EMSを使ってWindowsの認証とデバイス管理をちゃんとやる!

SaaS

最近、コンテンツのグロースに興味のある12banです。今回はOS認証やデバイス管理について書いていきます。

企業においてOS認証やデバイス管理は基本です。経営レベルで見ると、セキュリティ向上、ガンバナンス向上、生産性向上のベースともなります。

とりあえずADはやめよう

もし、あなたがこれからコーポレートIT部門を立ち上げよう、としたとき何を考えますか?多くの情シスは「とりあえずADを入れる」と語る人が非常に多いです。しかし、なぜADなのか?どんな目的で入れるか?を聞くと多くの人が答えられないのです。

実際に数年前に、私が初めてコーポレートITの専任として仕事をしたときに、外部の経験者に聞いたときがそうでした。あれから数年経ちましたが、私の考えはその時の経験者の方々とは少し違います。

現在の僕のポリシーは「とりあえずAD入れる」はやめよう、ということです。


ADとはActive Directoryの略で、いわゆる企業内のWindowsOSの認証を行う製品。

ADはなんのために使ってる?

Goalはなにかな〜

とはいえ、既存の企業の多くがADを導入し、運用しています。それではそれらの企業はなんのために使っているのでしょうか?

大きく2つあります。

1つはWindowsの認証基盤として使っており、
2つ目はWindowsデバイスの管理です。

認証基盤とは

認証基盤とは企業において「あなたは誰なのか?」を確認するためのシステムです。そのWindowsデバイスを使うときに「あなたは誰なのか?」を確認し、登録されている人だと分かれば、その人にあった権限が使えるようになります。

ここではWindowsデバイスと書いていますが、厳密にいうとmacOSデバイスも認証させることができます。しかし、多くの企業はWindowsデバイスの認証として使っています。

デバイス管理とは

どんなデバイスが何台あるのか

デバイス統制とは、企業内のWindowsデバイスが何台あり、誰が使っているのか、そしてどんな設定なのかを一括管理することです。

企業内にあるWindowsデバイスが何台あり、誰が使っているかわからなければ、コストやモノの面でマネジメントができないです。

また設定を管理できなければ、適切なセキュリティレベルの管理もできません。

次世代の認証基盤とは

さて、ここまででADとはどんなものか、そしてなぜ入れるのかが明確になりました。

整理すると、

  • 企業の認証基盤として使える
  • デバイスの管理や設定の管理が行える

のであれば、ADでなくても何でも良いのです。

じゃあ、実際にはこれらを実現するモノとして、どんなものがあるのでしょうか?

認証であれば、

  1. Windows10
    1. Active Directory
    2. AzureAD
  2. macOS
    1. Active Directory
    2. LDAP(SaaSベースも含む)
    3. Jamf connect
  3. ChromeOS
    1. GSuite

となります。

次世代のデバイス管理とは

さて、今度はデバイス管理です。

  1. Windows10
    1. Active Directory
    2. Intune
  2. macOS
    1. Jamf Pro
  3. ChromeOS
    1. GSuite

マイナーなものや、少し機能が異なるものはまだまだあるのですが、メジャーなところだとこんなところです。

ここまで来て、「とりあえずAD」とはいえない、ということがわかってきますよね。実際にはいろいろな製品があり、そこから検討しなくてはいけないのです。

じゃあ、どれを選べばいいの?

さて、ここまで目的にさかのぼって、候補製品を出すところまで来ましたが、じゃあ結局どれを選ばいいのか?ってなりますよね。

でもどんな企業にもマッチするベストなものってないんです。でも、more betterな製品は提案できます。今、私がゼロベースでコーポレートIT部門を作るのであれば、これを選びます。

  1. Windows10
    1. 認証はAzureAD
    2. デバイス管理はIntune
  2. macOS
    1. 認証はJamf connect か JumpCloud
    2. デバイス管理はJamf Pro

理由はすべてクラウドベースの製品だからというのと、WindowsとmacOSで統一した管理が可能だからです。

候補をあげたときにパッと見、ADが良さそうに見えたかと思いますが、ADはオンプレ時代の製品です。AWSなどにADを構築することもできますが、追加コストがかかったり、システムが複雑になったりします。

そのようなことを考慮した上での推奨です。

AzureADとIntuneを使うには

AzureADとIntuneを使うには、Enterprise Mobility + Security(通称、EMS)と呼ばれるライセンスを購入する必要があります。逆に言えば、購入するのはこれだけです。

評価版もあるので、評価期間は検証し放題!

さて、次回からは実際にはAzureADとIntuneについて、書いていきたいと思います。

タイトルとURLをコピーしました