Office 365によるモバイルデバイス管理(MDM)

皆さんこんにちは。国井です。

突然ですが、
「会社の中で、特定のデバイスからのみ社内のアプリケーションへアクセスを許可したい場合、どのような方法で実現しますか?」
という質問を受けた場合、人によって様々な回答が出てくると思いますが、いずれにしても、ぱっと回答を出せると思います。

では、「特定のデバイスからのみクラウドのアプリへのアクセスを許可したい場合、どのような方法で実現しますか?」
と言われたら、いかがですか?少し考えてしまうと思います。

オンプレミスからクラウドへのシフトが起きている中で、私たちが直面している問題のひとつとして、Active Directoryドメインの外にあるリソースへのアクセス制御をどうやって実現するか?というのがあります。

特定のモバイルデバイスだけにクラウドのサービスを利用させる方法については
このブログの中でも、ADFSやAzure ADを使ったデバイス認証による実現方法を
紹介してきましたし、このブログの中でも紹介させていただいた、
クラウド時代の Active Directory 次の一手シリーズの中でも実現方法のひとつを紹介しています。(以下の資料はクラウド時代のActive Directory 次の一手シリーズより。資料は上記サイトよりダウンロード可能です。)

image

一方、最近ではMicrosoft Intuneを利用して、会社のポリシーを定義し、
ポリシーに準拠するデバイスだけがExchange ActiveSyncの接続を許可するという接続制限の方法などもあります。
(これについてはMicrosoft Intune評価ガイドに書いてありますので、
そちらを参考にしてください。)

こうしたモバイルデバイスに対する適切な接続だけを許可する方法が増えている中で、
今度はOffice365のモバイルデバイス管理(MDM)機能というのが登場しましたので、
少し使ってみたいと思います。

Office365 MDM機能は、Exchange ActiveSyncに接続するモバイルデバイスに対して、
あらかじめOffice365で設定した条件を満たすデバイスだけが接続できるように
接続制御する
もので、Microsoft Intuneで提供する接続制御機能(条件付きアクセス機能)の
簡易版という位置づけのようです。

実際に設定をしながら、その特徴を確認してみます。

設定1 MDMの有効化

Office365でMDM機能を有効化します。
2015年5月現在では、プレビュー?の機能として提供しているので、
Office365からプレビューの機能を利用できるように設定し、MDMの機能を有効化します。
設定はOffice365管理センターの[サービス設定]-[更新]から先行リリースを有効にします。

365MDM0

すると、Office365管理センターの画面に[モバイルデバイス]という項目が表示されて
MDM機能の初期設定を始められます。

365MDM1

設定2 APN証明書の実装

APN証明書とはAppleから発行されるモバイルデバイス管理のために必要な証明書で、
iOSデバイスをMDMで管理するのであれば、最初に実装する必要があります。

設定は[モバイルデバイス]画面の[設定]から登録します。
登録自体はウィザードに沿って進めていけば完了です。
(Apple のサイトからAPN証明書の取得方法については
SCCM 2012 SP1からWindows Intuneテナントの管理でも紹介しているので
参考してください。あと、登録にはApple IDが必要です。)
image

また、APN証明書は1年間有効なので、期限切れにならないように
定期的に同じ手順を繰り返して証明書を再登録してください。

設定3 ポリシーの作成

続いてモバイルデバイスの接続条件をポリシーとして設定します。
設定は[モバイルデバイス]画面の[デバイスのセキュリティポリシーおよびアクセスルールの管理]からアクセスし、

image

Compliance Center画面のプラスボタンをクリックして、ポリシー作成を始めます。
(なぜか、ここから英語)

image

ポリシーの作成画面は以下のとおりです。

365MDM4

この画面では、パスワードポリシーの設定を定義しています。
同じような設定はExchange ActiveSyncの設定でもできますが、
JailBreakデバイスの接続制限などはExchange ActiveSyncにはないですね。
(ちなみにデフォルト設定からは[Prevent simple passwords]にチェックをつけて、
複雑なパスワードを強制するように構成してみました)

365MDM5

こちらはパスワード以外のデバイス設定。
クラウドバックアップのブロックや、アプリストアへのアクセス制限などがあります。

365MDM6

この画面では、ポリシーの適用対象を指定しています。
対象の指定はOffice365のグループです。
グループのメンバーとなるユーザーがサインインしたときに
ポリシーに基づくアクセス制御が行われます。
(ユーザーやデバイス単位の指定はできません!)

