Log in

「結局MDMって何ができるの?」MDM導入・活用Tips Part.1【期間限定公開】

OPtitle shimada

企業、教育機関のモバイルデバイスの導入が進む昨今、導入したモバイルデバイスの管理にモバイルデバイス管理(MDM)を導入する企業も増えた。MDMといえば「iPadなどのタブレットやスマートフォンを管理するシステムのこと」と認識している方も多いだろうが、詳しいことはいまいちわからないという方もいるのではないのだろうか。今回のTipsではMDM編の第一弾として、MDMを導入する際に知っておきたい疑問を一問一答形式で答えていく。

MDMで管理できることはデバイスの種類、OSのプラットフォームごとに異なりますか?

モバイルデバイスは、大きく分けて以下の3つのプラットフォーム(OS)が採用されている。

・AppleのiOS
・GoogleのAndroid OS
・MicrosoftのWindows OS

AppleのiOSが搭載されているiPadやiPhone、iPod touchでは同じiOSのバージョンであれば基本的には同じ管理機能を利用できる。GoogleのAndroidが搭載されているデバイスは端末メーカーが本体を開発しておりメーカーごとに同じOSでも仕様が異なっている。それによりAndroid OSがサポートしているMDMの管理機能のほかに、端末メーカー独自の管理機能が用意されている。MicrosoftのWindowsではWindows 8以前では管理できる機能が少なかったが、Windows 10からは管理できる機能が増えている。MDMサービスによっては、異なるOSのデバイスを一元管理できるものもあるが、その場合でも利用できる機能がOSによって異なることがある。

個人が持ち込んだデバイスを組織のMDMで管理すること(BYOD)はできますか?

組織で個人が持ち込んだスマートフォンやタブレットをMDM管理することは可能だが、個人のパーソナルデータが入ったデバイスを管理するにはさまざまなことを検討する必要がある。たとえば、個人が管理している連絡先の情報や写真、メールなどが組織に収集、保存されないようにする必要がある。またその逆に組織のデータが個人のデータに入り込まないようにする事も重要である。MDMではデバイスの設定や情報、一部のデータを管理できるが、個人、組織のデータを完全に分離するにはMDMだけでは難しい。そこでMDMのメーカーではMDMと連携するアプリを提供して組織のデータをアプリ内のみで利用・管理できるようにし、個人のパーソナルのデータとは分離するような仕組みを提供している。この仕組みのことを「モバイルアプリのコンテナ」や「アプリのラッピング」と呼ぶ。アプリのラッピングは企業のセキュリティポリシーや管理下にアプリを包むと言う意味もある。

001 

 

組織のイントラネットのみにあるデバイスを管理できますか?

MDMでは、デバイスの管理だけでなく情報の収集やデータの削除などを行う際に処理の通知をプッシュ型で配信する必要がある。MDMメーカーのほとんどがプッシュ型の通知にiOSデバイスの場合はAppleのAPNS(Apple Push Notification Service)、Android OSの場合はGoogleのGCM(Google Cloud Messaging)という仕組みを使っており、これらの仕組みを利用する際は外部のネットワークに接続する必要がある。オンプレミス型のMDMを導入する場合でもプッシュによる通知機能は各仕組みを利用するので、通知機能が利用する外部ネットワークに接続できる環境が必要だ。

MDMの価格はいくらですか?

価格はMDMのメーカーによって異なるが、管理するデバイスあたり数百円から利用できる。ただ導入コストがかかる場合もあるので採用したいMDMサービスの詳細を確認してもらいたい。

MDM用のサーバーは必要ですか?

MDMの多くは、インターネット経由で必要な機能を利用できるSaaS型として提供されており、組織が改めてサーバを用意する必要はない。SaaS型であれば導入や運用などを手軽に行うことができる。MDMのメーカーによっては、社内のサーバを利用する従来のオンプレミス型のMDMプランも用意している。オンプレミス型の場合は導入、運用には担当者の知識が必要だが、運用後はアップデートなどを自社のタイミングで行えるというメリットがある。

002

 

MDMを選ぶ際のポイントはありますか?

MDMサービスを提供しているメーカーは数十社を越えている。MDMの管理機能だけを見ると、各メーカーほぼ同じ機能がついており横並び状態である。MDM機能以外の付加機能や管理画面の使いやすさ、サポート体制なども選択のポイントとなる。MDMサービスのほとんどは試用できるので実際に複数のMDM製品を使ってみるのがよいだろう。

組織のポリシーに遵守していないデバイスを確認できますか?

