Zenn
🦆

MDMの導入パターンを提案してもらおう

に公開
Security
idea

なぜ作成したのか

  • ちょっとバタバタしているので息抜きにMDMの提案パターンを作ってもらったりする

質問(to ChatGPT)

IT企業の情シス担当者です。
macbook50台、Surface50台の業務端末を運用しています。
すべてのPCはリモートワークのため各社員が持ち運びます。
今後、PC紛失時のリスク軽減のため、MDM製品の導入を検討しています。
また、暗黙で使用されている各社員の個人スマホについても、BYODとして業務仕様を認める方向で検討したいと思っています。
これらの要件に対して、予算規模を三段階に設定して、具体的な製品をもとに松竹梅の3パターンの提案を作成してください。

回答

梅: Miradore – 低コストで基本機能を提供するクラウドMDM

概算コスト:

  • 無償プランあり(50台まで0円)で、年間1台あたり1000円以下に収まります。

  • 追加機能が必要な場合も有償プレミアム版が月額約$2.75/台(年約3,960円)と安価です。

  • 対応OS:

  • 提供形態:

    • クラウド専用のサービスで、サーバー設置は不要です。Webブラウザから管理します。

  • 主な機能:

    • デバイス登録、インベントリ情報取得、リモートロック/ワイプ、パスコード初期化、プロファイルによる設定配布、アプリ配布など基本的なMDM機能を提供します。
    • 無償版では高度な機能に制限があり、例えば「端末の暗号化ポリシー」「位置情報追跡」「端末利用やアプリの制限」等が利用できません(プレミアム版で利用可能)。

  • BYOD対応:

    • 個人端末にもプロファイルを導入して管理可能です。
    • AndroidのWork ProfileやiOSのMDM機能を用いた業務データの分離に対応します。
    • ただし無償版では細かなポリシー設定に制限があるため、BYOD端末で業務領域だけにポリシー適用・ワイプするといった粒度の高い管理は限定的です。
    • 端末紛失時はプロファイル削除によって企業データのみ消去できますが、位置追跡はできません(有償版で対応) 。

  • 管理画面の使いやすさ:

  • サポート体制:

    • 無償版ではベンダーからの公式サポートはなく、オンラインのドキュメントやコミュニティで自己解決する必要があります。
    • 有償版に移行すればメール等でのサポートが提供されます(英語対応が中心。日本語サポートは限定的と思われます)。

竹: Microsoft Intune – Microsoft統合環境向けのクラウドMDM

概算コスト:

  • 年間1台あたり1000〜5000円程度。

  • 単体ライセンスやMicrosoft 365の一部として提供され、ユーザーあたり月数百円程度から利用可能です(※Intuneはユーザー単位の契約が多く、1ユーザーで複数デバイスを管理可能)。

  • 対応OS:

  • Linux(Ubuntu)にも一部対応が追加されており、社内のMacBook/Surfaceと社員スマホの両方を一元管理可能です。

  • 提供形態:

  • 主な機能:

    • ポリシー配布やデバイス構成管理、アプリ配布、証明書・Wi-Fi設定、OS更新管理などデバイス構成機能が豊富です。
    • リモートワイプ(全消去)や選択的ワイプ(企業データのみ消去)に対応し、紛失時に情報漏洩を防ぎます。
    • また独自のアプリストア経由でのアプリ配布、Win32アプリや業務アプリ(LOB)の展開、デバイスの状態監視とコンプライアンス違反時の自動是正、条件付きアクセス(Azure AD)によるセキュリティ強化などエンタープライズ向け機能を網羅しています。

  • BYOD対応:

    • 高い粒度でBYOD管理が可能です。
    • デバイス登録せずにOfficeアプリ等の企業データだけ保護する「アプリ保護ポリシー」に対応し、個人端末上の企業アプリデータを暗号化・遠隔消去できます。
    • またデバイス管理を行う場合でも、AndroidのワークプロファイルやiOSのユーザー登録(User Enrollment)を用いて個人データと業務データを分離可能です。これにより、紛失時でも個人エリアを残しつつ企業データのみ削除といった運用ができます。

