View
51
Download
0
Category
Preview:
Citation preview
PR09
Intune 開発チームが語るリアルワールド
~セキュアなモバイルシナリオ展開の
進め方とノウハウとは
高部大佑
Senior Program Manager
青木祐二
Senior Program Manager
Microsoft Corporation
EEM Customer Acceleration Team (CAT)
本セッションのゴール
Intune の導入・運用を効率的に行っていただく!
条件付きアクセス(信頼されたデバイス)
PC & モバイルデバイス管理 (MDM)
モバイルアプリ保護ポリシー
OS レベルの機能管理
メール、Office 365、
他クラウドサービスの
アクセス制御
LOB App
#1
アプリレベルで
会社データを保護
私たちがエンゲージした時のプロジェクトの進め方
私たちがエンゲージした時のプロジェクトの進め方
エンゲージメント キックオフ
Intune の展開計画、設計および実装ガイド
Deployment Planning テンプレート
導入シナリオ例
Profile # Profile Name Ownership OSConfiguration
Policy
Compliance
PolicyApp Requirements MAM Comments # of Devices Priority
1 Corporate Owned Phones Corporate Android EncryptionNon-rooted
device
Outlook, MS OfficeTeams
LOB apps
APP Policy (deployed
MAM apps)
Currently managed by 3rd
Party MDM.
Main requirement is App
deployment, remote wipe
5,000 P0
2 Corporate Owned Phones Corporate iOS EncryptionNon-
Jailbroken
Outlook, MS OfficeTeams
APP Policy (deployed
MAM apps)
Currently managed by 3rd
Party MDM.
Main requirement is App
deployment, remote wipe
5,000 P0
3 Corporate Owned Mac Corporate OSX Encryption Office 365 Pro Plus - Currently not managed 3,000 P2
4 Windows Devices Corporate WindowsWindows Update
for BusinessEnable
Bitlocker
Microsoft store for
Business appOffice 365 Pro Plus
WIPCurrently Windows 10 / AD
/ SCCM CB15,000 P1
5 BYOD PersonalAndroid /
iOS- -
Self installation of
OutlookMAM-WE 5,000 P1
ユーザーメリットを訴求する
導入時によくある質問
リモートワイプが実行されない
リモートワイプのアーキテクチャ
Apple Cloud Intune
通知
iOSApple
MDM Agent
Apple 通知サービス
通知 チェックイン
MDM
Intune
リモートワイプのアーキテクチャ
Google Cloud
Google 通知サービス
通知 チェックイン
MDM
Android(Legacy)
Intune
Company
Portal
通知
Windows10
リモートワイプのアーキテクチャ
Microsoft Cloud
Windows
通知サービス
通知 チェックイン
Windows
MDM Agent
Intune
MDM
通知
リモートワイプが実行されない
https://support.apple.com/ja-jp/HT203609
https://developers.google.com/cloud-messaging/http
https://firebase.google.com/docs/cloud-messaging/concept-
options?hl=ja
https://docs.microsoft.com/en-us/windows/privacy/manage-windows-
endpoints#microsoft-store
各種通知サービスに関する詳細情報
アプリ保護ポリシー (MAM)が適用.更新されない
Intuneアプリ保護 (a.k.a MAM) とは?
個人アプリ
会社アプリ
MDM ポリシー
アプリ保護ポリシー(MAM)
MDM – オプション(Intune or 3rd-party)
Intune アプリ保護 (MAM)のアーキテクチャ
Modern Auth
iOS Android
Intune MAM 対応アプリ(Intune App SDK /
App Wrapping Tool)
Intune
MAM
Azure AD
サービス検出、チェックイン
アプリ保護ポリシー受信
30分毎にチェックイン
Intune ライセンス割当て
割当てポリシーなし :8時間毎
Intune ライセンス割り当てなし:24時間毎
アプリ保護ポリシー作成
アプリ保護ポリシー (MAM)が適用.更新されない
端末紛失、盗難による情報漏洩を防ぎたい
端末紛失、盗難時の課題
端末を紛失、または盗難にあった場合の運用
• ユーザーが管理者に報告しないため、リモートワイプなど
管理者側で対策を取れない
端末が第三者の手に渡った場合の情報漏洩のリスク
• 端末が未ロック状態または第三者にロック解除される
• オフラインでアプリを利用される(リモートワイプコマンドが届かない)
端末紛失、盗難時の対策
端末の紛失 / 盗難検出 情報漏洩対策
• デバイス PIN
• PIN入力失敗時にフルワイプ
• アプリ PIN
• PIN入力失敗時にデータワイプ
• 長期間オフライン時の
アプリ起動ブロック
端末がオフライン / オンライン
• Intuneに長期間接続しない
• 非準拠➡ O365 アクセス ブロック
• アラートメール
• 管理者
• ユーザー
端末がオフライン / オンライン
ロジカルフロー
端末紛失、盗難
管理者に報告
リモートワイプ実行
Online or
Offline
Yes No
デバイスを非準拠とマーク、メール通知
端末ロック解除?
