Azure AD Webinar シリーズ Microsoft Intune による モバイルデバイスとアプリのセキュアな管理とは 5/18/2019 Azure AD Webinar シリーズ Microsoft Intune による モバイルデバイスとアプリのセキュアな管理とは Intune Customer Success Team © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
5/18/2019 本 Webinar シリーズの特徴 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) Azure AD の基礎 (L100–200) のうち特に重要でかつ見落としやすいトピックをピックアップ
いますぐブックマークに ご登録ください! http://aka.ms/AzureAdWebinar 5/18/2019 いますぐブックマークに ご登録ください! 今後のスケジュール、これまでの録画・資料等がまとまっています 今日の資料もこちらからダウンロードできます http://aka.ms/AzureAdWebinar
時間の使い方 13:30-14:20 プレゼンテーション → この間に質問を投稿ください 14:20-14:30 Q&A 5/18/2019 こちらをブックマーク → http://aka.ms/AzureAdWebinar 時間の使い方 13:30-14:20 プレゼンテーション → この間に質問を投稿ください 14:20-14:30 Q&A → 投稿いただいた質問に可能な限りお答えします 本日の資料 URL : http://aka.ms/AzureAdWebinar
Intune の デバイスとアプリの管理パターンを理解 展開のシナリオと進め方を共有し、設計のためのヒントを得ていただく 日程 (仮) トピック 3/7(木) 13:30-14:30 モダンアクセスコントロール実現に向けた戦略策定方法 Enterprise strategy towards modern access control 3/20(水) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編 Azure AD Conditional Access deep dive - How it works 4/4(木) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodology 4/18(木) 13:30-14:30 Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD 5/9 (木) 13:30-14:30 Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune 5/16(木) 13:30-14:30 Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive これまでのセッションも こちらから! http://aka.ms/AzureAdWebinar
本日のセッションの内容 Microsoft Intune 概要 Why Microsoft Intune? 導入の進め方 iOS / Android の管理 Windows 10 の管理 導入の進め方 導入シナリオ 展開ブロッカー
Microsoft Intune 概要
Microsoft Intune PC & モバイルデバイス 管理 (MDM) モバイルアプリ 管理 (MAM) 条件付きアクセス LOB App #1 アプリレベルで 会社データを保護 条件付きアクセス ポリシー準拠 保護アプリ メール、Office 365、 他クラウドサービスの アクセス制御(AAD連携)
Intune の特徴 (iOS / Android の管理) MDM で OS を複数管理できる デバイスの状態を把握できる
モバイル利用でよくある要件・要望 クラウド移行に伴い、場所を問わず、ストレスフリーな 会社データへのアクセスを安全なモバイルに許可 クラウド移行に伴い、場所を問わず、ストレスフリーな 会社データへのアクセスを安全なモバイルに許可 モバイル紛失/盗難時の多種多様なケースに対する データ漏洩対策 MSアプリの利用を社給デバイス、BYODに許可し、 利便性、生産性を向上
ビジネスゴール 脅威と対策 Azure AD Intune Office 365 第三者 所有者 盗難 乗っ取り なりすまし 意図的な 操作 ユーザーID デバイス アプリ 脅威と対策 Office 365 第三者 乗っ取り なりすまし 意図的な 操作 所有者 誤操作 盗難 紛失 脱獄 ユーザー 多要素認証(MFA) 条件付きアクセス 準拠したデバイス 承認されたアプリ アプリ保護 ポリシー(Preview) Identity Protection モバイル デバイス 管理 デバイス 制限 デバイス 暗号化 コンプライアンス ポリシー リモート ワイプ 監視レポート モバイル アプリ 管理 アプリ PIN コピー/カット& ペースト制御 データ転送 /受信&保存制御 データ暗号化
