Microsoft Enterprise Mobility + Security (EMS) で BYOD を有効にするための技術の決定事項Technology decisions for enabling BYOD with Microsoft Enterprise Mobility + Security (EMS)

従業員が自分のデバイスを使ってリモートで作業できるようにする戦略を開発するときは (BYOD)、BYOD を有効にして企業データを保護するためのシナリオで重要な決定を行う必要があります。As you develop your strategy to enable employees to work remotely on their own devices (BYOD), you need to make key decisions in the scenarios to enable BYOD and how to protect your corporate data. 幸い、EMS では包括的なソリューション セットにおいて必要なすべての機能が提供されています。Fortunately, EMS offers all of the capabilities you need in a comprehensive set of solutions.

このトピックでは、企業の電子メールへの BYOD アクセスを有効にする簡単なユース ケースを使って説明します。In this topic, we examine the simple use case of enabling BYOD access to corporate email. デバイス全体とアプリケーションだけのどちらを管理する必要があるかに注目します。いずれも完全に有効な選択肢です。We'll focus on whether or not you need to manage the entire device or just the applications, both of which are completely valid choices.

前提条件Assumptions

  • Azure Active Directory と Microsoft Intune についての基本的な知識があることYou have basic knowledge of Azure Active Directory and Microsoft Intune
  • メール アカウントが Exchange Online でホストされていることYour email accounts are hosted in Exchange Online

デバイスを管理する場合の一般的な理由 (MDM)Common reasons to manage the device (MDM)

Exchange Online に条件付きアクセス ポリシーを展開することで、デバイス管理へのデバイスの登録をユーザーに簡単に促すことができます。You can easily drive users to enroll their devices into device management by deploying a Conditional Access policy on Exchange Online. 個人デバイスの管理が必要な理由としては次のようなものがあります。Here are the reasons you might want to manage personal devices:

WiFi/VPN – ユーザーが生産性を向上させる企業接続プロファイルを必要としている場合は、シームレスに構成できます。WiFi/VPN – If your users need a corporate connectivity profile to be productive, this can be seamlessly configured.

アプリケーション – ユーザーのデバイスにアプリのセットをプッシュする必要がある場合は、シームレスに配信できます。Applications – If your users need a set of apps to be pushed to their device, these can be seamlessly delivered. これには、Mobile Threat Defense アプリのようなセキュリティのために必要なアプリケーションが含まれます。This includes applications that you might require for security purposes, like a Mobile Threat Defense app.

コンプライアンス – 組織によっては、特定の MDM 制御が求められる規制や他のポリシーに準拠することが必要な場合があります。Compliance – Some organizations need to comply with regulatory or other policies that call out specific MDM controls. たとえば、MDM では、デバイス全体を暗号化したり、デバイス上のすべてのアプリのレポートを生成したりする必要があります。For example, you need MDM to encrypt the entire device or to produce a report of all apps on the device.

アプリのみを管理する場合の一般的な理由 (MAM)Common reasons to only manage the apps (MAM)

MDM を行わない MAM は、BYOD をサポートする組織で非常によく利用されています。MAM without MDM is very popular for organizations that support BYOD. Exchange Online に条件付きアクセス ポリシーを展開することで、Outlook Mobile (MAM 保護をサポートします) からメールにアクセスするようユーザーに促すことができます。You can drive users to access email from Outlook Mobile (which supports MAM protections) by deploying a Conditional Access policy on Exchange Online. 個人デバイスのアプリのみの管理が必要な理由としては次のようなものがあります。Here are the reasons you might want to only manage apps on personal devices:

ユーザー エクスペリエンス – MDM の登録には (プラットフォームにより表示される) 多くの警告プロンプトが伴うため、ユーザーが個人のデバイスでメールにアクセスすることをあきらめるという結論に達してしまうことがよくあります。User experience – MDM enrollment includes many warning prompts (enforced by the platform) that often result in the user deciding they would rather not access their email on their personal device after all. MAM で表示されるユーザーへの警告はずっと少なく、MAM による保護が適用されていることを伝えるポップアップが 1 回表示されるだけです。MAM is much less alarming to users, as they simply get a pop-up one time to let them know MAM protections are in place.

