実に制限することができます。加入後は、セキュリティプロファイル、順守ポリシー、デバイス制限を構成することでデバイスの改変を確実に防ぎ、制御とセキュリティを強化します。

Windows 10 デバイスのセキュア化と制御

ペイロード

X X X X X X X X X X X X X X X X X X X

X X X X X X X X X X X X X X X X

パス

コー

ド

Wi-F

i

VPN

認証

情報

制限

事項

デー

タ保

護

Pass

port

for W

ork

ファ

イア

ウォ

ール

シン

グル

アプ

リモ

ード

ウイ

ルス

対策

暗号

化

Win

dow

s 更新

プロ

グラ

ム

ウェ

ブク

リッ

プ

Exch

ange

Act

ive Sy

nc

SCEP

アプ

リケ

ーシ

ョン

制御

Exch

ange

Web

Serv

ice

Eメー

ル

割り

当て

られ

たア

クセ

ス

カス

タム

設定

Windows デスクトップ

Windows モバイル

表 2: Windows 10 デバイス向けの AirWatch デバイスペイロード



AirWatch の Windows 10 デスクトップ/モバイルプロファイルには、デバイスレベルのさまざまな制限事項を有効化して MDM 制御を強化するオプションも含まれています。IT 管理者は、次のような制限事項を設定できます。

デバイス制限事項

デバイスおよびアプリレベルの制限事項をきめ細かく制御

セキュリティ/制御

• デバイス管理: 各自のデバイスの加入解除またはデバイスのリセットをユーザーに許可します。 • セキュリティとプライバシー: ロケーションサービスまたはテレメトリデータの使用を許可します。• デバイス設定: 日付、時刻、言語設定の変更をユーザーに許可します。• デバイス機能: カメラ、Bluetooth、Cortana の使用を許可します。• アプリケーション: 信頼できるアプリ、自動更新のみを許可します。• ネットワーク: ローミング中のセルラーデータ使用、Wi-Fi 自動接続構成を許可します。• ブラウザ: ブラウザのフォームへの自動入力、Cookie、ポップアップを許可します。



AirWatch は、Windows 10 のアプリケーション制御3 プロファイルをサポートしています。管理者は、アプリケーションのホワイトリスト/ブラックリストルールを作成し、ユーザーがパブリックアプリストアから承認されていないアプリをダウンロードしてインストールすることを禁止することができます。以前にインストールされたアプリでも、アプリケーション制御構成で制限されていれば、AppLocker ポリシーをプロビジョンすることで使用をブロックできます。

AirWatch のリアルタイムコンプライアンスエンジンにより、すべてのデバイスは、IT 管理者によって定義された管理/制御ポリシーを順守している状態に維持されます。これらのセキュリティポリシーはプラットフォームごとに異なり、広範な順守条件をカバーしています。たとえば、デバイスプロファイル (パスコード、ウイルス対策、暗号化など)、アプリケーションリスト (ホワイトリスト、ブラックリスト、必須アプリなど)、侵害状態 (正常性構成証明) などの条件です (下の表を参照)。また、対応措置の段階的な引き上げが自動で行われるようにルールを構成し、デバイスがポリシーに違反していると判断された場合に特定の対応措置 (ユーザーへの通知、アプリへのアクセスをブロックするなど) を実行して猶予期間を与えることができます。このルールにより、すべてのデバイスの順守状況を定期的に監視する IT 部門の負担が軽減されるだけでなく、企業アプリおよびデータへのアクセスを順守状態にあるデバイスのみに制限できるため、全体のセキュリティが強化されます。

アプリケーショングループ

コンプライアンスエンジン

対応措置の段階的な引き上げを自動で行うリアルタイムコンプライアンスエンジン


3 アプリケーション制御プロファイルを使用するには、Windows 10 Enterprise または Education の SKU が必要です。



Windows 10 の正常性構成証明によって、ブートの状態 (セキュアブート、ブートマネージャのバージョンなど) やセキュリティの状態 (BitLocker、デバイスガードなど) がチェックされ、デバイスが侵害状態かどうかが識別されます。管理者は、AirWatch 管理者コンソールで特定の正常性構成証明の属性を選択し、デバイスを侵害状態としてマーキングできます。これらの属性のいずれかが失敗していないかをコンプライアンスエンジンがチェックし、管理者が定義した必要なアクションが実行されます。AirWatch では、正常性構成証明の情報を OS からではなくトラステッドプラットフォームモジュール (TPM)、つまりデバイスに組み込みの暗号化されたハードウェアコンポーネントから直接取得します。そのため、OS カーネルが侵害されても侵害状態の検出は機能します。

