企業データを使用する場合の個人用デバイス：BYODまたは独自のデバイスを持ち込む

最新のITの開発の方向性の1つは、BYODの概念です（独自のデバイスを持ち込む、または文字通り「独自のデバイスを持ち込む」）。 現代のユーザーの武器は、ラップトップ、タブレット、電話などのいくつかのデバイスで構成されています。 それぞれが独自の特性を持ち、異なるオペレーティングシステムに基づいて動作できます。 同時に、個人ユーザーのデバイスを使用して企業データを操作する問題は、依然として重要な問題です。 Windows 8 Proのラップトップとタブレットを問題なくドメインに接続できる場合、他のすべてのバージョンのオペレーティングシステムではそれほどうまくいきません。 ただし、それでもユーザーへの企業リソースへのアクセスを提供する必要があります。 これは、ユーザーの利便性と内部情報のセキュリティを選択するという苦痛をもたらします。 多くの場合、解決策を見つける試みは行き詰まります。 ただし、Windows Server 2012 R2およびWindows 8.1のリリースでは、この永遠の問題を解決し、BYODの概念を実装するのに役立つさまざまなツールが登場しました。 この記事の一部として、新しい機能の概要を紹介したいと思います。











従来、デバイスはドメインに含まれている場合と含まれていない場合があります。 デバイスがドメインに含まれている場合、問題はありません。組織のIT部門によって完全に制御されます。 デバイスがドメインに含まれていない場合、管理者は難しい選択に直面します。完全に不明なデバイスへの情報へのアクセスを提供するか、限られた数のユーザーへのアクセスを提供します。 Windows Server 2012 R2のリリース中のタスクの1つは、この問題を解決し、組織内にBYODの概念を実装するのに役立つツールをシステム管理者に提供することでした。 現在、個人用デバイスから外部から作業ファイルに接続するためのいくつかのオプションがあります。

1. 外部アクセス用に公開された企業アプリケーションへのブラウザー経由の接続。
2. デバイス（個人および職場）の企業アプリケーションポータルからアプリケーションをインストールします。
3. 異なるデバイスで作業ファイルを同期します。
4. VDI（仮想デスクトップインフラストラクチャ）の使用

一部のシナリオではVDIの使用が正当化される場合がありますが、そのコスト、周辺機器との連携の必要性などのためにすべてではありません。 この点に関して、この記事のフレームワークでは、外部デバイスから外部ファイルに接続するための最初の3つの可能性を検討します。



外部から作業ファイルに接続し、組織にBYODの概念を実装するのに役立つツールには、ワークフォルダー、ワークプレース参加、Windows Intune（デバイス管理ツール）、Webアプリケーションプロキシ（リソースとアプリケーションを公開するためのメカニズム）。 次に、これらの各ツールの動作原理とそれらが提供する機会について説明します。

作業フォルダー

ワークフォルダーは、さまざまな（個人用および仕事用）デバイス上のワークファイルを同期する機能を提供します。 ワークフォルダー（ワークフォルダー）は、組織内のサーバーで構成され、永続的に保存され、個人ユーザーデバイスと組織のドメインネットワークに接続されたコンピューターの両方のさまざまなデバイスと同期できます。



ワークフォルダーを使用すると、ユーザーは、ネットワークに接続していない場合でも仕事用ドキュメントにアクセスできます（特に、インターネットへのアクセスが制限されている出張やその他の出張で役立ちます）。 作業フォルダーに保存されたファイルは、組織のサーバーに同期され、そこから別のデバイス上のこのユーザーの他の作業フォルダーに同期されます。 ファイルは暗号化された形式で保存および送信されます。







作業フォルダーは、1つのファイルで複数のユーザーのコラボレーションに使用することはできません。 作業フォルダーでのバージョン管理はサポートされていないため、異なるデバイスで同じファイルを同時に修正する場合、すべてのバージョンが個別に保存されます。 この状況では、ユーザーは変更を手動で表示し、ドキュメントの単一バージョンを作成する必要があります。

