Windows Phone から企業ネットワークを活用するためのインフラ設計 V1.0 (2011.9.12)

日本マイクロソフト株式会社エバンジェリスト

IT プロのための Windows Phone ～企業内利用を考える

安納 順一http://blogs.technet.com/junichia/Twitter @junichia

2

本日の内容

• Windows Phone が持つ基本機能を理解しましょう。

• Windows Phone の基本機能をビジネスシーンで生かすためには、

どのようなインフラを準備しておく必要があるのかを理解しましょ

う。

• Windows Phone をもってしても（現時点では）実装できない機能

が存在することを心の隅にとどめましょう。

3

Agenda

1. はじめに2. Windows Phone のビジネス要件3. Windows Phone の基本機能4. 企業利用の全体像5. セキュリティポリシーの設計と管理6. アプリケーションのライフサイクルの設計と管理7. まとめ

4

はじめに

なぜ IT は萌えるのか

萌えるねぇ

究極秘奥義

VLOOKUP!

積みあがるサーバー怪しく光る LED驚異的なケーブルタッピング

新しいテクノロジ

新しいコミュニケーション手段

6

仕事とプライベートの

境界が ...モバイル

技術的なノウハウの

浸透

複数のデバイス

デジタル世代の

参入

急速な変化

時代の変化にシステムは対応できているか ?

7

モバイル ディスクレス パワー ユーザー スタイル優先

ワークスタイルに合わせてデバイスも変化するスマートフォンは共通のデバイス

8

Windows Phone のビジネス要件

9

「ビジネス要件」と対応する機能～基本機能ビジネス要件 実現するための機能、製品

電話 Windows Phone （ KDDI ）

インターネットブラウザー Internet Explorer 9

アドレス帳の管理 People Hub

電子メールの送受信 Outlook mobile （ EAS/POP/IMAP ）

スケジュール / タスク管理 Calendar

ドキュメントの参照と作成 Office Mobile 2010 （ Word, PowerPoint, Excel, OneNote ）

ドキュメントの管理 Office Hub w/ SharePoint Workspace Mobile 2010

デバイスのスクリーンロック PIN （数字、英語大文字、英語小文字、記号）

紛失時の対応 リモートワイプ、リモートロック

マルウェア対策 Marketplace （アプリケーションの認可制）、バックグラウンドアプリの制御、 IE mobile のロックダウン、 Windows Phone の Updateマネージドコード、 Isolated Storage 、 IRM

保存されたデータの保護 Isolated Storage ※ IS12T には SD カードは搭載できないデータの暗号化

10

「ビジネス要件」と対応する機能～アクセス

ビジネス要件 実現するための機能、製品

Wifi Open 、 WEP 、 WPA (PSK 、 ENT) , WPA2 (PSK, ENT)プロキシー設定、プロキシー認証

Bluetooth V2.1 （ 2007 年 3 月公開）、 MS 製ドライバのみ

ネットワーク IPv4WinSockets (UDP, TCP)HTTP / HTTPS （ 128-bit or 256-bit SSL ）

証明書 .cer 、 .p7b 、 .pfx

認証 • Basic 認証 over SSL （ Exchange ）• 証明書ベース認証 over SSL (Exchange)• PEAP-MSCHAPv2 （ Wifi ）• UAG （ SharePoint Workspace Mobile ）• Windows 統合認証

（ IE 、 SharePoint Workspace Mobile 、 Outlook mobile ）

11

「ビジネス要件」と対応する機能～社内との連携ビジネス要件 実現するための機能、製品

認証およびアクセス管理 • Active Directory Domain Service （認証）• Active Directory Rights Management Service （権限管

理）• Active Directory Federation Service （認可）• Active Directory Certification Service （証明書）• Windows Azure AppFabric Access Control Service

セキュリティポリシー管理 Exchange ActiveSync （ EAS ）

デバイスの統合的な構成管理 System Center Configuration Manager 2012 + EAS

ドキュメントの集中管理 SharePoint Server

保護されたメール / ドキュメントの参照

EAS ＋ Information Rights Management （ IRM ）

OS の更新 / セキュリティパッチ Zune

アプリケーションの配布 / 更新 Marketplace （隠し URL ）

社外から社内リソースへのアクセス Forefront UAG ＋ Active Directory

オンラインミーティング Lync Server 2010 ＋ Lync mobile （ 2011/Q4 予定）

12

Windows Phone の基本機能

13

おさえておきたい基本機能

• People Hub• Office Hub• データ同期

14

People Hub

複数の Identity Provider とのつながりを 1 か所に集約できる

365

その他IMAP/POP

Windows Live

Active Directory

CloudDirectory

Office 365

15

アドレス帳

365

Active Directory

CloudDirectory

Office 365その他IMAP/POP

Windows Live

contacts

contacts

16

プロファイルのリンク各 IdP に登録されている個別のユーザー情報を統合

365

写真junichia@gmail.comjunichia@ms.comjuncihia@office365.com自宅の電話番号会社の電話番号所属プライベートの電話番号blog の urlfacebook のアカウント・・