デバイスポスチャ

ハードウェアとソフトウェアを組み合わせてデバイスポスチャ確認を制御


ウィ

ルス

対策

状態

侵害

状態

デバ

イス

最終

検出

暗号

化

ファ

イア

ウォ

ール

の状

態利

用規

約へ

の同

意

モデ

ル

OS バ

ージ

ョン

パス

コー

ド

ロー

ミン

グ

SIM

カー

ド変

更

Win

dow

s 自動

更新

の状

態

順守ポリシー

X X X X X X X X X X

X X X X X X

表 3: Windows 10 デバイス向けの AirWatch 順守ポリシー



図 5: Windows 10 の正常性構成証明

ユーザー名やパスワードは、忘れたり、共有されたり、悪用されたり (Pass-the-Hash 攻撃など) する可能性があるため、企業データをリスクにさらすことになります。Windows 10 では、強力な認証システムと、ハードウェアおよび仮想化ベース (認証情報ガード) のセキュリティが一つに統合されました。管理者は、AirWatch を使用して、Windows 10 向けに正しく定義された認証ポリシーを構築し、認証情報の悪用リスクを軽減して Pass-the-Hash 攻撃を防ぐことができます。

認証

セキュアブート

BitLocker 暗号化

ウィルス対策

コード整合性

Windows バージョン

TPM 2.0 +

リクエスト

承認

証明

デバイスのヘルス状態を証明

アクセスをリクエスト



Windows 10 では、Microsoft Passport が導入されています。Microsoft Passport は、OS に組み込まれた多要素認証 (MFA) で、パスワードに代わるより安全なエンタープライズクラスの認証手段です。AirWatch は Windows 10 の新しいセキュリティ機能、Windows Hello (生体認証) や Passport PIN と統合します。管理者は、ユーザー確認ジェスチャのポリシーを設定し、PIN の強度と複雑さの要件を構成し、ユーザーを特定するための証明書をプロビジョンできます。

ユーザーは、SSO により、一度デバイスにサインインするだけで、企業の推奨アプリのすべてにアクセスできます。アプリを起動する都度サインインする必要はありません。クラウドベースのソリューションである VMware Identity Manager には、ローカルのオンプレミスディレクトリサービス (LDAP) とのディレクトリサービス統合機能があり、SAML アサーションを使用してID連携 (フェデレーション) を可能にします。ID連携により、SaaS、Office 365、Outlook、モバイルアプリを含め、すべての Windows 10 アプリにわたる SSO が実現します。この SSO 機能により、ヘルプデスクへの「パスワード忘れ」によるサポート依頼が減るほか、ユーザーがパスワードを目に付きやすい場所に保存したり書き留めたりしておく必要がなくなり、漏洩リスクが減るため、セキュリティも強化されます。従業員が退職する際には、データの流出を防ぐためにすべてのアプリを簡単にオフにすることができます。

多要素認証 (MFA)

シングルサインオン (SSO)

MFA と SSO をサポートし、より強固な認証セキュリティを実現




AirWatch のモビリティ管理およびデータ漏洩防止戦略のあらゆる側面において最も重視されているのがセキュリティです。Windows 10 エンドポイント上のデータ保護は、アプリケーションサーバ自体へのアクセスをセキュア化し、サーバには管理アプリと承認済みユーザーしかアクセスできないようにすることから始まります。IT 管理者は、AirWatch を使用することで、 Windows 10 デバイスに高度なデータ漏洩防止ポリシーを定義して企業データを保護し、同時に社員の個人データに関するプライバシー上の懸念にも対処することができます。VMware Identity Manager と AirWatch のエンタープライズモビリティ管理機能を統合することにはそれ以外のメリットもあります。企業が定義したコンプライアンスポリシーに当てはまる管理デバイスのみにアプリやコンテンツ、Eメールへのアクセスを制限することで、データ漏洩のリスクを最小限に抑えることができます。

