AndroidでOffice 365の複数ID問題を解決

Microsoft Office 365を生産性向上アプリとして採用する企業の多くが、2つのセキュリティ問題に直面します。企業用のOffice 365のセキュリティ確保に加え、従業員が個人で利用しているOffice 365が業務で使っているモバイルデバイス上のビジネスデータにアクセスすることも防ぐ必要があります。 以前の記事では、iOSで複数IDのOffice 365アプリをセキュアに利用する方法を説明しました。今回は、Android上での365アプリのセキュリティをMobileIronで確保する方法をご紹介します。

課題:マネージドアプリと非マネージドアプリ間のデータ転送を防止する

業務用のデバイスでビジネスデータと個人データを明確に分離することは、企業が重要なデータと従業員のプライバシーを保護するために必須です。仕事用のアプリケーションが個人用のアプリケーション(Office 365の個人用バージョンなど)にデータを転送するのを防ぐ必要があります。

解決策:Androidエンタープライズの導入

Android 5.1以降のデバイスに直接組み込まれているAndroidエンタープライズのフレームワークで、従業員所有デバイスと企業所有デバイスのどちらでも、プライバシーを守りつつ柔軟にセキュアに導入することができます。個人用と仕事用の両方に使用するデバイスには、MobileIronが暗号化した仕事用プロファイルを作成することができます。こうすれば仕事用プロファイルとデバイスの間でデータや連絡先などの共有が制限され、明示的な許可がない限りは情報が仕事用プロファイルを出入りすることがなくなります。Android導入の詳細は、最新のホワイトペーパー「Androidが企業に対応」をお読みください。

課題:複数IDで使用するOffice 365アプリのセキュリティ

Androidエンタープライズでアプリを導入する場合、MobileIronで管理するアプリはすべて仕事用プロファイルで構成され、仕事用バッジが付いています。アプリがすでに個人用プロファイルに存在する場合、同じアプリの仕事用コピーが作成され、バッジが付与されます。こうすれば企業は、仕事用プロファイルと個人用プロファイルを明確に分離したうえで、ユーザーが期待するデバイスのネイティブ体験を維持することができます。  

しかし問題は、Microsoft Office 365アプリが複数IDに対応していることです。同じアプリ内でユーザーが複数のアカウントを持つことができます。Androidの設定を誤れば、ユーザーが個人用のOffice 365アカウントを仕事用のOffice 365アプリに追加できてしまいます。

解決策:Office 365アプリ用のマネージドアプリ構成

Androidエンタープライズは、Android Lollipopからマネージドアプリ構成をサポートしているので、仕事用プロファイルに導入したアプリケーションを管理者がリモート設定することができます。マネージドアプリ構成は、標準化されたフォーマットで、独自のSDKやアプリラッパーは必要なく、Google Playストアで直接提供されています。

Microsoftはこのほど「許可アカウント」と呼ばれる新しいマネージドアプリ構成を一部のMicrosoftアプリ用に公開しました。  AndroidはOSがネイティブ機能として複数のプロファイルをサポートするため、企業は仕事用プロファイル内で許可されるアカウントをきちんと制御する必要があります。許可アカウント構成を使えば、管理者がアプリにログインできるアカウントを指定することができます。こうすれば、指定されたアカウントしかサインインできなくなります。この動画では、許可アカウントの仕組みを紹介しています。

 

 

許可アカウントは、まだすべての企業向けアプリで利用できるわけではありません。以下のMicrosoftアプリケーションについて、許可アカウントへの対応状況を当社でテストしました。なしのアプリについては、ユーザーが個人アカウントでサインインできてしまいます。

 

Microsoftアプリ

許可アカウントアプリ構成

Authenticator

なし

Azure Information Protection

なし

Delve

なし

Excel

あり

Launcher

なし

OneDrive

なし

OneNote

あり

Outlook

あり*

Power BI

なし

PowerPoint

あり

SharePoint

なし

Skype for Business

なし

Teams

なし

Word

あり

*アプリ上に構成はあるが、個人アカウントでサインインできてしまう

課題:仕事用アプリに情報漏洩防止(Data Loss Prevention: DLP)コントロールを適用

多くの企業は、個人用アプリケーションへの仕事用データ転送の制限を明確な要件にしています。一般的な要件を以下に挙げます。

  • 仕事用アプリから個人用アプリへの切り取り、コピー、貼り付けを制限。
  • 仕事用アプリのスクリーンショット防止。
  • 仕事用アプリを開くときにPINを要求。

解決策:Android内蔵のDLP制御を使用

Android 5.0以降のデバイスでは、マネージドアプリのスクリーンショット機能を管理者がブロックすることができます。Android 6.0以降のデバイスは、Androidエンタープライズのプロファイル間データ管理をサポートしているので、仕事用アプリから個人用アプリにデータやテキストをコピーして貼り付けるのを管理者が制限することができます。Android 7.0以降のデバイスでは、仕事用アプリにアクセスする際のPINを設定できます。デバイスPINより厳しいPINを課すことも可能です。重要なのは、この機能すべてが、MicrosoftだけでなくAndroid仕事用プロファイルに導入されている全てのアプリに適用できるということです。

課題:Office 365アプリの制御機能を利用  

Microsoftはマネージドアプリ構成を一部利用しており、Androidでも多くのセキュリティ制御機能を内蔵していますが、MicrosoftはOffice 365専用の独自の構成制御機能を開発しました。この補完的な制御機能がIntuneアプリ保護ポリシーであり、AndroidとiOSにもさらなるアプリケーションセキュリティレイヤを追加しています。よくある課題として、Microsoftアプリ内の所定の文書リポジトリに「名前を付けて保存」をできなくするというものがあります。

解決策:MobileIronでOffice 365制御機能を適用  

MobileIronを使えば、ひとつのコンソールでIntuneアプリ保護ポリシーも管理できるので、構成と導入を大幅に簡素化できます。Androidエンタープライズ、Samsung Knox、iOS、Windows Information Protection、MobileIron AppConnectソリューションなど、当社がサポートする多数のコンテナソリューションにIntuneアプリ保護ポリシーを追加することで、ビジネスニーズに対応する柔軟性を実現できます。

*この新しいマネージドアプリ構成のヒントをくださったNovartisのChristian Jucker氏にお礼を申し上げます。MobileIronは新しい働き方を追求し続ける業界で最良のお客様に恵まれています。