現場担当者のデバイスを管理する
すべての業界において、現場担当者が従業員の大きな割合を占めています。 現場担当者の役割には、小売担当者、工場勤務者、現場およびサービス技術者、医療従事者などが含まれます。
概要
多くの従業員は移動性が高く、多くの場合シフトベースであるため、現場担当者が使用するデバイスを管理することが重要な基本です。 考慮すべきいくつかのポイント:
- 従業員は会社所有のデバイスを使用しますか? または個人のデバイスを使用しますか?
- 会社所有のデバイスは、従業員間で共有されていますか? または個人に割り当てられていますか?
- 従業員はデバイスを自宅に持ち帰りますか? または職場に置きますか?
セキュリティで保護された準拠ベースラインを設定して、共有デバイスでも従業員自身のデバイスでも、従業員のデバイスを管理することが重要です。 この記事では、一般的な現場の従業員デバイスのシナリオと管理機能の概要を説明し、会社のデータを保護しながら従業員をエンパワーできます。
デバイスの種類
共有デバイス、Bring-your-own デバイス、キオスク デバイスは、現場担当者が使用する最も一般的なデバイスの種類です。
| デバイスのタイプ | 説明 | 使用する理由 | 展開に関する考慮事項 |
|---|---|---|---|
| 共有デバイス | デバイスは、organizationによって所有および管理されます。 従業員は、作業中にデバイスにアクセスします。 | ワーカーの生産性とカスタマー エクスペリエンスが最優先事項です。 ワーカーは、作業中にorganizationリソースにアクセスできません。 地域の法律により、個人のデバイスがビジネス目的で使用されるのを妨げる場合があります。 |
サインイン/サインアウトすると、ワーカー エクスペリエンスに摩擦が生じる可能性があります。 機密データが不注意で共有される可能性があります。 |
| Bring-your-own devices (BYOD) | 個人用デバイスはユーザーが所有し、organizationによって管理されます。 | 既存のモバイル デバイス管理 (MDM) ソリューションを使用すると、organizationが共有デバイス モデルを採用できなくなります。 共有デバイスまたは専用デバイスは、コストまたはビジネスの準備の観点から実用的でない場合があります。 |
サポートの複雑さは、フィールドの場所では実現できない場合があります。 個人用デバイスは、OS、ストレージ、接続によって異なります。 一部のワーカーは、個人用モバイル デバイスに信頼性の高いアクセス権を持っていない可能性があります。 作業者が出勤していない間にリソースにアクセスすると、賃金に対する潜在的な責任が発生する可能性があります。 個人のデバイスの使用は、組合規則または政府の規制に反する場合があります。 |
| キオスク デバイス | デバイスは、organizationによって所有および管理されます。 ユーザーはサインインまたはサインアウトする必要はありません。 | デバイスには専用の目的があります。 ユース ケースでは、ユーザー認証は必要ありません。 |
コラボレーション、コミュニケーション、タスク、ワークフロー アプリケーションでは、機能するためにユーザー ID が必要です。 ユーザー アクティビティを監査できません。 多要素認証を含む一部のセキュリティ機能を使用できません。 |
共有デバイスと BYOD は、一般的に現場展開で採用されています。 この記事の以降のセクションで説明する機能を使用すると、ユーザー エクスペリエンスに関するorganizationの懸念、データへの未承認のワーカー アクセス、リソース、およびデバイスを大規模に展開および管理する機能を解決または軽減できます。
注:
キオスク デバイスの展開は、ユーザーの監査や多要素認証などのユーザー ベースのセキュリティ機能を許可しないため、推奨されません。 キオスク デバイスの詳細については、こちらをご覧ください。
共有デバイス
多くの現場担当者は、共有のモバイル デバイスを使用して作業を行います。 共有デバイスは、会社所有のデバイスであり、タスク、シフト、または場所をまたいで従業員間で共有されます。
ここでは、一般的なシナリオの例を紹介します。 組織には、充電クレードルにすべての従業員間で共有されるデバイスのプールがあります。 シフトの開始時に、従業員はプールからデバイスを取り出し、自分の役割に不可欠な Teams やその他のビジネス アプリにサインインします。 シフトの終了時に、サインアウトしてデバイスをプールに返します。 同じシフト内でも、従業員は、タスクが完了したときにデバイスを返すや、昼食のために退勤してから、別のデバイスを取り出す場合があります。
共有デバイスには、ユニークなセキュリティ上の課題があります。 たとえば、従業員は、同じデバイス上の他のユーザーが利用すべきでない会社または顧客のデータにアクセスできる場合があります。
個人用デバイス (BYOD)
一部の組織では、現場担当者が個人用のモバイル デバイスを使用して Teams やその他のビジネス アプリにアクセスする、個人所有デバイスの持ち込み (BYOD) モデルを使用しています。 個人用デバイスのアクセスとコンプライアンスを管理するいくつかの方法の概要を説明します。
