MDM（モバイルデバイス管理）の基本機能と効率化する方法

モバイルデバイス管理対策をせずに運用を続けると…

MDM（モバイルデバイス管理）とは、ビジネス利用のスマートフォンやタブレットなどのモバイルデバイスを、ツールを用いて適切に管理し、企業のセキュリティを維持・向上させることです。

企業から貸与されるデバイスだけではなく、BYODによる仕事の中での個人デバイスの利用がますます増えている状況になっている状況では、管理がなおざりになっただけで、「情報漏えいや、場合によっては企業のIT資産に障害をもたらしかねないリスクも抱えてしまっている」といった認識を持つことが大切です。MDM（モバイルデバイス管理）ツールを利用せずにモバイルデバイスを運用する場合、基本的にはエンドユーザーに管理を委ねるため、次のようなリスクが考えられます。

管理者がMDMに求める基本的な機能とは？

企業で利用されるモバイルデバイスの環境はスマートフォンやタブレット端末の普及とともに大きく変わりました。ビジネス利用のモバイルデバイスは、企業が貸与するのが主流ですが、ユーザーの私物デバイスを利用するBYOD（Bring Your Own Device）の導入など、利用形態も多様化しています。モバイルデバイスは、エンドユーザーが効率的にビジネスをする上で欠かせないものになっていますが、企業の重要データの漏えい防止やセキュリティ維持のために、ツールを利用して、正しく管理・運用する必要があります。

MDM（モバイルデバイス管理）ツールはビジネス利用されるモバイルデバイスを一元管理し、あらゆるリスクの防止・対策が機能として求められています。

管理担当がモバイルデバイス管理の基本的な機能として抑えておきたいと考えるポイントは、およそ以下の点ではないでしょうか？

1. モバイルデバイスの利用状況の把握

   デバイスごとのアプリケーションのインストール状況などのインベントリ情報や位置情報を取得しどのように利用されているか、OSやアプリケーションパッチは最新の状態になっているか等、デバイスの基本的な利用状況の把握の把握ができること。

2. 紛失時のリモートロックやワイプの実行

   紛失や盗難など偶発的なケースに遭遇した際に、リモートからのアラーム発生やデバイスの強制ロック、場合によってはデータを完全消去するためのワイプの実施をすることで、重要なデータ漏えいの防止対策ができること。

3. アプリケーションの配布や利用制限

   アプリのインストール・アンインストール等の利用制限や、アプリケーションのブラックリスト/ホワイトリストを作成した利用制限の設定を、デバイスに一括やデバイス個別に設定ができること。

4. 大量のデバイスに対応するためのパッチ管理

   従業員に配布されているデバイスに対して、特定の設定を適用したり、OSや特定のアプリのパッチを配布する等の一括操作。

5. デバイス設定の一元管理

   パスワードポリシーやwi-fi、プロファイルの設定や、デバイスをグループ化したモバイルデバイスの管理。

Endpoint CentralによるMDMの4つのポイント

幅広いOSに対応

iOS/Android/Windows/mac/ChromeOSなど幅広いOSに対応しています。

iOSデバイス管理
　iPhone、iPad、iPod touchなどのiOSデバイスの管理を実現します。

Androidデバイス管理
​　Androidデバイスの企業データの監視・監査・管理を実現します。

柔軟なデバイス管理が可能

グループをカスタマイズし、部署や役職ごとにデバイスを柔軟に管理できます。

企業のポリシーに準拠したデバイス運用が可能

プロファイルの一括適用やアプリケーションの一括インストールを実施できます。

デバイス紛失/盗難時の対策が可能

デバイス紛失/盗難時に最終位置情報の確認だけでなく、即座にリモートロック/ワイプできます。

Endpoint Central のMDM機能一覧

Endpoint Centralでは上記のMDM（モバイルデバイス管理）の基本機能だけでなく、多くの機能が搭載されています。

デバイス管理

iOS/Android/Windows/mac/Chrome OSなど幅広いOSのデバイスを管理できます。登録方法はOSによって異なりますが、QRコードや招待メールなど様々な方法で登録できます。また登録したデバイスを作成したグループごとに管理できます。

