SYC Microsoft Intune 導入記
~弊社情報システム部 藤田さんに聞く~
こんにちは、エス・ワイ・シーの郷田です。
これまで Microsoft Intune 関連記事を何本か掲載させていただきましたが、私が試用環境で遊・・検証を行っている裏で、弊社情報システム部による社有携帯 (iPhone) の管理を Microsoft Intune に移行するプロジェクトが進んでおりました。
プロジェクトを担当されました弊社情報システム部・藤田さんからお話を伺う機会があり、情報システム部の生の声をお伝えするいい機会だと思いましたので今回インタビュー形式でご紹介いたします。
(みなさんも興味ありますよね?)
社内導入環境
社有携帯 (iPhone) の管理がすべて Microsoft Intune に切り替わったとお伺いしています。
まずは、おめでとうございます。
どういった環境で運用されてますか?
Apple Business Manager + Microsoft Intune + DEP 端末の環境です
Microsoft Intune の機能を最大限に発揮できる組み合わせですね。
おさらいになりますが、DEP 端末とは販売ディーラーから出荷された Apple Business Manager もしくは Apple School Manager のテナントに紐づけられたプリセットアップ済の端末のことです。
Apple Business Manager とは Apple が用意している IT 管理者向けの Web ベースのポータルで、MDM ソリューションと連携して iPhone、iPad、Mac のより細かいデバイス管理が可能となるものです。
今回社有携帯のリプレースのタイミングで、DEP 端末で買い揃えられたんでしょうか。
Apple Business Manager は今回初導入ですよね?
最近リプレースされた数台を除き、全て DEP 端末として手配しています。
Apple Business Manager も今回契約/導入しました。
課題と解決できたところ
今回 Microsoft Intune に切り替えたきっかけといいますか、課題みたいなものはあったのでしょうか。
元々スマートフォンデバイスが PC と同レベルで管理できていないというのがあり、既存 MDM による盗難・紛失対策はしていたんですが、アプリ制限や情報漏洩防止ができていない、各社員任せになっていたという課題がありました。
なるほど、Microsoft Intune ならアプリ制限やデータ操作の制限も可能ですね。
Microsoft Azure と組み合わせた制御・管理ができる Microsoft Intune を選定することで解決することができました。
また、iPhone 端末のキッティングを各社員に実施して貰っていますが、初期設定作業量も増えて、負担となっていました。
私も入社時にやった覚えがあります。結構いろいろありましたよね。
それと比較すると今回 Microsoft Intune に切り替わってからの iPhone 初期設定はほとんど手がかからなかった印象です。
DEP 端末なので、自動展開を利用してアクティベーション時に色々と配布を行うことで解決しています。
便利になった点
Microsoft Intune での管理に切り替えたことで、便利になったと感じた点はありますか。
デバイスモデルと電話番号が管理画面で一元化できたことです。
これまでは EXCEL で手動管理を行わなければならなかったので、、
あとは iOS / iPadOS のソフトウェア更新ポリシーが便利かなと
これまで iOS アップデートを各自に任せていたため、中には更新してくれない人がいたり、、
これまで手動管理されてたんですか、それは手間といい大変でしたね。
iOS / iPadOS のソフトウェア更新ポリシーを利用することで指定したスケジュールで更新プログラムを展開させることができますね。
使っていて気づいたんですが、ロック解除画面に社名と連絡先が出るようになりました。
落とした時に拾った方にご連絡いただける可能性も高いと思います。あれもいいですよね。
監視モードとGPS
DEP 端末で Apple プロファイル作成時に設定するか、登録後の iOS 端末に Apple Configurator を使用することにより、監視モードを有効にすることができます。
今回弊社環境も監視モードになっているそうですが、どういったことができるのでしょうか。
リモートで iOS 端末の再起動やシャットダウンなどができます。
さらに紛失モードという機能があり、有効にすると
・デバイスの画面に任意の文字列や電話番号を表示させる。なお操作は一切受け付けない。
・音を鳴らせる。
・位置情報 (GPS) を検索できるようになる。
などができます。
紛失モードと言うだけあって、紛失時にはかなり役に立ちそうな機能ですね。
位置情報の検索は私も実際の画面を見せていただきましたが、精度はよさそうですね。
ちょっと聞きにくいことを聞きますが、GPS 機能に関してプライバシーを気にして、休日社有携帯を持ち歩かない人もいるようですが、普段位置情報ってこっそり見ることができたりするものなんですか?
Microsoft Intune では紛失モード(強制ロック状態)にしないと位置情報は検索できません。
そのため位置情報検索は本当の紛失時や、長時間連絡が一切付かない場合等を想定しています。
なるほど、それはいくらなんでも利用者が気づきますよね。
社員のプライバシーもきちんと守られているとのこと、承知いたしました。
社内導入において悩んだ点
Micosoft Intune を社内に導入するにあたり、悩んだ点などはありましたか?
AppleID を管理用にするか、個人用にするかを悩みました。
これまでは個人用 AppleID を利用していましたよね。
個人用 AppleID です。個人が任意のアプリをインストールできる環境です。
管理用 AppleID は管理者側で発行可能で、強い統制をかけることも可能です。
ID を切り替える場合、既存インストールアプリのデータ移行が難しい点と、個人用 AppleID 利用環境でも、DEP 端末監視モード + Microsoft Intune で必須機能となるリモート管理機能や紛失時対応が可能だということが分かりましたので、今回は個人用 AppleID を引き続き利用、ということになりました。
なるほど。ある程度自由度を残したんですね。
AppleID をどうするかは、次回リプレース時の検討事項というところでしょうか。
今後について
今後の方針ややりたいことなどはありますか?
Windows 端末も Microsoft Intune 管理下に置いて、AutoPilot による Windows 端末の自動展開を実現したいです。
そうなりますよね(笑)
様々な方向に展開できるのも Microsoft Intune の強みかと思います。
私も検証を進める予定ですが、藤田さんの方でもうまくいったら教えてください。
また記事にします。
本日はいろいろ教えていただきまして、ありがとうございました。
ありがとうございました。
以上、「 SYC Microsoft Intune 導入記 ~弊社情報システム部 藤田さんに聞く~ 」でした。
是非、次回記事もご覧ください。
