「Windows 10」法人導入の手引き

Windows 10の管理、ADとAzure ADの使いどころ - (page 3)

胡口敬郎

2016-04-12 07:00

Azure AD/Intuneに参加させると何ができるのか?

 Azure ADにPCを参加させることで、Azure ADやIntuneのさまざまな管理機能を活用したユーザーの利便性向上やより便利なデバイス管理が実現できる。

(1)Microsoft Passportを利用したSSO環境の提供
 Azure ADへの参加での一番のメリットとなるのは、Azure ADのデバイス登録サービスと連携した新しいユーザー認証の仕組みである「Microsoft Passport」によるシングルサインオン(SSO)環境の実装だろう。PCをAzure ADに参加させるとPCへのログオンにAzure ADのアカウントが利用できるようになる。それにより、同じアカウントで利用するSaaSのサービスに、PCへのログオンを起点としたSSOが利用可能になるのだ。ユーザーはPCにログオンさえしてしまえば、Azure ADを認証基盤として利用している多くのSaaSにシームレスにアクセスできる。

 そして、その認証の仕組みも従来のIDとパスワードの入力によるものから証明書ベースの認証となったMicrosoft Passportに切り替わり、よりセキュアな環境でのサービス利用ができるようになった。Microsoft Passportの詳細については下記の日本マイクロソフトのセキュリティチームのブログを参考にしてほしい。

 また、Microsoft Passportは、Windows 10で新しく追加された生体認証機能「Windows Hello」とも連携する。顔、指紋、虹彩などの生体認証とPassportの証明書ベースの認証を組み合わせることで、非常にセキュアな認証基盤を構成可能だ。さらに従来のスマートカード認証と比べて公開鍵暗号基盤(PKI)を自前で準備しなくてもいいというメリットもある。

(2)Azure ADに参加したデバイス間でのユーザー設定情報のローミング
 Windows 8では、Windows OSのログオンにマイクロソフトアカウントを利用できるようになった。マイクロソフトアカウントでログオンした場合にはWindows OSのさまざまな設定をクラウド側に保存し、同じアカウントでログオンする複数のデバイス間で設定を同期できるようになっていた。Windows 10では、Azure ADのアカウントでPCにログオンすることで、Windows 8同様に設定の同期ができる。実際に同期できる情報についてはこちらのウェブサイトに詳細が記載されているので併せて参照いただきたい。

 また、Azure ADはドライブ暗号化機能「BitLocker」の回復パスワードをバックアップする機能を備えている。Windows 8以降、Proエディションからも利用可能となったBitLockerだが、暗号化してファイルにアクセスできなくなったという事態は避けたいものだ。Windows 10では、Azure ADへの参加と同時に自動的にBitLockerでドライブを暗号化し、ここで回復用のパスワードも自動的にバックアップする。有事の時にはクラウド上からパスワードが入手できるのだ。


BitLockerの回復パスワードをクラウド上にバックアップ

(3)Intune MDMを使ったデバイスの構成管理
 IntuneはSaaSで提供されるデバイス管理ソリューションで、下記に挙げるようなMDMに類する機能を提供し、Windows 10はこれらの制御の受け入れに対応している。

  • インベントリ情報の収集
  • ポリシーベースの設定管理
  • アプリケーションの展開と管理
  • リモートワイプなどのリモート操作

 PCをIntuneに参加させる際には、Azure ADへの参加と同時に自動的にIntuneにも参加するように管理者が設定できる。この場合、ユーザーは特にアクションを必要とせず、自動的にIntuneからの管理を受けることが可能だ。

 また、Azure ADへの参加と切り離して、Intuneに手動で参加することもできる。「設定」→「アカウント」→「職場のアクセス」に「デバイス管理に登録する」というメニューがあるので、そこからIntuneに参加するためにAzure ADの組織IDでサインインすることでIntuneのモバイルデバイス管理に参加させることができる。


「デバイス管理に登録する」からIntuneに手動で参加

 IntuneのMDMに参加すると、Intune側からはあらかじめ定義されている管理ポリシーが展開され、各種設定が自動的に定義される。どのような管理ポリシーがあるのかについては下記のサイトに設定項目が記載されているので参考にしてほしい。

 そして、これらのポリシーベースの機能制御により、Windows 10のセキュリティ関連の設定を一元的に管理・適用できる。また、Windows 10の新機能で間もなくリリースされる「Enterprise Data Protection」も、このモバイルデバイス管理ポリシーで実装される予定だ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]