任意の場所の任意のデバイスからの企業リソースへのセキュリティで保護されたアクセス
このガイドの利用方法
このガイドの対象読者
このガイドの対象読者は、従来の IT 企業で、IT および BYOD (Bring Your Own Device) のコンシューマライゼーションで使用できるソリューションを理解したいと考えているインフラストラクチャ アーキテクト、エンタープライズ セキュリティの専門家、およびデバイス管理の専門家です。 このガイドで説明しているエンド ツー エンドのソリューションは、Microsoft エンタープライズ モビリティ ビジョンの一環です。
デバイス (会社が所有するデバイス、個人用のデバイス、および自分のデバイスを使ってオンプレミスやクラウド内の企業リソースにアクセスする消費者) が爆発的に増加するという現在のトレンドが原因で、IT 担当者はデバイスの使用やデバイスの ID に関するユーザーの生産性と満足度の向上と、企業リソースやアプリケーションへの接続エクスペリエンスの向上を支援することが必要不可欠になりました。 同時に、IT 組織にさまざまな管理とセキュリティに関する課題をもたらすことになり、企業のインフラストラクチャや企業データを悪意のある攻撃から確実に保護する必要があります。 これらの企業は、デバイスの種類または場所に関係なく、企業のポリシーに従って、リソースにアクセスできることを確認することも必要になります。
Windows Server 2012 R2 が提供するさまざまなテクノロジーの実装と構成を行い、これらの課題に対処するようにエンドツーエンドのソリューションを設定することによって、現在のインフラストラクチャを拡張することができます。
次の図は、このソリューション ガイドで対処する問題を示しています。 この図は、個人用のデバイスと会社のデバイスを使用して、クラウドとオンプレミスの両方のアプリケーションとデータにアクセスするユーザーを示しています。 これらのアプリケーションとリソースは、ファイアウォールの内側にある場合も外側にある場合もあります。
.jpeg "デバイスとアプリケーションの展開とアクセス")
このソリューション ガイドの内容:
シナリオ、問題の説明、目標
このソリューションの推奨される設計
このソリューションを実装する手順
シナリオ、問題の説明、目標
このセクションでは、例として取り上げた組織のシナリオ、問題の説明、および目標について説明します。
シナリオ
あなたの組織は、中規模の金融企業です。 5,000 人を超える社員が雇用され、各社員は個人用デバイス (Windows RT および iOS ベースのデバイス) を持ち込んで作業しています。 現在、これらのデバイスから会社のリソースにアクセスする方法はありません。
現在のインフラストラクチャでは、Windows Server 2012 がインストールされたドメイン コントローラーを備えた Active Directory フォレストが使われています。 またシステム センターを介して、リモート アクセス サーバーと System Center Configuration Manager も使われています。
問題の説明
IT チームが会社の経営チームに対して発行した最近のレポートは、自分の個人用デバイスを持ち込んで仕事に使う社員の数が増え、彼らは会社のデータにアクセスする必要があることを示しています。 経営チームは、より多くのユーザーが自分のデバイスを会社に持ち込むようになるというこの市場におけるトレンドを理解し、このような需要に安全に対処するソリューションが実装されることを望んでいます。 つまり、会社の IT チームは以下のことを実行する必要があります。
従業員が個人のデバイスや会社のデバイスを使用して、会社のアプリケーションとデータにアクセスできる。 これらのデバイスには、PC とモバイル デバイスが含まれます。
各ユーザーのニーズと、これらのデバイスに対する会社のポリシーに従って、リソースへの安全なアクセスを提供する。 デバイス間のユーザー エクスペリエンスをシームレスにする必要があります。
デバイスを識別して管理する。
組織の目標
このガイドでは、次のことを実現するため、会社のインフラストラクチャを拡張するためのソリューションも組み合わせています。
個人用のデバイスと会社のデバイスの登録の簡略化。
必要に応じた、内部リソースへのシームレスな接続。
複数のデバイスにまたがる、企業リソースへの一貫性のあるアクセス。
このソリューションの推奨される設計
ビジネス上の問題を解決し、前述のすべての目標を達成するには、組織が複数のサブシナリオを実装する必要があります。 これらの各サブシナリオを、次の図に集合的に示します。
.jpeg "ソリューションのすべてのコンポーネントを示す概要")
ユーザーによるデバイスの登録とシングル サインオン エクスペリエンスの実現
企業リソースへのシームレスなアクセスのセットアップ
アクセス制御リスク管理の強化
統一されたデバイスの管理
ユーザーによるデバイスの登録とシングル サインオン エクスペリエンスの実現
ソリューションのこの部分では、以下の重要なフェーズが関連しています。