アプリPIN解除?
ローカルフルワイプ実行
ローカルデータワイプ実行
指定回数PIN
入力失敗Online
指定回数PIN
入力失敗
Offline 解除
データ閲覧可能
解除
個人領域へデータ保存ブロックメール転送はEXO経由のみ(EXOにLogging)
時間経過
アプリ起動ブロック
30日(既定)
720分(既定)
Demo
条件付き起動 Outlook Word Excel PowerPoint OneDrive Managed Browser
オフラインの
猶予期間
–アクセスのブロック
(既定 720分)
オフラインの
猶予期間
–データのワイプ(既定 90日)
長期間オフライン時のアプリ起動ブロック
条件付き起動 Outlook Word Excel PowerPoint OneDrive Managed Browser
オフラインの
猶予期間
–アクセスのブロック
(既定 720分)
オフラインの
猶予期間
–データのワイプ(既定 90日)
長期間オフライン時のアプリ起動ブロック
その他考えられる対策
ユーザーが管理者に報告しない
• 使用条件(Azure AD or Intune)で運用ルールと罰則を注意喚起する
• アプリ起動に Azure AD 資格情報を要求する
※オンライン限定、サインイン失敗ログ
端末が第三者の手に渡った場合の情報漏洩のリスク
• パスワード リセット
• 更新(Refresh)トークンの無効化
使用条件例Azure Active Directory
(条件付きアクセス)Intune
(Company Portalアプリ)
クラウドへのアクセスを社給デバイスのみに制限したい
条件付きアクセスと登録制御の連携
Intune
Azure AD
条件付きアクセス信頼されたデバイスは許可Intune 管理 & ポリシー準拠
Platform IMEI SerialAutoPilot
Co-Mgmt
iOS ✔ ✔
Android ✔ ✔
Windows10 ✔ ✔
macOS ✔
登録制御 –デバイス固有情報準拠状態
認可 OR
登録 OR
Demo (画面ショット)
トラブルシューティング 継続的なアップデートへの対応
Intune トラブルシューティングポータル
デバイスのログ
• MAM 診断ログ
(Managed Browser)
• Company Portal ログ
• デバイス ログ (コンソール)
iOS
• Company Portal ログ
(MDM & MAM)
Android
• デバイス管理ログ
• AutoPilot (ETL)
Windows
Demo
継続的なアップデートの対応
3月 4月 5月 6月 7月 8月 9月 10月 11月
1803 1804 1805 1806 1807 1808 1809 1810
iOS 11 iOS 12
Android 8 Android 9
SDK 8.0.2 SDK 9.0.5SDK 9.0.3SDK 8.1.1
Win 10 1809Win 10 1803
AppAppAppAppAppAppAppApp
A AA A A AA A A AA A A AA A A AA
A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A
A
プラットフォーム
モバイルアプリ
(Ap
p)
Intu
ne
SDK 8.0.6
Intune サービス アップデート
Group 1
Scale Unit
Group 2
Scale Unit
Group 3
Scale Unit
Graph
Schema
Update
UI
extensions
updated
Planning
(5 days)
Sprint
(15 days)
Co
de
Co
mp
lete
Ring 1
Self Host
(5 days)
Ring 2
Microsoft IT
(5 days)
Ring 3
Canary
(5 days)
Can
ary
Sig
n-O
ff
Ring 4
General Release
(10 days)
Intune に関する情報の入手
What’s New Intune aka.ms/IntuneWhatsNew
Office Admin Centeraka.ms/o365mc
Intune Customer
Success blogtechcommunity.microsoft.com/t5/Intu
ne-Customer-Success/bg-
p/IntuneCustomerSuccess
Enterprise Mobility +
Security Blogaka.ms/emsblog
What’s New
Azure AD aka.ms/AzureADwhatsnew
Github
Intuneポータル Roadmap
テナント ヘルス
ダッシュボード
テナント情報
サマリコネクター ステータス
Intune サービス
正常性Intune ニュース
本日のまとめ
Intune の導入を成功するためには
ビジネスゴール / シナリオの整理(展開計画、
設計ガイドの活用)
マイクロソフトのリソースの活用
(FastTrack Center)
更新情報の入手・継続的なキャッチアップ
(最新のサービスの活用)
© 2018 Microsoft Corporation. All rights reserved.
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。
Recommended