第14回 「Windows 10」でデバイス管理が楽に、そして安くなる？：変わるWindows、変わる情シス（1/2 ページ）

マイクロソフトの新OS「Windows 10」。もう使ったという人も、まだ試していないという人もいると思うが、あらためてそのポイントを“マイクロソフトの人”に解説してもらおう。今回はクラウドを活用した「デバイス管理」のお話。

[山本築，ITmedia]

　こんにちは。日本マイクロソフトでWindows 10の技術営業を担当している山本築です。今回は、先日行われた技術者向けカンファレンス「Microsoft Tech Summit」のセッションから、Windows 10の最新情報をお届けします。

　Microsoft Tech Summitでは、私、山本もデバイス管理をテーマに登壇しました。近年はクラウドを通じてデバイスを管理する手法が広がりつつありますが、AndroidやiOSと同じように、Windows 10端末もMDM製品で管理できるようになってきているのです。

　日本ネットワークセキュリティ協会の調査によると、2015年の情報漏えい事件のうち、75％が人為的なミスによって起きています。一度でも標的型攻撃にやられてしまうと、会社の存続に関わるようなダメージを負ってしまうケースもありますが、その原因は、端末の置き忘れや、誤操作による機密情報の誤送信など「ささいなミス」であるのが現実です。

日本ネットワークセキュリティ協会の調査

　昨今、企業のセキュリティ担当は、生産性向上を担保しながら、標的型攻撃の対策やデータ保護を行わねばならず、大した予算をかけられないケースも多いのです。そこで、Tech Summitのセッションでは低コストのクラウドを活用した、管理およびセキュリティ対策を実現する方法を紹介しました。

Windows 10で変わる、社外からの「端末認証」

　従来、業務用Windows端末の管理といえば、オンプレミス環境でWSUS（Windows Server Update Services）やSCCM（System Center Configuration Manager）でパッチを配布し、Active Directoryを通じてグループポリシーを適用する方法が一般的でした。しかし、近年は端末を持ち出すニーズが増えてきており、持ち出し端末へのポリシー適用や、セキュリティ対策を行う必要性も出てきています。

Windows 10では、クラウド環境での端末管理を強化しています

　そのためにはまず、社外からの認証方法を確立させることが必要です。パスワードが漏れた際に、なりすましからのログインで情報を全て盗まれるかもしれない、アクセス端末を絞って運用したい――。そんな思いから、端末の持ち出しを禁止している企業も多いのではないでしょうか。

　こうした課題はマイクロソフトが提供しているクラウドベースのソリューション「Enterprise Mobility + Security」の中にある、「Intune」と「Azure ADP」で解決できます。

　Intuneの条件付きアクセス機能を使うことで、「コード整合性」「BitLocker有効化」「アンチウイルスソフト起動確認」「Secure Bootの有効化」という4つの条件をクリアしない限り、SharePointなどのアプリケーションにアクセスできないよう規制できるのです。

　さらにAzure ADPの多要素認証を活用することで、セキュリティレベルを高められます。ユーザー単位、アプリ単位で設定を変更してもOK。さらにIPレンジでも設定を切り替えられるため、社外のときだけ多要素認証をするよう設定することもできます。

社外からの認証方法まとめ