【QRコードによるデバイス登録画面】

資産管理

デバイスのOS情報やSIM情報などのインベントリ情報を取得できるだけでなく、デバイスの位置情報や位置情報の履歴も取得できます。

また、紛失/盗難時に、リモートからロック/ワイプするなど、企業のセキュリティポリシーを満たす資産管理機能を備えています。

【位置情報の表示画面】

プロファイル管理

デバイスのプロファイルを作成し、一括適用できます。例えば、パスコードポリシーの強制化 / Wi-Fiの接続先の指定 / カメラ・Youtubeなど業務に不要なアプリケーションの利用制限など、多数のプロファイルを作成・適用できます。

【Wi-Fiプロファイルの設定画面】

アプリケーション管理

インストール済みのアプリケーション一覧の取得や、アプリケーションのリモート配信、アプリケーションのブラックリスト/ホワイトリスト登録など、アプリケーション管理を支援する機能を多数搭載しています。

【デバイス内にインストール済みのアプリケーション一覧】

メール管理

各OSごとのメール設定やExchange ActiveSyncの設定を一元管理することで、企業のメール管理をよりセキュアにできます。例えば、メール本文のHTML形式をブロックする設定や、メールアプリケーション以外（ブラウザーなど）でのメールアカウント利用のブロック設定、メールの転送や移動をブロックする設定など、メール設定を一元管理できます。

コンテンツ管理

各デバイスに対して、pdf/txt/docx/xlsx/pptなどのファイルを追加/共有/削除できます。ユーザーがモバイル勤務や客先訪問などの際に、必要なデータのみを共有できます。

コンテナ化

BYOD環境のデバイスも柔軟に管理できます。BYOD用のデバイスグループを作成し、企業のポリシーに合わせて、プロファイル設定やアプリケーションのインストールが可能です。

またMDMの管理下からデバイスを除外する際、企業データのみを消去することで、ユーザーが離職した場合に、企業データを保護できます。

メール管理

各OSごとのメール設定やExchange ActiveSyncの設定を一元管理することで、企業のメール管理をよりセキュアにできます。例えば、メール本文のHTML形式をブロックする設定や、メールアプリケーション以外（ブラウザーなど）でのメールアカウント利用のブロック設定、メールの転送や移動をブロックする設定など、メール設定を一元管理できます。

リモート制御

Androidデバイス向けにリモート制御機能、iOSデバイス向けにリモートビュー機能を備えています。リモート制御機能により、ユーザーのトラブルシューティングを支援します。

セキュリティ管理

OSアップデートの自動化や、Office365/Exchange Serverに対して管理デバイス以外からのアクセス制御、Webコンテンツフィルター、証明書の追加、ストア以外からのアプリケーションインストールのブロックなど、モバイルデバイスのセキュリティを保護する機能を多数備えています。

監査レポート

監査対応に役立つレポートを多数用意しています。例えば、ブラックリスト登録済みのアプリケーションがインストールされているデバイス一覧、ルート化されたデバイス一覧、ジェイルブレイクされたデバイス一覧などがございます。これらのレポートをスケジュール設定し、定期的に受領できます。

Endpoint Centralの MDMのアーキテクチャー

コンピューター/サーバーの管理だけでなく、モバイルデバイスの一元管理も可能です。プロファイル管理、資産管理、アプリケーション管理、コンテンツ管理など多様な機能を利用できます。

• Endpoint Centralからデバイスへの通信は、iOSデバイスでは、TCPポート2195でAppleプッシュ通知サービス（APNs）を通過し、Androidデバイスでは、TCPポート80でGCMを通過します。
• Apple iOS MDMプロトコルと同様に、すべてのiOSデバイスは、TCPポート5223のAPNで専用のTCP接続を維持します。Endpoint Centralは、これを活用して、APNによりデバイスを起動します。
• デバイスは、ポート8383を用いてEndpoint CentralサーバーとHTTPS通信します。
• LAN外のデバイスを管理する場合、各デバイスが常時Endpoint Centralサーバーと接続するために、Endpoint Centralサーバーにグローバル IP アドレスを設定し、Endpoint Central サーバーのプライベートIPアドレス をグローバルIPアドレス にネットワークアドレス変換（NAT）する必要があります。 ※ LAN内のみの管理の場合、NAT設定は不要です。