情シスメモ
ktIntune インチューンとは
EMS Enterprise Mobility Securityのサービスの1つ
モバイルデバイスとモバイルアプリの管理が行えるサービス
利用例:
- 会社のデータへのアクセスに利用するモバイルデバイスの管理
- モバイルアプリの管理
- 会社の情報にアクセスし、共有する方法を制御して会社の情報を保護
- 名デバイスやアプリが会社のセキュリティ要件に準拠するように管理
特徴:
- クラウドサービス
- ウイルス対策機能が付随する
- Macにも対応可能(jamfより機能面で劣る)
- 同一デバイスで個人と企業のデータが切り分けられる
主な機能:
- デバイス登録
- ポリシーによるデバイス管理
- アプリ展開
- 条件付きアクセス
- アプリ内のコンテンツ管理
- リタイヤ
登録について
- デバイス単位ではなく、ユーザー単位で購入して利用
- ユーザーと関連づけられたデバイスに対してIntuneの各種機能を利用
- デバイスはユーザーと関連付けて登録
多要素認証
- EMS(Enterprise Mobility + Security)E3 or E5で対応可能
- 条件付きアクセスも可能
Android端末の管理
- Android Enterprise or Android オープン ソース プロジェクト (AOSP)が必要
Android Enterprise
利用するにあたりMDMが必要
Android端末管理にあたりオーソドックスという印象
IntuneからAndroid エンタープライズデバイスを設定する
引用資料:
設定
ktAndroid Enterpriseについて
Androidを企業で使う場合のシステム
費用
- 活用するためにはMDMが必要
- MDMがだいたい1台あたり月額いくら方式で有料
種類
work profile
- Androidの中に個人用の環境と仕事用の環境を作る
- 仕事用プロファイル等それぞれ独立しており、それぞれの環境に個別にアプリを入れることができる
例:
アプリ一覧の中にChromeのアイコンが2つあり、それぞれの設定が独立しており、
仕事用のChromeは管理者が設定を強制してセキュアに使う等
主目的はBYODで使うこと
Fully managed device:
デバイスを丸ごと企業の管理下に置く
会社が社員にスマホを貸与する場合がユースケース
設定方法
基本的には対応したMDMが必要
■MDM Agentを入れる
現在利用中の端末にPlay StoreなどからMDM Agentをインストールし設定を進めると
Work Profileで適用される。
■G Suiteアカウントでログインする
管理者が予めG Suiteで設定しておくと、G SuiteアカウントでサインインするとWork Profileで適用されるらしい。初期画面で入れるとFullyらしい
引用資料:
ktAzure AD Connectについて
オンプレミスとクラウド両方のシステムを運用する際のアカウント管理に使えるツール
クラウドではAzure Active Directory(以下、Azure AD)で、
Microsoft 365などのID・パスワードなどを管理することが可能
ADとAzure ADの間でアカウント情報を同期し、
1つのID・パスワードで各情報システムにアクセスすることを可能とするツール
ユーザーをグループ単位で管理することや、アプリケーションを割り当てるといったことが行えます
特徴
認証方式は、「パスワード ハッシュ同期」「パススルー認証」「フェデレーション」が用意
メリット
アカウントの情報が1つだけになれば、管理が楽になる
料金
Azureサブスクリプションの範囲内であり、利用は無料
ただしAzure AD Connect Healthの利用には、Azure AD Premium P1 ライセンスが必要
ktTPM
TPM(Trusted Platform Module)は、デバイス上で様々なセキュリティ機能を提供するためのモジュール
暗号化用アルゴリズムエンジン、ハッシュエンジン、鍵生成器、乱数生成器、不揮発性メモリ(鍵などを保管)などを備えたモジュールで、TPM内への暗号キーの作成や使用制限をするために利用される。
簡単に言えば、暗号化で利用する鍵を安全な場所で管理するための仕組みとなる。
引用資料:https://pc.watch.impress.co.jp/docs/topic/feature/1334277.html
ktFileVaultについて
macOSに搭載されたディスクの暗号化機能
参考:https://ischool.co.jp/2019-07-10-advantages-and-disadvantages-of-using-filevault/
ktApple Business Manager
ktAzure ADの条件付きアクセス
Azure ADへの認証に対して、制限対象(割り当て)に該当するユーザーを許可or拒否できる機能
ユーザーが、アプリケーションにアクセスした際に、”割り当て”条件に
合致するかどうかを判断し、合致するものを”アクセス制御”条件にて権限(許可or拒否)を付与
下記のような要件を満たす事が可能。
・重要度の高いアプリケーションへのアクセスには、Intune準拠端末からのみ許可
・社外からのアクセス時には、多要素認証が必要
・サインイン試行回数が多いアカウントからの認証を拒否
ktSAML
概要
Security Assertion Markup Languageの略称
インターネットドメイン間でユーザー認証を行うための XML をベースにした標準規格
利用によるメリット
SAMLを利用することで企業の持つアイデンティティ情報、例えばActive Directoryなどを利用して、
複数のクラウドサービスへのシングルサインオンを実現できる
↓
ユーザーは認証サーバーに1回ログインするだけで、
SAML対応しているクラウドサービスやWebアプリケーションを利用することができるようになる
IdPとSP
認証情報を提供する側 = Identity Provider(IdP)
認証情報を利用する側(一般的にアプリケーションサービス側)= Service Provider (SP)
引用資料:
ktCloud App Discoveryとは
企業内からどのようなSaaSアプリケーションが実際に使われているのかを検出するためのツール
Azure AD Premiumのライセンスが割り当てられている管理者が機能を使うことが出来る
組織内のコンピュータにCloud App Discovery用のエージェントをセットアップし、各コンピュータからのSaaSアプリケーションの利用状況をAzure ADに集めるという構成
引用資料:https://idmlab.eidentity.jp/2015/08/azure-adcloud-app-discoveryit.html
ktADEとは
Automated Device Enrollmentの略となっており、
Apple社が提供する企業や教育機関向けのiOS端末導入支援プログラム
役割:
- 購入したモバイル端末をすぐに利用者に配布できる
- 管理者またはキッティング業者がモバイル端末に触れることなく配備することも可能
- 利用者によるアクティベーション(初期設定)のステップで設定が完了する
- アクティベーション時の入力・確認工程を簡略化できる