パートI:MobileIronとMicrosoft Intune

モビリティは最高のセキュリティと信頼性を必要とする最重要サービス。モバイルがダウンすれば、CEOはすぐに気が付きます。MobileIronは、現代の職場にとってクラス最高のセキュリティであり、業務の基盤です。エンドポイントとの周囲に信頼のゾーンを確立することで、全員がどこでも容易に効果的に働けます。MobileIronは、Microsoft Intune App Protectionと統合し、Microsoft Office 365アプリに対するセキュリティ制御をさらに強化。Intuneは有効なツールですが、MobileIronのセキュリティサービスの代用にはなりません。

この全3回のブログでは、Microsoft Intuneとの統合を含め、MobileIronとMicrosoftの併用が有効であるという私の見解をご紹介します。私の意見は、一般に公開されているデータや第三者のデータ、お客様やパートナーの意見、Microsoftの行動に対する継続的な分析に基づいています。パートIでは、MobileIronとMicrosoft Intune App Protectionの協調によるOffice 365アプリのセキュリティ確保について説明します。パートIIでは、統合エンドポイント管理(UEM)ソリューションとしてMobileIronがIntuneより優れている点に注目。パートIIIでは、企業戦略全体におけるMobileIronとMicrosoftの役割について述べます。

パートI(全3回):MobileIronとMicrosoft Intune

MobileIronのお客様のほとんどはMicrosoftのお客様でもあります。現代の職場のセキュアな基盤をつくることが、両社の目的です。これには、Office 365のほか、Apple、Google、Microsoftのすべてのオペレーティングシステムで利用するMicrosoft以外のサービスを、お客様が短時間でセキュアに導入できるようにすることが含まれます。

Microsoft Intuneとは?

Microsoft Intuneの主要機能は2つです。

  1. Office 365アプリのポリシー制御
  2. エンドポイントの現代的な管理

Microsoftは、Enterprise Mobility + Securityおよび/またはMicrosoft 365バンドルの一部としてIntuneを販売しています。スタンドアロンでも購入できますが、いずれかのバンドルの一部としての販売が普通だと思います。パートIで説明するMobileIronの統合機能には、スタンドアロンまたはバンドルの一部としてのIntuneライセンスが必要です。

Office 365モバイルアプリに対するポリシー制御とは?

Intuneには、アプリケーション開発者がAndroidまたはiOS上でクライアントアプリに組み込めるSDKがあります。SDKの統合は、アプリがデータを保存できる場所の限定やコピー/貼り付け禁止など、アプリにセキュリティ制御機能群(Intuneアプリ保護ポリシー)を追加します。これによってデバイス上にMicrosoftの「コンテナ」が作成され、場合によっては他のコンテナの一部となります。「コンテナ」とは、コンテナ内にあるアプリのデータを保護する単なる制御機能群で、コンテナ外にあるアプリへの情報漏洩も防ぎます。この概念に「コンテナ」という言葉を使わないベンダーもいますが、ポリシーの働きをよく表現する言葉です。

ポリシーがサポートするアプリは?

現在、20以上のMicrosoftモバイルアプリをサポートしています。Microsoft以外のサードパーティアプリもいくつかサポートしています。サードパーティの開発者がこれらの制御機能を利用するには、Intune SDKを統合する必要がありますが、ほとんどの開発者は、ベンダー専用のSDKの使用によるアプリセキュリティ制御からAndroidやiOSのネイティブのアプリセキュリティ制御機能の使用に移行しつつあります。この結果、これらのポリシーは非Microsoftアプリにも使用できるものの、MobileIronのお客様は主にMicrosoftのモバイルアプリに使用しています。

MobileIron統合の作用は?

現在、これらのポリシーはMobileIronコンソールから設定できます。以前はIntuneコンソールからしか設定できませんでした。MobileIronは、ネイティブのAndroidエンタープライズ、ネイティブのiOS、MobileIron(AppConnect)独自、Samsung(Knox Workspace)独自など、すでに複数のコンテナをサポートしています。「Microsoft Intune App Protection」もMobileIronがサポートする独自コンテナです。管理者がMobileIronでアプリポリシーを設定した後、そのポリシー設定はMobileIronからAzureのIntuneサービスに伝えられ、デバイス上のMicrosoftアプリを構成します。

MobileIronでOffice 365のセキュリティを確保するには?