17

ドキュメントノート

Office Hub

保存先

電話

SkyDrive

SharePoint

Office ドキュメント の参照、編集外部ライブラリとの同期

新規作成

18

データの同期の全体像

フォト ドキュメント

Picture Office Hub

Outlook

Calendar

メール添付予定表 予定表ドキュメント タスク

予定一覧 to do

タスク

Music + Video

公開：自分のみ

画像

ドキュメント

ドキ

ュメ

ント

メール添付 予定表 タスク

Hotmail

gmailドキュメント画

像

ドキュメント

Live のみ

19

Windows Phone企業利用の全体像

20

全体像

Lync Server

Hello

SharePoint Server

Exchange Server

Office 365

Active Directory ファミリ

Forefront UAG

2011 年末

Firewall

IT

System CenterConfiguration Manager 2012

2012 年H1

21

社内システムとの連携

社内サービス Windows Phoneクライアントアプリ

利用できる機能

Exchange Server Outlook Mobil 2010 EAS を経由した情報同期・メール・連絡先・カレンダー・タスク

Internet Explorer Outlook Web Access

SharePoint Server 2010SharePoint Foundation Server 2010

SharePoint Workspace mobile 2010

• お知らせ（参照）• タスク（参照）• リンク（参照）• ライブラリ（編集、保存、アップロード）

SharePoint Server Internet Explorer SharePoint 全体ただし、ファイルのアップロードは不可

IRM

IRM

22

Active Directory ファミリ

AD DS

AD RMS

• ID とパスワード• ユーザーの各種属性• グループ

• ドキュメントやメールの暗号化と使用権限の権限管理

• IRM の実装に必須

AD FS

• サービスを使用するためのセキュリティトークンを発行する

• SharePoint の認可に使われる

23

社外から Exchange Server へのアクセス

AD DS

AD RMS

リバースプロキシ

Exchange Server

EAS over https

認証

権限取得

EAS が暗号解読

Windows Phone は リバースプロキシ を介して Exchange ActiveSync と通信IRM メールを使用する場合には AD RMS を構成する

outlook mobile

（クライアントアクセスサーバー）

24

社外から SharePoint Server にアクセス

AD DS

UAG

SharePoint Server 2010

社内 SharePoint Server への接続には VPN 接続が必須SharePoint Workspace Mobile でサポートされているのは Forefront UAG のみ

認証

VPN

AD RMS権限取得

25

使用可能なアクセス制御方式接続先 アクセス制御方法 モバイル版

IE9デスクトップ版 IE9

SharePoint WS Mobile

SharePoint Server

Windows 認証 Kerberos

○ ○ ○

Windows 認証 NTLM ○ ○ ○

Passive Web フェデレーション + AD FS

○ ○ ○

Office 365 Windows 認証 ○ ○ ○

Passive Web フェデレーション ＋ AD FS

○ ○ ○

26

Windows Phone エミュレーター

Windows Phone 実機が無くても動作確認が可能• Internet Explorer 9• 自作アプリケーション

サポートしている OS• Windows Vista / 7

インストールは WebPI が便利• http://www.microsoft.com/web/downloads/

platform.aspx• 「 Windows Phone SDK 7.1(RC) 」を選択して [ イ

ンストール ]

27

セキュリティポリシーの設計と管理

28

セキュリティポリシーは EAS 経由で適用される

企業ネットワーク

リバースプロキシ

Exchange Server（ Client Access

Server ）

Exchange ActiveSync

AD DS

セキュリティポリシー

EAS : Exchange ActiveSync

29

• データ同期 メール、添付ファイル、会議、連絡先（ Contacts ）

• デバイスアクセスルールの適用 アクセス可能な機種の限定 検疫

• デバイスポリシーの適用 スマートフォンのパスワード（ PIN ）設定を強制 パスワードの複雑さ 　等

• リモートワイプ

Exchange ActiveSync とは• Exchange Server の クライアントアクセスサーバー役割に実装された同

期プロトコル（最新は v14.1 ）• スマートフォン等のモバイルデバイスで電子メール等を受け取れる

• Windows Mobile, Windows Phone, iPhone, Android など

Exchange Server（ Client Access Server ）

EAS

30

Enterprise ActiveSync がサポートしている機能EAS の機能 Exchange Server 2003 Exchange Server 2007 Exchange Server 2010

