IntuneとAzure ADの連携でMicrosoft 365をよりセキュアに!

 2021.02.15  Microsoft 365チャネル編集部

Microsoft 365を自社で利用している企業が、テレワーク業務のセキュリティを確保するには、Microsoft Intuneの導入が有効です。Microsoft 365ユーザーが利用できるAzure ADと連携させることで、安全性を高められます。今回は、テレワーク業務のセキュリティを高める仕組みをご紹介します。

New call-to-action

Microsoft Intuneとは?

大企業だけでなく、中小企業でもテレワークが普及し、モバイルデバイスの利用が拡大しています。iPhoneやAndroidのスマートフォン、ノートPC、タブレットなどデバイスの種類が増え、管理が煩雑になり、デバイス管理とアプリケーションのアップデートに追われるという企業が少なくありません。さらに、データ漏えいなどのリスクも拡大するため、セキュリティポリシーに準拠した管理と、企業情報の保護対策が急がれています。

「Microsoft Intune(マイクロソフト・インチューン)」は、モバイルデバイスとモバイルアプリの管理を行うクラウドベースのサービスです。EMS(Enterprise Mobility+Security)サービスのひとつで、スマートフォンやタブレット、ラップトップなど組織のデバイス使用方法を制御します。Microsoft 365製品とともに使用できるため、企業情報を包括的に管理し、生産性を向上させながら、モバイルデバイス管理における負担軽減や、セキュリティ強化の実現が可能です。

デバイスのモバイル化やITサービスのクラウド化が急速に進む中、マイクロソフト社はモバイルとクラウド製品やサービスの統合・拡充を図っています。従来のOffice 365は、より包括的なクラウドサービスを提供するために、「Microsoft 365」にブランドネームがリニューアルされました。Microsoft Intuneも以前は「Windows Intune(ウィンドウズ・インチューン)」と呼ばれていましたが、モバイルとクラウドの統合を強力に進める総合的なソリューションとして、ブランドネームが変更されています。

Microsoft Intuneでできること

Microsoft Intuneはクラウド型の運用管理サービスで、iOSやMacOS、Android、Windowsなどのデバイス環境に縛られず、インターネットにつながっているすべてのデバイスを一元管理できます。Microsoft Intuneを導入すると、次のようなメリットがあります。

同一デバイスで個人と企業のデータが切り分けられる

各デバイスからMicrosoft Intuneのポータルサイトやアプリにログインすれば、会社のネットワークにアクセスできます。メールチェックや会議用ファイル、会社で使用しているアプリなどの取得が可能です。一方で、各デバイス内のプライベート用アプリやデータとは完全に切り分けられています。会社情報のデータコピーや受け渡しはできないように設定された状態でアクセスするため、個人所有のデバイスを利用しても安全を保てます。

モバイルアプリの管理

各デバイスで使用しているカスタムアプリや、ストアアプリなどのモバイルアプリを運用管理します。グループのユーザーやデバイスを特定し、モバイルアプリを追加して割り当てることが可能です。特定の設定を有効にして、アプリの開始や実行を可能にし、アプリのバージョンアップを行います。また、アプリの使用状況をレポートで表示し、追跡も行えます。会社情報のデータのみ選択してリモート削除も可能です。

企業のセキュリティポリシー準拠の支援

ユーザーやデバイスが満たす必要のある企業のセキュリティポリシーを定義し、ルールに準拠していない場合はユーザーに通知します。さらに、会社情報のデータを保護するため、デバイスをブロックできます。

企業の情報資産の保護

Microsoft Intuneに各デバイスを登録すると、紛失や盗難に遭った際、デバイスをデフォルト設定にリセットします。会社情報のデータやアプリを削除できるので、企業の情報資産を保護できます。Microsoft Intuneは、社員が各自のデバイスを持ち込んで利用するBYOD(Bring Your Own Device)への対処として、大変有効です。

管理コストの削減

icrosoft Intuneにはマルウェア対策の機能が装備されているため、別途ウイルス対策ソフトのライセンスを用意する必要がなく、コスト削減につながります。社員各自のデバイスのセキュリティも確保し、会社用のモバイル端末を支給しなくても安全性を保てるため、コストを削減できます。

Azure ADとは?