コンプライアンス – 組織によっては、個人デバイスでの管理機能を少なくすることを求めるポリシーに準拠することが必要な場合があります。Compliance – Some organizations need to comply with policies that require less management capabilities on personal devices. たとえば、MAM ではアプリから企業データを削除することだけができるのに対し、MDM ではデバイスからすべてのデータを削除できます。For example, MAM is only able to remove corporate data from the apps, as opposed to MDM which is able to remove all data from the device.

モバイル デバイスでのデバイス管理とアプリ管理を比較した図

詳しくは、デバイス管理とアプリ管理のライフサイクルに関するページをご覧ください。Learn more about device management and app management lifecycles.

MDM と MAM の機能の比較MDM vs MAM capability comparison

既に説明したように、条件付きアクセスを使うと、デバイスの登録、または Outlook Mobile などのマネージド アプリの使用をユーザーに促すことができます。As already mentioned, Conditional Access can drive a user to enroll their device or use a managed app like Outlook Mobile. いずれの場合も、次のような他の多くの条件を適用できます。Many other conditions can be applied in either case, including:

  • アクセスを試みているユーザーWhich user is attempting the access
  • 信頼できる場所かどうかWhether the location is trusted or untrusted
  • サインイン リスク レベルSign-in risk level
  • デバイスのプラットフォームDevice platform

それでも、多くの組織で心配されている特定のリスクが発生することがよくあります。Still, many organizations often have specific risks they're concerned about. 次の表は、一般的な懸念事項と、それらにする MDM と MAM の対応の比較をまとめたものです。The table below lists the common concerns and MDM vs MAM response to that concern.

懸念事項Concern MDMMDM MAMMAM
許可されていないデータ アクセスUnauthorized data access グループ メンバーシップを要求Require group membership グループ メンバーシップを要求Require group membership
許可されていないデータ アクセスUnauthorized data access デバイスの登録を要求Require device enrollment 保護されたアプリを要求Require protected app
許可されていないデータ アクセスUnauthorized data access 特定の場所を要求Require specific location 特定の場所を要求Require specific location
侵害されたユーザー アカウントCompromised user account MFA を要求Require MFA MFA を要求Require MFA
侵害されたユーザー アカウントCompromised user account リスクの高いユーザーをブロックBlock high risk users リスクの高いユーザーをブロックBlock high risk users
侵害されたユーザー アカウントCompromised user account デバイス PINDevice PIN アプリ PINApp PIN
侵害されたデバイスまたはアプリCompromised device or app 準拠しているデバイスを要求Require a compliant device アプリ起動時の脱獄またはルートのチェックJailbreak/root check on app launch
侵害されたデバイスまたはアプリCompromised device or app デバイス データの暗号化Encrypt device data [アプリ データの暗号化]Encrypt app data
デバイスの紛失または盗難Lost or stolen device すべてのデバイス データを削除Remove all device data すべてのアプリ データを削除Remove all app data
セキュリティで保護されていない場所への偶発的なデータの共有または保存Accidental data sharing or saving to unsecured locations デバイスのデータのバックアップを制限Restrict device data backups 組織データのバックアップを制限Restrict backups of org data
セキュリティで保護されていない場所への偶発的なデータの共有または保存Accidental data sharing or saving to unsecured locations 名前を指定した保存を制限Restrict save-as 名前を指定した保存を制限Restrict save-as
セキュリティで保護されていない場所への偶発的なデータの共有または保存Accidental data sharing or saving to unsecured locations 印刷を無効にするDisable printing 組織データの印刷を無効にするDisable printing of org data

次のステップNext steps

デバイス管理、アプリ管理、またはこれらの組み合わせに注目し、組織で BYOD を有効にするかどうかを決定します。Now it's time to decide if you are going to enable BYOD in your organization by focusing on device management, app management, or a combination of the two. 実装を選択するのはユーザーですが、Azure AD の ID およびセキュリティ機能を利用できるのでいずれにしても安心です。The implementation choice is yours, where you can rest assured that the identity and security features available with Azure AD will be available regardless.

次のレベルの計画について詳しくは、Intune の計画ガイドをご覧ください。Use the Intune Planning Guide to map out your next level of planning.