エンドポイントからの接続を確実にセキュアにするために、 VPN ゲートウェイの導入を検討している企業もあるかもしれません。この場合、デバイスレベルの VPN では、エンドポイント上の業務アプリ、個人アプリ、不正アプリを区別することができないため、VPN 接続がアクティブである限りデ

データ漏洩リスクの最小化

アプリベースの VPN

サードパーティの VPN サービスとライセンスは不要

設備投資コスト/インフラ

バイスとデータセンターの間のトラフィックフローは許可されてしまいます。AirWatch が提供するアプリベースの VPN 機能では、クライアント側のマイクロセグメント化によりアプリレベルのセキュリティを実現します。これにより、権限を与えられたユーザーのみが、承認されたアプリを使用して、有効なデバイスからいつでもデータセンター接続を利用できます。管理者は、Windows 10 の VPN プロファイルを使用して、特定のアプリだけが企業リソース (IP アドレス、ポート、SharePoint などのイントラネットサイト) にアクセスできるように設定することができます。

セキュアでないアプリや信頼されていないアプリからの企業データへのアクセスは、アプリベースの VPN 機能によりブロックされます。VPN サービス (VMware AirWatch® Tunnel™) が組み込まれているため、サードパーティのサービスを別途導入する必要はありません。追加のライセンス料金もなく、低い TCO (総所有コスト) で VPN サービスをお届けします。AirWatch ソリューションは、ネイティブの VPN サービスをサポートするだけでなく、企業の既存の VPN サービスとの統合も可能です。



VMware Identity Manager との統合により、IT 管理者は、デバイスが管理対象かどうか、コンプライアンス要件を満たしているかどうかといった条件に基づいて企業リソースへのアクセスを与える｢条件付きアクセス｣機能を利用できるようになります。AirWatch コンプライアンスエンジンは、強固なコンプライアンスプロファイルの割り当て条件 (表 3 を参照) に基づいてデバイスの順守状況を継続的に評価し、あらゆるアプリ (モバイル、デスクトップ、SaaS、ユニバーサル)、複数のデータリポジトリ (AirWatch Content Locker 経由)、複数の Eメール展開、あらゆるデバイスタイプへのアクセスを制御します。企業リソースへのアクセスがエンドユーザーから要求されると、デバイスが管理対象であるかどうか、コンプライアンスエンジンのレポートどおりに順守状態にあるかどうかが VMware Identity Manager によって検証されます。アダプティブアクセス制御機能により、ユーザーやグループ、デバイスのタイプ、アプリのタイプ、デバイス管理のタイプ、ネットワーク (ドメイン) に応じた、要求ベースの認証が可能です。また、条件付きアクセスポリシーで Exchange Online または Exchange ActiveSync (EAS) の構成を拡張することで、ホワイトリストまたはブラックリストポリシを作成し、管理対象外の非順守デバイスによる Eメールのアクセスおよび配信を制限することもできます。

条件付きアクセス

図 6: AirWatch のアプリトンネルとアプリベース VPN

アプリレベル VPN



IT 管理者は、高度なデータ漏洩防止機能を適用することで、セキュアなコンテナ (AirWatch Content Locker) 外では、ユーザーがコピー/貼り付け機能を使用したり、業務用メールの添付ファイルやドキュメントを開いたりできないように制限できます。AirWatch のコンテンツ管理ソリューションでは、ドキュメントレベルでの暗号化、ファイルのタイプに基づくホワイトリストおよびブラックリストの作成が可能なほか、AES 256 ビット暗号化方式を使用して転送中のデータや保存されているデータを保護4 できます。さらに、 AirWatch の Eメール管理機能を利用すると、添付ファイルやハイパーリンクは、セキュアなコンテナ、管理対象のブラウザ、または管理対象のメールボックス内でしか開くことができなくなり、企業 Eメールからのデータ漏洩を防止できます。