  • 管理画面の使いやすさ:

    • Azureポータル内のIntune管理センターから全機能を操作します。
    • Webベースで場所を選ばず管理でき、Microsoftアカウントがあれば追加ツール不要です。
    • Best MDM solution of 2025 | TechRadar
    • 機能が非常に豊富な反面、項目数が多いため慣れが必要との声もあります。
    • しかしMicrosoft Learnによる日本語ドキュメントやコミュニティ情報が充実しており、学習・参照しながら運用できます。

  • サポート体制:

    • Microsoftによるサポートが提供されます。
    • エンタープライズ契約では日本語での問い合わせ対応も可能で、問い合わせは管理画面からチケット起票して行います。
    • 公式ドキュメントや技術ブログ、ユーザーコミュニティも豊富で、情報入手や問題解決が比較的容易です。 (製品へのフィードバックや最新情報も定期的に公開されています。)

松: VMware Workspace ONE (AirWatch) – 機能充実のエンタープライズMDM/UEM

**概算コスト:

  • ** 年間1台あたり5000円以上と高価格帯です。

  • エディションによりますが、例えば同種のIBM MaaS360ではデバイスあたり月4ドル(年約5280円)から9ドル程度で提供されており、Workspace ONEもそれに近いレンジになります。

  • 大規模導入ではボリュームディスカウントや包括契約が適用され、高機能な分コストも高めです。

  • 対応OS:

    • Windows10/11、macOS、iOS/iPadOS、Androidはもちろん、他のMDMが未対応の特殊プラットフォームにも対応可能です。
    • 例えば競合製品のSOTI MobiControlではAndroid、Apple、Windows、macOSに加えLinuxやZebra社ハンディ端末まで管理できますが、Workspace ONEも同様に幅広いデバイスの統合管理を目指した製品です。

  • 実際、社給PCやスマホだけでなく業務用タブレットやキオスク端末の管理、さらにはVRデバイスなど新種のエンドポイント管理にも発展しています。

  • 提供形態:

    • クラウド(SaaS)利用とオンプレミス導入の両方に対応します。
    • 自社サーバにAirWatchサーバーを構築して運用することも、VMwareのクラウドサービスとして利用することも可能です。
    • リモートワーク環境ではクラウド型が主流ですが、機密上クラウド利用が難しい場合でもオンプレ版で柔軟に対応できます。

  • 主な機能:

    • モバイルからPCまで統合管理できるUEM (Unified Endpoint Management) 製品です。
    • 基本的なMDM機能(リモートロック/ワイプ、アプリ配信、位置情報の取得、ポリシー適用、パスワード/暗号化ポリシー適用)は網羅し、加えて独自アプリカタログからのアプリ配布、デバイスのセキュリティ健全性チェックとコンプライアンス違反時の自動措置、地理的な場所に応じたポリシー適用(ジオフェンシング)、VPNやWi-Fiプロファイル配布、証明書連携、業務用メールやブラウザのコンテナ化(Secure Email, Secure Browser機能)など非常に豊富です。
    • Active DirectoryやAzure ADと連携した認証・アクセス制御、SIEM連携、AIによる脅威検知(Workspace ONE Intelligence)などエンタープライズ向けの包括的機能を備えています。

  • BYOD対応:

    • BYODポリシーの柔軟性も高く、個人所有端末への部分的な管理が可能です。
    • 管理対象データやアプリのみをコンテナ化し、プライベート領域にはアクセスしないよう設定できます。
    • 例えば、AndroidではWork Profileとして企業データを分離し、iOSでもユーザー登録や専用プロファイルによってメールや企業アプリだけ管理します。
    • これにより、必要に応じ企業データのみリモートワイプし、私用データは残す運用が可能です。

