PR09

Intune 開発チームが語るリアルワールド

～セキュアなモバイルシナリオ展開の

進め方とノウハウとは

高部大佑

Senior Program Manager

青木祐二

Senior Program Manager

Microsoft Corporation

EEM Customer Acceleration Team (CAT)

本セッションのゴール

Intune の導入・運用を効率的に行っていただく！

条件付きアクセス(信頼されたデバイス)

PC & モバイルデバイス管理 (MDM)

モバイルアプリ保護ポリシー

OS レベルの機能管理

メール、Office 365、

他クラウドサービスの

アクセス制御

LOB App

#1

アプリレベルで

会社データを保護

私たちがエンゲージした時のプロジェクトの進め方

私たちがエンゲージした時のプロジェクトの進め方

エンゲージメント キックオフ

Intune の展開計画、設計および実装ガイド

Deployment Planning テンプレート

導入シナリオ例

Profile # Profile Name Ownership OSConfiguration

Policy

Compliance

PolicyApp Requirements MAM Comments # of Devices Priority

1 Corporate Owned Phones Corporate Android EncryptionNon-rooted

device

Outlook, MS OfficeTeams

LOB apps

APP Policy (deployed

MAM apps)

Currently managed by 3rd

Party MDM.

Main requirement is App

deployment, remote wipe

5,000 P0

2 Corporate Owned Phones Corporate iOS EncryptionNon-

Jailbroken

Outlook, MS OfficeTeams

APP Policy (deployed

MAM apps)

Currently managed by 3rd

Party MDM.

Main requirement is App

deployment, remote wipe

5,000 P0

3 Corporate Owned Mac Corporate OSX Encryption Office 365 Pro Plus - Currently not managed 3,000 P2

4 Windows Devices Corporate WindowsWindows Update

for BusinessEnable

Bitlocker

Microsoft store for

Business appOffice 365 Pro Plus

WIPCurrently Windows 10 / AD

/ SCCM CB15,000 P1

5 BYOD PersonalAndroid /

iOS- -

Self installation of

OutlookMAM-WE 5,000 P1

ユーザーメリットを訴求する

導入時によくある質問

リモートワイプが実行されない

リモートワイプのアーキテクチャ

Apple Cloud Intune

通知

iOSApple

MDM Agent

Apple 通知サービス

通知 チェックイン

MDM

Intune

リモートワイプのアーキテクチャ

Google Cloud

Google 通知サービス

通知 チェックイン

MDM

Android(Legacy)

Intune

Company

Portal

通知

Windows10

リモートワイプのアーキテクチャ

Microsoft Cloud

Windows

通知サービス

通知 チェックイン

Windows

MDM Agent

Intune

MDM

通知

リモートワイプが実行されない

https://support.apple.com/ja-jp/HT203609

https://developers.google.com/cloud-messaging/http

https://firebase.google.com/docs/cloud-messaging/concept-

options?hl=ja

https://docs.microsoft.com/en-us/windows/privacy/manage-windows-

endpoints#microsoft-store

各種通知サービスに関する詳細情報

アプリ保護ポリシー (MAM)が適用.更新されない

Intuneアプリ保護 (a.k.a MAM) とは？

個人アプリ

会社アプリ

MDM ポリシー

アプリ保護ポリシー(MAM)

MDM – オプション(Intune or 3rd-party)

Intune アプリ保護 (MAM)のアーキテクチャ

Modern Auth

iOS Android

Intune MAM 対応アプリ(Intune App SDK /

App Wrapping Tool)

