お勧めMDM3選はこれだ!
こんにちは!Kenseiです。
今回は、実際のところ、MDMってどれがおすすめなの?という点についてご紹介したいと思います。前回の「【解説】経済産業省がオススメするMDM」でも紹介をさせていただいたのですが、経済産業省のモデルケースかつ、今後の法人ビジネスにおいてもモデルケースになっていくであろうMDMの管理手法は「各OSで管理するツールを分けること」です。
皆様がお使いのOS、さまざまありますよね?それらをまとめて管理できると謳っているサービスも多く存在しますし、前回の記事の通り、メリットデメリットが存在します。それでも、経産省が各OSで管理するツールを分けた方がいいと推奨するのは、一括で管理することで享受出来るメリットよりも、分けて管理を行うことで享受出来るメリットの方が高いと判断したからに他なりません。
若干前置きが長くなりましたが、早速本題に参りましょう。
Windows、Android、Apple系にわけ、説明をさせていただきますね!
Windowsを管理するMDMはこれだ!
Windowsを作っている会社がどこか、みなさんご存知ですよね?そうです。Microsoftです。マイクロソフトのOSの管理が得意な会社はどこか。マイクロソフトOSのアーキテクチャを一番理解している会社はどこか。もちろんMicrosoft自身ですよね?Windows OSの管理についてはMicrosoftが提供しているMDM製品が、一番フレームワークに沿った形の管理が可能になっています。
Microsoftが提供するMDMは何か。 Microsoft Intune です。
Microsoft IntuneとはデバイスのMDM及びMAMプロバイダーです。つまり、端末の管理とアプリケーションの管理を行うことができる管理ツールとなります。IntuneはマルチOSに対応したMDMになっています。「えっ?単体管理がいいんじゃないの?」とツッコミをいただきそうではあるのですが、もちろんその通りです。ですので、Windowsを管理することをオススメします。後述しますが、AndroidについてもIntune管理を併用した方がいいので、その辺りはAndroidの説明にてさせていただきます。
Intuneでは、Configuration Manager と組み合わせることで、エンドポイントセキュリティ、デバイス管理、クラウドアクションを1つのプラットフォームで管理することができます。クラウドベースのサービスとなり、スマホ、タブレット、ラップトップなど、さまざまなデバイスを管理することができます。特定のポリシーを構成し、アプリケーションの制御や端末の保護を行うことができます。AzureADと統合され、アクセス権のあるユーザーに対して、機能の制限、制御をすることが可能となります。
IntuneはスタンドアロンのAzureサービスとして購入することも可能です。1ユーザーあたり650円/月で契約できます。しかし!!Intuneのいいところは場合によっては「タダ」で使うことができる点です。(実際はタダではないのですがw)
それはなぜか。それはMicrosoft365(旧Office365)の契約に含まれる場合があるからです。O365 Enterpriseにはさまざまなプランがあります。その中でもセキュリティ強化に設定されている「E3」や「E5」の契約を行うことによって、パッケージ内にIntuneが包含されてきます。小規模向けのO365単体ではBusiness Premiumを契約しているユーザー様であれば、実質無償で使える機能であるといえます。
管理対象となるデバイスとユーザーをIntuneに登録することで、そのユーザーに対してIntuneで構成されたポリシーを開始ルールと設定を落とすことができます。さらにBYODの場合でフルコントロールさせたくない場合においても、権限を制限して、使わせるアプリを減らすことも可能です。MAMの機能として、アプリケーションに対しての制限・制御も可能となります。Azure ADと連携をすることによって、ユーザーに対してアクセス制御をかけることも可能です。
サポートはMicrosoftのサポートを受けることができるため、メーカー直のサポートであれば安心ですね?アップデートなどの対応もメーカー純正MDMなので問題ありません。
Intuneの詳細はこちらをご覧ください。
https://docs.microsoft.com/ja-jp/mem/intune/fundamentals/
Androidを管理するMDMはこれだ!
次はAndroidです。Android OSを作っているメーカーはどこでしょうか。そうですね、Googleです。Googleの管理ツールといえば、Google Workspace(旧G Suite)ですね。MicrosftのO365と並び、自社の管理でしっかりと使っていらっしゃる企業様も多いのではないでしょうか。Googleが提供しているMDMについてはIntuneや後述のMDMなどに比べると簡易版となっております。Pマークを取得されている企業様などですと、このGoogle Workspace MDMだけではIPの制限や端末自体の制限などができにくく、他のMDMと併用していることも多いと思います。とはいえ、Googleが出しているものですのでAndroidの管理、リモートでのロックやワイプ、特定端末以外のWorkspace利用制限、パスワードの強制変更などのID管理はちゃんとと行うことができます。
細かい端末制御や部署ごとのグルーピング、アンチウィルスなどについては、他のMDMやAVソフトウェアを組み合わせて利用することをオススメしています。そこで出てくるのが、前述のIntuneです。IntuneはAndroidを管理することができるので、GoogleWorkspaceで管理しきれない部分を補完関係で使うことができます。
Intuneを併用するメリットとしては、セキュリティの強化です。エンドポイントセキュリティや特定アプリのダウンロード規制などについては、GoogleWorkspaceだけで行うことが難しいです。さらに、BYODを推奨する企業様に置いては、個人利用端末も管理下におき、情報漏洩対策を行う必要があるため、Intune連携を行うといいでしょう。
また、企業様の多くが利用しているAzureADとの連携においても、Intuneを使用するメリットは多くありますね。
Mac/iOS/iPadOS/TVOSを管理するMDMはこれだ!
