View
469
Download
0
Category
Preview:
Citation preview
ここまで使える Office365MDM機能亀川 周作
謝辞・おことわり• 本内容を作成するにあたり、日本マイクロソフト Microsoft Intune 担当チーム、その
他サポートチームの皆様に多大なご協力を頂きました。この場をお借りしてお礼を申し上げます。
• また本内容は、実体験を基にしたネタであり、筆者本人の業務には「もしかすると」何ら関係のない場合もあります。このため内容に偏りがあるところもありますが、ご容赦ください。
.NET ラボ 201511
自己紹介• 職業
• 元社内 SE• どこにでも転がっていそうな”元”隙間エンジニア
• 趣味• お気楽な自分のためだけのプログラミング・アプリケーション開発• 気ままな写真撮影• ごく稀に創作料理
.NET ラボ 201511
本日のターゲット• Office365 を利用している ( 検討中 ) 企業のひとり情シス• Office365 を利用している ( 検討中 ) 企業で予算の都合で MDM が導入できそうにない
システム管理者• Office365 を利用している ( 検討中 ) の企業で BYOD を試してみたいシステム管理者• Office365 を利用していて、様々な OS のデバイスを沢山持っていて、管理するのが面
倒になっている方
.NET ラボ 201511
そもそも MDM ってナニよ• MDM とは• Mobile Device Management (System)
日本語では携帯端末管理とも言われる。スマートフォンと言われる Android/iOS/Windows 端末など、パソコンと同様な汎用性を持つことからパソコンと同様に、情報セキュリティの観点から管理を行う必要性が増してきたため、それを実現するソフトウェア製品をさす。 ( 一部 Wikipedia 調べ )最近ではパソコンもまとめて管理するようになってきています。
.NET ラボ 201511 ※ 要は情報・端末を両方管理しちゃおうっていう仕組みの略語ですね
利用イメージ
.NET ラボ 201511
Mail/File/DB…
場所を選ばず O365/App 内へ保存された Data へアクセスローカルへ保存不可 O365 内へ保存された Data へアクセスローカルへ保存可
Windows iOS Android Windows MobileO365 の中でポリシーを作成し、各データへのアクセスレベルを「ある程度」コントロールする事が可能。必要に応じてサードパーティ製サービス等で補完
本日の内容で必要なもの• Office365 サービス ( 以降 O365 と略 )
• サービス内容によっては MDM 機能に対応していないものもあります。現在契約している O365 のサービスがこの機能に対応しているのか分からない場合は、 Microsoft Office365 のサポートへ問い合わせると調べて頂けます。
• O365 の管理者アカウント• 管理する作業なので、当たり前と言っちゃ当たり前ですが。
• Apple ID (iOS 端末を管理する場合 )• 普通に自分の iOS 端末で利用している Apple ID でも問題ない。 ( 個人 User)• 企業で利用する場合、担当者が後退しても継続利用が可能な管理者アカウント• 企業内でインハウスアプリ ( 社内にのみ配布するアプリケーション ) を活用する予定がある場合は、通常の Apple
ID ではなく、開発者ライセンス契約 (Apple Developer Enterprise Program) のアカウントの方が必要になるので注意 ( インハウスアプリの配布には Intune の導入が必要 )
.NET ラボ 201511
本日の流れ• Office365 管理センターでのモバイル管理機能の有効化
• MDM を利用するためのドメイン設定• iOS デバイス用 APNs証明書の発行・設定• モバイル管理 ( サービス ) を適用したいアクセス権グループの作成• デバイスセキュリティポリシーの作成 ( プロファイルの作成 )
• iOS デバイスへ Microsoft Office 関連 App の導入• Office 関連 App のログイン /MDM適用• MDM 機能を適用 / 実施した場合のデモ
.NET ラボ 201511
MDM(モバイル管理 ) 機能の有効化• モバイル管理が有効化されているか確認する
• Office365 管理センター画面の左ペインに「モバイル管理」という項目が表示されていれば設定さえすれば利用可能です。( 現在はほとんど利用可能状態になっているはずです )