デバイス オペレーティング システム
選択したデプロイ モデルによって、サポートするデバイス オペレーティング システムが部分的に決定されます。 たとえば、BYOD モデルを実装する場合は、Android デバイスと iOS デバイスの両方をサポートする必要があります。 共有デバイス モデルを実装する場合、選択したデバイス OS によって使用可能な機能が決まります。 たとえば、Windows デバイスは、自動サインオンとWindows Helloによる簡単な認証のために複数のユーザー プロファイルを格納する機能をネイティブにサポートしています。 Android と iOS では、より多くの手順と前提条件が適用されます。
| デバイスの OS | 考慮事項 |
|---|---|
| Windows | デバイスに複数のユーザー プロファイルを格納するためのネイティブ サポート。 パスワードレス認証のWindows Helloをサポートします。 Microsoft Intuneで使用する場合のデプロイと管理機能の簡素化。 |
| Android | デバイスに複数のユーザー プロファイルを格納するための制限付きネイティブ機能。 Android デバイスを共有デバイス モードで登録すると、シングル サインオンとサインアウトを自動化できます。 コントロールと API の堅牢な管理。 現場で使用するために構築されたデバイスの既存のエコシステム。 |
| iOS と iPadOS | iOS デバイスを共有デバイス モードで登録して、シングル サインオンとサインアウトを自動化できます。 Shared iPad for Business では、iPadOS デバイスに複数のユーザー プロファイルを格納できます。 Apple がユーザー プロファイルをパーティション分割する方法のため、Shared iPad for Business では条件付きアクセスを使用できません。 |
共有デバイスの展開では、ユーザーのサインオンを簡略化するためにデバイスに複数のユーザー プロファイルを格納する機能と、前のユーザーからアプリ データをクリアする機能 (シングル サインアウト) は、現場での展開の実用的な要件です。 これらの機能は、Shared iPad for Business を使用する Windows デバイスと iPad でネイティブです。
ユーザー ID
Microsoft 365 for frontline workersでは、Microsoft Entra ID を基になる ID サービスとして使用して、すべてのアプリケーションとリソースを配信してセキュリティで保護します。 ユーザーは、Microsoft 365 クラウド アプリケーションにアクセスするために、Microsoft Entra ID に存在する ID を持っている必要があります。
Active Directory Domain Services (AD DS) またはサード パーティ ID プロバイダーを使用して最前線のユーザー ID を管理する場合は、ID をMicrosoft Entraするために、これらの ID をフェデレーションする必要があります。 サード パーティのサービスを Microsoft Entra ID と統合する方法について説明します。
現場の ID を管理するための実装パターンとしては、次のようなものがあります。
- スタンドアロンMicrosoft Entra: organizationは、Microsoft Entra ID のユーザー、デバイス、アプリケーション ID を、現場のワークロードのスタンドアロン ID ソリューションとして作成および管理します。 この実装パターンは、現場でのデプロイ アーキテクチャを簡素化し、ユーザー のサインオン時のパフォーマンスを最大化するために推奨されます。
- Active Directory Domain Services (AD DS) と Microsoft Entra ID の統合: Microsoft では、Microsoft Entra Connect を提供して、これら 2 つの環境に参加させます。 Microsoft Entra Connect では、AD ユーザー アカウントを Microsoft Entra ID にレプリケートし、ユーザーがローカルリソースとクラウドベースリソースの両方にアクセスできる単一の ID を持つことができます。 AD DS と Microsoft Entra ID はどちらも独立したディレクトリ環境として存在できますが、ハイブリッド ディレクトリを作成することもできます。
- Microsoft Entra ID を使用したサードパーティ ID ソリューションの同期: Microsoft Entra ID は、フェデレーションを介した Okta や Ping ID などのサードパーティ ID プロバイダーとの統合をサポートします。 サード パーティの ID プロバイダーの使用について詳しくは、こちらをご覧ください。
HR 主導のユーザー プロビジョニング