最後に、Apple関連のデバイスです。Mac/iOS/iPadOS/TVOSはもちろん、Appleが出しているOSですね。では、今までの例に倣って、AppleのMDMを見ていきましょう。。。。。 。 。 。 。 。 。 あれ?
そうなんです。Appleが独自で出しているMDMソリューションは存在しません。代わりに、Apple Business Manager や Apple School Managerに登録することで、3rdパーティのMDMソリューションを利用することができるようになります。また、Windows、AndroidとはOSやフレームワークの作りももちろん異なるため、上述のMDMなどでは、細かい部分の管理ができないという面があります。特にApple OSに関しては、マルチOS管理のMDMを使ってしまうと、後から「あれ?うまくいかない!」というようなことが往々にしてあり得ますのでご注意ください。
そこでご紹介したいのが、Apple専門のMDMメーカー、jamfです。呼び名は「ジャムフ」です。あまり聞き馴染みがないですよね?jamfはAppleの市場においては結構な割合で導入されています。世界中のAppleの管理者が集うコミュニティ、jamf Nationも運営しており、年に1度ユーザーカンファレンスが行われています。2019年のカンファレンスで発表された内容ですが、「実はAppleは2010年からjamfを使って管理していました」とAppleが登壇し、発表しています。ということは、MicrosoftやGoogleのように自社でMDMを作って使っているわけではありませんが、Appleが使っているMDMはjamfなのです。Appleストアで使っているあのMacも、iPadも、実はjamfで管理されているんです。
英語ですがご興味ある方はこちらへどうぞ。(16分-17分くらい)
https://www.jamf.com/resources/videos/jnuc-2019-celebrating-10-years-keynote-day-1/
前置きが長くなりました。
jamf ProはAppleの製品に特化したMDMになっていますので、Intuneとは異なり、WindowsやAndroidの管理はできません。その分、Appleが出しているMDMフレームワークに準拠しており、何より1番の特徴はその対応の速さです。早さではなく速さと表記したのは、あえてでして、Appleが出すアップデートと同日に新しいバージョンを必ずリリースしています。なので、ユーザーが勝手にOSをアップデートしてしまって、MDMが動かなくなるということがありません。実際私も以前勤めていた会社でBYOD端末を使い、MDMで管理されていたのですが、自分の端末をアップデートしたところ、MDMがおかしな挙動となり、あったはずのAppが無くなったり、売り上げ管理のソフトが見られず業務に影響が出まくったことを覚えています。jamfはそんな事がないというのが嬉しい特徴ですね。
もちろん、MDMとしてできること、リモートからのロック・ワイプ、Appの自動配布、構成プロファイルの配布によるゼロタッチデプロイなど、とても使いやすいものですね。
ゼロタッチデプロイについては、Appleの正規店で購入したMacやiPhoneなどのデバイスを、IT管理者が一切触らず、ユーザーがパッケージを開け、Wifiに繋げたら勝手に設定が降ってくるという、このリモートワークにバッチリな仕組みです。あ、リモートワークに最適なITテクノロジーについては、また別の機会にお話ししますね。
ちなみにこのjamfと前述のIntune、システム上で連携をしておりまして、Intuneのダッシュボード上でjamfで管理しているデバイスの情報を表示でき、設定もjamf側で反映できるということで、企業における端末管理はIntune&jamfで構成するといいですね!また、iDaaSのAzureADやOktaを介してシングルサインオン(SSO)接続ができるのでユーザビリティもGoodです!
兎にも角にも、Appleデバイスに対してのMDMはJamf Pro一択ですね!
まとめ
WindowsやAndroidの管理・・・Microsoft Intune
Androidのみの管理・・・Google Workspace &more
Appleデバイスの管理・・・Jamf Pro
これが私の考えるBestです。
一般企業を考えると、まだまだWindowsも多く、スマホはiPhoneが増えていますが、タブレット含めまだAndoridが主流ですね。価格も安いですし。
とはいえ、デザインやクリエイティブな担当者。あとは若い方!(←ここ重要です)はMacを選ぶ傾向が強いようです。
そうすると、組み合わせとしての最強は、Microsoft IntuneでWindows&Androidを管理し、jamfでAppleデバイスを管理。ついでにIDはオンプレAD(LDAP)とiDaaSのAzureADを繋げて一括管理&SSOまで実現!というのが最適解なのではないでしょうか?
この記事が気に入ったらサポートをしてみませんか?