365MDM7

365MDM8

ポリシーの作成が完了すると、Compliance Center画面に作成したポリシーが表示されます。

365MDM9

設定4 モバイルデバイスの設定

設定3までが完了した状態で、実際にメールボックスにアクセスすると、
条件を満たしていないデバイスの場合、接続が制限されていることを示すメールだけが受信できる状態になります。

20150607_052301000_iOS

受信したメールには、メールを受信できるようにするためのガイダンスが示されており、
そのガイダンスに従って、モバイルデバイスをOffice365に登録します。

最初に行うことはデバイスの登録です。
[1.デバイスを登録]のリンクをクリックすると、デバイス登録画面に移行します。
デバイス登録はMicrosoft Intuneポータルアプリを使うので、
インストールされていない場合、自動的にインストールを促す画面へ、
既にインストールされている場合は、Intuneポータルアプリへ、それぞれ画面推移します。
(ちなみにアプリはiOS用とAndroid用があります)
Intuneポータルアプリでサインインを済ませると、プロファイルをインストールするメッセージが表示されるので、画面の指示に従い、プロファイルのインストールを行います。
インストールが完了すると、アプリまたはブラウザー画面から登録されたデバイスの情報が確認できます。
(LSというのは私のiPhoneのデバイス名です。デフォルトだと●●のiPhoneって表示される名前ですね)

20150607_052309000_iOS20150607_053422000_iOS

20150607_053433000_iOS 20150607_053444000_iOS

image

プロファイルのインストールが完了したら、続いてメールのリンクから
[2.このデバイスが準拠しているかどうかを確認するにはここを確認します]をクリックし、ポリシーへの対応状況を確認します。

20150607_053411000_iOS

ポリシーへの対応状況の確認は、リンクをクリックして行う方法のほか、

imageimage

Intuneポータルアプリを起動し、デバイス名をクリックして確認することもできます。
([同期]をクリックすると準拠状況を確認します)

image image

準拠していることが確認できたら、メールのリンクから
[3.メールをアクティブにするにはここをクリックします]をクリックします。
すると、メールボックスへのアクセス制限が解除され、Exchange ActiveSync経由での
メールボックスへのアクセスができるようになります。

この方法によってOffice365のMDMによるポリシー準拠のチェックをクリアしたデバイスは
Office365管理センターの画面に[モバイルデバイス]項目に表示されます。
万が一、不適切なデバイスが登録された場合には管理者は画面でチェックすることができますし、また、デバイスを紛失したということであれば、ワイプ機能を利用してデバイス内のデータを
消去することも可能です。

image

それから、Office365のMDM機能はIntuneのMDM機能の簡易版なので、
Intuneと組み合わせて利用ことはできません。

■ ■ ■

Office365では、Exchange ActiveSyncの機能によって、モバイルデバイスのアクセス制御を行う機能がありましたが、新しく追加されたMDM機能では、Exchange ActiveSyncが元々持っていたポリシー機能よりも多くのチェック項目で準拠状況をチェックすることができるというメリットがあります。

一方、ポリシー設定に準拠していない場合、準拠していないという報告を行うだけで、
ポリシー設定に合わせてモバイルデバイスの設定を自動的に変更してくれるような機能は備わっていません。
このような自動修復機能はMicrosoft Intuneとの組み合わせによって実現するので、
Office365のMDMを使うか、Intuneを使うか、の選択を行うときのひとつの基準になるのは
自動修復を望むか、どうか?というところになりそうです。
(もちろん、Intune自体には他にも色々な管理機能がありますので、
そのあたりも考慮して決定するとよいでしょう)