  • また、管理者が取得できる情報も制限でき(位置情報や通話履歴は取得しない等)、プライバシーに配慮した細かなBYOD管理ポリシー設定が行えます。

  • 管理画面の使いやすさ:

    • Webベースの「Workspace ONE UEMコンソール」から全端末を一元管理します。
    • 項目数が多く初期設定は専門知識を要しますが、その分きめ細かな制御ができます。
    • 役割別の管理者権限設定やレポート機能も充実しており、大規模環境でも効率的に運用できるよう設計されています。
    • 直感的なUIというよりは専門的ですが、VMware社から管理者向けトレーニングや技術資料が提供されており、習熟をサポートします。

  • サポート体制:

    • エンタープライズ向けに手厚いサポートが用意されています。
    • VMware社および認定パートナーによる導入支援や問い合わせ対応が受けられます。
    • 通常、年間保守契約により平日9-17時の日本語サポートや、上位プランでは24時間対応も可能です。
    • さらに技術担当者(TAM)のアサインや定期レビューなど、大企業向けのサポート/サービス体制が整っています。

3案の比較まとめ

比較項目 梅: Miradore (クラウド, 無償中心) 竹: Intune (クラウド, Microsoft) 松: Workspace ONE (クラウド/オンプレ, エンタープライズ)
年間コスト (目安) ~0円(無償枠内)
有償でも ~¥1台数百円/月 (Best MDM solution of 2025 TechRadar)		 ¥数百円〜数千円/月 (プラン次第) (Best MDM solution of 2025 TechRadar) ¥500円/月以上~(高機能ゆえ高価) (IBM MaaS360 Pricing 2025)
対応OS Win・mac・iOS・Android
※ChromeOS/Linux非対応 (Best MDM solution of 2025 TechRadar)		 Win・mac・iOS・Android・(一部Linux) (Microsoft Intune とは Microsoft Learn) Win・mac・iOS・Android等ほぼ全て
※専用機器含む広範な端末 (Best MDM solution of 2025 TechRadar)
提供形態 クラウド専用 クラウド専用 クラウド / オンプレミス両対応 (Best MDM solution of 2025 TechRadar)
主な機能 基本的なMDM(遠隔ワイプ、設定配布、アプリ配布 等)
※無償版は位置情報取得等が不可 (Miradore MDM review: user-friendly interface and affordable pricing TechRadar)		 豊富なデバイス/アプリ管理機能(ポリシー制御、コンプライアンス 他) (Microsoft Intune とは Microsoft Learn) エンタープライズ向け全機能(コンテナ化、ゲオフェンス 等)
BYOD対応 一般的な範囲で対応(プロファイル単位の管理)
※細かな制御は限定的		 アプリ単位の保護など高粒度のBYOD管理 (Microsoft Intune とは Microsoft Learn) コンテナ技術による業務データのみ管理、ポリシー柔軟
管理画面 シンプルで直感的 (Miradore MDM review: user-friendly interface and affordable pricing TechRadar) Azure統合型、機能豊富で要習熟 (Best MDM solution of 2025 TechRadar) 機能大量・高度(大規模運用に最適化)
サポート 無償版サポート無し (Miradore MDM review: user-friendly interface and affordable pricing TechRadar)
有償でも英語中心		 Microsoftによる充実サポート(日本語可) 専任サポートや24H対応等、手厚い企業向け体制

以上のように、低予算の「梅」 では基本機能に絞ったクラウドMDMでコスト重視、中程度予算の「竹」 ではMicrosoft製品との親和性が高いバランス型MDM、高予算の「松」 ではマルチOS対応の高度な統合管理(UEM)が可能なMDMソリューションを提案できます。
それぞれ対応OSや提供形態、BYOD管理の細かさ、管理画面の操作性、サポート範囲に違いがあり、 予算と求める管理レベルに応じて最適な製品を選定すると良いでしょう。

所感

  • 効いたことがない製品もラインナップされてるので終末に製品調査してみよう
GitHubで編集を提案

Discussion