こんにちは!竹内です!
近年、リモートワークの増加などにより、会社で使用するデバイスの管理に対するお悩みの声を聞くこともあります。
例えばBYODはセキュリティを一貫させるのが難しくてコストもかかるし、BYODはセキュリティリスクが高くてサポートが大変。COPEはプライバシーとデータ管理がややこしい等々…
しかし、COBOなら企業がデバイスを提供して従業員が自由に使えるため、セキュリティとコストのバランスが取れて、従業員の満足度もアップします。
そこで今回は IntuneでAndroidを完全管理する方法について、メリットと手順をご紹介します!
| BYOD (Bring Your Own Device) | COPE (Corporate Owned, Personally Enabled) | COBO (Corporate Owned, Business Only) | |
| 端末 | 従業員の私物 | 会社が支給 | 会社が支給 |
| 私的利用 | ⌾ | ⌾ | × |
| Google Play ストア(従業員によるアプリのダウンロード) | ⌾ | ⌾ | × |
| 端末管理(設定や使用状況の確認など) | △ | ○ | ⌾ |
| セキュリティ対策 | △ | ○ | ⌾ |
| 使用環境の例 | リモートワークやフレキシブルな業務環境 ex. IT企業、スタートアップ、教育機関 | 業務と私用のバランスが求められる環境 ex.製造業、販売業、コンサルティング業 | 高セキュリティが求められる業務環境 ex.金融業界、政府機関、医療機関 |
- 1.完全管理(COBO)のメリットとは?
- 2.設定手順
- 2-1.登録プロファイルを作成
- 2-2.Entraグループを作成
- 2-3.QRでトークンを表示
- 2-4.デバイスを登録する
- 2-5.設定した結果
- 2-6.デバイスのアプリに個人アカウントを追加させない設定
- 3.まとめ
1.完全管理(COBO)のメリットとは?
1.COBO(Corporate Owned, Business Only)のメリットは端末の個人利用を完全に禁止できることです!
COBOでは企業が業務用のデバイスを従業員に一律で支給し、そのデバイスを業務以外で利用しないように管理することです。BYOD方式のように、個人スマホを業務利用すると、そのスマホの使い方は従業員次第になってしまいます。デバイスが個人所有である以上、私的利用の制限は簡単ではありません。
とはいえ、近年リモートワークが広まりセキュリティ管理のされていないスマホを利用したことによる情報漏洩などのリスクが増えてきています。BYOD方式では、このリスクを防ぐのは困難です。
そこで、COBO方式でデバイスの個人利用を完全に禁止すれば、高水準の情報セキュリティ対策を実現することができるのです。
2.設定手順
2-1.登録プロファイルを作成
1. Microsoft Intune 管理センターを開き、「デバイス」をクリックします。
2.「登録」をクリックします。
3.「Android」をクリックします。
4.「会社が所有する完全に管理されたユーザーデバイス」をクリックします。
5.「ポリシーの作成」をクリックします。
6.下記のように設定します。
—————————————-
名前:任意の名前を入力します。※ここでは「検証用_Androidを完全管理」と入力します。
説明:無記入※任意で説明を追加できます。
トークンの種類:企業所有、フルマネージド(規定)
—————————————-
7.「次へ」をクリックします。
8.「作成」をクリックします。
9.プロファイルが作成されました。
2-2.Entraグループを作成
1.Microsoft Entra 管理センターを開き、「グループ」のプルダウンを開きます。
2.「すべてのグループ」をクリックします。
3.「新しいグループ」をクリックします。
4.下記のように設定します。
—————————————-
グループの種類:セキュリティ
グループ名:グループ名を記入※ここでは「検証用_Android完全管理グループ」と入力します。
グループの説明:無記入※任意で説明を追加できます。
グループにMicroSoft Entraロールを割り当てることができる:いいえ
メンバーの種類:動的デバイス
—————————————-
4.「動的クエリ」をクリックします。
5.プロパティを「enrollmentProfileName」に設定します。
6.演算子を「Eqials」に設定します。
7.値を、先ほど作成した登録プロファイル名にします。
※2-1.手順6 参照
8.規則の構文を確認し「保存」をクリックします。
9.「作成」をクリックします。
10.グループが作成されました。
※デバイスのセットアップが完了した後に確認したところ、作成した動的グループにデバイスが正しく追加されていました!
2-3.QRでトークンを表示
1.先ほど作成した登録プロファイルを開きます。
※2-1 参照
2.「トークン」をクリックします。
3.QRコードを表示させます。
※2-4.手順3 でこれを読み取ります。
2-4.デバイスを登録する
1.言語を日本語に変更します。
2.「ようこそ」の辺りを5回程タップします。
※連続でタップしていると「あと○回でQRコードのセットアップを開始できます」という表示が出ます。
3. PCの「トークン」画面にあるQRコードをスキャンします。
※2-3 手順4 参照
4.WiFiを選択します。
5.パスワードを入力し接続します。
※今回はキャリア契約していないデモ機で行ったため、WiFiに接続しています。
キャリア契約しているデバイスの場合、この手順は不要です。
6.セットアップをしているので、そのまま待ちます。
7.「次へ」をクリックします。
※フルマネージド(完全管理)デバイスとして設定できたことが確認できます!
