IntuneとAzure ADの連携でMicrosoft 365をよりセキュアに!

 2021.02.15  Microsoft 365チャネル編集部

Microsoft 365を自社で利用している企業が、テレワーク業務のセキュリティを確保するには、Microsoft Intuneの導入が有効です。Microsoft 365ユーザーが利用できるAzure ADと連携させることで、安全性を高められます。今回は、テレワーク業務のセキュリティを高める仕組みをご紹介します。

New Call-to-action

Microsoft Intuneとは?

大企業だけでなく、中小企業でもテレワークが普及し、モバイルデバイスの利用が拡大しています。iPhoneやAndroidのスマートフォン、ノートPC、タブレットなどデバイスの種類が増え、管理が煩雑になり、デバイス管理とアプリケーションのアップデートに追われるという企業が少なくありません。さらに、データ漏えいなどのリスクも拡大するため、セキュリティポリシーに準拠した管理と、企業情報の保護対策が急がれています。

「Microsoft Intune(マイクロソフト・インチューン)」は、モバイルデバイスとモバイルアプリの管理を行うクラウドベースのサービスです。EMS(Enterprise Mobility+Security)サービスのひとつで、スマートフォンやタブレット、ラップトップなど組織のデバイス使用方法を制御します。Microsoft 365製品とともに使用できるため、企業情報を包括的に管理し、生産性を向上させながら、モバイルデバイス管理における負担軽減や、セキュリティ強化の実現が可能です。

デバイスのモバイル化やITサービスのクラウド化が急速に進む中、マイクロソフト社はモバイルとクラウド製品やサービスの統合・拡充を図っています。従来のOffice 365は、より包括的なクラウドサービスを提供するために、「Microsoft 365」にブランドネームがリニューアルされました。Microsoft Intuneも以前は「Windows Intune(ウィンドウズ・インチューン)」と呼ばれていましたが、モバイルとクラウドの統合を強力に進める総合的なソリューションとして、ブランドネームが変更されています。

Microsoft Intuneでできること

Microsoft Intuneはクラウド型の運用管理サービスで、iOSやMacOS、Android、Windowsなどのデバイス環境に縛られず、インターネットにつながっているすべてのデバイスを一元管理できます。Microsoft Intuneを導入すると、次のようなメリットがあります。

同一デバイスで個人と企業のデータが切り分けられる

各デバイスからMicrosoft Intuneのポータルサイトやアプリにログインすれば、会社のネットワークにアクセスできます。メールチェックや会議用ファイル、会社で使用しているアプリなどの取得が可能です。一方で、各デバイス内のプライベート用アプリやデータとは完全に切り分けられています。会社情報のデータコピーや受け渡しはできないように設定された状態でアクセスするため、個人所有のデバイスを利用しても安全を保てます。

モバイルアプリの管理

各デバイスで使用しているカスタムアプリや、ストアアプリなどのモバイルアプリを運用管理します。グループのユーザーやデバイスを特定し、モバイルアプリを追加して割り当てることが可能です。特定の設定を有効にして、アプリの開始や実行を可能にし、アプリのバージョンアップを行います。また、アプリの使用状況をレポートで表示し、追跡も行えます。会社情報のデータのみ選択してリモート削除も可能です。

企業のセキュリティポリシー準拠の支援

ユーザーやデバイスが満たす必要のある企業のセキュリティポリシーを定義し、ルールに準拠していない場合はユーザーに通知します。さらに、会社情報のデータを保護するため、デバイスをブロックできます。

企業の情報資産の保護

Microsoft Intuneに各デバイスを登録すると、紛失や盗難に遭った際、デバイスをデフォルト設定にリセットします。会社情報のデータやアプリを削除できるので、企業の情報資産を保護できます。Microsoft Intuneは、社員が各自のデバイスを持ち込んで利用するBYOD(Bring Your Own Device)への対処として、大変有効です。

会議室予約・運用システム SmartRooms (スマートルームズ)
SmartOfficeNavigator 社員居場所検索システム

管理コストの削減

icrosoft Intuneにはマルウェア対策の機能が装備されているため、別途ウイルス対策ソフトのライセンスを用意する必要がなく、コスト削減につながります。社員各自のデバイスのセキュリティも確保し、会社用のモバイル端末を支給しなくても安全性を保てるため、コストを削減できます。

Azure ADとは?

Azure」は、マイクロソフト社が提供するクラウドプラットフォームです。「Azure AD」は「Azure Active Directory」の略で、ユーザーIDの認証と許可を行うアクセス管理をクラウドサービスで提供します。Microsoft 365やAzureポータル、そのほか何千にも及ぶSaaSアプリケーションなどの外部リソースと、自社で開発したクラウドアプリなどの内部リソースへのサインインとアクセスを制御できます。Microsoft 365のユーザー企業であれば、自動的にAzure ADのユーザーになるため、アクセス管理をすぐに始めることが可能です。

Azure ADのプランは「Free」「Office 365 アプリ」「Premium P1」「Premium P2」の4つです。Freeは、基本的な機能が利用できる無償の試用版で、オブジェクトの制限があります。Office 365 アプリは、office365 E1以降のバージョンに標準搭載されている機能で、オブジェクトの制限はありません。Premium P1・P2 はFree・Office 365の実装をさらにアップグレードする有償プランです。

