- IT導入補助金を利用して安全なテレワークのためにMicrosoft365を導入したい
- ノートパソコンなどのIT資産管理台帳を作成できていない
- スマホや、ノートパソコンを紛失した際の情報漏洩が心配
- 新たに購入したPCのキッティング作業が大変
- ハイブリッドAAD構成で運用したい
- 業務で利用しないアプリを使ってほしくない
- WindowsUpdateをしていないPCがある
- PCの脆弱性管理ができていない
- オンプレADからAzureAD運用へ移行したい
- MDMの管理や運用に不安がある
- GmailからOffice365へ環境を移行したい。
解決できる課題
YJKの特徴
YJKの4つの特徴は以下の通りです。
社内にITの管理者がいない場合のゼロから構築、運用にも対応が可能です。
またオンプレADと同期したハイブリットAD構成の構築、
既存環境の運用のみといった多くのパターンへ対応が可能です。
企業に合わせた導入
Intuneの導入で積み上げた事例をもとに最適な設計を提案します。
有資格者が対応
情報安全確保支援士が構築する為、経済産業省が出しているセキュリティガイドラインと照らし合わせた構築が可能です。
機能を拡張できる
Windows365の管理や、SIEMと連携してセキュリティの自動監視をすることも可能です。他社サービスとの連携も可能です。
運用のカスタマイズ
トラブルシューティングや相談、デバイスポリシーの変更まで充実したサポート対応が可能です。 企業ごとに課題が違うので運用内容をカスタマイズ可能です。
導入の進め方
自社に合う進め方を検討してください。
導入にあたっては、短期間でYJKの推奨設定で構築する「短期間低コストパターン」と、
時間をかけて自社の運用に最適な導入を計画して構築する「自社最適運用導入パターン」に大別されます。
短期間低コストパターン
期間:0.5-1.0か月
要件を決める時間の余裕がない、他社事例のポリシーを提案してほしい等の場合はこのパターンがお勧めです。
要件定義や設計にかかる時間、人的なコストが削減されるので低コストでの導入が可能です。
ヒアリング→YJK推奨パラメータ→構築→テスト→移行→運用開始
自社最適運用導入パターン
期間:1.5-2.0か月
時間にも余裕があり、しっかりと自社に合った要件を決めて進めていきたい場合、
ある程度運用後の形を決めて移行を迎えたいケースはこのパターンがお勧めです。
要件定義→設計→構築→テスト→移行→運用開始
事例紹介
事例01
課題:会社で許可していないデバイスから業務データにアクセスができてしまいます。
A社様 / クライアント台数:50台 / 期間:0.5か月 / 導入費用¥650,000
実施内容
デバイス、アプリ等の各種プロファイル作成、デバイスをIntune管理下にしました。
業務利用しているSaasに対して会社で許可しているデバイスからのみアクセスを許可することができる様になりました。
期限が迫っていた為、YJK推奨の設定パラメータを利用し、要件定義、設計フェーズを削減し短期導入したケースです。
MicrosoftIntuneを導入してWindows等のPCやiPhone等のモバイルを管理する体制を整えたケースです。
社内データやクラウドサービスへは許可されたデバイスからのみアクセスが可能となりました。
導入によりDefender for BusinessやAutoPilotでの運用が可能となります。
事例02
課題:PCでウイルス感染等のインシデントが発生しても検知できる様に管理できていません。
B社様 / クライアント台数:100台 / 期間:0.5か月 / 導入費用¥650,000
実施内容
Defender for Business(EDR)へのオンボードを含めたプロファイル作成等の初期設定作業を実施。自動検知、自動対応をする様にしつつ、
管理者もインシデント管理ができる状態になりました。
期限が迫っていた為、YJK推奨の設定パラメータを利用し、要件定義、設計フェーズを削減し短期導入したケースです。
事前対策を行うのはEPPですがDefender for EndpointはEDRの為、事後対策が強みとなります。
攻撃や脅威に対して自動修復を実行したりデバイスの隔離やファイルの削除など自動対応が可能です。
また管理対象の端末に対し、脆弱性を検知したり、セキュリティの推奨事項提示が可能となる為、根本的な事前対策が可能となりました。 組織の脆弱性を可視化し優先順位をつけてくれるのでセキュリティ運用の工数を減らすことが可能となりました。
事例03
課題:会社で許可していないデバイスから業務データにアクセスができてしまいます。
C社様 / クライアント台数:150台 / 期間:1か月 / 導入費用¥1,300,000
実施内容
Windows、MacOS、iOSのOSごとにデバイス、アプリ等の各種プロファイル作成、デバイスをIntune管理下にしました。
またiPhoneは監視モードで利用する為、AppleBusinessManagerとIntuneを連携させ、VPPトークン等の設定作業も行いました。