Intune

MAM

Azure AD

サービス検出、チェックイン

アプリ保護ポリシー受信

30分毎にチェックイン

Intune ライセンス割当て

割当てポリシーなし ：8時間毎

Intune ライセンス割り当てなし：24時間毎

アプリ保護ポリシー作成

アプリ保護ポリシー (MAM)が適用.更新されない

端末紛失、盗難による情報漏洩を防ぎたい

端末紛失、盗難時の課題

端末を紛失、または盗難にあった場合の運用

• ユーザーが管理者に報告しないため、リモートワイプなど

管理者側で対策を取れない

端末が第三者の手に渡った場合の情報漏洩のリスク

• 端末が未ロック状態または第三者にロック解除される

• オフラインでアプリを利用される（リモートワイプコマンドが届かない）

端末紛失、盗難時の対策

端末の紛失 / 盗難検出 情報漏洩対策

• デバイス PIN

• PIN入力失敗時にフルワイプ

• アプリ PIN

• PIN入力失敗時にデータワイプ

• 長期間オフライン時の

アプリ起動ブロック

端末がオフライン / オンライン

• Intuneに長期間接続しない

• 非準拠➡ O365 アクセス ブロック

• アラートメール

• 管理者

• ユーザー

端末がオフライン / オンライン

ロジカルフロー

端末紛失、盗難

管理者に報告

リモートワイプ実行

Online or

Offline

Yes No

デバイスを非準拠とマーク、メール通知

端末ロック解除？

アプリPIN解除？

ローカルフルワイプ実行

ローカルデータワイプ実行

指定回数PIN

入力失敗Online

指定回数PIN

入力失敗

Offline 解除

データ閲覧可能

解除

個人領域へデータ保存ブロックメール転送はEXO経由のみ（EXOにLogging）

時間経過

アプリ起動ブロック

30日（既定）

720分（既定）

Demo

条件付き起動 Outlook Word Excel PowerPoint OneDrive Managed Browser

オフラインの

猶予期間

–アクセスのブロック

(既定 720分）

オフラインの

猶予期間

–データのワイプ(既定 90日）

長期間オフライン時のアプリ起動ブロック

条件付き起動 Outlook Word Excel PowerPoint OneDrive Managed Browser

オフラインの

猶予期間

–アクセスのブロック

(既定 720分）

オフラインの

猶予期間

–データのワイプ(既定 90日）

長期間オフライン時のアプリ起動ブロック

その他考えられる対策

ユーザーが管理者に報告しない

• 使用条件（Azure AD or Intune）で運用ルールと罰則を注意喚起する

• アプリ起動に Azure AD 資格情報を要求する

※オンライン限定、サインイン失敗ログ

端末が第三者の手に渡った場合の情報漏洩のリスク

• パスワード リセット

• 更新（Refresh）トークンの無効化

使用条件例Azure Active Directory

(条件付きアクセス)Intune

(Company Portalアプリ)

クラウドへのアクセスを社給デバイスのみに制限したい

条件付きアクセスと登録制御の連携

Intune

Azure AD

条件付きアクセス信頼されたデバイスは許可Intune 管理 & ポリシー準拠

Platform IMEI SerialAutoPilot

Co-Mgmt

iOS ✔ ✔

Android ✔ ✔

Windows10 ✔ ✔

macOS ✔

登録制御 –デバイス固有情報準拠状態

認可 OR

登録 OR

Demo (画面ショット)

トラブルシューティング 継続的なアップデートへの対応

Intune トラブルシューティングポータル

デバイスのログ

• MAM 診断ログ

(Managed Browser)

• Company Portal ログ

• デバイス ログ (コンソール)

iOS

• Company Portal ログ

(MDM ＆ MAM)

Android

• デバイス管理ログ

• AutoPilot (ETL)

Windows

Demo

継続的なアップデートの対応

3月 4月 5月 6月 7月 8月 9月 10月 11月

1803 1804 1805 1806 1807 1808 1809 1810

iOS 11 iOS 12

Android 8 Android 9

SDK 8.0.2 SDK 9.0.5SDK 9.0.3SDK 8.1.1

Win 10 1809Win 10 1803

AppAppAppAppAppAppAppApp

A AA A A AA A A AA A A AA A A AA

A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A

A

プラットフォーム

モバイルアプリ

(Ap

p)

Intu

ne

SDK 8.0.6

Intune サービス アップデート

Group 1

Scale Unit

Group 2

Scale Unit

Group 3

Scale Unit

Graph

Schema

Update

UI

extensions

updated

Planning

(5 days)

Sprint

(15 days)

Co

de

Co

mp

lete

Ring 1

Self Host

(5 days)

Ring 2

Microsoft IT

(5 days)

Ring 3

Canary

(5 days)

Can

ary

Sig

n-O

ff

Ring 4

General Release

(10 days)

Intune に関する情報の入手

What’s New Intune aka.ms/IntuneWhatsNew

Office Admin Centeraka.ms/o365mc

Intune Customer

Success blogtechcommunity.microsoft.com/t5/Intu

ne-Customer-Success/bg-

p/IntuneCustomerSuccess

Enterprise Mobility +

Security Blogaka.ms/emsblog

What’s New

Azure AD aka.ms/AzureADwhatsnew

Github

Intuneポータル Roadmap

テナント ヘルス

ダッシュボード

テナント情報

サマリコネクター ステータス

Intune サービス

正常性Intune ニュース

本日のまとめ

Intune の導入を成功するためには

ビジネスゴール / シナリオの整理(展開計画、

設計ガイドの活用)

マイクロソフトのリソースの活用

（FastTrack Center)

更新情報の入手・継続的なキャッチアップ

(最新のサービスの活用)

© 2018 Microsoft Corporation. All rights reserved.

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。