Active Directoryとの違い

「Active Directory」は、オンプレミスのWindowsサーバに搭載されている機能で、システム管理者にはおなじみの機能です。階層型の構造でフォルダやファイル、ユーザー情報を管理します。管理者が社員一人ひとりにユーザー名とパスワード、アクセスできるサーバを設定すると、社員がPCを利用する際に認証・認可を自動で行います。一度サインオンすれば、次回からスムーズに作業できます。また、役職や部署ごとにアクセスを制限する設定も可能です。Active Directoryは認証を簡略化し、指紋認証やICチップ認証と連携することで認証セキュリティを強化できます。

一方、Azure ADは前述した通り、Azure Active Directoryのことです。Active Directoryのクラウド版といえますが、次のような違いがあります。

活用シーン

Azure ADは、クラウドサービスで利用するリソースや、外部からのアクセス認証も含めた管理を行います。対してActive Directoryは、社内のオンプレミスで利用するリソースや認証の管理を行うもので、活用シーンが異なります。

拡張性

Azure ADは、クラウド上で機能を追加するだけで簡単に拡張できます。しかしActive Directoryの場合、専用サーバを増設したうえで機能を追加する必要があります。

端末の管理

Azure ADは、Intuneの管理サービスに登録したルールを適用し、クラウド上の端末を管理します。Active Directoryは、企業内で設定したセキュリティポリシーのルールに従い、サーバに接続された端末を管理します。

認証プロトコル

Azure ADは多様な認証プロトコルに対応し、階層構造へのアクセスはRESTベースのAPIを使用します。一方Active Directoryは、ユーザー認証・ファイルサーバなどへのアクセス・ファイル共有と、それぞれ規定のプロトコルで認証します。

Azure ADでできること

Azure ADはオンプレミスのサーバ導入の初期費用が不要で、データセンターの運営費用もかかりません。利用状況に応じた課金制で、コストの無駄を抑えられます。さらに、必要に応じたサーバの拡大・縮小を簡単に行えます。従来のActive Directoryの性能に、セルフパスワードリセットなどの新機能が追加され、Microsoft 365などマイクロソフト製品との連携も容易です。

Azure ADサービスのうち、2つのPremiumプランでは、オンプレミスとクラウド両方のリソースにアクセスできます。Azure Intuneの利用が可能で、パスワード保護や高度なグループアクセス管理、使用状況レポートなどが利用できます。またグループや場所、デバイスの状態による条件付きアクセス、SharePointでの制限付きアクセス、特定のアクセスに設定した使用条件付きアクセスなど、さまざまな設定が可能です。

Premium P2プラン は、さらに高度なデバイス管理を行います。特定のアプリケーションや機密性の高い企業データに対し、条件付きアクセスの設定が可能です。ほかにも、管理者と管理者によるリソースのアクセス検出・制限・監視といった、リアルタイムでアクセス制御する機能などが提供されます。

Microsoft IntuneとAzure ADの連携で安全なテレワークを

あらゆるデバイスを一元管理するMicrosoft Intuneと、アクセス制御を行うAzure ADを連携すれば、クラウド利用の安全性を高められます。特に、セキュリティレベルの高いAzure ADのPremiumでは、Azure Intuneを利用できるため、Azure ADの条件付きアクセス機能を強化することが可能です。

Intuneと連携した条件付きアクセスには、「デバイスベース」と「アプリベース」の2種類があります。デバイスベースでは、デバイス管理に準拠しているデバイスのみがEメールやMicrosoft 365 サービス、SaaSアプリ、社内アプリにアクセスできます。アプリベースでは、管理対象アプリのみがEメールやMicrosoft 365 サービスなどにアクセスすることが可能です。エンドポイントのセキュリティ管理に、コンプライアンスポリシーに準拠した条件付きアクセスが利用できるため、テレワーク導入で必要となる、モバイルデバイスとモバイルアプリの管理に非常に有効です。

まとめ

Microsoft 365 ユーザー企業は、標準搭載されているAzure ADとMicrosoft Intuneを連携させることで、クラウドのセキュリティを確実に高められるため、Intune導入のメリットは大変大きいといえます。導入に際しては、Intuneサポートサービスなどを活用すれば、スムーズに運用を始められます。

Intuneサポートサービス

RECENT POST「セキュリティ」の最新記事


セキュリティ

企業側が抱えるリモートワーク6つの課題とその解決法

セキュリティ

快適なリモートワーク環境を整える8つのポイント

セキュリティ

アクセス管理とは? 目的や重要性、管理のプロセスを紹介

セキュリティ

マルウェアとウイルスとの違いとは?感染経路や対策も徹底紹介!

FAVORITE POST「Microsoft製品」の人気記事


IntuneとAzure ADの連携でMicrosoft 365をよりセキュアに!
Microsoft 365 Enterprise セキュリティ機能カタログ
Microsoft Digital Trust Security ソリューション一覧
ブログ購読のお申込み
デジタルトランスフォーメーション チャンネル
クラウド実践チャンネル
BizApp チャンネル

関連サイト

サイト掲載へのお問い合わせ