IT 管理者はデバイス登録をセットアップできます。デバイス登録により、デバイスを会社の Active Directory に関連付け、この関連付けをシームレスな第 2 要素認証として使用できます。 社内参加とは、ユーザーが自分のデバイスを会社のディレクトリに安全に登録できる Active Directory の新機能です。 この登録により、会社のリソースにアクセスするときに、デバイスの認証に使用できる証明書がデバイスにプロビジョニングされます。 この関連付けを使用することで、IT 担当者は、ユーザーが会社のリソースにアクセスする際に、ユーザーが認証済みで、社内参加が有効であるデバイスを使用していることの 2 点を要求するカスタムのアクセス ポリシーを構成できます。
IT 管理者は、会社の Active Directory に関連付けられているデバイスから、シングル サインオン (SSO) をセットアップできます。 SSO とは、エンド ユーザーが会社が提供するアプリケーションにアクセスする場合に一度サインインすると、会社の別のアプリケーションにアクセスする際にサインイン情報の再入力を求められなくなる機能です。 Windows Server 2012 R2 では、SSO 機能が社内に参加したデバイスにまで拡張されます。 これにより、ユーザーの資格情報を各アプリケーションに格納するというリスクを回避しながら、エンド ユーザー エクスペリエンスが向上します。 これには、個人用または会社が所有するデバイス上でパスワードを収集する機会を制限するという追加の利点があります。
次の図は、社内参加の高レベルなスナップショットを示しています。
.jpeg "社内デバイス登録による社内参加")
個々の機能について、次の表で詳しく説明します。
ソリューションの設計要素 |
このソリューションに含まれる理由 |
|---|---|
社内参加 |
社内参加を使用すると、ユーザーは自分のデバイスを会社のディレクトリに安全に登録することができます。 この登録により、会社のリソースにアクセスするときに、デバイスの認証に使用できる証明書がデバイスにプロビジョニングされます。 詳細については、「ハイパーリンク "https://technet.microsoft.com/library/dn280945.aspx" 任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな 2 要素認証」を参照してください。 |
この機能のために構成する必要があるサーバーの役割とテクノロジを、次の表に示します。
ソリューションの設計要素 |
このソリューションに含まれる理由 |
|---|---|
Windows Server 2012 R2 スキーマ アップデートを搭載したドメイン コントローラー |
Active Directory ドメイン サービス (AD DS) のインスタンスは、ユーザーおよびデバイスの認証用と、アクセス ポリシーと一元管理構成ポリシーの適用にアイデンティティ ディレクトリを提供します。 このソリューション用のディレクトリ サービス インフラストラクチャのセットアップの詳細については、「ドメイン コントローラーを Windows Server 2012 R2 または Windows Server 2012 にアップグレードする」を参照してください。 |
デバイス登録サービスを使った AD FS |
Active Directory フェデレーション サービス (AD FS) では、管理者はデバイス登録サービス (DRS) を構成し、Active directory に対する社内参加対応デバイス用に、社内参加のプロトコルを実装します。 さらに AD FS は、OAuth 認証プロトコル、デバイス認証、およびユーザー、デバイス、場所の条件が含まれている条件付きアクセス制御ポリシーによって強化されています。 AD FS 設計インフラストラクチャの計画の詳細については、「Windows Server 2012 R2 での AD FS 設計ガイド」を参照してください。 |
ドメイン コントローラーを設定するための設計に関する考慮事項
このソリューションでは、Windows Server 2012 R2 を実行しているドメイン コントローラーは不要です。 必要なのは、現在の AD DS のインストールからのスキーマ更新だけです。 スキーマの拡張の詳細については、「Active Directory ドメイン サービスをインストールする」を参照してください。Adprep.exe の実行によって、Windows Server 2012 R2 を実行しているドメイン コントローラーをインストールしなくても、既存のドメイン コントローラーのスキーマを更新できます。
新機能、システム要件、およびインストールを開始する前に満たす必要がある前提条件の詳細なリストについては、「AD DS インストールの前提条件の検証」および「システム要件」を参照してください。
AD FS の設計に関する考慮事項
AD FS 環境を計画するには、「AD FS 展開目標の特定」を参照してください。
企業リソースへのシームレスなアクセスのセットアップ
現在の従業員は機動的で、どこにいても、作業を終了するために必要なアプリケーションにアクセスできることを望んでいます。 これを可能にするため、企業は VPN、Direct Access、および直接アクセス、およびリモート デスクトップ ゲートウェイを使用して、複数の戦略を採用してきました。
