組織で利用する iOS/iPadOS デバイスを Microsoft Intune で管理する

iPhone や iPad、Android などのモバイルデバイスでメールやデータを利用している組織も多いと思いますが、それらモバイルデバイスの脆弱性管理や機能利用制限などのセキュリティ対策は行われていますか？
モバイルデバイスの紛失や盗難、不正な持ち出しなどにより情報漏洩につながるトラブルを防ぐためにも、デバイス OS の脆弱性および保存されているコンテンツを IT 管理者は常に管理、監視しておく必要があります。

モバイルデバイスで必要なセキュリティ対策

モバイルデバイスから組織のデータを利用する場合は、会社支給・個人所有に関わらず、情報漏洩のセキュリティ対策が必須であり、特に以下の対応が必要です。

• デバイス管理
  組織のデータにアクセスするデバイスの OS のバージョン管理やディスク暗号化、脱獄検知など、デバイスの脆弱性や改造行為への対策
• デバイスの操作制御
  カメラやスクリーンショットの禁止やデバイスロック解除時のパスコードを必須にするなど、デバイスの操作を制御し、デバイスのセキュリティを強固にする対策
• アプリデータ管理
  組織データをコピーし、個人用アプリへの張り付けを禁止にすることで組織のデータの漏洩を防止したりするなどで、アプリからの組織データの漏洩防止対策

これらのセキュリティ対策は Microsoft 365 に含まれる Microsoft Intune で実現できます。iOS/iPadOS・Android を組織のデバイスとして管理し、デバイスやアプリに対してセキュリティ対策も行うことができます。

Intune は Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Intune を追加契約することで利用できます

Intune で iOS/iPadOS デバイスを管理する

iOS/iPadOS デバイスのセキュリティ対策として最初に行うことは、Intune に管理デバイスを登録することです。登録方法は、2 種類あります。

• ユーザーが Intune ポータルサイトアプリを利用して、Intune にデバイス登録する。
• 管理者または iOS/iPadOS 販売店に依頼し、Apple Business Manager (ABM) にデバイスを登録を行い、ABM と Intune と関連付けする。

Apple Business Manager (ABM) とは

Apple が提供しているサービスで、iOS/iPadOS や Mac などの Apple 製デバイスの管理や配布アプリの管理などが行えます。Intune と Apple Business Manager (ABM) を連携させることで、ABM で管理されているデバイスを Intune でも管理することが可能になります。また、Apple ID が登録されていない iOS/iPadOS デバイスにも、アプリの自動インストールが可能です。
【ABM 画面】

今回は、ユーザーが Intune アプリを利用したデバイス登録方法を解説します。
※ ABM を利用したデバイスの登録およびアプリの自動インストール方法は、別記事で紹介します。

ユーザーがデバイス登録を行えるにようにするためには、管理者が Intune に Apple MDM プッシュ証明書を登録する必要があります。Apple MDM プッシュ証明書とは、管理対象となる iOS/iPadOS デバイスと Intune が通信を行うために必要な証明書です。また Apple MDM プッシュ証明書の入手には Apple ID が必要です。 Apple ID は Intune で利用する ID となるため、個人のメールアドレスで取得せずに、組織のグループや共有アカウントのメールアドレスで取得し、管理してください。

1. Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com/) を開き、[デバイス] – [デバイスの登録] をクリックします。
   
2. [Apple 登録] – [Apple MDM プッシュ通知証明書] をクリックします。
   
3. [同意する。] にチェックを入れ、 [CSR のダウンロード] をクリックします。そして、[MDM プッシュ証明書を作成する] をクリックします。
   
4. Apple のプッシュ証明書ポータルが開くので、事前に取得していた組織の Apple ID でサインインします。
   
5. [Create a Certificate] をクリックします。
   
6. [I have read and agree to these terms and conditions.] にチェックを入れ、[Accept] をクリックします。
   
7. [参照] をクリックし、手順 4 でダウンロードした 「IntuneCSR.csr」 ファイルを選択します。そして、[Upload] をクリックします。
   
8. MDM プッシュ通知証明書が作成できました。[Manage Certificate] をクリックしてください。
   
9. [Download] をクリックし、MDM プッシュ通知証明書 (MDM_ Microsoft Corporation_Certificate.pem) をダウンロードしてください。
   
10. Microsoft Endpoint Manger Admin center 画面で Apple MDM プッシュ通知証明書のサイトにサインした組織の Apple ID を入力し、ダウンロードした 「MDM_ Microsoft Corporation_Certificate.pem」 ファイルを Apple MDM プッシュ通知証明書として参照します。最後に、[アップロード] をクリックします。
    

MDM プッシュ通知証明書が登録できました。これで、ユーザーが iOS/iPadOS デバイスを登録することができます。
MDM プッシュ証明書の有効期限は、1 年です。有効期限切れ前に手順 4 以降を行ってください。MDM プッシュ証明書の有効期限が更新されます。

Intune に iOS/iPadOS デバイス登録する

iOS/iPadOS デバイスを Intune に登録するには、ユーザーが Microsoft Intune ポータルサイト アプリを利用し、設定を行う必要があります。
Intune ポータルサイト アプリのインストールは、App Store から行います。

Intune ポータルサイト アプリにサインインすると、設定画面が表示されるので、画面の説明に従い、作業を進めます (登録中、自動的にデバイスの暗号化が行われます)。

設定作業が完了すると、Intune に iOS/iPadOS デバイスが表示されます。

まとめ

今回のデバイス登録は、モバイルデバイスのセキュリティ対策として事前準備の状態です。続いてデバイスの操作制御やアプリのデータ保護を行う必要がありますが、それらの方法については次回以降の記事にてご紹介します！