ユーザー プロビジョニングの自動化は、現場の従業員が 1 日目にアプリケーションとリソースにアクセスできるようにする組織にとって実用的なニーズです。 セキュリティの観点からは、従業員のオフボーディング中にプロビジョニング解除を自動化して、以前の従業員が会社のリソースへのアクセスを保持しないようにすることも重要です。
Microsoft Entraユーザー プロビジョニング サービスは、Workday や SAP SuccessFactors などのクラウドベースおよびオンプレミスの HR アプリケーションと統合されます。 人事システムで従業員が作成または無効化されたときに、ユーザープロビジョニングとプロビジョニング解除を自動化するようにサービスを構成できます。
マイ スタッフ
Microsoft Entra ID のマイ スタッフ機能を使用すると、マイ スタッフ ポータルを使用して、一般的なユーザー管理タスクを現場マネージャーに委任できます。 現場マネージャーは、ヘルプデスク、オペレーション、または IT に要求をルーティングすることなく、直接ストアまたは工場のフロアから、現場担当者のパスワードをリセットしたり、電話番号を管理したりできます。
また、現場マネージャーは、チーム メンバーの電話番号を SMS サインインに登録することもできます。 組織内で SMS ベースの認証 が有効になっている場合、現場担当者は電話番号と SMS 経由で送信されたワンタイム パスコードのみを使用して Teams やその他のアプリにサインインできます。 これにより、現場担当者のサインインが簡単かつ安全で、高速になります。
モバイル デバイス管理
モバイル デバイス管理 (MDM) ソリューションを使用すると、デバイスの展開、管理、監視を簡略化できます。 Microsoft Intuneは、共有デバイスを現場担当者に展開するために重要な機能をネイティブにサポートします。 次のような機能があります。
- ゼロタッチ プロビジョニング: IT 管理者は、デバイスの物理的な管理を行わずにモバイル デバイスを登録および事前構成できます (手動構成の場合)。 この機能は、共有デバイスをフィールドの場所に大規模に展開する場合に便利です。デバイスは、自動構成とプロビジョニングの手順をリモートで完了できる目的の現場の場所に直接出荷できるためです。
- シングル サインアウト: バックグラウンド プロセスを停止し、新しいユーザーがサインインしたときに前のユーザーに割り当てられたすべてのアプリケーションとリソースにわたってユーザーのサインアウトを自動化します。 シングル サインアウトを使用するには、Android デバイスと iOS デバイスを共有デバイス モードで登録する必要があります。
- Microsoft Entra条件付きアクセス: IT 管理者は、ID 主導のシグナルを使用して、クラウドベースのアプリケーションとリソースに対する自動アクセス制御の決定を実装できます。 たとえば、最新のセキュリティ更新プログラムがインストールされていない共有または BYOD デバイスによるアクセスを防ぐことができます。 デプロイをセキュリティで保護する方法の詳細については、こちらをご覧ください。
VMware のワークスペース ONE や SOTI MobiControl など、共有デバイスの展開にサードパーティの MDM ソリューションを使用している場合は、関連する機能、制限事項、および使用可能な回避策を理解することが重要です。
一部のサード パーティの MDM は、Android デバイスでグローバル サインアウトが発生したときにアプリ データをクリアできます。 ただし、アプリ データの消去では、共有場所に格納されているデータを見逃したり、アプリの設定を削除したり、初回実行時のエクスペリエンスが再び表示されたりする可能性があります。 共有デバイス モードに登録されている Android デバイスは、デバイスのチェックまたは新しいユーザーがデバイスにログインするときに、必要なアプリケーション データを選択的にクリアできます。 共有デバイス モードでの認証について詳しくは、こちらをご覧ください。
iOS および Android デバイス用のサード パーティ製 MDM ソリューションで共有デバイス モードを手動で構成できますが、手動の構成手順では、デバイスが Microsoft Entra ID に準拠しているマークは付けられません。つまり、このシナリオでは条件付きアクセスはサポートされていません。 共有デバイス モードでデバイスを手動で構成する場合は、デバイスから Authenticator をアンインストールして再インストールすることで、サード パーティの MDM サポートを利用できる場合に条件付きアクセスのサポートを受けるために、ゼロタッチ プロビジョニングで Android デバイスを共有デバイス モードに再登録する追加の手順を実行する必要があります。
デバイスは 1 つの MDM ソリューションにのみ登録できますが、複数の MDM ソリューションを使用してデバイスの個別のプールを管理できます。 たとえば、共有デバイスには Workspace ONE を使用し、BYOD には Intune を使用できます。 複数の MDM ソリューションを使用する場合は、条件付きアクセス ポリシーが一致しないため、一部のユーザーが共有デバイスにアクセスできない可能性があることに注意してください。