ただし、Bring Your Own Device 環境でこれらの方法を使っても、多くのユーザーが望むセキュリティの分離レベルが提供されません。 このニーズを満たすため、Windows Server の RRAS (ルーティングとリモート アクセス サービス) の役割に、Web アプリケーション プロキシ役割サービスが含まれています。 この役割サービスを使用すると、企業ネットワークの外部からのアクセスに対して、企業の基幹業務 Web アプリケーションを選択的に公開することができます。
ワーク フォルダーは、会社のファイル サーバーからユーザー デバイスへのファイル同期を可能にする、新しいファイル同期ソリューションです。 この同期用のプロトコルは、HTTPS をベースにしています。 このため、Web アプリケーション プロキシを介した公開が簡単になります。 つまり、ユーザーはイントラネットとインターネットの両方から同期ができるようになったということです。 これはまた、前述の同じ AD FS ベースの認証制御と承認制御を、企業ファイルを同期するために適用できるということも意味します。 その後、ファイルはデバイス上の暗号化された場所に保存されます。 デバイスが管理のために登録解除されると、これらのファイルは選択的に削除できます。
DirectAccess、およびルーティングとリモート アクセス サービス (RRAS) VPN は、Windows Server 2012 R2 で単一のリモート アクセスの役割に組み込まれました。 この新しいリモート アクセス サーバーの役割を使用すると、DirectAccess と VPN ベースのリモート アクセス サービスの両方の集中管理、構成および監視が可能になります。
Windows Server 2012 R2 では、組織の IT 担当者は個人用デスクトップ、プールされた仮想 (VM) ベースのデスクトップ、およびセッションベースのデスクトップを自由に選択できます。 また、IT 担当者には要件に応じて、複数のストレージ オプションが提供されます。
次の図は、企業リソースへのシームレスなアクセスを確実に実現するために実装できるテクノロジを示しています。
.jpeg "アクセスと情報の保護のソリューション")
企業リソースへのアクセスの計画
ソリューションの設計要素 |
このソリューションに含まれる理由 |
|---|---|
Web アプリケーション プロキシ |
ユーザーがリソースに接続した場合に、多要素認証、条件付きアクセスの適用などの企業リソースの公開を許可します。 詳細については、「Web アプリケーション プロキシの展開ガイド」を参照してください。 |
ワーク フォルダー (ファイル サーバー) |
ユーザー デバイスへのファイル同期を許可するように構成された企業環境内の、ファイル サーバー上にある一元管理された場所。 ワーク フォルダーは、リバース プロキシまたは Web アプリケーション プロキシを介して直接公開して、条件付きアクセス ポリシーを適用することができます。 詳細については、「ワーク フォルダーの概要」を参照してください。 |
リモート アクセス |
この新しいリモート アクセス サーバーの役割を使用すると、DirectAccess と VPN ベースのリモート アクセス サービスの両方の集中管理、構成および監視が可能になります。 さらに Windows Server 2012 の DirectAccess では、展開ブロックに対応するための複数の更新と機能強化が提供され、管理が簡単になります。 詳細については、「802.1X で認証されたワイヤレス アクセスの概要」を参照してください。 |
VDI |
VDI を使用すると、組織は、会社のデスクトップとアプリケーションを従業員に配信することができます。従業員は会社のデータセンター内で実行されているインフラストラクチャ (リモート デスクトップ接続ブローカー、リモート デスクトップ セッション ホスト、およびリモート デスクトップ Web アクセス役割サービス) に対応した社内と社外の両方の場所で、個人用デバイスや会社のデバイスから、その情報にアクセスすることができます。 詳細については、Cloud Platform のページを参照してください。 |
Web アプリケーション プロキシを展開するための設計に関する考慮事項
このセクションでは、Web アプリケーション プロキシの展開と、そのプロキシを介したアプリケーションの公開に必要な手順を計画するための概要を説明します。 このシナリオでは、社内参加、多要素認証 (MFA)、多要素アクセス コントロールなど、AD FS 機能からメリットを得ることができる、認証および承認に対する AD FS の使用を含め、使用可能な事前認証方法について説明します。 これらの計画手順は、「Web アプリケーション プロキシ経由でのアプリケーションの公開を計画する」で詳しく説明しています。
ワーク フォルダーを展開するための設計に関する考慮事項
このセクションでは、ワーク フォルダーの実装の設計プロセスについて説明し、ソフトウェア要件、展開シナリオ、設計チェックリスト、その他の設計に関する考慮事項などの情報を提供します。 「ワーク フォルダーの実装の設計」の手順に従って、 基本的なチェックリストを作成します。
