結論から言うと、「これ」と言う答えはないということ。(でも、ベースとなるパターンはある…) また、今日の方法が明日も通用するわけではないということ。 本質としては、人、組織、サービスなど全てが臨機応変かつ「リーン」に変化に対応していかねばならないと言うのが事実です。 世界の事例では、その当時に各社・国で必要としたニーズに、製品やサービスでどのように対応していったかと言う紹介になります。 それに基づき、機能が拡張されたことも、変化した経緯もあります。

1. Session ID: SEC006

2. Easy access
24x7 connectivity
Flexibility
Global reach
Seamless
collaboration
Agility
Reduced friction
But what about Auditing? Security? Compliance & Assurance?
企業としては: 生産性 23% 向上 & 社員満足度 100% 向上
Is mobility the answer to better employee productivity?, Forbes Magazine, 3.29.2016

3. But what about Auditing? Security? Compliance & Assurance?企業IT: 実装時のセキュリティ・コンプライアンス・保障はいかに?
Easy access
24x7 connectivity
Flexibility
Global reach
Seamless
collaboration
Agility
Reduced friction

4. Enterprise Mobility + Security (EMS)
アイデンティティとアク
セス管理
Azure Active
Directory Premium
モバイル デバイスと
モバイル アプリ管理
Microsoft Intune
情報プロテクション
Azure Information
Protection
ユーザー・エンティティの
行動分析
Advanced Threat
Analytics
クラウド・SaaS
アプリ セキュリティ
Cloud App Security

5. DMZ Internet社内ネットワーク
ポリシー制御
• Exchange ActiveSync フィルタ
• Web アクセス フィルタ
• モバイルアプリ フィルタ・拒否
• 非管理端末の拒否
• ダウンロード拒否
• 多要素認証必須
• Domain参加必須
• Proxy/VPN 経由のみの接続
Active
Directory
PCs
SharePoint
Server
Exchange
Server
企業データ アクセス - 従来のアクセス制御
モバイル
端末
ブラウザ

6. 現代の現実

7. Microsoft Tech Summit

8. 条件付きアクセス
Microsoft Confidential - Subject to NDA
アプリケーション
アプリ毎のポリシー
クライアントの種類
(Web, リッチ, モバイル)
クラウドと
オンプレミスの
アプリケーションや
データ
ユーザー アトリビュート
グループ
デバイス
ドメイン参加
コンプライアンス状態‘
プラットフォーム種類
(Windows, iOS, Android)
ロケーション
IP レンジ
MFA 必須
許可
拒否
リスク
セッション リスク
ユーザー リスク

9. Microsoft Tech Summit

10. デジタル トランスフォーメーションの一環として、すべてのユーザーが IT に対する意識を
変えさせたい
• 裏で動くものではなく、ビジネス価値を与えてくれ、個人の生産性を上げてくる道具
• 競争率の激しい業界において、ただ生産性を上げるのではなく、付加価値をもって接客する必要がある
デバイスやプラットフォーム依存しないユーザー エクスペリエンス
• Office 365 自体 Windows 版 → Web 版 → iOS 版へとシームレスに利用可能なので生産性を失わない
• SharePoint Online から Exchange Online、Skype for Business、Yammer などのツールを使い社内の異な
る事業部間の連携も強化

11. Microsoft Tech Summit

13. Unified Enrollment
Azure AD
Device object
- device id
- isManaged
- MDMStatus
Quarantine Website
Step 1: Enroll device
Outlook App
Access control from mobile apps on iOS/Android
4
Register device in
Azure AD
Outlook
Cloud Service
1
(Workplace Join +
management)
3
Enroll into Intune
4
Intune
Set device
management/
compliance
status
5
6Access Outlook
Cloud service with
AAD token
7
8
Get EAS service
access token for
user
9Get Corporate
email
10
Email delivered
Redirect to
Intune
2
Office 365 Email
service

14. Azure AD
Browser
Unified enrollment
Device object
- Device ID
- isManaged
- MDMStatus
Quarantine website
Step 1: Enroll device
Office 365 Email
service
Intune
4
Register device in
Azure AD
1
(Workplace join +
management)
3
Enroll into Intune
4
Set device
management/
compliance
status
5
8
Documents
viewed &
downloaded
Redirect to
Intune
2Access Exchange
Online service
through sign-in
cookie
7
6
Access control to O365 from mobile browser
Site provides cookie
to let user sign in

15. Microsoft Tech Summit

16. 既存のシステム投資を最大限に活用できる
• System Center Configuration Manager と連携
• モバイル デバイス管理も PC 管理と同様に一画面から実装可
デバイス紛失・盗難時の企業データのワイプができる
• デバイスの初期化または企業データのみワイプ (Full Wipe or Selective Wipe)
• 管理者・ユーザーのいずれも実装可
LOB アプリをラップすることで MAM 機能が活用できる
• Intune SDK を自社アプリに組み込み Intune MAM の機能を利活用
• 扱うデータをアプリ内に収め、必要があればリモート ワイプも可

