現場でのデバイス管理の概要
概要
すべての業界において、現場担当者が従業員の大きな割合を占めています。 現場担当者の役割には、小売担当者、工場勤務者、現場およびサービス技術者、医療従事者などが含まれます。
多くの従業員は移動性が高く、多くの場合シフトベースであるため、現場担当者が使用するデバイスを管理することが重要な基本です。 考慮すべきいくつかのポイント:
- 従業員は会社所有のデバイスを使用しますか? または個人のデバイスを使用しますか?
- 会社所有のデバイスは、従業員間で共有されていますか? または個人に割り当てられていますか?
- 従業員はデバイスを自宅に持ち帰りますか? または職場に置きますか?
セキュリティで保護された準拠ベースラインを設定して、共有デバイスでも従業員自身のデバイスでも、従業員のデバイスを管理することが重要です。
この記事では、一般的な現場の従業員デバイスのシナリオと管理機能の概要を説明し、会社のデータを保護しながら従業員をエンパワーできます。 情報と考慮事項を使用して、最前線のデバイスの展開を計画するのに役立ちます。
デバイスの展開
計画の重要な手順は、モバイル デバイスを現場とサポートするオペレーティング システムに展開する方法を決定することです。 これらの要因を考慮して、実装計画と IT インフラストラクチャの実現可能性を評価できるように、これらの決定を前もって行います。
展開モデル
共有デバイスと Bring-your-own-device (BYOD) は、最前線の組織で最も一般的に採用されているデバイスの種類です。 次の表に、これらのデプロイ モデルと他のデプロイ モデルと関連する考慮事項を示します。
| デバイスのタイプ | 説明 | 使用する理由 | 展開に関する考慮事項 |
|---|---|---|---|
| 共有デバイス | 組織が所有および管理するデバイス。 従業員は、作業中にデバイスにアクセスします。 |
ワーカーの生産性とカスタマー エクスペリエンスが最優先事項です。 職場にいない場合、ワーカーは組織のリソースにアクセスできません。 地域の法律では、個人のデバイスがビジネス目的で使用されるのを妨げる可能性があります。 |
現場でのデバイスへのサインイン方法とデバイス外へのサインイン方法を定義します。 多要素認証 (MFA) がオプションではない場合は、Microsoft Entra 条件付きアクセス ポリシーを使用して共有デバイスをセキュリティで保護することを検討してください。 |
| Bring-your-own device (BYOD) | ユーザーが所有し、組織によって管理されている個人用デバイス。 | シフトスケジュールの確認、シフトスワップに関する同僚とのチャット、給与などの人事リソースへのアクセスを従業員に便利な方法で提供したいと考えています。 共有デバイスまたは専用デバイスは、コストまたはビジネスの準備の観点から実用的でない可能性があります。 |
個人用デバイスは、オペレーティング システム、ストレージ、接続によって異なります。 個人のデバイスの使用は、組合規則または政府の規制に反している可能性があります。 一部のワーカーは、個人用モバイル デバイスへの信頼性の高いアクセス権を持っていない可能性があります。 |
| 専用デバイス1 | 組織によって所有および管理され、1 人のユーザーに発行されたデバイス。 | Worker では、通話とテキストを受信するために専用の電話番号が必要です。 組織では、デバイスと従業員がどのようにデバイスを使用するかを完全に制御する必要があります。 |
専用ハードウェアのコスト。 ロールアウトとサポートの複雑さの追加作業は、フィールドの場所では実現できない場合があります。 |
| キオスク デバイス2 | 組織が所有および管理するデバイス。 ユーザーはサインインまたはサインアウトする必要はありません。 | デバイスには専用の目的があります。 ユース ケースでは、ユーザー認証は必要ありません。 |
コラボレーション、コミュニケーション、タスク、ワークフロー アプリでは、機能するためにユーザー ID が必要です。 ユーザー アクティビティを監査できません。 MFA を含む一部のセキュリティ機能を使用できません。 |
1専用デバイスは、主にコストが高く、スタッフの離職率が高い状況で管理する労力が原因で、現場での展開ではまれです。
2キオスク デバイスの展開は、ユーザーの監査や多要素認証などのユーザー ベースのセキュリティ機能を許可しないため、推奨されません。
