「Windows 10」法人導入の手引き

Windows 10の管理、ADとAzure ADの使いどころ - (page 3)

胡口敬郎

2016-04-12 07:00

Azure AD/Intuneに参加させると何ができるのか？

　Azure ADにPCを参加させることで、Azure ADやIntuneのさまざまな管理機能を活用したユーザーの利便性向上やより便利なデバイス管理が実現できる。

(1)Microsoft Passportを利用したSSO環境の提供
　Azure ADへの参加での一番のメリットとなるのは、Azure ADのデバイス登録サービスと連携した新しいユーザー認証の仕組みである「Microsoft Passport」によるシングルサインオン（SSO）環境の実装だろう。PCをAzure ADに参加させるとPCへのログオンにAzure ADのアカウントが利用できるようになる。それにより、同じアカウントで利用するSaaSのサービスに、PCへのログオンを起点としたSSOが利用可能になるのだ。ユーザーはPCにログオンさえしてしまえば、Azure ADを認証基盤として利用している多くのSaaSにシームレスにアクセスできる。

　そして、その認証の仕組みも従来のIDとパスワードの入力によるものから証明書ベースの認証となったMicrosoft Passportに切り替わり、よりセキュアな環境でのサービス利用ができるようになった。Microsoft Passportの詳細については下記の日本マイクロソフトのセキュリティチームのブログを参考にしてほしい。

　また、Microsoft Passportは、Windows 10で新しく追加された生体認証機能「Windows Hello」とも連携する。顔、指紋、虹彩などの生体認証とPassportの証明書ベースの認証を組み合わせることで、非常にセキュアな認証基盤を構成可能だ。さらに従来のスマートカード認証と比べて公開鍵暗号基盤（PKI）を自前で準備しなくてもいいというメリットもある。

(2)Azure ADに参加したデバイス間でのユーザー設定情報のローミング
　Windows 8では、Windows OSのログオンにマイクロソフトアカウントを利用できるようになった。マイクロソフトアカウントでログオンした場合にはWindows OSのさまざまな設定をクラウド側に保存し、同じアカウントでログオンする複数のデバイス間で設定を同期できるようになっていた。Windows 10では、Azure ADのアカウントでPCにログオンすることで、Windows 8同様に設定の同期ができる。実際に同期できる情報についてはこちらのウェブサイトに詳細が記載されているので併せて参照いただきたい。

　また、Azure ADはドライブ暗号化機能「BitLocker」の回復パスワードをバックアップする機能を備えている。Windows 8以降、Proエディションからも利用可能となったBitLockerだが、暗号化してファイルにアクセスできなくなったという事態は避けたいものだ。Windows 10では、Azure ADへの参加と同時に自動的にBitLockerでドライブを暗号化し、ここで回復用のパスワードも自動的にバックアップする。有事の時にはクラウド上からパスワードが入手できるのだ。

BitLockerの回復パスワードをクラウド上にバックアップ

(3)Intune MDMを使ったデバイスの構成管理
　IntuneはSaaSで提供されるデバイス管理ソリューションで、下記に挙げるようなMDMに類する機能を提供し、Windows 10はこれらの制御の受け入れに対応している。

インベントリ情報の収集
ポリシーベースの設定管理
アプリケーションの展開と管理
リモートワイプなどのリモート操作

　PCをIntuneに参加させる際には、Azure ADへの参加と同時に自動的にIntuneにも参加するように管理者が設定できる。この場合、ユーザーは特にアクションを必要とせず、自動的にIntuneからの管理を受けることが可能だ。

　また、Azure ADへの参加と切り離して、Intuneに手動で参加することもできる。「設定」→「アカウント」→「職場のアクセス」に「デバイス管理に登録する」というメニューがあるので、そこからIntuneに参加するためにAzure ADの組織IDでサインインすることでIntuneのモバイルデバイス管理に参加させることができる。