ユーザーの利便性と企業データの保護を両立するモバイルデバイスの管理とは？：これからのモバイル基盤（2/4 ページ）

[高部大佑，ITmedia]

MDM/MAMの基盤とは？

図1

　マイクロソフトが提供しているMicrosoft Intuneは、Intuneエージェント経由で管理するWindows PCをはじめMDM機能で管理するモバイルデバイス（iPad、iPhone、Android、Windows Phone、Windows RT、Windows 8.1）の管理基盤である。Intuneエージェント経由の管理ではWindows PCのアプリケーション配布、セキュリティ更新プログラム管理を実現する。本記事ではIntuneのMDM機能を中心にモバイルデバイスの管理について解説しよう（図1参照）。

　まず、モバイルデバイスのセキュリティ ポリシーを使用して、パスワードの強制、パスワードの文字列の長さやカメラの無効化といったモバイルデバイスの設定や機能を制御することができる。OSごとに設定可能な項目は異なる。その他に、iOSやAndroidおよびWindows Phoneについては次のとおり個別にカスタムポリシーとして構成を展開することが可能である。

iOS

Apple Configuratorで作成、エクスポートしたiOS用の構成プロファイルをIntuneにインポートしセキュリティポリシーとして展開する。

iOS／Android

画面キャプチャや電源スイッチなど、モバイル デバイスの特定の機能をロックダウンする（キオスクモード）ことができる。また、デバイスが指定した 1つのアプリのみを実行するように制限することもできる。

Windows Phone

OMA-URI（例 “./Vendor/MSFT/PolicyManager/My/Connectivity/AllowUSBConnection”）ポリシーを定義しセキュリティポリシーとして展開する。OMA-URIを利用した設定に関するドキュメントは、マイクロソフト ホームページから入手することができる。

　次に、モバイルデバイスの盗難や紛失などの際に必要となるのが、リモート ワイプ、パスコードのリセット、リモート ロックといった対応である。

リモートワイプ

　デバイスの紛失時やリタイア時にデバイスのデータや設定をリモートから削除する機能である。デバイスを工場出荷時の状態に初期化するフルワイプと企業のアプリおよびデータを削除するセレクティブワイプの2種類のワイプがある。

　フル ワイプの場合、すべての企業とユーザーのデータとIntuneから展開された設定が削除される。フル ワイプは、iOS、AndroidおよびWindows Phoneの各デバイスで実行できる。

セレクティブワイプで削除されるデータはデバイスのOSごとに異なる。後述するIntuneから展開された構成（例：メールプロファイル[Exchangeメールアカウント]の設定とそのデータ）、Intuneから展開されたアプリケーションとそのデータが削除される。

パスコードのリセット

　ユーザーがパスコードを忘れた場合、デバイスからパスコードを削除したり、デバイスに新しい一時的なパスコードを強制したりすることができる。パスコードのリセットはiOS、AndroidおよびWindows Phoneに対して実行することができる。

リモート ロック

　ユーザーがデバイスを紛失した場合は、リモートでデバイスをロックできる。リモートロックはiOS、Android、Windows Phone、条件付ではあるがWindows RTおよび8.1に対して実行することができる。