キオスク デバイスの詳細については、こちらをご覧ください。
この記事では、共有デバイスと BYOD に焦点を当てています。これらは、ほとんどの現場展開の実用的なニーズに合ったデプロイ モデルです。 計画に関する考慮事項と管理機能の概要については、こちらをご覧ください。
デバイス オペレーティング システム
選択したデプロイ モデルによって、サポートするデバイス オペレーティング システムが部分的に決まります。 例:
- 共有デバイス モデルを実装する場合は、選択したデバイス オペレーティング システムによって使用可能な機能が決まります。 たとえば、Windows デバイスでは、自動サインインと Windows Hello による簡単な認証のために、複数のユーザー プロファイルを格納する機能がネイティブにサポートされています。 Android と iOS では、より多くの手順と前提条件が適用されます。
- BYOD モデルを実装する場合は、Android デバイスと iOS デバイスの両方をサポートする必要があります。
| デバイスの OS | 考慮事項 |
|---|---|
| Android | デバイスに複数のユーザー プロファイルを格納するための制限付きネイティブ機能。 Android デバイスを共有デバイス モードで登録して、シングル サインオンとサインアウトを自動化し、条件付きアクセス ポリシーをターゲットにすることができます。 コントロールと API の堅牢な管理。 現場で使用するために構築されたデバイスの既存のエコシステム。 |
| iOS と iPadOS | iOS デバイスを共有デバイス モードで登録して、シングル サインオンとサインアウトを自動化できます。 Shared iPad for Business では、iPadOS デバイスに複数のユーザー プロファイルを格納できます。 |
| Windows | デバイスに複数のユーザー プロファイルを格納するためのネイティブ サポート。 パスワードレス認証で Windows Hello をサポートします。 Microsoft Intune で使用する場合の展開と管理機能の簡素化。 |
デバイスの横向き
デバイスの展開を計画するときは、複数のサーフェス領域に関する考慮事項があります。 このセクションでは、使い慣れた環境と用語について説明します。
モバイル デバイス管理
Microsoft Intune などのモバイル デバイス管理 (MDM) ソリューションは、デバイスの展開、管理、監視を簡素化します。
デバイスは 1 つの MDM ソリューションにのみ登録できますが、複数の MDM ソリューションを使用してデバイスの個別のプールを管理できます。 たとえば、共有デバイスには VMware Workspace ONE または SOTI MobiControl、BYOD には Intune を使用できます。 複数の MDM ソリューションを使用する場合は、条件付きアクセス ポリシーまたはモバイル アプリケーション管理 (MAM) ポリシーの不一致により、一部のユーザーが共有デバイスにアクセスできない可能性があることに注意してください。
サード パーティの MDM ソリューションを使用している場合は、 Intune パートナー コンプライアンス と統合して、サード パーティの MDM ソリューションによって管理されるデバイスの条件付きアクセスを利用できます。
Android デバイス用アプリ起動ツール
アプリ起動ツールは、アプリ、壁紙、アイコンの位置などのカスタマイズされた起動画面を使用して、現場に焦点を当てたエクスペリエンスを提供できるアプリです。 現場担当者が使用する必要がある関連アプリと、重要な情報を強調表示するウィジェットのみを表示できます。
ほとんどの MDM ソリューションは、独自のアプリ起動ツールを提供します。 たとえば、Microsoft Intune はマネージド ホーム画面を提供します。 独自のカスタム起動ツールを構築することもできます。
次の表に、Microsoft およびサード パーティの開発者が Android デバイスで現在使用できる最も一般的なアプリ起動ツールの一部を示します。
| アプリ起動ツール | 機能 |
|---|---|
| マネージド ホーム画面 | Intune に登録されている専用デバイス上の特定のアプリ セットにユーザーがアクセスできるようにする場合は、マネージド ホーム画面を使用します。 マネージド ホーム画面は、デバイスの既定のホーム画面として自動的に起動され、唯一のホーム画面としてユーザーに表示されるため、ロックダウンエクスペリエンスが必要な場合に共有デバイスのシナリオで便利です。 詳細情報 を参照してください。 |
