MDMとは?
近年、業務においても、スマートフォンをはじめとしたモバイルデバイスの利用が増加しています。紛失/盗難時の情報漏洩や、端末の不正利用を防ぐことを目的として、モバイルデバイスを一元的に管理するMDMが重要視されています。
ManageEngine Blog:ITセキュリティを底上げするMDM
安全性を高めるMDM対応の具体例
- モバイルデバイスに関するポリシー定義
- アプリケーション制限
- コンテンツ管理
- リモートワイプ/リモートロック
Desktop Centralのモバイルデバイス管理機能
1.モバイルアプリケーション
デバイス管理は、ポリシーの構成、資産情報の取得、デバイスの安全確保だけでは終わりません。アプリケーション管理も従業員のモバイルデバイスをセットアップすることと同様に重要です。
Desktop Centralで出来ること
- 企業独自のアプリカタログの作成
- 社内アプリケーションとサードパーティ製アプリケーション管理と配布
- Apple Volume Purchase Program (VPP)やGoogleのPlay for Workの連携による、エンタープライズアプリのシンプルな配信
- モバイルアプリケーションのブラックリストおよびホワイトリスト作成
- アプリインベントリの監査
2.モバイルセキュリティ管理
セキュリティポリシーは企業ごとに異なります。企業独自のセキュリティニーズに見合った、様々なレベルの厳格なポリシーを適用する必要があります。
Desktop Centralで出来ること
- 未承認のアクセスを防ぐためのデバイスパスワードの強制
- 紛失、盗難時のデバイスの悪用を防ぐためのリモートでのデバイスロック
- ジオロケーショントラッキングによるデバイスのリアルタイム追跡
- デバイスを新品同然にするデバイスデータの完璧なワイプ
- 企業データのみを削除し、私的なデータを維持する企業情報ワイプの実行
3.プロファイル管理
モバイルデバイスにポリシーを構成および強制して企業のリソースを保護します。
Desktop Centralでは、異なる部署または役職ごとにポリシーを作成し、構成することができます。
Desktop Centralで出来ること
- 企業リソースにアクセスするポリシーおよびプロファイルの構成
- カメラ、YouTube、ブラウザなどのアプリケーションの使用の制限
- メール、Wi-Fi、VPNアカウントなどの企業アカウントへのアクセスの規制
- 部署やロケーションに基づくデバイスの論理グループの作成(企業デバイスを従業員個人のデバイスと区別するグループの作成)
- グループ内の全デバイスへのポリシーの適用と、アプリの配信
4.モバイルコンテンツ管理
従業員が仕事でモバイルデバイスを使用するとき、各自の社内用デバイスで企業のリソースにアクセスさせる必要があります。
Desktop Centralでは、管理者がセキュリティを損なうことなく、従業員のデバイスとリモートで文書を共有することを可能にします。
Desktop Centralで出来ること:
- 文書を保管するためのコンテンツリポジトリの作成
- doc、pdf、pptxなどの様々な形式での文書の配信
- 管理されていないデバイスの文書共有の制限
5.メール管理
Desktop Centralは、プラットフォームのコンテナ化とExchange ActiveSyncにより、企業メールを安全に管理できます。モバイルメール管理では、企業デバイスと私物のデバイスの両方において、企業のメールアカウントを構成し、管理します。
Desktop Centralで出来ること:
- 無線通信経由でのメールセキュリティのセットアップ
- 未承認のアプリがメールデータにアクセスすることを防止する、データのコンテナ化
- ユーザーにより企業のメールアカウントの修正/削除の制限
- 企業のメールアカウント限定のワイプ
6.コンテナ化
BYOD(Bring Your Own Device ※1)環境では、従業員が私物のモバイルデバイスで業務を行います。そのため、BYOD環境をうまく機能させるには、これらのデバイスを効率的に管理して、データを破損から保護する必要があります。
Desktop Centralは、企業のデータを安全に保つためのポリシーと制限を設定する能力を提供します。
Desktop Centralで出来ること:
- 所有の形態に基づくデバイスの登録
- BYODおよび企業デバイス用の個別のグループの作成
- BYODおよび企業デバイス用の個別のポリシーの定義