ネイティブのデータ漏洩防止機能のほかに、AirWatch は、Microsoft TAP プログラムと一部の Windows Insider ビルドへの参加企業向けに、Microsoft のパートナーとしてエンタープライズデータ保護 (EDP) 機能をサポートします。Windows Insiders ビルド向けの AirWatch EDP 機能の利用により、信頼できるデスクトップまたは最新のアプリを指定して、業務データの表示や暗号解除を許可できます。管理者は、企業が保護する境界 (IP 範囲、ドメイン名、プロキシサーバ) を構成し、企業データの安全な保管場所にすることができます。企業が保護する境界内の信頼されるアプリから提供される情報は、すべて暗号化されます。AirWatch では、適用レベルを柔軟に設定することができるため、コピー/貼り付けやドラッグアンドドロップなど、データの移動および共有機能の使用を、特定のユーザーグループに対して許可したり禁止したりできます。

データ漏洩防止

エンタープライズデータ保護 (EDP)

クライアント側のマイクロセグメント化、条件付きアクセス、データ漏洩防止によってエンドツーエンドのセキュリティを強化




ビジネスモビリティは、デジタルワークスペースへと急速に変貌しつつあります。デジタルワークスペースは、ユーザーが、適切なツールセット – 使い慣れたデバイス、革新的なビジネスプロセス、データやリソースへのアクセス – を使用して、より効率的に業務を行うことを可能にします。従来の PC 中心の OS から、最新のデバイスの種類を問わない OS に移行した Windows 10 を導入することで、企業は、IT 管理者、開発者、エンドユーザーのすべてに対応する、真のビジネスモビリティシナリオを実現することができます。

今後のビジネスモビリティを検討する際に企業のリーダーに求められているのは、すべての関係者に対し｢コンシューマ製品のようなシンプルさとエンタープライズクラスのセキュリティ｣を実現できる、一貫性のあるソリューションを採用することです。VMware のエンドユーザーコンピューティングソリューションは、モビリティ戦略の推進に伴う最も一般的な課題に対応できるように構築されています。VMware AirWatch® Enterprise Mobility Management™ と VMware Identity Manager による統一されたエンドポイント管理ソリューションを使用することで、Windows 10 デバイスの管理に要するコストを削減し、複雑さを緩和し、細分化された管理によってエンドポイントの制御性とセキュリティを確保できるほか、さらに高度なデータ漏洩防止機能もご利用になれます。

• エンタープライズモビリティ管理 (EMM) を Windows 10 の実質的な管理ツールとして活用することで、IT 管理者は、さまざまなデバイスタイプおよび所有形態のユースケースを効率的にサポートできます。

• ユニバーサルアプリプラットフォームによって、開発者は一つのコードベースで企業のコアとなるビジネスプロセスを構築または再構築し、統一されたインターフェースを介してエンドユーザーのデバイスに展開できます。

• この OS は、デスクトップとモバイルデバイスにわたり統一されたプラットフォームでシームレスに機能するように設計されており、エンドユーザーがどこにいても一貫して生産性を維持することができます。

まとめ



詳細は www.air-watch.com/solutions/windows をご参照ください。

AirWatch のフリートライアルを開始するには www.air-watch.com/lp/jp/free-trial へア

クセスしてください。

詳細は、www.dell.com/datasecurity を参照するか、弊社 ([email protected])

までお問い合わせください。

追加リソース

ヴイエムウェア株式会社〒105-0013 東京都港区浜松町1-30-5 浜松町スクエア 13F www.vmware.com/jp Copyright © 2017 VMware, Inc. All rights reserved. 本製品は、米国および国際著作権、ならびに知的所有権に関する法律の保護下にあります。 Vmware 製品は、https://www.vmware.com/go/patents に記載されている 1 つまたは複数の特許の適用対象です。 VMware は、米国ならびにその他の国および地域の VMware, Inc. の登録商標または商標です。他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。アイテム No: 8217_AW_Redefine_Windows_10_Mgmnt_WPP_JP MONTH 1/17

windows 10 管理の再定義 - delli.dell.com/.../documents/ja-airwatch_windows_10_overview.pdf ·...

Documents