| VMware Workspace ONE Launcher | VMware を使用している場合、ワークスペース ONE Launcher は、現場でアクセスする必要がある一連のアプリをキュレーションするためのツールです。 VMware Workspace ONE Launcher は現在、共有デバイス モードをサポートしていません。 詳細情報 を参照してください。 |
| SOTI | SOTI を使用している場合、現場でアクセスする必要がある一連のアプリをキュレーションするための最適なツールは、SOTI アプリ起動ツールです。 SOTI アプリ起動ツールは、現在、共有デバイス モードをサポートしています。 |
| BlueFletch | BlueFletch Launcher は、MDM ソリューションに関係なく、デバイスで使用できます。 BlueFletch では、現在、共有デバイス モードがサポートされています。 詳細情報 を参照してください。 |
| カスタム アプリ起動ツール | 完全にカスタマイズされたエクスペリエンスが必要な場合は、独自のカスタム アプリ起動ツールを構築できます。 ランチャーを共有デバイス モードと統合して、ユーザーがサインインとサインアウトを 1 回だけ行う必要があります。 |
ID 管理
現場担当者向けの Microsoft 365 では、すべてのアプリとリソースを配信してセキュリティで保護するための基になる ID サービスとして Microsoft Entra ID が使用されます。 Microsoft 365 アプリにアクセスするには、ユーザーが Microsoft Entra ID に存在する ID を持っている必要があります。
Active Directory Domain Services (AD DS) またはサード パーティ ID プロバイダーを使用して最前線のユーザー ID を管理する場合は、これらの ID を Microsoft Entra ID にフェデレーションする必要があります。 サード パーティのサービスと Microsoft Entra ID を統合する方法について説明します。
現場の ID を管理するための実装パターンとしては、次のようなものがあります。
- Microsoft Entra スタンドアロン: 組織は、Microsoft Entra ID のユーザー、デバイス、アプリ ID を、現場のワークロードのスタンドアロン ID ソリューションとして作成および管理します。 この実装パターンは、現場でのデプロイ アーキテクチャを簡素化し、ユーザーサインイン中のパフォーマンスを最大化するために推奨されます。
- Active Directory Domain Services (AD DS) と Microsoft Entra ID の統合: Microsoft では、これら 2 つの環境に参加するための Microsoft Entra Connect を提供しています。 Microsoft Entra Connect は、Active Directory ユーザー アカウントを Microsoft Entra ID にレプリケートし、ユーザーがローカルリソースとクラウドベースリソースの両方にアクセスできる単一の ID を持つことができます。 AD DS と Microsoft Entra ID はどちらも独立したディレクトリ環境として存在できますが、ハイブリッド ディレクトリを作成することもできます。
- サード パーティの ID ソリューションと Microsoft Entra ID の同期: Microsoft Entra ID では、Okta や Ping ID などのサード パーティの ID プロバイダーとのフェデレーションによる統合がサポートされています。 サード パーティの ID プロバイダーの使用について詳しくは、こちらをご覧ください。
HR 主導のユーザー プロビジョニング
ユーザー プロビジョニングの自動化は、現場の従業員が 1 日目にアプリやリソースにアクセスできるようにする組織にとって実用的なニーズです。 セキュリティの観点からは、従業員のオフボーディング中にプロビジョニング解除を自動化して、以前の従業員が会社のリソースへのアクセスを保持しないようにすることも重要です。