• モバイル管理が表示されていない場合• サービス設定 -> 更新 -> 新機能と更新プログラム
ここで「先行リリース」を選択して有効化されるのをしばらく待つ• 1〜 2 日しても「モバイル管理」が表示されない場合はサポートセンター
へ尋ねてみた方が良いかもしれません。O365 の契約プランが古い場合など、 MDM 機能に対応していない場合があります。.NET ラボ 201511
O365画面
ココで管理
利用ドメインの設定• MDM 機能の中で O365 を利用する場合、特に別
のドメインを利用する必要がない場合は、ここでドメインの設定を実施する必要はありません。ただし、 MDM 用のドメインを別に設定したい場合は「 MDM 用ドメインの構成」を実施する必要があるので注意してください。
.NET ラボ 201511
そのまま 0365 ドメインが利用可能な場合は、 Green のチェックマークになっている。!マークの場合は設定がおかしいか独自ドメインの設定が必要なので注意。
O365画面
APNs証明書の発行・設定 (CSR ファイルの作成 )
• iOS デバイス用 APN証明書の構成• 右側の「セットアップ」を選択• 証明書署名要求のダウンロードで CSR(証明証
要求 ) ファイルをダウンロードします。( ファイル名例: AppleCertRequest.csr)このあとここでダウンロードした CSR ファイルはすぐに使用するので、どこに保存したのか忘れないようにしてください。
.NET ラボ 201511
O365画面
ここから iOS デバイス用 APNs証明書をセットアップします
APNs証明書の発行・設定 (APCP へのログイン )
.NET ラボ 201511
O365画面
• O365画面の左下に APCP へのリンクが表示されているので、選択します。 APCP での作業が終わった後、 O365 に戻って続けて作業を実施するので、ログアウトしないでください。
• APCP(Apple Push Certificates Portal) へ Apple IDでログインします。 (Link)企業で利用する場合の Apple ID は、管理者が変わっても継続して利用可能な Apple ID( メールアドレス )である方が運用上の問題が減ります。
APNs証明書の発行・設定 (APCP での作業 1)
• ログインして Get Started画面が表示されたら「 Create a Certificate 」ボタンをクリックします。
• 利用条件等の同意を求められた場合は承諾する
• 次に画面左下の「ファイルの選択」ボタンを押下しファイルをアップロードします。
.NET ラボ 201511
APCP画面
※APCP とは:無料で利用出来る Apple 社の提供する証明書発行サイト
APNs証明書の発行・設定 (APCP での作業 2)
• 証明書が生成されるのでここで「 Download 」ボタンを押下し、証明書ファイル( ファイル名: MDM_ Microsoft Corporation_Certificate.pem) をダウンロードします。
• このあとこの証明書ファイルを O365側ですぐに使用するので、どこに保存したか忘れないようにしてください。
• ダウンロードが完了したら、 APCP での作業は終了です。
.NET ラボ 201511
APCP画面
APNs証明書の発行・設定 (証明書ファイルのアップロード )
.NET ラボ 201511
• APCP で発行した APNs証明書ファイルを O365へアップロードします。
O365画面
APNs証明書の発行・設定 (APNs設定の完了 )
• 正常に APNs証明書ファイル(pem ファイル ) のアップロードが完了すると、完了ボタンが表示されます。ここで「完了」ボタンを押下して下さい。
.NET ラボ 201511
O365画面
セキュリティポリシーの作成 ( セットアップの開始 )
• 注意点 / 前提条件• デバイスセキュリティポリシーを作成後、適
用する際に必要となるグループは「セキュリティグループ」にひとつ以上のグループが必要になります。このため、セキュリティグループにグループを作成していない場合は、あらかじめ作成しておいた方がスムーズに作業が進みます。
• セキュリティグループ内に MDM を設定したいアカウントを含めておくことも忘れないように。.NET ラボ 201511
デバイスセキュリティポリシーの管理をセットアップします
O365画面
セキュリティポリシーの作成 ( ポリシーの追加 )