Azure Active Directory Office 365 セキュア アクセス Azure AD + Intune 条件付きアクセス (CA)で メール アクセス を セキュアに制御 Intune MDMで デバイス を管理、保護 Intune MAMでOutlook モバイルのデータを保護 Azure Active Directory Exchange Online CA Intune MDM MAM Microsoft Cloud
デバイスの状態を評価して、接続制限 iOS, Android 準拠状態 の 書込みは Intune のみ 準拠 非準拠 Azure AD OR 準拠 ! デバイス 準拠状態 Azure AD デバイス コンプライアンス ポリシー Intune MDM Intune登録済み モバイルデバイス
デバイス ベース の アクセス 制御 +登録制限 認可 Azure AD 登録 Intune OR Azure AD 準拠状態 登録制御 – デバイス固有情報 モバイルデバイス Platform IMEI Serial 社給展開 iOS ✔ Apple DEP, Apple Configurator Android Android Enterprise Fully managed user device Intune登録済み Intune 登録 OR MDM
MAM アプリ保護 ポリシー アクセス要件 会社データのアクセスに 必要な要件を確認 ID – アプリ PIN, Touch ID/Face ID, AAD資格情報 デバイス状態 – 脱獄/ルート化 デバイス環境 – OS, アプリ, SDK バージョン データ転送 会社データの配置操作を 制御 アプリとアプリの間 アプリとサービスの間 複数アカウントの間 カット, コピー, ペースト 連絡先 バックアップ プリント出力 ブラウザ データ保護 会社データを保護 暗号化 セレクティブワイプ 管理者のリモート操作 ユーザーのリモート操作 オフライン猶予期間 マルチ ID 保護の対象は会社アカウントのみ 個人アカウントや管理していないアカウントは保護の対象外
MAM データ 保護 フロー Intune MAM (アプリ保護ポリシー) の構成 コピー/カット/ペーストの制御 名前を付けて保存の制御 アプリPINの要求 データ暗号化 アプリPIN設定、O365アカウントのデータが保護 O365アカウントのメールを開き、メール本文を コピー Jamie Outlook mobileにO365アカウントを追加 OneNote アプリを開く アプリ保護ポリシーが適用されたOneNoteアプリにコピーした本文を貼り付け(成功)
MAM Outlook モバイル の 制御 アプリ起動/再開時のアクセス要件のチェック アプリ間の データ転送 制御 アプリ内のデータ転送の 制御(アカウント間) アプリが管理されたことを 通知
アプリ ベース の アクセス 制御 認可 Azure AD MAM適用 Intune 条件付きアクセス 承認されたアプリは許可 (MS MAM対応アプリ) 認可 OR Azure AD MAMで保護されたアプリは許可 (Preview : Outlook/OneDrive) アプリ保護 ポリシー アプリ構成 ポリシー モバイル アプリ 管理 (MAM) MAM対応アプリ Intune ホームページ ブックマーク ホワイト/ブラックリスト URL AppRedirection MAM適用 MAM
Intune の特徴 (Windows 10 の管理) MDM で OS を複数管理できる デバイスの状態を把握できる
Windows 10 でよくある要件・要望 クラウド移行に伴い、場所を問わず、ストレスフリーな 会社データへのアクセスを安全なモバイルに許可 クラウド移行に伴い、場所を問わず、ストレスフリーな 会社データへのアクセスを安全なモバイルに許可 持ち出し利用 セキュリティポリシーを制御できない(例:グループポリシー) 更新プログラムの適用 (状態の把握、OSバージョンアップの管理 (Feature Updates / Quality Updates)) モバイル紛失/盗難時のデータ漏洩対策 グローバルでのセキュリティレベルの統一 インフラが準備できない拠点の Windows PC 管理(拠点任せ、できてない)
Windows 10 モダン管理 (従来 vs モダン) 社内接続 インターネット接続 従来の管理 モダン管理 Azure Active Directory 認証 自動登録 AAD参加 条件付アクセス MDM エージェント Microsoft Intune デバイス制限 デバイス構成 アプリ管理 リモートワイプ Active Directory Windows Autopilot プロビジョニング Windows Update 更新管理 SCCM /WSUS 認証 グループポリシー ドメイン参加 更新管理 インベントリ アプリ管理 Windows Analytics インベントリ カスタム OSイメージ HWベンダー から出荷 開封、電源ON NW接続 ディスク ワイプ、 イメージ適用 + 応答ファイル Microsoft Defender ATP EDR SCCM エージェント