8.「同意して続行」をクリックします。
9.「次へ」をクリックします。
※「個人用ではありません」というポップアップが表示され、ここでもフルマネージドデバイスであることが確認できます!
10.「続行」をクリックします。
11.Microsoft のアカウントを入力し、[次へ]をクリックします。
12.パスワードを入力し、[サインイン]をクリックします。
13.セットアップしているので、そのまま待ちます。
14.引き続きセットアップしているので、そのまま待ちます。
15.インストールをクリックします。
16.インストールが完了するまで待機します。
17.「完了」をクリックします。
18.「設定」をクリックします。
19.サインインをクリックします。
20.続行をクリックします。
21.「登録」をクリックします。
22.また同じポップアップが出てきました。
「続行」をクリックします。
23.「次へ」をクリックします。
24.「もっと見る」をクリックします。
25.「同意する」をクリックします。
26.「OK」をクリックします。
27.設定が完了しました。
2-5.設定した結果
■COBO端末としての登録確認
1.Intuneからデバイスがフルマネージドデバイスとして登録されていることが確認できます。
2.デバイス側でもフルマネージドデバイスであることが確認できます。
■アプリを配布してみる
1.今回はTeamsが入っていなかったので入れてみました。
2.設定どおりデバイスにTeamsが入りました!
■COBO管理されている端末はどんな感じ?
1.設定>セキュリティとプライバシー>仕事用ポリシーの情報>デバイスに影響を与えるポリシー
という順序で進めていくと「4個の仕事用アプリをアンインストールできません」という表示がされています。COBO管理端末ではアプリのインストールだけでなくアンインストールも不可能ということがわかります。
ちなみに「仕事用アプリ」をクリックすると、管理側でインストールしたアプリが表示されます。先ほどインストールしたTeamsも入っていますね。
2.設定>セキュリティとプライバシー>セキュリティの詳細設定>管理対象のデバイス情報
という順序で進めていくと「変更と設定はyjk365によって管理されています」という表示が出ます。
基本的にユーザー側では何もできないことがわかります。
「管理対象のデバイス情報」をクリックすると以下の項目が確認できます。
————————————–
組織が表示できる情報の種類
組織の管理者による変更
このデバイスへのアクセス
————————————–
■アプリをインストールしようとすると…
1.「Playストア」を開きます。
2.通常のPlayストアがそもそも開かれません。
3.試しにFacebookを検索してみます。
4.何も表示されませんでした。
ユーザー側ではなにもアプリを入れることができないため安心です。
2-6.デバイスのアプリに個人アカウントを追加させない設定
会社で管理しているデバイスのアプリに個人アカウントを追加されると、業務中に関係ないことをされたり情報漏洩の可能性が高まるため困りますよね。
そこで、今回はデバイスのアプリに個人アカウントを追加させない設定を行っていきます。
■Outlook
-設定前
1.Outlookに「+」ボタンから自由にアカウントを追加できる状態です。
2.実際に「+」ボタンから私のアカウントを追加できてしまいました。
-個人アカウントを追加させない設定方法
1. Microsoft Intune 管理センターを開き、「アプリ構成ポリシー」をクリックします。
2. 「作成」のプルダウンより、「+新しいポリシー」をクリックします。
3. 「アプリ構成ポリシーの作成」を下記のように設定します。
—————————————-
名前:任意
説明:任意
デバイス登録の種類:マネージドデバイス
プラットフォーム:Android Enterprise
プロファイルの種類:フル マネージド、専用、会社所有の仕事用プロファイルのみ
対象アプリ: Microsoft Outlook
———————————-
4. 「構成設定の形式」 >のプルダウンから「JSON データを入力」を選択します。
5. 入力画面に 以下の内容を入力します。
———————————————
{
“kind”: “androidenterprise#managedConfiguration”,
“productId”: “app:com.microsoft.office.outlook”,
“managedProperty”: [
{
“key”: “com.microsoft.intune.mam.AllowedAccountUPNs”,
“valueString”: “{{userprincipalname}}”
}
]
}
———————————————-
6. 「次へ」をクリックします。
7. 割り当てグループを選択し、「次へ」をクリックします。
8.「作成」 をクリックします。
9.ポリシーが正常に作成された通知と、正常に割り当てられた通知が確認できました。
-デバイスで設定が反映されているか確認していきます。
1.Outlookを開くと「職場アカウントのみ追加することができます」というポップアップが表示されました。
また、設定前に追加していた私の個人アカウントも削除されました。
新しく追加できないだけでなく、すでに登録されている許可されていないアカウントも削除されるのは安心ですね。
2.また、先ほどはあった「+」ボタンが消えており、ユーザー側でアカウントを追加ができないことが確認できます。
3.まとめ
COBOを導入すると、セキュリティの強化をはじめ多くのメリットがあります。高いセキュリティ要件を満たす必要がある企業や従業員数が多い企業には、COBOが有効かと思います。また一元管理が可能になることでBYODに比べ情シスの負担が減るのもメリットの一つですね。COBOを含め自社にあった管理方針を見つけていきましょう!
その他お困りごとも動画で解説!