17. Microsoft Tech Summit

18. 開発ツール
• iOS, Android Native SDK
• Cordova Plug-in
• Xamarin Component
• Store apps or LOB apps
• Developer friendly workflow
• Policies can target app or identities
IT Pro 向けツール
• iOS, Android App Wrapping Tool
• Company, LOB apps only
• No access to source code
• Policies target application
Intune アプリケーション
パートナー
• MAM already enabled in iOS,
Android store apps
• ISV partners with Intune
• Native SDK integration in store app
• Admin deploys app directly using
store links

20. iOS
Android
Available Now Coming
soon

21. Intune App SDK

22. @msintuneappsdk

23. Microsoft Tech Summit

24. モバイル端末を利用したワークスタイルが普及する中、社員が扱う顧客データを守る必要がある
• Smart Phone や Tablet を利活用することで、オフィス以外の場所にいても生産性を保てる
• SSO、ファイル暗号化、リモート ロック含め、端末の初期化もしくはセレクティブ ワイプなどの機能を用いて端末内のデータ
のセキュリティを担保
個人のデバイスを企業デバイスとして登録せず、セキュアにメールなどのリソースにアクセスできる
• デバイス登録を前提とした条件付きアクセスを展開したが、結果ユーザーがメールを利用しなくなった
• MAM without Enrollment (デバイス登録をしないモバイル アプリ管理) を活用
管理されたアプリを一定期間以上利用しない場合、自動的に管理されたアプリ内のデータを消去
• 管理されているアプリ内のサンドボックスとは言え、気密度の高い情報を扱ってる為、一定期間以上ユーザーが利用しな
いデータは自動的にアプリのサンドボックスから削除し不要にデータが残らないようにする (MAM-WE 設定)

25. ロックダウン
デバイス
企業資産の
端末
個人の
デバイス
不明な
デバイス
例 Point-of-sale or
maintenance tablet or
PC
Company provided
phone, tablet or PC
Personal phone, tablet
or PC
Kiosk at a hotel
ユーザー Task Worker Information Worker Information Worker Information Worker
Level of Access Desired by Organization varies across the spectrum組織が与えたいアクセス権は幅広い
 デバイス管理
(MDM)
ꭕ MDM は NG ꭕ MDM 不可

27. Microsoft Tech Summit

28. 1 該当アプリをストアからユーザーが
インストール
2 Office 365 の Credential でログイン
3 Azure AD によりユーザーとアプリが Office
365 に接続可能であることを確認
4 管理されたアプリに Intune から MAM ポ
リシーが適用される
5 Office 365 へのアクセスが許可される
6 通常通りアプリを利用する
User
Office 365
Azure AD

31. Microsoft Tech Summit

32. PC からモバイル端末まで一元管理したい
• System Center Configuration Manager と Intune を連携し Domain Join している
PC も外部で利用されているモバイル デバイスも１画面で管理
• 必要なアプリを正しいデバイスを利用している特定のユーザーに提供可能
情報セキュリティは Azure Rights Management 機能 (現 Azure
Information Protection) を利用し暗号化
• メールの本文から添付データまで一括してセキュアに転送

33. Mobile devices and PCs Mobile devices
System Center
Configuration
Manager
Domain joined PCs
Configuration Manager integrated with Intune (hybrid)Intune standalone (cloud only)
IT IT
Intune web console Configuration Manager console

34. Microsoft Tech Summit

35. 5 categories of
suspicious/tampered
Pokémon apps

36. LOOKOUT MTP CONSOLE
INTUNE CONSOLE
ALERT
MALWARE
DETECTED
MALWARE
DETECTED
CONDITIONAL
ACCESS
CONDITIONAL ACCESS
STOP EMAIL ACCESS
LOCK MANAGED APPS

37. ALERTCONDITIONAL
ACCESS
LOOKOUT MTP CONSOLE
INTUNE CONSOLE
MALWARE
DETECTED
MALWARE
DETECTED
CONDITIONAL ACCESS
STOP EMAIL ACCESS
LOCK MANAGED APPS
USER REMEDIATIONCONDITIONAL
ACCESS
THREAT
REMEDIATED
THREAT
REMEDIATED

38. Microsoft Tech Summit

39. EAS Client
Attempt email
connection
1
Block
If not managed,
block device
3
On Prem
Exchange Server
2010/2013
Who does what?
Intune: Evaluate policy,
manage device state and
mark device record in AAD
Exchange Server: Provides
API and infrastructure for
quarantine
10
If managed, email
access is granted
Unified Enrollment
Register EAS
email client
7
Create EASID to
device ID binding
8
Set device management/ compliance status
6
Azure AD DRS
Device object
- device id
- isManaged
- MDMStatus
- EASIDs
Azure AD
Quarantine email
Step 1: Enroll device
Step 2: Register EAS
client
(Workplace Join +
management)
4
Intune
5
Register device in
Azure AD
5 Enroll into Intune
2
Block non Managed
devices
9
Allow Managed device

40. Microsoft Tech Summit