Azure AD 条件付きアクセスにおける信頼されたデバイス 従来の管理 モダン管理 AD ドメイン参加 MDM ハイブリッド Azure AD 参加 SCCM / Intune 共同管理 AD 参加 Azure AD 登録 同期 Intune Agent SCCM Azure AD 参加 SCCM 管理 Intune Azure AD 参加 MDM Agent SCCM SCCM / Intune 共同管理 Intune 管理 Intune Azure AD MDM 右にいくメリット クラウドですべて完結 個人タグ・会社タグ (区別かのう) 参加 参加 AD Agent SCCM Azure AD 条件付きアクセスにおける信頼されたデバイス
共同管理 (Co-Mgmt) の 主な メリット 条件付きアクセス デバイスの状態に応じたアクセス制御、Intune ポリシー準拠 のデバイスのみアクセスを許可 社給デバイス(デバイス固有情報、ADドメイン参加)のみアクセスを許可 リモートコマンド モバイル紛失/盗難時の リモートワイプ モダン管理への段階的な移行 サーバーインフラの縮小、SCCMワークロード(例:デバイス構成、アプリ配布)を Intune へ段階的に移行
デバイス ベース の アクセス 制御 +登録制限 認可 Azure AD 登録 Intune OR Azure AD 準拠状態 登録制御 – デバイス固有情報 Windows 10 Platform IMEI Serial AutoPilot Co-Mgmt GPO自動登録 Windows10 ✔ Intune登録済み Intune 登録 OR
導入の進め方 (iOS / Android の管理)
iOS, Android の管理 導入シナリオ 例 信頼 モデル 実装 iOS, Android の管理 導入シナリオ 例 MDM乗換え + MAM導入 MAM導入 社内ネットワーク VPN (Intune以外のMDM) MDMなし MAM保護アプリ Intune 以外の MDM + Intune MAM Intune ポリシー準拠 + MAM保護アプリ Intune MDM 移行前 移行後 シナリオ1 シナリオ2 MAM保護アプリ MDMなし 移行後 シナリオ3 新規導入 / BYOD
よくある 展開の ブロッカー VPN の必要性 既存 MDM (Intune以外) の契約が続く アクセス制御 (社給制限) が目的であれば、Intune MDM(条件付きアクセス+デバイス登録制御)へ移行 社内 Web アクセス が必要な際は、Azure AD App Proxy へ移行 既存 MDM (Intune以外) の契約が続く Intune MAM のみ 先行導入で アプリ レベルで 信頼レベルの向上を検討 Office 365 アプリ が利用できることをユーザーに訴求 MAM のみを 導入した時に 社給制限ができない 社給、BYOD 問わず、Intune MAM で 会社データが保護されること を訴求
紛失/盗難時の対応 ロジカルフロー Intune MDM Intune MAM Online No Yes Offline 解除 端末 紛失、盗難 指定回数PIN 入力失敗 Yes 管理者に報告 No Online Online or Offline 端末ロック解除? ローカル フルワイプ 実行 Offline デバイス リモート ワイプ実行 解除 指定回数PIN 入力失敗 30日 (既定) 時間 経過 アプリPIN 解除? ローカル データ ワイプ実行 アプリ リモート ワイプ実行 720分(既定) 90日 (既定) 解除 デバイスを 非準拠と マーク、 メール通知 アプリ起動ブロック アプリ起動 ブロック, サインイン 失敗により データワイプ データ 閲覧可能 個人領域へデータ保存ブロック メール転送はEXO経由のみ(EXOにLogging)
導入の進め方 (Windows 10 の管理)
Windows 10 の管理 導入シナリオ 例 Intune MDM へ移行 Co-Mgmt導入 社内ネットワーク SCCM SCCMなし 信頼 モデル 実装 Windows 10 の管理 導入シナリオ 例 Intune MDM へ移行 Co-Mgmt導入 社内ネットワーク SCCM SCCMなし Intune ポリシー準拠 Intune MDM + SCCM 移行前 移行後 シナリオ1 シナリオ2 MAM(WIP) 保護アプリ MDMなし 移行後 シナリオ3 新規導入 / BYOD
