“Identity is the new control plane” Windows 10とAzure ADとIntuneで作れる素敵な世界

image

"Identity is the new control plane"

これがMicrosoftのモバイル戦略の最新のキーワードです。

上記のブログが非常に「濃い」内容だったので、自分の考えの整理も兼ねて内容のサマリーを…。

  • Windows 10デバイス(スマートフォン、タブレット、PC等)がAzure ADに参加すると自動的に会社のポリシーに従ってMDMに登録される。会社のデバイスでも、個人のデバイスでも。
  • 以下の要素に基づいたポリシーベースのアクセスコントロールでリソースを保護する
    • O365等のアプリケーション
    • デバイスのヘルスやコンプライアンス状態
    • ユーザーのプロファイル、属性、グループ
    • 認証強度
    • アクセス元の場所
  • クラウドのアプリケーションとオンプレミスのアプリケーションとの両方に、同一のポリシーでのアクセスコントロールを可能にする
  • これら全てをクラウドで実現する。新しいサーバーもネットワークデバイスも不必要。VPNも不必要。ほんの数時間で実現できる。

マイクロソフトは個人デバイスの持ち込みであっても、会社のデバイスであってもきちんと自動的にコントロール可能となるシナリオを重視していることがよくわかります。ECSライセンスだと個人のデバイスにOSの実行権限もOfficeの実行権限もつきますしね。

「会社のデバイスのみを会社のデータにアクセスさせる(≒以下に個人所有のデバイスのアクセスをブロックできるか)」というポリシーの企業も特に日本では多いと感じていますが、BYODによって個人にも会社にもメリットを出そうという考え方は合理的だと個人的に思います。

この大きな方向性の中で、会社のデータをいかに個人に不便を与えることなく安全に守るか。これをOSとクラウドで実現しようというわけですね。さすがはOSまで作っているマイクロソフト…といったところでしょうか。(もちろんWindows10以外のOSへの対応も進むものと思われますが!)

AzureAD(premium)にて柔軟なポリシー設定ができないのがいままで色々とネックとなりADFS含めて他のソリューションが色々と必要な状況がありましたが、ついにMicrosoftのクラウドサービスだけで完結できるようになりますね。

軸足がどんどんオンプレミスからクラウド側にうつすことが「可能」になってきています。そしてWindows10においてはモバイルデバイスとPCとの境目は全くなくなる事になります。まさにモバイルファースト、クラウドファーストという感じですね。

Windows10ではOSのセットアップ時にAzure ADに参加が非常に簡単にできます。

image

個人利用のWindows10も簡単にAzure ADに参加できます。

image

管理者がIntuneにデバイスの管理ポリシーを設定し、Azure ADに条件に基づいたアクセスコントロールポリシーを設定します。

image image

Intuneはデバイスがきちんとコンプライアンス設定が満たされているかを評価し、その結果をAzure ADにレポートします。

image

この時、きちんと「デバイス」とそれを使用している「ユーザー」が紐づくのが大きなポイントですね。

これによって以下の様なコントロールが可能になります。

  • デバイスを無くしたり、盗まれたりした場合に、ユーザーが自分でそれを報告、無効化できる。
  • デバイスが長期間オフラインのままだった場合に無効化できる。
  • XXXグループのメンバーが、きちんとコンプライアンスが守られているデバイスで、多要素認証で認証された場合にのみ○○○にアクセスできる。

○○○にはO365はもちろん、Azure ADと連携できる2500以上のSaaSアプリケーションや、Azure AD Application Proxyで公開している任意のWebアプリケーションが当てはまります。もちろんほぼすべてのマイクロソフトのサービスも対象ですし、これから作成する業務アプリケーションも全部Azure ADに認証を任せちゃいましょう…ということですね。

ユーザーとデバイスの状態を合わせてなんでもかんでもコントロールできてしまう…素敵な未来が広がってますね。

image

ブログ内ではオンプレミス側にも触れられているのですが、ほとんどおまけのような印象を受けてしまいました。クラウドファースト…。

  • Azure AD Connectでデバイスのコンプライアンス状態をAzure ADからオンプレミスのAD(Windows Server 2016)に同期し、Winodws Server 2016のADFSでコントロールできる。

これはオンプレミスでのみアクセス可能な(Azure AD Application Proxyで公開しない)アプリケーションが対象なのだと思いますが…、うーん、やっぱりおまけに思えます。

というわけで、素晴らしい世界だなぁと思います。管理者はどんどん楽になります。

Windows Sererに一度取り入れられた検疫機能がなくなる…という話がありましたが、クラウドに行きましたね。Windows 10が最後のWindowsになる…という話もあり、Intuneでは巨大なアプリケーションやOSのは配信できない…ということは直近ではありますが、そもそもその必要性がなくなるのだろうなぁと。.NETのオープンソース化もあり、どのプラットフォームで書いたものもWinodowsに簡単に持ってこれる…というはなしもあり「モバイルファースト、クラウドファースト」という事の意味が随分明確に実装に落ちてきてますね。

自分はSIer勤務なので仕事の領域の減少と変化で大変だなぁと思うところもありますが!

Microsoft MVP for Microsoft Azure。「Windowインフラ管理者入門」著者。Windows系中心のインフラよりの何でも屋。エレキベースを演奏します。将棋も少しやります。ハイブリッドクラウド研究会(HCCJP)主催。最近はYouTuberです http://bit.ly/2NTCKmj

コメントを残す

メールアドレスが公開されることはありません。