| MDM ソリューション | シングル サインアウト | ゼロ タッチ プロビジョニング | 条件付きアクセスのMicrosoft Entra |
|---|---|---|---|
| Intune (Microsoft) | 共有デバイス モードで登録されている Android デバイスと iOS デバイスでサポートされます | 共有デバイス モードで登録されている Android デバイスと iOS デバイスでサポートされます | 共有デバイス モードで登録されている Android デバイスと iOS デバイスでサポートされます |
| ワークスペース ONE (VMware) | Android アプリデータの消去機能でサポートされます。 iOS では使用できません | 現在、Android および iOS では使用できません。 | 現在、Android および iOS では使用できません。 |
| MobiControl (SOTI) | ワイプ プログラムのデータ機能でサポートされます。 iOS では使用できません。 | 現在、Android および iOS では使用できません。 | 現在、Android および iOS では使用できません。 |
Intune に登録されている Windows デバイスでは、シングル サインアウト、ゼロ タッチ プロビジョニング、条件付きアクセスのMicrosoft Entraがサポートされています。 Windows デバイスで共有デバイス モードを構成する必要はありません。
INTUNE は BYOD シナリオに推奨されます。これは、デバイスの種類に合わせて最適なサポートと機能を提供するためです。
個人用の Android と iOS デバイスを登録する
会社所有のデバイスに加えて、ユーザー個人所有のデバイスをIntune 管理に登録できます。 BYOD 登録の場合は、Microsoft Intune管理センターにデバイス ユーザーを追加し、登録エクスペリエンスを構成し、Intune ポリシーを設定します。 ユーザーは、デバイスにインストールされている Intune ポータル サイト アプリで自分で登録を完了します。
場合によっては、ユーザーは個人のデバイスを管理に登録することに消極的な場合があります。 デバイス登録がオプションでない場合は、モバイル アプリケーション管理 (MAM) アプローチを選択し、 アプリ保護ポリシー を使用して、企業データを含むアプリを管理できます。 たとえば、Teams および Office モバイル アプリにアプリ保護ポリシーを適用して、会社のデータがデバイス上の個人用アプリにコピーされないようにすることができます。
詳細については、「個人のデバイスと組織所有のデバイス」と「展開ガイダンス: Microsoft Intune でデバイスを登録する」を参照してください。
認証
認証機能は、アカウントを使用してアプリケーション、データ、リソースにアクセスするユーザーまたはユーザーを制御します。 共有デバイスを現場担当者に展開する組織では、認証されたユーザー間でデバイスが転送されるときに、アプリケーションやデータへの不正なアクセスや意図しないアクセスを防止しながら、ワーカーの生産性を妨げない認証制御が必要です。
Microsoft の現場ソリューションはクラウドから提供され、Microsoft Entra ID を基になる ID サービスとして利用して、Microsoft 365 アプリケーションとリソースをセキュリティで保護します。 Microsoft Entra ID のこれらの認証機能は、共有デバイスの展開に関する一意の考慮事項 (自動シングル サインオン、シングル サインアウト、その他の強力な認証方法) に対処します。
共有デバイス モード
共有デバイス モードは、従業員が共有するデバイスを構成できるMicrosoft Entra ID の機能です。 この機能により、Microsoft Teams および共有デバイス モードをサポートする他のすべてのアプリに対して、シングル サインオン (SSO) とデバイス全体のサインアウトが可能になります。 この機能は、Microsoft Authentication Library (MSAL) を使用して基幹業務 (LOB) アプリに統合できます。 デバイスが共有デバイス モードになると、Microsoft Authentication Library (MSAL) を利用するアプリケーションは、共有デバイスで実行されていることを検出し、現在アクティブなユーザーが誰であるかを判断できます。 この情報を使用すると、アプリケーションは次の認証制御を実行できます。
- 自動シングル サインオン: ユーザーが別の MSAL アプリケーションに既にサインインしている場合、ユーザーは共有デバイス モードと互換性のある任意のアプリケーションにログインします。 これは、以前にサインインしたアカウントをユーザーが選択する必要がなくなるため、最初のアプリケーションにサインインした後にアプリケーションにアクセスするのにかかる時間がさらに短縮されるため、以前のシングル サインオン エクスペリエンスの改善です。