• 「コンプライアンスセンター」の左ペイン「デバイス管理」を選択すると、画面下にポリシーのリスト画面が表示されます。ここで「+」を選択します。
.NET ラボ 201511
ポリシーを作成する場合は「+」を選択します。
O365画面
セキュリティポリシーの作成 ( ポリシー名の決定 )
• セキュリティポリシーはグループ毎に複数作成することが考えられます。このため、後でわかりやすくなるように注意しましょう。説明文についても後で分かりやすいように記載しておいた方が良いです。特にポリシー毎にドキュメントを残すような余裕がない場合は管理者自身のドキュメントとなる場合もあるため、手を抜かずに記載しておきましょう。.NET ラボ 201511
必要事項を入力したら「次へ」を選択します。
O365画面
セキュリティポリシーの作成 ( ポリシー内容の作成 )
• 通常、 iOS 端末のセキュリティポリシーは OS X( 通称Mac) で作成する場合が一般的ですが、企業内に Mac がない場合でも、 O365 で簡単なポリシーを作成することが可能です。
• 管理するグループの事情に合わせてポリシーを作成して下さい。
.NET ラボ 201511
O365画面
セキュリティポリシーの作成 ( 内容の確認と適用 )
• ポリシー作成後、保存前に再度内容が表示されます。ここで作成したポリシー名 /説明 /設定内容をよく確認し、間違いがなければ「保存」ボタンを押下します。
.NET ラボ 201511
ポリシー名記載した説明文
設定したセキュリティポリシーの内容がリスト化されてここに表示されますので、間違いがないか確認します。
O365画面
セキュリティポリシーの展開 ( セキュリティグループへの適用 1)
• 作成したポリシイーをすぐに適用したい場合は、ここで「はい」ボタンを選択します。
• 次に、ポリシーを適用したいセキュリティグループを選択します。
.NET ラボ 201511
O365画面
セキュリティポリシーの展開 ( セキュリティグループへの適用 2)
• 既に作成してあるセキュリティグループの名称を検索して追加します。
• セキュリティグループがどんなものなのかがわからない方は、 Windows Server の基礎的な部分を少しおさらいする必要があります。
.NET ラボ 201511
ここにグループ名称を入力して検索する。検索能力はあまり高くないようなので、ある程度正確に入力する必要があるようです。
ここに登録されれば適用可能になります。
最後に「 OK 」ボタンを押下すれば完了。
O365画面
iOS 端末への設定• 前提条件
• iOS 端末への Microsoft Office 関連 App はインストール済み• iOS 端末で利用可能な O365 アカウントがあること
.NET ラボ 201511
※ここでは iOS に関する細かい説明は理解していることを前提としています。iOS 端末のアカウントに関する内容、 iTunes/App Store 等を理解できていない方は、まずそちらを理解しましょう。
OneDrive のアカウント設定 1
• OneDrive for Business と OneDrive について• OneDrive がマルチアカウント対応になり、無料
アカウント /O365 アカウントのどちらもOneDrive だけで利用可能となりました。このため、 OneDrive for Business をインストールする必要はありません。
• OneDrive を起動し、 O365 アカウントを追加します。
.NET ラボ 201511
iOS画面
OneDrive のアカウント設定 2
• 既に無料アカウントを設定している場合は「 OneDrove for Business を設定」を選択します。
• 次に、 O365 のアカウントとパスワードを入力し「サインイン」ボタンを押下します。
.NET ラボ 201511
iOS画面
OneDrive のアカウント設定 3
• O365側で MDM を設定している場合、デバイスの登録を求めてきます。
• 画面のアナウンスに沿って「登録」を進めていきます。
• Intune Company Portalの認証画面が表示された場合 O365 のアカウント情報で認証して下さい。
.NET ラボ 201511
iOS画面
OneDrive のアカウント設定 4
• デバイスの登録画面が表示されたら画面右上の「登録」をタップします。
• 自動的に Safari が表示され、そこでデバイス登録の画面が表示されます。
.NET ラボ 201511
登録をタップ
iOS画面
iOS への MDM プロファイルインストール 1