MDMではあらかじめ設定した遵守ポリシー、たとえば電源の状態、業務で使用するアプリの利用状況、インストールされているアプリ一覧などで設定した値や状態から外れてしまったモバイルデバイスがないかを監視できる。もし遵守ポリシーから外れたデバイスが現れたら即座に管理者へ通知される。遵守ポリシーから外れた場合の処理を設定しておくことで自動的にモバイルデバイスを保護するようにもできる。

POINT

MDMとモバイルデバイスは定期的に通信を行って稼働状況をチェックしている。チェック間隔はMDMのサービスごとに異なる。遵守ポリシーの監視する間隔も同じで間隔が短ければモバイルデバイスに何かあった場合の対応がすばやく行える。チェック間隔についてもMDMを選ぶポイントになる。

MDMを使った管理はどのように行いますか?

モバイルデバイスをMDMで管理するには、まずMDMにデバイスを登録(加入)する必要がある。登録方法はMDMのメーカーごとに異なるが、大きく分けて2つの方法がある。管理するモバイルデバイスからMDMのサイトに直接アクセスしてデバイスを登録する方法と、MDMのアプリをインストールして、そのアプリから登録する方法だ。どちらの方法でも、あらかじめMDMサービス側に管理するモバイルデバイスを利用するユーザを登録しておくことが必要である。登録する際はMDMサーバのアドレスや組織のIDを指定し、登録したユーザアカウントでログインしてモバイルデバイスの登録を実行する。 

MDMを利用するとデバイスの設定はどうなりますか? 

MDMに登録されると、MDMのプロファイル(ポリシーファイル)がデバイスにインストールされる。モバイルデバイスの加入時には必ずアラートが表示され、モバイルデバイスがMDMの管理下に入ることがモバイルデバイスを利用するユーザに通知されるので、管理されたくない場合には許可をしないことも可能だ。一度モバイルデバイスがMDMに登録(加入)されると管理者によって設定が変更されても特に通知は表示されず、即座に設定が反映されるようになる。 

MDMを利用する時、必要なものはありますか? 

モバイルデバイスのプラットフォームによっては、プッシュ型の通知を利用するためにプッシュサービスのAPNSやGCMへの登録が必要になる。MDMサービスのサイトで登録の方法などは説明されている。 

BYODに配慮したプライバシー保護機能はありますか?

個人が利用しているモバイルデバイスを、MDM管理下において業務での利用を可能にした場合に課題になるのがプライバシーへの配慮である。MDMで管理されているモバイルデバイスは組織の遵守ポリシーによって定期的に情報が集められている。業務時間内であればモバイルデバイスや組織のデータを保護する為に情報を集めることは可能だが、個人のプライベートな時間まで情報を集めてしまうとプライバシーの観点からよくない。MDMでは管理する時間や曜日などをスケジュール管理することも可能だ。

組織のデータはどのように保護されますか?

MDMは基本的にはモバイルデバイス本体を管理する機能である。組織のデータやコンテンツをモバイルデバイスで扱う場合にはMAM(モバイルアプリケーション管理)やMCM(モバイルコンテンツ管理)機能と連携するMDMを利用したい。MCMでは専用のアプリなどを利用して組織のデータやコンテンツをセキュアに閲覧したり編集することができる。MAM、MCMとMDMと連携させることで、よりセキュリティを重視したモバイルデバイス利用環境の構築が可能になる。 

MDMの主な管理機能
 ・勝手にアプリをインストールしたり削除させない
 ・モバイルデバイスがちゃんと使用されているか確認
 ・紛失したときにリモートでデバイスをロックしたりワイプ(データ削除)
 ・デバイスの位置情報を記録
 ・操作ログを取得
 ・OSのアップデートをさせない
 ・リモートでアプリのインストールと削除
 ・モバイルデバイスを利用するユーザ自身がMDMを使って自身のモバイルデバイスを管理できるセルフ管理機能

 

今回はMDM導入の際に気になるポイントやMDMで利用できる機能について解説した。次回からは主要なMDMサービスの導入・活用のコツについて解説していきたい。

 

執筆

嶋田智成(株式会社ブルーエアー)/アプリの開発業務やiPadなどのビジネス導入支援、Webシステム、Webサービスの構築などに携わる。書籍の執筆、専門学校やセミナーの講師、技術コンサルタントとしても活動中。