会社支給端末のみを管理したいのベストプラクティス (1/2)

 

「会社が指定した端末のみ管理したい」といった要望をよくお客様からいただきます。
日本企業のみで多い要望らしいのですが、簡単に読み解くと、会社が認めた端末(会社支給端末)は会社リソース(社内ネットワークやメール、チャットなどのコミュニケーションツール)にアクセスさせたい、しかしながら会社が認めていない個人所有の端末はブロックしたいという要望が多いです。

このような端末管理に関する要件を Choose Your Own Device (CYOD) と呼びます。

今回は Microsoft 365 は会社支給端末のみを管理できるかという視点で解説していきたいと思います。

概要とフロー

さっそく結論からいうと Microsoft 365 の Azure AD と Intune を利用して、会社支給端末のみを会社リソースにアクセスさせることは可能です。

まずはフローから見ていきましょう。

OS や登録方法によって異なるのですが、端末固有の情報である
IMEI 番号、シリアル番号、ハードウェア ID などの情報を Intune に事前に登録することで登録していない端末をブロックすることが可能です。
そして Intune に登録されていない端末は Azure AD に連携された Microsoft 365 や SaaS サービスに接続させないということが可能になります。

OS ごとの制御方法

各 OS や登録方法ごとに制御方法を表でまとめてみました。

どの OS でも いずれかの登録方法を利用すれば制御ができることが分かります。

デバイス登録マネージャーなど聞き慣れない方法の詳細を確認したい場合は下記を参考にしてください。

Title : Microsoft Intune で登録制限を設定する
URL : https://docs.microsoft.com/ja-jp/mem/intune/enrollment/enrollment-restrictions-set#blocking-personal-windows-devices


今回は簡単に概要と制御方法のみを解説しました。

次回実際に会社支給端末以外(事前に登録していない端末)がブロックされる動作をお見せしたいと思います。

投稿者プロフィール
山口 翔平

山口 翔平

M365を中心としたゼロトラストやセキュリティ分野のシステムアーキテクトやプロジェクトマネジメントをしている。趣味はバイク、猫、お酒。

執筆記事一覧