- シングル サインアウト: ユーザーが MSAL を使用してアプリからサインアウトすると、共有デバイス モードと統合された他のすべてのアプリケーションでバックグラウンド プロセスを停止し、データ消去プロセスのサインアウトを開始して、次のユーザーによる不正なアクセスや意図しないアクセスを防ぐことができます。
Teams を例として、共有デバイス モードのしくみを説明します。 従業員がシフトの開始時に Teams にサインインすると、デバイスで共有デバイス モードをサポートしている他のすべてのアプリに自動的にサインインされます。 シフトが終了した際、Teams からサインアウトすると、共有デバイス モードをサポートしている他のすべてのアプリからグローバルにサインアウトされます。 サインアウト後、Teams 内の従業員のデータと会社のデータ (その中でホストされているアプリを含む) と、共有デバイス モードをサポートする他のすべてのアプリにアクセスできなくなります。 デバイスは準備完了で、次の従業員へ安全に受け渡すことができます。
共有デバイス モードは、アプリの設定やキャッシュされたデータに影響を与えることなく、アプリケーション開発者が個人ユーザー データを選択的にクリアできるため、Android のアプリ データクリア機能の改善です。 共有デバイス モードでは、初めての実行エクスペリエンスが表示されるかどうかをアプリケーションが記憶できるようにするフラグは削除されないため、ユーザーはサインオンするたびに最初の実行エクスペリエンスが表示されません。
共有デバイス モードでは、デバイスをすべてのユーザーに対して 1 回Microsoft Entra ID に登録できるため、共有デバイスでアプリとデータの使用状況をセキュリティで保護するプロファイルを簡単に作成できます。 これにより、新しいユーザーがデバイスに認証されるたびにデバイスを再登録することなく、条件付きアクセスをサポートできます。
Microsoft Authenticator アプリをインストールして共有モードをオンにすることで、Microsoft IntuneやMicrosoft Configuration Managerなどのモバイル デバイス管理 (MDM) ソリューションを使用して、共有するデバイスを準備します。 共有デバイス モードをサポートする Teams およびその他のすべてのアプリでは、共有モードの設定を使用してデバイス上のユーザーを管理します。 使用する MDM ソリューションは、サインアウトが発生したときにデバイスのクリーンアップを実行する必要もあります。
注:
共有デバイス モードは、完全なデータ損失防止ソリューションではありません。 共有デバイス モードは、Microsoft Application Manager (MAM) ポリシーと組み合わせて使用して、共有デバイス モード (ローカル ファイル ストレージなど) を利用していないデバイスの領域にデータが漏洩しないようにする必要があります。
前提条件と考慮事項
共有デバイス モードを使用するには、次の前提条件を満たす必要があります。
- デバイスには、まず Microsoft Authenticator がインストールされている必要があります。
- デバイスは共有デバイス モードで登録する必要があります。
- これらの利点を必要とするすべてのアプリケーションは、MSAL の共有デバイス モード API と統合する必要があります。
MAM ポリシーは、共有デバイス モードが有効なアプリケーションから非共有デバイス モードが有効なアプリケーションにデータが移動しないようにするために必要です。
現在、共有デバイス モードのゼロタッチ プロビジョニングは Intune でのみ使用できます。 サード パーティの MDM ソリューションを使用している場合は、 手動の構成手順を使用して、デバイスを共有デバイス モードで登録する必要があります。
注:
条件付きアクセスは、手動で構成されたデバイスでは完全にはサポートされていません。
一部の Microsoft 365 アプリケーションでは、現在、共有デバイス モードがサポートされていません。 次の表は、使用可能な内容をまとめたものです。 必要なアプリケーションに共有デバイス モードの統合がない場合は、Microsoft Teams または Microsoft Edge でアプリケーションの Web ベースのバージョンを実行して、共有デバイス モードの利点を得ることをお勧めします。
現在、共有デバイス モードは Android デバイスでサポートされています。 以下のリソースも、利用を開始するときに役立ちます。
Android デバイスを共有デバイス モードに登録する
Intune を使用して Android デバイスを共有デバイス モードに管理および登録するには、デバイスが Android OS バージョン 8.0 以降を実行しており、Google Mobile Services (GMS) への接続が必要です。 詳細については、次を参照してください。
