“Identity is the new control plane” Windows 10とAzure ADとIntuneで作れる素敵な世界
“Identity is the new control plane” これがMicrosoftのモバイル戦略の最新のキーワードです。 Azure AD, Microsoft Intune and Windows 10 – Using the cloud to modernize enterprise mobility! - Active Directory Blog - Site Home - TechNet Blogs http://blogs.technet.com/b/ad/archive/2015/06/12/azure-ad-microsoft-intune-and-windows-10-using-the-cloud-to-modernize-enterprise-mobility.aspx 上記のブログが非常に「濃い」内容だったので、自分の考えの整理も兼ねて内容のサマリーを…。 Windows 10デバイス(スマートフォン、タブレット、PC等)がAzure ADに参加すると自動的に会社のポリシーに従ってMDMに登録される。会社のデバイスでも、個人のデバイスでも。 - 以下の要素に基づいたポリシーベースのアクセスコントロールでリソースを保護する O365等のアプリケーション - デバイスのヘルスやコンプライアンス状態 - ユーザーのプロファイル、属性、グループ - 認証強度 - アクセス元の場所 - クラウドのアプリケーションとオンプレミスのアプリケーションとの両方に、同一のポリシーでのアクセスコントロールを可能にする - これら全てをクラウドで実現する。新しいサーバーもネットワークデバイスも不必要。VPNも不必要。ほんの数時間で実現できる。 マイクロソフトは個人デバイスの持ち込みであっても、会社のデバイスであってもきちんと自動的にコントロール可能となるシナリオを重視していることがよくわかります。ECSライセンスだと個人のデバイスにOSの実行権限もOfficeの実行権限もつきますしね。 「会社のデバイスのみを会社のデータにアクセスさせる(≒以下に個人所有のデバイスのアクセスをブロックできるか)」というポリシーの企業も特に日本では多いと感じていますが、BYODによって個人にも会社にもメリットを出そうという考え方は合理的だと個人的に思います。 この大きな方向性の中で、会社のデータをいかに個人に不便を与えることなく安全に守るか。これをOSとクラウドで実現しようというわけですね。さすがはOSまで作っているマイクロソフト…といったところでしょうか。(もちろんWindows10以外のOSへの対応も進むものと思われますが!) AzureAD(premium)にて柔軟なポリシー設定ができないのがいままで色々とネックとなりADFS含めて他のソリューションが色々と必要な状況がありましたが、ついにMicrosoftのクラウドサービスだけで完結できるようになりますね。 軸足がどんどんオンプレミスからクラウド側にうつすことが「可能」になってきています。そしてWindows10においてはモバイルデバイスとPCとの境目は全くなくなる事になります。まさにモバイルファースト、クラウドファーストという感じですね。 Windows10ではOSのセットアップ時にAzure ADに参加が非常に簡単にできます。 個人利用のWindows10も簡単にAzure ADに参加できます。 管理者がIntuneにデバイスの管理ポリシーを設定し、Azure ADに条件に基づいたアクセスコントロールポリシーを設定します。 Intuneはデバイスがきちんとコンプライアンス設定が満たされているかを評価し、その結果をAzure ADにレポートします。 この時、きちんと「デバイス」とそれを使用している「ユーザー」が紐づくのが大きなポイントですね。 ...