ダイレクトプッシュ X X X

Email 同期 X X X

カレンダー同期 X X X

連絡先（ Contacts ）同期 X X X

リモートワイプ X X X

複数のフォルダー同期 X X X

128-bit SSL 暗号化通信 X X X

ユーザー自身によるリモートワイプ   X X

HTML E-mail   X X

Global Account List 検索 X* X X

Follow-up Flags   X X

会議の出席者情報   X X

自動検出機能   X X

大域幅の最適化   X X

Reply State     XNickname Cache     X

許可 / ブロック /検疫リストの管理     X

添付ファイルのダウンロード     X

256-bit SSL 暗号化通信     X

メールのサーバー検索 X

IRM で保護された E-mail X**

* Windows Phone 7 March Update 以降が必須 ** Exchange Server 2010 SP1 画必須

31

WP が Exchange を利用できるようになるまでの流れ

EASデバイス

アクセスルール

EASデバイスポリシー

• アクセス 許可 拒否 検疫

• PIN 必須• PIN 有効期限• PIN の複雑性

など

セキュリティポリシー

32

EAS デバイスアクセスルール（ ABQ リストの管理）

特定の機種に対してアクセスの 許可 / ブロック /検疫 を実施するためのルール

ABQ = Allow/Block/Quarantine

特定のデバイ

スその他

Rule

ポリシー無し

ブロック

許可

検疫

Rule

ブロック

許可

検疫

ポリシー無し

管理者が手動で設定

管理者が手動で設定

33

デバイスアクセスルール を PowerShell から設定

New-ActiveSyncDeviceAccessRule -AccessLevel <Allow | Block | Quarantine> -Characteristic <DeviceType | DeviceModel> -QueryString <String>

http://technet.microsoft.com/ja-jp/library/dd876923.aspx

Set-ActiveSyncDeviceAccessRule -Identity <ActiveSyncDeviceAccessRuleIdParameter> [-AccessLevel <Allow | Block | Quarantine]

Get-ActiveSyncDeviceAccessRule [-Identity <ActiveSyncDeviceAccessRuleIdParameter>]

34

Windows Phone 7.5 で有効な EAS セキュリティポリシーEAS Policy: Exchange 2003

SP2 Exchange 2007

（ BPOS ） Exchange 2010（ Office 365 ）

パスワードを要求する Yes Yes Yes

パスワードの有効期限（日） No Yes Yes

パスワードリサイクルカウント No Yes Yes

簡易パスワードを許可 No Yes Yes

パスワードの最小桁数 No Yes Yes

アイドル状態になってからログオンが要求されるまでの時間 ( 分 )

No Yes Yes

デバイスをワイプする前にサインインに失敗した回数 No Yes Yes

英数字のパスワードが必要 No Yes Yes

パスワードに含めなければならない文字セットの数 No Yes Yes

35

もっとも厳しいポリシーはこんなかんじ

英数記号のパスワード必須

英小文字 / 英大文字 / 数字 / 記号 すべてを含む

最低 16 文字（最長）

パスワードの入力に 4回失敗したら強制ワイプ

アイドル状態から 1 分後にロック

パスワードは毎日変更

50回前までのパスワードは使用できない

36

その他の EAS ポリシーについて（ Exchange 2010 ）ポリシー 規定の設定値

リムーバブル記憶域を許可する False (Windows Phone はリムーバブル記憶域を未サポート）

赤外線を許可する False (Windows Phone は赤外線機能を未サポート ).

リモートデスクトップを許可する False (Windows Phone 7 はリモートデスクトップを未サポート ).

カメラを許可する （調査中）

Bluetooth を許可する （調査中）

インターネット共有を許可する False (Windows Phone 7 はテザリングを未サポート ).

パスワードの回復を有効にする （調査中）

メモリカードでの暗号化を要求する FALSE (Windows Phone では リムーバブル記憶域の暗号化を未サポート）

デバイスでの暗号化を要求する FALSE (Windows Phone では デバイスの暗号化を未サポート）

HTML 形式の電子メールを許可する TRUE (Windows Phone は常に HTML メールを使用する。ただし、テキスト形式のメールを受け取ることは可能）

ローミング時に手動の同期を必要とする TRUE ( 利用者が自身で設定可能 ).

これらのポリシーを完全にはサポートしていないデバイスの同期を許可する

True（ Windows Phone を使用する場合にはこのポリシーを True にしておくこと）

37

System Center Configuration Manager 2012※2012 年 H1

• 企業内デバイスの統合的な構成管理• Mobile Device Manager を統合

• デバイスセキュリティポリシーの統合管理

38

ソフトウェアのライフサイクル

39

インストール

Windows Phone

Marketplace

.xap

.dll

実行

• Windows Phone には Marketplace によって署名された .xap パッケージのみがインストール可能

• アプリケーションの更新は Marketplace タイルに通知される• 利用者がインストール / 更新 /削除を判断して実施

.xap

.dll

開発者

インストール

40

アップデート

Windows Phone Marketplace

アプリUpdates

Marketplace を介してアプリケーションをアップデート

プリインストールされているアプリケーション

ISVUpdates

マーケットプレースを介して購入したアプリケーション

Windows Phone Update OS

Updates

Zune ソフトウェアを経由して更新ファイルを配布

MicrosoftUpdates

マイクロソフト製のアプリケーション OS のコア機能 バグ / セキュリティ 修正

OEMUpdates

ファイル、データベース、ドライバー、レジストリ など

OEMUpdates

41

まとめ

42

まとめ

• フレキシブルなワークスタイルを手に入れましょう

• Forefront UAG が肝です

• 現時点でできないことがあります e.g. ソフトウェアの構成管理

• Windows Phone は個人で持っても楽しいデバイスです

43

みんな大好き！ Windows デバイス

スマートフォン から クラウドまで

そして ...

44

つながり、軽快、ココチいい