Contoso 社のモバイル デバイス管理
Microsoft 365 for enterprise には、Intuneと、モバイル デバイスとアプリケーションの管理とセキュリティをサポートする一連の Azure サービスが含まれています。
Contoso には、モバイル対応の従業員が多数います。 Contoso の場所にオフィスを持つものもあれば、オフィスを持たないものもあります。 Contoso では、従業員の生産性を有効にしつつ、デバイス、それらのデバイスに格納されている Contoso データ、アプリケーションの動作を安全に保つ方法が必要でした。
プラン
Contoso は、Microsoft 365 for enterprise のモバイル デバイス管理の次のIntuneユース ケースを特定しました。
- 電子メールとデータExchange Online保護して、モバイル デバイスから安全にアクセスできるようにします。
- Contoso 従業員向けの Bring-your-own-device (BYOD) プログラムを実装します。
- Contoso の従業員に対して、organization所有の電話と制限付き共有タブレットを発行します。
Contoso では、次のIntuneを使用しません。
- 従業員が管理されていないパブリック キオスクから Microsoft 365 に安全にアクセスできるようにします。
- オンプレミスの Microsoft Exchange サーバーがないため、モバイル デバイスから安全にアクセスできるように、オンプレミスのメールとデータを保護します。
展開
Contoso 社は、次のようにモバイル デバイス管理インフラストラクチャをセットアップしています。
Intuneをモバイル デバイス管理 (MDM) 機関として設定し、Azure でIntuneを使用してコンテンツを管理し、デバイスを管理します
登録およびIntune設定とデバイス ベースの条件付きアクセス ポリシー用のデバイスのMicrosoft Entra グループを作成しました
詳細については、「 Contoso の条件付きアクセス ポリシー」を参照してください。
iPad、iMacs、iPhone、および企業所有の iPhone を使用する従業員をサポートする Apple デバイス プラットフォームを有効にしました
Contoso 社では、独自の使用条件ポリシーを作成しており、Contoso 社の会社ポータルをモバイル デバイスにインストールする時に表示されるようになっています。
登録されていないデバイスの場合は、Microsoft 365 サービスへのアクセスに認証を必要とする一連の Mobile Application Management (MAM) ポリシーを実装しました
以下のための Intune ポリシーが作成されています。
- 許可されているアプリ。
- 未承認のアクセスを防ぐのに役立つデバイス暗号化。
- 6 桁の PIN またはパスワード。
- 非アクティブタイムアウト期間。
- Windows 11 デバイスでの Windows Defender によるウイルス対策とマルウェアの保護、および署名の更新。
- 最新のセキュリティ更新プログラムを含むWindows 11デバイスの自動更新。
- マネージド デバイスへの証明書のプッシュ。
- ビジネス データと個人データの明確な分離。 ユーザーまたは管理者は、写真、個人用メール アカウント、個人用ファイルなどの個人データを変更せずに、デバイスから企業データを選択的にワイプできます。
Contoso は、適切なIntune デバイス グループに追加することで、展開された PC と会社所有のスマートフォンとタブレットを登録しました。 また、従業員が個人のデバイスを登録するための BYOD プログラムも確立しました。 登録済みデバイスはIntuneポリシーを受け取り、その結果、管理対象およびセキュリティで保護されたデバイスとそのアプリケーションが生成されます。 登録されていないデバイスには、許可されるアプリケーションを指定するモバイル アプリケーション管理 (MAM) ポリシーがあります。
Contoso モバイル デバイス管理デプロイ アーキテクチャを次に示します。
次の手順
Contoso が Microsoft 365 for enterprise の情報保護機能を使用して、organization全体で重要なデジタル資産を分類、識別、保護する方法について説明します。