リモート アクセス インフラストラクチャを展開するための設計に関する考慮事項
このセクションでは、基本的な機能を備えた単一の Windows Server 2012 リモート アクセス サーバーの展開を計画する場合に考慮すべき、次のような一般的な考慮事項について説明します。
DirectAccess インフラストラクチャを計画する:ネットワークとサーバーのトポロジ、ファイアウォールの設定、証明書の要件、DNS、および Active Directory を計画します。
DirectAccess 展開を計画する:クライアントとサーバーの展開を計画します。
アクセス制御リスク管理の強化
Windows Server 2012 R2 では、組織は、ユーザーの ID、登録されているデバイスの ID、ユーザーのネットワークの場所 (ユーザーが会社の境界内にいるかどうか) に基づいて、企業リソースへのアクセスの制御を設定できます。 Web アプリケーション プロキシに組み込まれた多要素認証を使用して、IT 担当者はユーザーとデバイスが企業環境に接続された際に、認証の追加レイヤーの利点を活かすことができます。
Windows Server 2012 R2 では、侵害されているユーザー アカウントに関連するリスクを簡単に制限するため、Active Directory を使って認証用に複数の要素を実装することが非常に簡単です。 プラグイン モデルでは、さまざまなリスク管理ソリューションを AD FS に直接構成することができます。
Windows Server 2012 R2 の AD FS では、次のようなアクセス制御リスク管理に関する機能強化が多数用意されています。
AD FS で保護されたアプリケーションへのアクセスをユーザーが認証する方法を、ネットワークの場所に基づいて決定する柔軟な制御。
ユーザーが多要素認証を実行する必要があるかどうかを、ユーザーのデータ、デバイス データ、およびネットワークの場所に基づいて決定する柔軟なポリシー。
機密性の高いアプリケーションにアクセスするたびに、SSO を無視して、資格情報の入力をユーザーに求める、アプリケーションごとの制御。
ユーザー データ、デバイス データ、またはネットワークの場所に基づく、柔軟なアプリケーションごとのアクセス ポリシー。 AD FS のエクストラネット ロックアウトを使用すると、管理者は、インターネットのブルート フォース攻撃から Active Directory アカウントを保護することができます。
Active Directory で無効化されているか削除されている、社内参加対応デバイスに対するアクセスの失効。
次の図は、アクセス制御のリスクを軽減させる、Active Directory の拡張機能を示しています。
.jpeg "Windows Server 2012 R2 の AD 機能")
ユーザー、デバイス、およびアプリケーションに対する、リスク軽減とアクセス ガバナンスを実装するための、設計に関する考慮事項
ソリューションの設計要素 |
このソリューションに含まれる理由 |
|---|---|
社内参加 (デバイス登録サービス [DRS] により有効化) |
組織は、SSO を使った、デバイス認証と第 2 要素認証により、IT ガバナンスを実装できます。 社内参加対応デバイスを使用すると、IT 管理者は、個人用デバイスと企業デバイスの制御レベルの向上させることができます。 DRS の詳細については、「任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな 2 要素認証」を参照してください。 |
多要素認証 |
IT 担当者は Azure の多要素認証を介して、ユーザーとデバイスの認証と確認に追加のレイヤーを適用できます。 詳細については、「Azure Multi-Factor Authentication とは」を参照してください。 |
統一されたデバイスの管理
セキュリティとアクセスだけでなく、IT 担当者は単一の管理者コンソールから PC や個人用のデバイスを管理するための適切な戦略を適用することも必要です。 デバイスの管理には、セキュリティやコンプライアンス設定の設定、ソフトウェアおよびハードウェアのインベントリの収集、ソフトウェアの展開などが含まれます。 また IT 担当者は、モバイル デバイスが紛失、盗難、使用廃止になったときに、そのデバイスに保存されている企業のデータを消去して、企業を保護するソリューションを実践することも必要です。
統一されたデバイス管理ソリューションの詳細については、「ハイブリッド環境でのモバイル デバイスおよびコンピューターの管理の簡素化」で説明します。
統一されたデバイス管理の設計に関する考慮事項
従業員が自分のデバイスを使用でき、会社のデータを保護することができる BYOD (BYOD) および統一管理インフラストラクチャを設計する前に、重要な設計上の問題を解決することが重要です。
BYOD をサポートするインフラストラクチャの設計については、「BYOD ユーザーとデバイスに関する考慮事項」を参照してください。 このドキュメントで説明されている設計は、Microsoft ベースのテクノロジを使用します。 ただし、設計オプションと考慮事項は、BYOD モデルを採用するために使われる任意のインフラストラクチャに適用できます。