- ユーザーのデータに影響を与えずに企業のデータをワイプし、従業員が組織を離れる際、企業のデータの安全性を確保
※1 BYOD:従業員が業務にて個人所有のモバイルデバイスを使用すること。
7.キオスクモード
モバイルデバイスをロックダウンして、単一のアプリ、または、選択した一群のアプリだけを実行できるようにします。Desktop CentralはiOSおよびAndroidデバイス両方のロックダウン機能をサポートしています。
Desktop Centralで出来ること:
- 選択した特定のアプリのみにアクセス許可を付与する
- 許可されたアプリのみのカスタムホームページの作成
- タスクマネージャーおよびステータスバーへのアクセス制限
8.監査とレポート
資産情報の追跡と分析は、企業の機密データを保護するのに役立ちます。Desktop Centralはデバイスを監査するためのレポートを提供します。
Desktop Centralで出来ること:
- デバイスをスキャンして企業ポリシーを遵守しているかをチェック
- 管理しているデバイスで実行されているアプリの詳細の取得
- あらかじめ定義されたレポートまたはカスタマイズレポートを即座に生成、または定期的に生成
9.資産管理
従来、企業に配置されていたワークステーションとは異なり、モバイルデバイスは複数の場所から使用できます。そのため、それらを管理し、コントロールするプロセスは複雑になっています。
Desktop Centralで出来ること:
- 資産情報を追跡/分析して、企業の機密データを保護
- デバイスの詳細、証明書、インストールしたアプリなどのデバイスに関する情報を取得
- レポート機能でデバイスの詳細情報を視覚化
- モバイルデバイスをリアルタイムでリモートトラブルシューティング
10.デバイスの登録
Desktop Centralは統合型のエンドポイント管理ソリューションであり、多くのデバイスを扱う環境で機能し、承認されていないユーザーが企業ネットワークアクセスすることを防ぐために必要なセキュリティプロトコルを提供します。
デバイスを手動または自動で登録したり、一括登録したり、ユーザーがモバイルデバイスを自分自身で登録したりできます。
Desktop Centralで出来ること:
- 自動/手動、または無線通信によるデバイス登録
- CSVファイルによるモバイルデバイスの一括登録
- ワンタイムパスワードまたはユーザーのActive Directory資格情報による登録の認証
MDMアーキテクチャー
ManageEngine Desktop Centralはコンピューターおよびサーバーの管理だけでなく、モバイルデバイスの一元的な管理もサポートしています。Destop Central を使用することで、モバイルデバイスのポリシー管理、プロファイル管理、資産管理、アプリケーション管理、セキュリティ管理を行うことができます。
図1:Desktop CentralのMDMアーキテクチャー利点
Desktop CentralのMDMアーキテクチャーを使用することの利点:
- エージェントレス、OTAでの管理
- Appleプッシュ通知サービス/Android GcMを使用して通信
- プロファイルとポリシーを速やかに配布
- 安全なモバイルデバイスの通信
アーキテクチャー
- Desktop Centralからデバイスへの通信は、iOSデバイスでは、TCPポート2195でAppleプッシュ通知サービス(APN)を通過し、Androidデバイスでは、TCPポート80でGCMを通過します。
- Apple iOS MDMプロトコルと同様に、すべてのiOSデバイスは、TCPポート5223のAPNで専用のTCP接続を維持します。Desktop Centralは、これを活用して、APNによりデバイスを起動します。
- デバイスは、ポート8383を用いてDesktop Centralサーバーとセキュア通信をします。
- ポート 8383からステータス・データのレポートをDesktop Centralサーバーにセキュア送信します。
上述のセットアップを機能させるために、次のことを行う必要があります。
- ユーザーの移動を想定し、パブリック IP アドレスを通じてDesktop Central サーバーに到達可能であることが必要です。これを可能にするためには、Desktop Central サーバーの内部 IP をパブリック IP にネットワークアドレス変換(NAT)する必要があります。しかし、すべてのデバイスが LAN で管理されている場合は不要です。