• ここから画面が切り替わり、 O365 で設定した MDM プロファイルのインストール画面になります。
• パスコード入力を求めてきた場合は、 iOS デバイスのロック解除パスコードを入力して下さい。
• そのまま画面の指示に従ってインストール作業を進めていきます。.NET ラボ 201511
iOS画面
iOS への MDM プロファイルインストール 2
• プロファイルをインストールする際に、リモート管理を信頼するか確認してくるので「信頼」をタップします。
• O365側の MDM設定が正常に完了していない場合は、この前後でインストールを失敗しますので、その際は O365側の設定内容を見直してみましょう。
.NET ラボ 201511 正常に設定が完了するとデバイスが表示されて利用可能になります。
iOS画面
MDM の正体 ( プロファイルの確認方法 1)
• インストールされた MDM のプロファイルは次の手順で確認することが可能です。• ホーム画面で「設定」をタッ
プ• 「一般」をタップ• 「プロファイルとデバイス管
理」をタップ
.NET ラボ 201511
iOS画面
MDM の正体 ( プロファイルの確認方法 2)
• プロファイルとデバイス管理の画面には、 MDM用だけでなく、その端末にインストールされた他のプロファイルもあります。
• 例: Softbank 一括設定その他、企業や各家庭のWi-Fi設定プロファイルなど.NET ラボ 201511
他のプロファイル
MDM のプロファイル
削除する場合はここをタップします。
iOS画面
O365 のおもなモバイル管理機能• デバイスの状態確認
• 管理下に置かれているか否か• デバイスの機種• プラットフォーム• OS バージョン
• ワイプ• フルワイプ ( 本体全てのデータ消去 )• 選択的ワイプ (Office App 内のデータのみ消去 )
.NET ラボ 201511
O365 による端末 / データのワイプ 1
• O365 にログインします。• O365 管理センターの左ペ
インで「モバイル管理」を選択します。
• MDM側からリモート操作を実施したい端末を選択します。
• リモート操作 (ワイプ ) を選択します。
.NET ラボ 201511
O365画面
O365 による端末 / データのワイプ 2
• リモート操作実施の警告ウィンドウが表示されるので、間違いなければ「はい」ボタンを押下します。
• ワイプの指示が端末側へ届くとO365 にアクセスしたタイミングでワイプが実行されて App内の O365領域へのアクセスができなくなります。(適用されるまでの時間は電波状況によります。 )
.NET ラボ 201511
O365画面
DEMO.NET ラボ 201511
機能は限定的だが結構使える• 個人的な感想
• MDM の予算までとれない場合でも、 O365 だけでセキュリティ面の向上を図れそう。• 選択的ワイプを使用することで、退職した社員のファイルを遠隔でアクセス不可にできる。
• 簡易的な BYOD への可能性が広がる• User 個人の端末内データをイジることなく企業内ファイルのみワイプが可能だから逆に
BYOD へ適用させやすいと思われる。• 端末利用者の電話帳と企業活動で必要な電話帳を分けることが可能。
• 企業活動で必要な連絡先情報は O365 内に閉じ込めることができる。• 企業で貸与した端末を社員が自由に使用出来る範囲が広がりそう。
• 時々勝手にログアウトしてしまうので、少し動きが不安定?.NET ラボ 201511
今回参考にさせていただいたサイト• Japan Microsoft Intune Support Team ( 日本マイクロソフト Microsoft Intune 担当チームのブロ
グ )• Office365 のモバイルデバイス管理機能のご紹介 第 1回
http://blogs.technet.com/b/jpintune/archive/2015/06/25/office-365-1.aspx• Always on the clock(株式会社ソフィアネットワーク国井傑さんの blog)
• Office365 によるモバイルデバイス管理 (MDM)http://azuread.net/2015/06/08/office-365 によるモバイルデバイス管理 mdm/
• Wikipedia• Mobile Device Management
https://ja.wikipedia.org/wiki/Mobile_Device_Management
.NET ラボ 201511
EOF.NET ラボ 201511
Recommended