マイクロソフトの3rdパーティコンプライアンスパートナーをご存じですか?

8月26日, 2022BlackBerry, blog, iOS, iPadOS, テレワーク

マイクロソフトでMDMやMAMと言えば、だれもが知るIntuneになります。しかし、Intuneをリリースする以前からBlackberryやMobileIronなどといったEMM製品が利用されてきていました。

MS365をベースにExchange Onlineなどを利用する中で、E3以上の契約をすればIntuneも利用でいるということでEMMの切り替えも行われてきていますが、既存のEMMに慣れ親しんだエンドユーザは単純にはIntuneへの移行を喜ばないお客様も存在します。

そんな中で出来たのが3rdパーティコンプライアンスパートナーというマイクロソフトが他社製品と共存の中でよりユーザニーズに対応した環境を実現するものになります。

端的にいうと3rdパーティのEMM製品のコンプライアンスポリシーが適応されたモバイルデバイスをIntuneの準拠デバイスとして認識をし、Azure条件付きアクセスの適応ができるようになる仕組みです。

例えば、閉域(Express Routeなど利用して)で構築されたMS365環境への特定のモバイルデバイス(Inutne準拠)のみインターネットからのダイレクト通信を許可することが出来たりします。これを使ってSASEの無い中でもモバイルデバイスからのTeams利用をインターネットからのセキュアなダイレクトアクセスにより、既存のリモートアクセス環境を使用せずに利用が可能になります。

Intune準拠デバイスでなくてもTeamsへアクセスできると考える方がいると思います。実際は可能です。但し、この場合はゲストモードでの接続になり、社内からのアカウントアクセスとは異なり機能などの制限を受けてしまいます。

では、Blackberry UEMを使用した具体的な利用例をご紹介します。

Azure条件付きアクセスとBlackberry UEM連携

1.何ができるのか?

① 社内からのアカウントアクセスと同様のTeamsの機能が利用できます。

② Blackberry UEMのDocs機能(ファイルサーバの特定フォルダーへのアクセス)を利用して社内の情報をTeamsで共有が可能になります。

③ Docsで利用した情報は、端末内のセキュアコンテナ上に保管されるため、外部漏えいの抑止ができます。

④ Blackberry Bridge機能を利用して、Intune MAMで管理されたOffice Mobileアプリケーションでセキュアにファイル編集を含めた操作が可能になります。

⑤ UEMのPerAppVpn機能を利用してMS365への2FA認証のみをBlackberryサーバを経由して社内アクセスとしての認証が可能になります。

2.メリットは何か?

① SASEなしに特定のMS365のサービス(Teamsなど)へAzure条件付きアクセスを利用してゼロトラストなアクセス制御の実現が可能になります。

② 社内に設置するBlackberryサーバは特定の通信(TCP443及び3101)のみを外向けで許可するだけで設置が可能です。(ネットワークセキュリティレベルの低下の抑制)

③ Teamsなどのアクセスを実現するだけでなく、Exchange Onlineへのアクセスなど拡張性が高く、働き方改革に向けた基盤整備ができます。

Intuneがリリースされた当初は、MS365 E3以上であればサービス提供されることから3rdパーティEMMからの移行をされたお客様もおりますが、構築や管理また運用を考慮すると3rdパーティのEMM製品とAzure条件付きアクセスの連携はユーザ目線を含めて考慮すると一つの選択肢ではないでしょうか?