「Azure」は、マイクロソフト社が提供するクラウドプラットフォームです。「Azure AD」は「Azure Active Directory」の略で、ユーザーIDの認証と許可を行うアクセス管理をクラウドサービスで提供します。Microsoft 365やAzureポータル、そのほか何千にも及ぶSaaSアプリケーションなどの外部リソースと、自社で開発したクラウドアプリなどの内部リソースへのサインインとアクセスを制御できます。Microsoft 365のユーザー企業であれば、自動的にAzure ADのユーザーになるため、アクセス管理をすぐに始めることが可能です。

Azure ADのプランは「Free」「Office 365 アプリ」「Premium P1」「Premium P2」の4つです。Freeは、基本的な機能が利用できる無償の試用版で、オブジェクトの制限があります。Office 365 アプリは、office365 E1以降のバージョンに標準搭載されている機能で、オブジェクトの制限はありません。Premium P1・P2 はFree・Office 365の実装をさらにアップグレードする有償プランです。

Active Directoryとの違い

「Active Directory」は、オンプレミスのWindowsサーバに搭載されている機能で、システム管理者にはおなじみの機能です。階層型の構造でフォルダやファイル、ユーザー情報を管理します。管理者が社員一人ひとりにユーザー名とパスワード、アクセスできるサーバを設定すると、社員がPCを利用する際に認証・認可を自動で行います。一度サインオンすれば、次回からスムーズに作業できます。また、役職や部署ごとにアクセスを制限する設定も可能です。Active Directoryは認証を簡略化し、指紋認証やICチップ認証と連携することで認証セキュリティを強化できます。

一方、Azure ADは前述した通り、Azure Active Directoryのことです。Active Directoryのクラウド版といえますが、次のような違いがあります。

活用シーン

Azure ADは、クラウドサービスで利用するリソースや、外部からのアクセス認証も含めた管理を行います。対してActive Directoryは、社内のオンプレミスで利用するリソースや認証の管理を行うもので、活用シーンが異なります。

拡張性

Azure ADは、クラウド上で機能を追加するだけで簡単に拡張できます。しかしActive Directoryの場合、専用サーバを増設したうえで機能を追加する必要があります。

端末の管理

Azure ADは、Intuneの管理サービスに登録したルールを適用し、クラウド上の端末を管理します。Active Directoryは、企業内で設定したセキュリティポリシーのルールに従い、サーバに接続された端末を管理します。

認証プロトコル

Azure ADは多様な認証プロトコルに対応し、階層構造へのアクセスはRESTベースのAPIを使用します。一方Active Directoryは、ユーザー認証・ファイルサーバなどへのアクセス・ファイル共有と、それぞれ規定のプロトコルで認証します。

Azure ADでできること

Azure ADはオンプレミスのサーバ導入の初期費用が不要で、データセンターの運営費用もかかりません。利用状況に応じた課金制で、コストの無駄を抑えられます。さらに、必要に応じたサーバの拡大・縮小を簡単に行えます。従来のActive Directoryの性能に、セルフパスワードリセットなどの新機能が追加され、Microsoft 365などマイクロソフト製品との連携も容易です。

Azure ADサービスのうち、2つのPremiumプランでは、オンプレミスとクラウド両方のリソースにアクセスできます。Azure Intuneの利用が可能で、パスワード保護や高度なグループアクセス管理、使用状況レポートなどが利用できます。またグループや場所、デバイスの状態による条件付きアクセス、SharePointでの制限付きアクセス、特定のアクセスに設定した使用条件付きアクセスなど、さまざまな設定が可能です。

Premium P2プラン は、さらに高度なデバイス管理を行います。特定のアプリケーションや機密性の高い企業データに対し、条件付きアクセスの設定が可能です。ほかにも、管理者と管理者によるリソースのアクセス検出・制限・監視といった、リアルタイムでアクセス制御する機能などが提供されます。

Microsoft IntuneとAzure ADの連携で安全なテレワークを

あらゆるデバイスを一元管理するMicrosoft Intuneと、アクセス制御を行うAzure ADを連携すれば、クラウド利用の安全性を高められます。特に、セキュリティレベルの高いAzure ADのPremiumでは、Azure Intuneを利用できるため、Azure ADの条件付きアクセス機能を強化することが可能です。

Intuneと連携した条件付きアクセスには、「デバイスベース」と「アプリベース」の2種類があります。デバイスベースでは、デバイス管理に準拠しているデバイスのみがEメールやMicrosoft 365 サービス、SaaSアプリ、社内アプリにアクセスできます。アプリベースでは、管理対象アプリのみがEメールやMicrosoft 365 サービスなどにアクセスすることが可能です。エンドポイントのセキュリティ管理に、コンプライアンスポリシーに準拠した条件付きアクセスが利用できるため、テレワーク導入で必要となる、モバイルデバイスとモバイルアプリの管理に非常に有効です。

まとめ

Microsoft 365 ユーザー企業は、標準搭載されているAzure ADとMicrosoft Intuneを連携させることで、クラウドのセキュリティを確実に高められるため、Intune導入のメリットは大変大きいといえます。導入に際しては、Intuneサポートサービスなどを活用すれば、スムーズに運用を始められます。


RECENT POST「セキュリティ」の最新記事


FAVORITE POST「Microsoft製品」の人気記事


IntuneとAzure ADの連携でMicrosoft 365をよりセキュアに!