モバイル デバイス管理をサポートするために必要な手順を示す便利なチェックリストについては、「モバイル デバイス管理のチェックリスト」を参照してください。
このソリューションを実装する手順
デバイス登録を可能にするコア インフラストラクチャのセットアップ
次の手順では、ドメイン コントローラー (AD DS)、AD FS、およびデバイス登録サービスの設定のプロセスを詳細に説明します。
ドメイン コントローラーのセットアップ
AD DS 役割サービスをインストールし、コンピューターが Windows Server 2012 R2 のドメイン コントローラーとなるように昇格させます。 これにより、ドメイン コントローラーのインストールの一部として、AD DS スキーマがアップグレードされます。 詳細と手順については、「Active Directory ドメイン サービスをインストールする (レベル 100)」を参照してください。
フェデレーション サーバーのインストールと構成
Windows Server 2012 R2 で Active Directory フェデレーション サービス (AD FS) を使って、組織やプラットフォームの境界を越えて、分散識別、認証、および承認サービスを Web ベースのアプリケーションにまで拡張するフェデレーション ID 管理ソリューションを構築できます。 AD FS を展開することで、組織の既存の ID 管理機能をインターネットにまで拡張できます。 詳細と詳細な手順については、「Windows Server 2012 R2 AD FS の展開ガイド」を参照してください。
ドメイン登録サービスの構成
AD FS をインストールした後、フェデレーション サーバーで DRS を有効にできます。 DRS の構成では、デバイスをサポートする Active Directory フォレストを準備し、DRS を有効にします。 詳細な手順については、「デバイス登録サービスによるフェデレーション サーバーの構成」を参照してください。
Web サーバーとサンプル クレーム ベースのアプリケーションを設定して、AD FS とデバイス登録構成の確認とテストを行います。
Web サーバーとサンプル クレーム アプリケーションを設定し、特定の手順に従って、上記の手順を確認する必要があります。 次の順序で手順を実行します。
Windows と iOS デバイスでの社内参加の構成と確認
このセクションでは、Windows デバイスや iOS デバイスで社内参加を設定する手順を説明し、SSO を使った企業リソースへのアクセスを実践します。
企業リソースへのアクセスの構成
ファイル サービスのワーク フォルダー、リモート デスクトップ サービスの仮想化、およびリモート アクセスを構成する必要があります。
Web アプリケーション プロキシの構成
このセクションでは、Web アプリケーション プロキシの展開と、そのプロキシを介したアプリケーションの公開に必要な構成手順の概要を説明します。
Web アプリケーション プロキシ インフラストラクチャを構成する:Web アプリケーション プロキシを展開するために必要なインフラストラクチャを構成する方法について説明します。
Web アプリケーション プロキシ サーバーをインストールし、構成する:必要な証明書の構成、Web アプリケーション プロキシ役割サービスのインストール、Web アプリケーション プロキシ サーバーのドメインへの参加など、Web アプリケーション プロキシ サーバーを構成する方法について説明します。
AD FS 事前認証を使用してアプリケーションを公開する:AD FS 事前認証を使用して Web アプリケーション プロキシ経由でアプリケーションを公開する方法について説明します。
パススルー事前認証を使用してアプリケーションを公開する:パススルー事前認証を使用してアプリケーションを公開する方法について説明します。
ワーク フォルダーの構成
最もシンプルなワーク フォルダーの展開は、インターネットを介した同期をサポートしない単一のファイル サーバー (通常は同期サーバーと呼ばれています) です。これは、テスト ラボや、ドメインに参加しているクライアント コンピューターの同期ソリューションとして有益な展開となることがあります。 シンプルな展開を作成するために実行する最小手順を以下に示します。
ワーク フォルダーを展開する方法に関するその他の詳細については、「ワーク フォルダーの展開」を参照してください。
リモート デスクトップ サービス セッション仮想化の構成と確認
VDI の標準展開を実行すると、個別のコンピューターに適切な役割サービスをインストールすることができます。 標準展開では、仮想デスクトップと仮想デスクトップ コレクションを自動的に作成しないことで、より精度の高い制御を実現します。
このテスト ラボでは、以下の操作を実行して、セッション仮想化の標準展開を作成するプロセスを説明します。
別のコンピューターに、RD 接続ブローカー、RD セッション ホスト、および RD Web アクセス役割サービスをインストールします。
セッション コレクションを作成します。
コレクション内の各 RD セッション ホスト サーバーに対して、セッション ベースのデスクトップを公開します。