Microsoft Managed Home Screen アプリを展開して、Intune に登録された Android 専用デバイスでユーザーのエクスペリエンスを調整することもできます。 マネージド ホーム画面は、他の承認済みアプリをその上で実行するための起動ツールとして機能し、デバイスをカスタマイズし、従業員がアクセスできる機能を制限することができます。 たとえば、ホーム画面でのアプリの表示方法を定義したり、会社のロゴを追加したり、カスタム壁紙を設定したり、従業員がセッション PIN を設定できるようにしたりできます。 また、サインアウトは、指定した非アクティブ期間の後に自動的に行われるよう構成することもできます。 詳細については、次を参照してください。
- 「Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」
- マルチアプリ キオスク モードで専用デバイスに Microsoft マネージド ホーム画面を設定する方法
共有デバイス モード用のアプリを作成する開発者向け
開発者の場合は、アプリを共有デバイス モードと統合する方法の詳細については、次のリソースを参照してください:
多要素認証
Microsoft Entra ID では、Authenticator アプリ、FIDO2 キー、SMS、音声通話など、複数の形式の多要素認証がサポートされています。
コストと法的な制限が高いため、最も安全な認証方法は多くの組織にとって実用的でない場合があります。 たとえば、FIDO2 セキュリティ キーは通常、コストが高すぎると見なされます。Windows Helloなどの生体認証ツールは、既存の規制や共用体の規則に対して実行される可能性があります。また、現場担当者が個人用デバイスを動作させることが許可されていない場合、SMS サインインは不可能な場合があります。
多要素認証は、アプリケーションとデータに高度なセキュリティを提供しますが、ユーザー のサインオンに継続的な摩擦を加えます。 BYOD デプロイを選択する組織の場合、多要素認証は実用的なオプションである場合とそうでない場合があります。 ビジネスチームと技術チームは、広範なロールアウトの前に多要素認証でユーザー エクスペリエンスを検証し、変更管理と準備作業でユーザーの影響を適切に考慮できるようにすることを強くお勧めします。
organizationまたはデプロイ モデルで多要素認証が実現できない場合は、セキュリティ リスクを軽減するために、堅牢な条件付きアクセス ポリシーを利用することを計画する必要があります。
パスワードレス認証
現場の従業員のアクセスをさらに簡素化するために、パスワードレス認証方法を利用して、ワーカーがパスワードを覚えたり入力したりする必要がないようにすることができます。 パスワードレス認証方法も通常より安全であり、多くは必要に応じて MFA 要件を満たすことができます。
パスワードレス認証方法を続行する前に、既存の環境で動作できるかどうかを判断する必要があります。 コスト、OS のサポート、個人用デバイスの要件、MFA のサポートなどの考慮事項は、認証方法がニーズに合わせて機能するかどうかに影響する可能性があります。 たとえば、FIDO2 セキュリティ キーは現在、コストが高すぎると見なされており、現場担当者が個人用デバイスを動作させることが許可されていない場合、SMS と Authenticator のサインインは不可能な場合があります。
現場シナリオのパスワードレス認証方法を評価するには、表を参照してください。
| Method | OS のサポート | 個人用デバイスが必要 | 多要素認証をサポート |
|---|---|---|---|
| SMS サインイン | Android と iOS | はい | いいえ |
| Windows Hello | Windows | いいえ | はい |
| Microsoft Authenticator アプリ | すべて | はい | はい |
| FIDO2 キー | Windows | いいえ | はい |
共有デバイスを使用して展開していて、以前のパスワードレス オプションが実現できない場合は、強力なパスワード要件を無効にして、管理対象デバイスにログインするときにユーザーが簡単なパスワードを提供できるようにすることができます。 強力なパスワード要件を無効にする場合は、実装計画にこれらの戦略を追加することを検討する必要があります。
- 共有デバイスのユーザーに対してのみ強力なパスワード要件を無効にします。
- これらのユーザーが信頼されていないネットワーク上の共有されていないデバイスにログインできないようにする条件付きアクセス ポリシーを作成します。
Authorization
承認機能は、認証されたユーザーが実行できる操作やアクセスを制御します。 Microsoft 365 では、これはMicrosoft Entra条件付きアクセス ポリシーとアプリケーション保護ポリシーの組み合わせによって実現されます。
堅牢な承認制御を実装することは、特にコストや実用的な理由で多要素認証 (MFA) のような強力な認証方法を実装できない場合に、現場の共有デバイスの展開をセキュリティで保護する上で重要な要素です。