ユーザーは、 コントロールパネルを使用して、 [ システムとセキュリティ]カテゴリの [ ワークフォルダー]項目を選択することにより、ワークフォルダーにアクセスできます 。







作業フォルダのトピックについてはもう説明しません。それが何であるか、どのように設定するかについてはすでに書いているからです。 したがって、 ここでより詳細な情報を見ることができます 。

Webアプリケーションプロキシ

Webアプリケーションプロキシは、Windows Server 2012 R2のリリースで導入され、ユーザーが任意のデバイスから企業ネットワークでホストされているアプリケーションに接続できるように、さまざまな機能を提供します。



組織のIT部門は、エンタープライズアプリケーションを公開し、Webアプリケーションプロキシを使用して、エンドユーザーが自分のデバイスからこれらのアプリケーションに接続して作業できるようにすることができます。 したがって、内部アプリケーションを使用するユーザーは、職場で彼に発行され、ドメインに含まれているコンピューターに限定されません。 これで、ユーザーは自宅のコンピューター、タブレット、またはスマートフォンを使用できます。







Webアプリケーションプロキシは、常にActive Directoryフェデレーションサービス（AD FS、Active Directoryフェデレーションサービス）と組み合わせてサーバーに展開する必要があります。 外部から企業アプリケーションにアクセスしようとすると、要求はWebアプリケーションプロキシに送信され、WebアプリケーションプロキシはADFSサーバーにリダイレクトします。 その後、ユーザーは認証プロセスを実行するように求められます。 以下のスクリーンショットは、このプロセスを示しています。 ユーザーは特定のアドレスでアプリケーションにアクセスしますが、アクセスを取得する過程で、認証のためにADFSサーバーにリダイレクトされることに注意してください。







ADFSとWebアプリケーションプロキシを一緒に展開すると、シングルサインオン（シングルサインオン）の可能性など、AD FSのさまざまな機能を使用できます。 シングルサインオン機能を使用すると、ユーザーは資格情報を1回だけ入力できます。次回の接続試行では、ログインとパスワードを入力する必要はありません。 未知のデバイスから内部アプリケーションへのアクセスを提供することは、大きなリスクの原因であることを理解することが重要です。 認証と承認にWebアプリケーションプロキシとAD FSを組み合わせて使用​​することにより、認証と承認もされているデバイスを持つユーザーのみが企業リソースにアクセスできるようになります。

職場への参加

ワークプレース参加は、概して、ドメインに含まれるデバイスの完全な制御と、まったく未知のデバイスから企業リソースへの接続との間の妥協です。 Workplace Joinを介してデバイスが企業ネットワークに登録されると、管理者はこれらのデバイスのさまざまな企業アプリケーションへのアクセスを制御できます。



Workplace Joinを使用してユーザーの個人用デバイスが登録されると、ネットワークで認識され、企業アプリケーションへのアクセスを提供するために使用できます。 同時に、このデバイスはユーザーの個人用デバイスのままであり、組織によって適用されるグループポリシーによって規制されません。 ところで、Workplace Joinは、原則としてドメインに含めることができないデバイス（たとえば、iOSを実行しているデバイス）の唯一のソリューションです。



Workplace Joinに登録されたデバイスは、2番目の認証要素として使用され、企業リソースへのシングルサインオンを許可します。 より正確には、登録時に証明書がデバイスにダウンロードされ、追加の認証要素として使用されます。







デバイスが登録されていない場合、ユーザーはブラウザを再度開くたびに企業アプリケーションにアクセスするためにログインとパスワードを入力する必要があります。 デバイスにWorkplace Joinがある場合、ログインする必要があるのは1回だけです。それ以降のすべての場合、ユーザーは自動的に企業リソースにアクセスできます。 同時に、システム管理者は登録済みのデバイスを制御でき、ユーザーからデバイスが失われたというメッセージが表示された場合、デバイスが企業アプリケーションに接続できなくなり、ネットワークが保護されます。