業務利用しているSaasに対してBYODデバイスを含めた会社で許可しているデバイスからのみアクセスを許可することができる様になりました。
期限が迫っていた為、YJK推奨の設定パラメータを利用し、要件定義、設計フェーズを削減し短期導入したケースです。
IntuneでMacやiPhoneを完全に管理するにはAppleBusinessManaerとの連携が必須です。
連携後はIntune側で完全管理が可能となった為、購入後のキッティング工数が大幅に減りました。
デバイスを購入してベンダーがABMに登録してくれるので自動でIntuneに同期されます。
あらかじめ設定していたプロファイルが適用され、必要なアプリが配信され、デバイスの機能も許可されていない設定も自動で適用されます。
事例04
課題:オンプレミスADとEntraIDの二重管理になっているので同期をして統合をして少しずつオンプレミスADから脱却したいです。
D社様 / クライアント台数:200台 / 期間:3か月 / 導入費用¥3,000,000
実施内容
要件定義、設計、構築をさせて頂きました。お社内にあるアプリやWindowsデバイスはオンプレミスADがなくなると運用ができなくなるのでEntraID ConnectでハイブリッドEntraIDの状態に移行しました。
SCCMとIntuneの同時管理となりますが様々なADのグループポリシーだけでなくIntune側の機能利用が可能となりました。
今後はアプリやデバイスをクラウドへ時間をかけて移行をする予定です。
また新しく購入するPCでオンプレADが必要ない場合はEntraID参加に切り替えて最終的にオンプレADがなくても運用できる状態になってからオンプレADを外す予定で運用しています。
事例05
課題:GoogleWorkSpaceで利用しているメールをExchangeOnlineへ切り替えたいです。
E社様 / クライアント台数:300台 / 期間:1.5か月 / 導入費用¥1,500,000
実施内容
GoogleWorkSpaceで社内のメールを運用していましたが、
AzureやIntune利用が多いことやDefender for Office365等を利用しセキュリティを高めていくことになった為、ExchangeOnlineへ移行することになりました。
MXレコードの切替前に受信メール、送信メール、連絡先等のデータを移行し、移行元や移行先で確認することができます。
MXレコードを切替える際に2-3日移行の反映に時間がかかるケースがあります。
その間にメールをロストしない様に、MXレコード切替後もデータ同期を続けます。
その為、問題なくExchangeOnlineでの運用に移行することができました。
事例06
課題:退職者、メールの誤送信、USB紛失による情報漏洩を防ぎたいです。
F社様 / クライアント台数:300台 / 期間:3か月 / 導入費用¥3,000,000
実施内容
オンプレミスAIPスキャナを利用することでオンプレミスのファイルサーバに格納しているPDFやExcel等のドキュメントに対して常時対象フォルダに対して自動的にラベル付けをしてくれます。
特定のフォルダを対象にラベル付けをしましたが特定の文言を含んだドキュメントや特定の拡張子だけラベル付けすることも可能です。
社内全員が編集、保存はできるが外部の人はドキュメントを開くことができない様にするができました。
メールの誤送信やUSB紛失による情報漏洩等を防ぐことができます。
導入後の運用
横浜情報機器ではお客様のIT運用の作業負荷を軽減するため、 ニーズに合わせた柔軟なサポートを提供しています。
導入後にできることの例
WindowsUpdateの管理ができます。
IntuneでWindowsUpdate管理する方法
PCの機能制限をする為に一部非表示にすることができます。
Windows10の設定をリモートで変える方法
USBメモリを禁止する方法
他サービスと連携しシングルサインオンができます。
SalesForceとのシングルサインオン
パスワードでサインインできないようにすることができます。
重要情報に閲覧期限を設定することができます。
Azure Information Protection(AIP)で手動で権限付与をする方法
DLP(Data Loss Prevention)を利用して情報漏えいを防ぐ方法
取引先に渡した資料をいつ誰がどのような操作をしたか追うことができます。
Azure Information Protection(AIP)で作成したファイルが自動でラベル付けされる方法
Azure Information Protection(AIP)で既存ファイルの重要ファイルのみラベル付けする方法
企業が許可していないPCはアクセス不可にできます。
Windowsからのみsharepointへアクセス許可をする方法
個人所有のスマホにデータ保存禁止にできます。
企業データを私物モバイルへ保存禁止する方法