条件付きアクセスのMicrosoft Entra
条件付きアクセスでは、次のシグナルに基づいてアクセスを制限するルールを作成できます。
- ユーザーまたはグループ メンバーシップ
- IP 位置情報
- デバイス (デバイスが Microsoft Entra ID に登録されている場合にのみ使用できます)
- アプリケーション
- リアルタイムおよび計算されたリスク検出
条件付きアクセス ポリシーを使用すると、ユーザーが準拠していないデバイス上にいる場合、または信頼されていないネットワーク上にいるときにアクセスをブロックできます。 たとえば、条件付きアクセスを使用して、organizationの適用法の分析に応じて、ユーザーが作業ネットワーク上にいない場合やアンマネージド デバイスを使用している場合に、インベントリ アプリケーションにアクセスできないようにすることができます。
人事関連の情報やビジネスに関連しないアプリケーションなど、業務外のデータにアクセスするのが理にかなっている BYOD シナリオでは、多要素認証などの強力な認証方法と共に、より寛容な条件付きアクセス ポリシーを実装することを選択できます。
条件付きアクセスは、次の場合にサポートされています。
- Intune で管理されている共有 Windows デバイス。
- ゼロタッチ プロビジョニングを使用して共有デバイス モードで登録されている共有 Android デバイスと iOS デバイス。
- Windows、Android、iOS 用の BYOD は、Intune またはサード パーティの MDM ソリューションで管理されます。
条件付きアクセス はサポートされていません 。
- 共有デバイス モードで手動で構成されたデバイス (Android デバイスや iOS デバイスなど) は、サード パーティの MDM ソリューションで管理されます。
- Shared iPad for Business を使用する iPad デバイス。
注:
一部のサード パーティの MDM ソリューションで管理されている Android デバイスの条件付きアクセスは近日公開予定です。
条件付きアクセスの詳細については、条件付きアクセスのMicrosoft Entraに関するドキュメントを参照してください。
アプリ保護ポリシー
Intune の MAM を使用すると、Intune の APP SDK と統合されたアプリケーションでアプリ保護ポリシー ( APP) を使用できます。 これにより、アプリケーション内のorganizationのデータをさらに保護できます。
アプリ保護ポリシーを使用すると、次のようなアクセス制御セーフガードを追加できます。
- 仕事ではアプリを開くとき、PIN を要求する。
- アプリケーション間のデータ共有を制御する
- 会社アプリのデータを個人ストレージの場所に保存することを禁止する
- デバイスのオペレーティング システムが最新であることを確認する
また、AP を使用して、共有デバイス モードをサポートしていないアプリケーションにデータが漏洩しないようにすることもできます。 データ損失を防ぐには、共有デバイスで次の APP を有効にする必要があります。
- 共有デバイス モードが有効になっていないアプリケーションへのコピー/貼り付けを無効にします。
- ローカル ファイルの保存を無効にします。
- 共有されていないデバイス モードが有効なアプリケーションへのデータ転送機能を無効にします。
APP は、デバイス全体を管理することなくアプリ レベルでデータを保護できるため、BYOD シナリオで役立ちます。 これは、従業員が別のテナント (大学や別の雇用主など) によって管理されるデバイスを持ち、別の会社が管理できないシナリオで重要です。
アプリケーションの管理
展開計画には、現場担当者がジョブを実行する必要があるアプリケーションのインベントリと評価を含める必要があります。 このセクションでは、ユーザーが必要なアプリケーションにアクセスし、現場実装のコンテキストでエクスペリエンスが最適化されるようにするための考慮事項と必要な手順について説明します。
この評価のために、アプリケーションは次の 3 つのグループに分類されます。
- Microsoft アプリケーションは 、Microsoft によって構築およびサポートされています。 Microsoft アプリケーションは、Microsoft Entra ID をサポートし、Intune の APP SDK と統合します。 ただし、すべての Microsoft アプリケーションが共有デバイス モードでサポートされているわけではありません。 [サポートされているアプリケーションと可用性の一覧を参照してください。(認証ブックマーク)
- サード パーティ製アプリケーション は、サード パーティのプロバイダーによって構築され、商用で販売されています。 一部のアプリケーションでは、Microsoft Entra ID、Intune の APP SDK、または共有デバイス モードがサポートされていません。 アプリケーション プロバイダーと Microsoft アカウント チームと協力して、ユーザー エクスペリエンスが何であるかを確認します。