Microsoft Entra ユーザー プロビジョニング サービスは、Workday や SAP SuccessFactors などのクラウドベースおよびオンプレミスの HR アプリと統合されます。 人事システムで従業員が作成または無効化されたときに、ユーザープロビジョニングとプロビジョニング解除を自動化するようにサービスを構成できます。
詳細については、次を参照してください。
マイ スタッフでユーザー管理を委任する
Microsoft Entra ID の マイ スタッフ 機能を使用すると、マイ スタッフ ポータルを使用して、一般的なユーザー管理タスクを現場マネージャーに委任できます。 現場マネージャーは、ヘルプデスク、オペレーション、または IT に要求をルーティングすることなく、直接ストアまたは工場のフロアから、現場担当者のパスワードをリセットしたり、電話番号を管理したりできます。
また、現場マネージャーは、チーム メンバーの電話番号を SMS サインインに登録することもできます。 組織内で SMS ベースの認証 が有効になっている場合、現場担当者は電話番号と SMS 経由で送信されたワンタイム パスコードのみを使用して Teams やその他のアプリにサインインできます。 これにより、現場担当者のサインインが簡単かつ迅速になります。
共有デバイス モード
Microsoft Entra ID の 共有デバイス モード 機能を使用すると、従業員が共有するデバイスを構成できます。 この機能により、Teams および共有デバイス モードをサポートする他のすべてのアプリに対して、シングル サインオン (SSO) とデバイス全体のサインアウトが可能になります。
Teams を例として、共有デバイス モードのしくみを説明します。 従業員がシフトの開始時に Teams にサインインすると、デバイスで共有デバイス モードをサポートしている他のすべてのアプリに自動的にサインインされます。 シフトの終了時に Teams からサインアウトすると、共有デバイス モードをサポートする他のすべてのアプリからサインアウトされます。 サインアウト後、Teams および共有デバイス モードをサポートする他のすべてのアプリの従業員のデータと会社のデータにアクセスできなくなります。 デバイスは、次の従業員が使用する準備ができています。
この機能は、 Microsoft Authentication Library (MSAL) を使用して基幹業務 (LOB) アプリに統合できます。
認証
認証機能は、アカウントを使用してアプリケーション、データ、リソースにアクセスするユーザーまたはユーザーを制御します。
前述のように、現場担当者向け Microsoft 365 では、Microsoft 365 アプリとリソースをセキュリティで保護するための基になる ID サービスとして Microsoft Entra ID が使用されます。 Microsoft Entra ID での認証の詳細については、「 Microsoft Entra 認証とは」および「Microsoft EntraID で利用できる認証と検証方法」を参照してください。
多要素認証
Microsoft Entra 多要素認証 (MFA) は、サインイン時に次の 2 つ以上の認証方法を要求することで機能します。
- ユーザーが認識しているもの (通常はパスワード)。
- 電話やハードウェア キーなど、簡単に複製できない信頼できるデバイスなど、ユーザーが持っているもの。
- ユーザーが何かである - 指紋や顔スキャンのような生体認証。
MFA では、Microsoft Authenticator アプリ、FIDO2 キー、SMS、音声呼び出しなど、いくつかの形式の検証方法がサポートされています。
MFA は、アプリとデータに高度なセキュリティを提供しますが、ユーザーのサインインに摩擦を加えます。 BYOD デプロイを選択する組織の場合、MFA は実用的なオプションである場合とそうでない場合があります。 ビジネスチームと技術チームは、広範なロールアウトの前に MFA でユーザー エクスペリエンスを検証し、変更管理と準備作業でユーザーの影響を適切に考慮できるようにすることを強くお勧めします。
組織またはデプロイ モデルで MFA が実現できない場合は、セキュリティ リスクを軽減するために、堅牢な条件付きアクセス ポリシーを使用することを計画する必要があります。
パスワードレス認証