組織の従業員にとって、職場への参加の設定は可能な限り簡単です。 ネットワークでWorkplace Joinが構成されている場合（Workplace Joinセットアップトピックは近い将来表示される別の記事に値する）、ユーザーはPC設定に移動するだけで、 NetworkアイテムとWorkplace Joinアイテムを選択できます。 ユーザーは仕事用の電子メールを入力し、[ 参加 ]をクリックする必要があります。

Windows Intune

Windows Intuneは、組織がユーザーデバイスを管理および保護するのに役立つクラウドベースのサービスです。 Intuneはクラウドサービスであるため、管理者はほとんどすべてのブラウザーからコントロールパネルにアクセスできます。







Windows Intuneは、デスクトップコンピューターとモバイルデバイスをクラウドから管理するための個別のツールとして使用できます。または、System Center 2012 R2 Configuration Managerと統合して、任意のオペレーティングシステム（Windows、Mac、Unix、またはLinux）でデバイス管理ポリシーを構成できます。



管理者は、Windows Intuneの使用を開始した後に何を取得しますか？ 管理者は、ユーザーデバイスにさまざまなポリシーを適用できます。パスワードと暗号化設定を設定し、システム設定を管理し、デバイスで使用できるアプリケーションとゲームを決定します。 情報へのアクセスの管理など。 これらすべてのアクションを実行するためのツールとして、管理者はアカウントポータルと管理者コンソールの2つのツールを使用できます。



次に、ユーザーはデバイスにCompany Portalアプリケーションをインストールできます。これは、Windows、Windows Phone 8.1、iOS、Androidの4つの主要プラットフォームで無料で利用できます。







ユーザーは、企業ポータルを使用して、管理者が許可する必要のあるアプリケーションをデバイスにインストールできます。 企業ポータルを介したアプリケーションのインストールには、企業ネットワークへの接続は必要ありません。 さらに、このアプリケーションを使用すると、Windows Intuneからデバイスを接続または切断できます。



Windows Intuneを使用すると、企業ネットワークのユーザーは、ドメインに含まれるコンピューターに制限することなく、任意のデバイスから企業データとアプリケーションにアクセスできます。 管理されたコンピューターでWindows Intuneを使用すると、従業員が作業する必要があるさまざまなソフトウェアをインストールできます。 さらに重要なことは、Windows Intuneを使用すると、デバイスが紛失または盗難にあった場合に、企業情報へのアクセスからデバイスを切断できることです。 したがって、Windows Intuneは、ユーザーの個人用デバイスの管理の問題を解決するだけでなく、ネットワークセキュリティのレベルも向上させます。 IntuneをSystem Center Configuration Managerと統合して、デバイス管理ポリシーを構成できることは既に述べました。 SCCMを使用して、デバイスを個人または企業として指定できます。 VPNプロファイルの管理、証明書の管理と配布、Wi-Fi接続パラメーターの構成、メールアカウント設定の管理など。



デバイス管理機能を有効にするには、ユーザーは設定（PC設定）に移動し、 ネットワーク項目とワークプレース項目を選択する必要があります 。 ユーザーは仕事用の電子メールを入力し、[参加]ではなく[職場への参加]機能を構成する場合に使用する必要があります）をクリックする必要があります。







BYODコンセプトの開発は勢いを増しています。 そして今や、ユーザーが盲目的に強制的に発行された企業のデバイスのみを仕事に使用することはできなくなりました。 Windows Server 2012 R2の新機能は、組織でのBYODの実装を簡素化します。 この記事では、各新機能について簡単に検討しましたが、次の記事でそれぞれの機能について詳しく説明します。 また、記事に記載されているWindows Server 2012 R2の機能を詳しく知りたい場合は、MVAポータル（Microsoft Virtual Academy）の「Windows Server 2012 R2のすべて」コースをご覧になることをお勧めします。 コースにはデモが含まれているため、これらの機能の動作を確認できます。



情報がお役に立てば幸いです！ ご清聴ありがとうございました！