- カスタム基幹業務アプリケーションは、社内のビジネス ニーズに対応するために、organizationによって開発されます。 Power Apps を使用してアプリケーションをビルドすると、アプリは Microsoft Entra ID、Intune、および共有デバイス モードで自動的に有効になります。
現場のユーザーがアクセスするアプリケーションは、グローバル シングルインとシングル サインアウトを有効にするためのこれらの要件 (該当する場合) を満たしています。
- カスタムアプリケーションとサードパーティアプリケーションを MSAL と統合する:ユーザーは、Microsoft Entra ID を使用してアプリケーションに対して認証を行い、SSO を有効にし、条件付きアクセス ポリシーを適用できます。
- アプリケーションを共有デバイス モードと統合します (Android または iOS 共有デバイスにのみ適用されます)。 アプリケーションでは、MSAL で必要な共有デバイス モード API を使用して、自動シングル サインオンとシングル サインアウトを実行できます。これらの API を適切に使用すると、共有デバイス モードと統合できます。 これは、Teams、Microsoft Edge、または PowerApps でアプリケーションを実行している場合は必要ありません。
- Intune の APP SDK と統合します (Android または iOS 共有デバイスにのみ適用されます)。 意図しないデータや未承認のデータ漏洩を防ぐために、Intune でアプリケーションを管理できます。 これは、MDM でデバイスのチェックフロー中に機密データをワイプするアプリ データ クリアを実行する場合は必要ありません (シングル サインアウト)。
アプリケーションを正常に検証したら、MDM ソリューションを使用してマネージド デバイスにデプロイできます。 これにより、デバイス登録中に必要なすべてのアプリケーションをプレインストールして、ユーザーが 1 日目に必要なすべてを持つことができます。
Android デバイス用アプリ起動ツール
Android デバイスでは、従業員がデバイスを開くとすぐにフォーカスされたエクスペリエンスを提供する最善の方法は、カスタマイズされた起動画面を提供することです。 カスタマイズされた起動画面では、従業員が使用する必要がある関連アプリケーションと、重要な情報を強調表示するウィジェットのみを表示できます。
ほとんどの MDM ソリューションには、使用できる独自のアプリ起動ツールが用意されています。 たとえば、Microsoft はマネージド ホーム スクリーンを提供します。 共有デバイス用に独自のカスタム アプリ起動ツールを構築する場合は、シングル サインオンとシングル サインアウトがデバイスで機能するように、共有デバイス モードと統合する必要があります。 次の表では、Microsoft とサード パーティの開発者が現在使用できる最も一般的なアプリ起動ツールの一部を示します。
| アプリ起動ツール | 機能 |
|---|---|
| マネージド ホーム スクリーン | エンド ユーザーが Intune に登録されている専用デバイス上の特定のアプリケーション セットにアクセスできるようにする場合は、マネージド ホーム スクリーンを使用します。 マネージド ホーム スクリーンは、デバイスの既定のホーム画面として自動的に起動され、エンド ユーザーに唯一のホーム画面として表示されるため、ロックダウンエクスペリエンスが必要な場合に共有デバイスのシナリオで便利です。 |
| Microsoft Launcher | Microsoft Launcher を使用すると、ユーザーは電話をカスタマイズしたり、外出先で整理したり、電話から PC に仕事を転送したりできます。 Microsoft Launcher は、エンド ユーザーが標準のホーム画面にアクセスできるため、マネージド ホーム スクリーンとは異なります。 そのため、MICROSOFT Launcher は BYOD シナリオで役立ちます。 |
| VMware Workspace ONE Launcher | VMware を使用しているお客様にとって、ワークスペース ONE Launcher は、現場の従業員がアクセスする必要がある一連のアプリケーションをキュレーションするための最適なツールです。 この起動ツールのサインアウト オプションは、VMware デバイスでシングル サインアウトのために Android App Data Clear を有効にすることもできます。 VMware Workspace ONE Launcher は現在、共有デバイス モードをサポートしていません。 |
| カスタム アプリ起動ツール | 完全にカスタマイズされたエクスペリエンスが必要な場合は、独自のカスタム アプリ起動ツールを構築できます。 ランチャーを共有デバイス モードと統合して、ユーザーがサインインとサインアウトを 1 回だけ行う必要があります。 |
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示