よくある 展開の ブロッカー GPO の移行 ネットワーク 帯域の懸念 更新プログラムの適用状況、マルウェア対策レポート 新しい OS 環境にそもそも必要なポリシーかどうかを確認 (セキュリティベースライン、MMAT) 共同管理で AD の GPO の継続利用も検討 ネットワーク 帯域の懸念 Windows 10 配信の最適化 (Delivery Optimization) の利用で配信の最適化を検討 Windows Update for Business の利用でOSアップデートを段階的に展開 共同管理で 配布ポイント を継続利用も検討 更新プログラムの適用状況、マルウェア対策レポート Windows Analytics, Microsoft Defender ATP の導入を検討 共同管理で SCCMを継続利用も検討
関連情報 詳しくは、こちらをご参考ください。 セキュリティ ベースライン https://docs.microsoft.com/ja-jp/intune/security-baselines MMAT (MDM Migration Analysis Tool) https://github.com/WindowsDeviceManagement/MMAT
まとめ
Intune 導入シナリオ、メリット iOS, Android の管理 Windows 10 の管理 信頼モデル (MDM+MAM, MAM のみ (+Intune 以外のMDM)) の選択 デバイス (MDM)、アプリ (MAM) それぞれのレベルで会社データを保護 条件付きアクセスと連携し、デバイス and / or アプリ レベル で アクセス制御 Windows 10 の管理 Windows 10 の管理モデル (Intune 管理 or 共同管理) の選択 クラウドサービスのみで 場所を問わず Windows 10 を管理 クラウド連携により、条件付きアクセスやリモートコマンドを利用可
Intune 導入シナリオ、メリット Mac OS の管理 条件付きアクセスで、Intune または Jamf 管理のMac OS のアクセス制御 Office 365 Pro Plus 展開 含む MDM による管理
いますぐブックマークに ご登録ください! http://aka.ms/AzureAdWebinar 5/18/2019 いますぐブックマークに ご登録ください! 今後のスケジュール、これまでの録画・資料等がまとまっています 今日の資料もこちらからダウンロードできます http://aka.ms/AzureAdWebinar
Features in Development Intune 担当者がフォローすべき情報ソース What’s New Intune aka.ms/IntuneWhatsNew Features in Development aka.ms/Intune_InDevelopment Office Admin Center aka.ms/o365mc ↓ Intune Tenant Health Dashboard Intune Customer Success blog techcommunity.microsoft.com/t5/Intune-Customer-Success/bg-p/IntuneCustomerSuccess Enterprise Mobility + Security Blog aka.ms/emsblog What’s New Azure AD aka.ms/AzureADwhatsnew GitHub
http://aka.ms/AzureAdWebinar 今後のWebinar予定 日程 (仮) トピック TechReady 23 5/18/2019 9:09 PM 今後のWebinar予定 http://aka.ms/AzureAdWebinar 日程 (仮) トピック 3/7(木) 13:30-14:30 モダンアクセスコントロール実現に向けた戦略策定方法 Enterprise strategy towards modern access control 3/20(水) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編 Azure AD Conditional Access deep dive - How it works 4/4(木) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodology 4/18(木) 13:30-14:30 Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD 5/9 (木) 13:30-14:30 Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune 5/16(木) 13:30-14:30 Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive © 2016 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
5/18/2019 Q & A
終了後、アンケートへのご回答お願いいたします! 今後の Webinar でどんな話を聞きたいか、教えてください。 5/18/2019 ご参加ありがとうございました! 終了後、アンケートへのご回答お願いいたします! 今後の Webinar でどんな話を聞きたいか、教えてください。