組織で利用する iOS/iPadOS デバイスを Microsoft Intune で管理する
iPhone や iPad、Android などのモバイルデバイスでメールやデータを利用している組織も多いと思いますが、それらモバイルデバイスの脆弱性管理や機能利用制限などのセキュリティ対策は行われていますか?
モバイルデバイスの紛失や盗難、不正な持ち出しなどにより情報漏洩につながるトラブルを防ぐためにも、デバイス OS の脆弱性および保存されているコンテンツを IT 管理者は常に管理、監視しておく必要があります。
モバイルデバイスで必要なセキュリティ対策
モバイルデバイスから組織のデータを利用する場合は、会社支給・個人所有に関わらず、情報漏洩のセキュリティ対策が必須であり、特に以下の対応が必要です。
- デバイス管理
組織のデータにアクセスするデバイスの OS のバージョン管理やディスク暗号化、脱獄検知など、デバイスの脆弱性や改造行為への対策 - デバイスの操作制御
カメラやスクリーンショットの禁止やデバイスロック解除時のパスコードを必須にするなど、デバイスの操作を制御し、デバイスのセキュリティを強固にする対策 - アプリデータ管理
組織データをコピーし、個人用アプリへの張り付けを禁止にすることで組織のデータの漏洩を防止したりするなどで、アプリからの組織データの漏洩防止対策
これらのセキュリティ対策は Microsoft 365 に含まれる Microsoft Intune で実現できます。iOS/iPadOS・Android を組織のデバイスとして管理し、デバイスやアプリに対してセキュリティ対策も行うことができます。
Intune は Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Intune を追加契約することで利用できます
Intune で iOS/iPadOS デバイスを管理する
iOS/iPadOS デバイスのセキュリティ対策として最初に行うことは、Intune に管理デバイスを登録することです。登録方法は、2 種類あります。
- ユーザーが Intune ポータルサイトアプリを利用して、Intune にデバイス登録する。
- 管理者または iOS/iPadOS 販売店に依頼し、Apple Business Manager (ABM) にデバイスを登録を行い、ABM と Intune と関連付けする。
Apple Business Manager (ABM) とは
Apple が提供しているサービスで、iOS/iPadOS や Mac などの Apple 製デバイスの管理や配布アプリの管理などが行えます。Intune と Apple Business Manager (ABM) を連携させることで、ABM で管理されているデバイスを Intune でも管理することが可能になります。また、Apple ID が登録されていない iOS/iPadOS デバイスにも、アプリの自動インストールが可能です。
【ABM 画面】
今回は、ユーザーが Intune アプリを利用したデバイス登録方法を解説します。
※ ABM を利用したデバイスの登録およびアプリの自動インストール方法は、別記事で紹介します。
ユーザーがデバイス登録を行えるにようにするためには、管理者が Intune に Apple MDM プッシュ証明書を登録する必要があります。Apple MDM プッシュ証明書とは、管理対象となる iOS/iPadOS デバイスと Intune が通信を行うために必要な証明書です。また Apple MDM プッシュ証明書の入手には Apple ID が必要です。 Apple ID は Intune で利用する ID となるため、個人のメールアドレスで取得せずに、組織のグループや共有アカウントのメールアドレスで取得し、管理してください。
- Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com/) を開き、[デバイス] – [デバイスの登録] をクリックします。
- [Apple 登録] – [Apple MDM プッシュ通知証明書] をクリックします。
- [同意する。] にチェックを入れ、 [CSR のダウンロード] をクリックします。そして、[MDM プッシュ証明書を作成する] をクリックします。
- Apple のプッシュ証明書ポータルが開くので、事前に取得していた組織の Apple ID でサインインします。
- [Create a Certificate] をクリックします。
- [I have read and agree to these terms and conditions.] にチェックを入れ、[Accept] をクリックします。
- [参照] をクリックし、手順 4 でダウンロードした 「IntuneCSR.csr」 ファイルを選択します。そして、[Upload] をクリックします。
- MDM プッシュ通知証明書が作成できました。[Manage Certificate] をクリックしてください。
- [Download] をクリックし、MDM プッシュ通知証明書 (MDM_ Microsoft Corporation_Certificate.pem) をダウンロードしてください。
- Microsoft Endpoint Manger Admin center 画面で Apple MDM プッシュ通知証明書のサイトにサインした組織の Apple ID を入力し、ダウンロードした 「MDM_ Microsoft Corporation_Certificate.pem」 ファイルを Apple MDM プッシュ通知証明書として参照します。最後に、[アップロード] をクリックします。
MDM プッシュ通知証明書が登録できました。これで、ユーザーが iOS/iPadOS デバイスを登録することができます。
MDM プッシュ証明書の有効期限は、1 年です。有効期限切れ前に手順 4 以降を行ってください。MDM プッシュ証明書の有効期限が更新されます。
Intune に iOS/iPadOS デバイス登録する
iOS/iPadOS デバイスを Intune に登録するには、ユーザーが Microsoft Intune ポータルサイト アプリを利用し、設定を行う必要があります。
Intune ポータルサイト アプリのインストールは、App Store から行います。
Intune ポータルサイト アプリにサインインすると、設定画面が表示されるので、画面の説明に従い、作業を進めます (登録中、自動的にデバイスの暗号化が行われます)。
設定作業が完了すると、Intune に iOS/iPadOS デバイスが表示されます。
まとめ
今回のデバイス登録は、モバイルデバイスのセキュリティ対策として事前準備の状態です。続いてデバイスの操作制御やアプリのデータ保護を行う必要がありますが、それらの方法については次回以降の記事にてご紹介します!
Microsoft 365 管理者向けコース
- CI520-O 今からはじめる Azure AD 基礎
Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。 - CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。 - CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。 - CI532-H EMS で実現するクラウド IT インフラ管理
企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。 - CI535-H Microsoft 365 を利用したインシデント対応
Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。 - CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。
オンライン コースも提供中!