RemoteApp プログラムとしてアプリケーションを公開します。
VDI 展開の構成と確認を行う詳細な手順については、「リモート デスクトップ サービス セッション仮想化の標準の展開のテスト ラボ ガイド」を参照してください。
リモート アクセスの構成
Windows Server 2012 では、DirectAccess およびルーティングとリモート アクセス サービス (RRAS) VPN を 1 つのリモート アクセス役割に結合します。 基本設定を備えた、Windows Server 2012 の単一リモート アクセス サーバーの展開に必要な構成手順を次に示します。
DirectAccess インフラストラクチャを構成する:この手順では、ネットワークおよびサーバーの設定、DNS 設定、および Active Directory の設定を構成します。
DirectAccess サーバーを構成する:この手順では、DirectAccess クライアント コンピューターとサーバーの設定を構成します。
展開を確認する:この手順には、展開を確認するための手順が含まれます。
多要素アクセス制御と多要素認証の設定によるリスク管理の構成
柔軟で表現力が豊かなアプリケーションごとの認証ポリシーを設定します。これにより、多要素アクセス制御を構成することで、ユーザー、デバイス、ネットワークの場所、および認証の状態に基づいて、アクセスを拒否または許可できます。 環境内で多要素認証を使って、追加のリスク管理を設定します。
多要素アクセス制御の構成と確認
これには、次の 3 つの手順が含まれます。
多要素認証の構成と確認
これには、次の 3 つの手順が含まれます。
統一されたデバイス管理の実装
社内にデバイス管理を設定するためには、次の手順に従います。
System Center 2012 R2 Configuration Manager コンソールをインストール:既定では、プライマリ サイトをインストールするときに、Configuration Manager コンソールもプライマリ サイト サーバーのコンピューターにインストールされます。 サイトをインストールした後、追加のコンピューターに追加の System Center 2012 R2 Configuration Manager コンソールをインストールして、サイトを管理することができます。 Configuration Manager 2007 と System Center 2012 R2 Configuration Manager の両方から同じコンピューターへのコンソールのインストールがサポートされています。 このサイド バイ サイド インストールでは、1 台のコンピューターを使用して、既存の Configuration Manager 2007 インフラストラクチャと、System Center 2012 R2 Configuration Manager での Windows Intune の使用を管理するモバイル デバイスの両方を管理することができます。 ただし、System Center 2012 R2 Configuration Manager から管理コンソールを使用して、Configuration Manager 2007 サイトを管理することはできません。その逆を実行することもできません。 詳細については、「Configuration Manager コンソールのインストール」を参照してください。
モバイル デバイスの登録:登録によって、ユーザー、デバイス、Windows Intune サービス間に関係が確立されます。 ユーザーは自分のモバイル デバイスを登録します。 モバイル デバイスの登録方法の詳細については、「モバイル デバイスの登録を準備する」を参照してください。
モバイル デバイスの管理:スタンドアロン プライマリ サイトのインストールと基本的な構成を行った後、モバイル デバイスの管理の構成を開始することができます。 構成される可能性がある一般的な操作を以下に示します。
モバイル デバイスにコンプライアンスの設定を適用する方法については、「Configuration Manager でのモバイル デバイスのコンプライアンス設定」を参照してください。
アプリケーションを作成してモバイル デバイスに展開する方法については、「Configuration Manager でモバイル デバイス用アプリケーションを作成して展開する方法」を参照してください。
ハードウェア インベントリを構成する方法については、「Configuration Manager と Windows Intune で登録されたモバイル デバイスのハードウェア インベントリを構成する方法」を参照してください。
ソフトウェア インベントリを構成する方法については、「Configuration Manager のソフトウェア インベントリの概要」を参照してください。
モバイル デバイスからコンテンツを消去するには、「Configuration Manager と Microsoft Intune を使用したモバイル デバイスの管理」を参照してください。
参照
コンテンツの種類 |
参考資料 |
|---|---|
製品評価/はじめに |
|
計画と設計 |
|
コミュニティ リソース |
|
関連ソリューション |