現場の従業員のアクセスをさらに簡素化するために、パスワードレス認証方法を使用して、ワーカーがパスワードを覚えたり入力したりする必要がないようにすることができます。 パスワードレス認証方法では、サインイン時にパスワードの使用が削除され、次のように置き換えられます。
- 電話やセキュリティ キーなど、ユーザーが持っているもの。
- 生体認証や PIN など、ユーザーが知っているもの。
パスワードレス認証方法も通常より安全であり、多くは必要に応じて MFA 要件を満たすことができます。
パスワードレス認証方法を続行する前に、既存の環境で動作できるかどうかを判断します。 コスト、OS サポート、個人用デバイス要件、MFA サポートなどの考慮事項は、認証方法がニーズに合わせて機能するかどうかに影響する可能性があります。
現場シナリオのパスワードレス認証方法を評価するには、次の表を参照してください。
| メソッド | OS のサポート | 個人用デバイスが必要 | MFA をサポート |
|---|---|---|---|
| Microsoft Authenticator アプリ | すべて | はい | はい |
| SMS サインイン | Android と iOS | はい | いいえ |
| Windows Hello | Windows | いいえ | はい |
| FIDO2 キー | Windows | いいえ | はい |
詳細については、「 Microsoft Entra ID のパスワードレス認証オプション」および「Microsoft Entra ID を 使用して SMS ベースの認証をユーザーに構成して有効にする」を参照してください。
Authorization
承認機能は、認証されたユーザーが実行できる操作やアクセスを制御します。 Microsoft 365 では、これは Microsoft Entra 条件付きアクセス ポリシーとアプリ保護ポリシーの組み合わせによって実現されます。
堅牢な承認制御を実装することは、特に、コストや実用的な理由で MFA のような強力な認証方法を実装できない場合に、最前線の共有デバイスの展開をセキュリティで保護する上で重要な要素です。
Microsoft Entra 条件付きアクセス
条件付きアクセスでは、次のシグナルに基づいてアクセスを制限するルールを作成できます。
- ユーザーまたはグループのメンバーシップ
- IP 位置情報
- デバイス (デバイスが Microsoft Entra ID に登録されている場合にのみ使用できます)
- アプリ
- リアルタイムおよび計算されたリスク検出
条件付きアクセス ポリシーを使用すると、ユーザーが非準拠デバイスにいる場合、または信頼されていないネットワーク上にいるときにアクセスをブロックできます。 たとえば、条件付きアクセスを使用して、組織の適用法の分析に応じて、ユーザーが作業ネットワーク上にいない場合や管理されていないデバイスを使用している場合に、ユーザーがインベントリ アプリにアクセスできないようにすることができます。
人事関連の情報、シフト管理、シフト交換に関するチャット、ビジネス関連以外のアプリなど、業務外のデータにアクセスするのが理にかなっている BYOD シナリオでは、MFA などの強力な認証方法と共に、より寛容な条件付きアクセス ポリシーを実装することを選択できます。
詳細については、 Microsoft Entra の条件付きアクセスに関するドキュメントを参照してください。
アプリ保護ポリシー
Intune からのモバイル アプリケーション管理 (MAM) では、 アプリ保護ポリシーをIntune アプリ SDK と統合されたアプリと共に使用できます。 これにより、アプリ内の組織のデータをさらに保護できます。
アプリ保護ポリシーを使用すると、次のようなアクセス制御セーフガードを追加できます。
- アプリ間のデータ共有を制御する。
- 会社アプリのデータを個人ストレージの場所に保存することを禁止する。
- デバイスのオペレーティング システムが最新の状態であることを確認します。
共有デバイスの展開では、アプリ保護ポリシーを使用して、共有デバイス モードをサポートしていないアプリにデータが漏洩しないようにすることができます。 BYOD シナリオでは、アプリ保護ポリシーを使用すると、デバイス全体を管理することなくアプリ レベルでデータを保護できるため、便利です。
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示