Office 365のセキュリティを確保する手順をご紹介します。

  1. AndroidまたはiOSデバイスをMobileIronに登録し、暗号化の適用、データの保護、エンドユーザーへのビジネスサービス提供を行う。
  2. MobileIronを通じてマネージドアプリとしてOfficeアプリを展開し、それらがデバイス上のネイティブの仕事用コンテナに入るようにする。これでそれらのアプリの削除が可能となる。
  3. MobileIronを通じてネイティブのセキュリティ制御機能を設定し、マネージドアプリが個人用アプリとデータを共有しないようにする。これにより意図しない情報漏洩を防ぐ。
  4. MobileIronを通じてIntune App Protectionポリシーを設定し、Officeアプリのセキュリティ制御を強化。
  5. MobileIron Accessを使用し、信頼できないデバイスやアプリがOffice 365クラウドサービスにアクセスしないようにする。
  6. MobileIron Threat Defenseを使用し、アプリ、デバイス、ネットワークの継続的な攻撃と脆弱性を検出および是正。

詳細は、こちらからホワイトペーパー「MobileIronでOffice 365のセキュリティを確保」をご覧ください。

Office 365アプリはIntuneポリシーなしでもセキュアですか?

はい。IntuneポリシーなしでもMobileIronはOffice 365アプリのセキュリティを確保できます。上記の4のみポリシーが必要です。しかし、ポリシーが追加するセキュリティ機能は、多くのお客様にとって有用だと思います。

MobileIronを使ってIntuneポリシーを設定する理由は?直接Intuneコンソールを使うことは可能ですか?

管理者にとっては、統一されたコンソール(MobileIron)ですべてのモバイルポリシーを管理したほうが簡単です。

デバイスを登録せず、「MAM-only」モードでポリシーを使用できますか?

はい、しかしデータが危険にさらされます。「MAM-only」とは、アプリレベルでのみデータを保護することを意味します(「モバイルアプリケーション管理」)。つまり、Microsoftコンテナのみを保護することになります。しかしMicrosoftコンテナは、Salesforce1など企業が利用する何千もの非Microsoftアプリを保護できません。そしてスタンドアロンのコンテナは、デバイスやネットワークに対する攻撃に脆弱です。当社は常に、デバイスをまずMobileIronに登録し、ネイティブの暗号化、パスワード、ネイティブのアプリコンテナ、アプリ削除など、OSレベルの保護を適用する階層型セキュリティモデルを推奨します。次にMobileIronを通じて、上記のようなアプリ保護を追加します。

MobileIron AppConnectを使用してOffice 365アプリのセキュリティを確保できますか?

いいえ。Office 365アプリはMobileIron AppConnect SDKまたはラッパーを使用しません。

Microsoftが、AppConfigなどのネイティブ規格を使わず、Officeアプリ用の独自APIを開発した理由は?

制御力を維持するためだと思います。Microsoftは戦略的に、Officeアプリの完全な制御プレーンをAzureにすることを望んでいますが、AppleやGoogleのネイティブ規格はAzureを必要としません。AppConfig(www.appconfig.org)は、業界全般にわたるEMM/UEMベンダーやアプリケーション開発者のコミュニティであり、AppleやGoogleのネイティブのアプリセキュリティフレームワークのほうがベンダー固有のSDKよりも長期的に優れているとして推進しています。Microsoftは大手UEM/アプリケーションプロバイダーの中で唯一コミュニティに参加していません。これから開発するアプリ制御機能のほとんどは、やはりネイティブのアプリ構成ではなく独自のAPIを通じて実行されると予想されます。ただし、現在のOfficeアプリにも、マルチIDアクセスのセキュリティなど、ネイティブの方法で設定できる制御機能がいくつかあります。

MobileIronはMicrosoftと協力する予定ですか?

MobileIronはMicrosoftと緊密に協力し、両社のお客様にMicrosoftのサービスを最大限に活用してもらうよう全力を尽くします。Microsoft Graphを通じてIntune App Protectionポリシーを開放することは、Microsoft社内でパートナーシップを重視する傾向が強まっている証拠だと思います。

本シリーズのパートIIUEMにおけるMobileIronまたはMicrosoft Intuneの選択」もお読みください。

MobileIron以外の製品やサービスに関する情報は、一般に公開されている情報源および他の第三者の情報源に由来します。これらの情報は、当社が信頼できると判断した情報に基づき作成されておりますが、その正確性を保証するものではありません。