個人用デバイスでのコーポレート アクセスを保護する

ビジネス上の問題

企業にとって、個人用デバイスでのアクセスの安全性が課題となっています。

モバイル デバイスの普及に伴い、人々の働き方が変わりました。従業員は、従来の職場環境からでも空港への移動中でも、場所を問わずビジネスアプリにアクセスしたいと考えています。

会社所有のモバイル デバイスが提供されている場合でも、多くの従業員は一番使いやすいデバイスを個人的な用途と業務の両方に使用したいと考えます。たいていの場合、それは個人用デバイスです。

企業は、一見相反しているような以下の要件に対応するモバイル作業環境の構築という課題に直面しています。

  • 従業員にとって快適かつ生産性の高い環境
  • ビジネスアプリと企業データへの安全なアクセス

皆様の会社でも、個人用モバイル デバイスでコーポレート アクセスを許可する新しいポリシーを展開し始めているかもしれません。従業員は、厳選された承認済みアプリを通じてのみ企業情報にアクセスできます。

ソリューション

高度なモバイル デバイス管理を使用すると、企業データを安全に保つポリシーを適用しつつ、従業員が個人用デバイスで使うビジネスアプリを提供できます。その方法はいくつかあります。

承認済みアプリのホワイトリストを作成する

ホワイトリストには、厳選された承認済みアプリが含まれます。

アプリのホワイトリスト登録の目的は、有害な可能性があるアプリから企業のリソースを保護することです。アプリのホワイトリストには、IT 部門によって選定され、ビジネスでの使用が承認されたアプリが含まれます。

仕事用アプリのホワイトリストを使用すると、個人のモバイル デバイスの仕事用アプリは企業側で管理し、個人用アプリはユーザー個人の管理に任せることができます。Google グループで、特定の組織またはグループに属するユーザーにアプリを配布できます。

managed Google Play ストア(Android デバイス)または Apple App Store(iOS デバイス)からアプリを選択し、ホワイトリストに追加します。ユーザーは自分のデバイスで、ホワイトリストに登録されたアプリのカタログを確認できます。ホワイトリストに登録したアプリをユーザーがインストールすると、そのアプリは組織の管理対象となるため、デバイスの紛失や盗難が発生した場合は、デバイスをリモートでワイプして管理対象アプリを削除できます。

Android デバイスで仕事用プロファイルを適用する

Android デバイスの仕事用プロファイルにより、仕事用データと個人データを分離できます。

Android 5.0 以降の個人用デバイスの仕事用プロファイルは、個人用のアプリ、アカウント、データから仕事を分離します。企業はビジネスアプリとデータを管理します。デバイス上の他の操作はすべてユーザーが管理できます。管理対象アプリ(Android アプリのホワイトリストに登録されている承認済みビジネスアプリ)は managed Google Play ストアから入手できます。

会社の Android デバイスで Android アプリの管理を有効にしたら、従業員の仕事用プロファイルの使用をオプトインまたは必須にします。仕事用プロファイルを必須にすると、ユーザーが仕事用プロファイルのないデバイスから会社のリソースにアクセスしようした場合には、ユーザーに仕事用プロファイルの作成を求めるメッセージが表示されます。

iOS デバイスで管理対象アプリを必須とする

iOS デバイス上の管理対象アプリを使用すると、管理対象アプリと管理対象外アプリ間のファイル共有を防止できます。

iOS アプリのホワイトリストに登録したアプリは管理対象になります。アプリを「管理対象」として指定すると、個人の iOS デバイス上の管理対象アプリとそのデータを、企業でより詳細に管理できるようになります。たとえば、ユーザーが個人用の Gmail アカウントを所有していて、Gmail を管理対象アプリとして指定した場合、ユーザーは管理対象バージョンの Gmail でのみ会社のメールにアクセスできます。

管理対象アプリと管理対象外アプリの間でファイルを共有することはできません。たとえば、管理対象のビジネスアプリから iCloud や iTunes などの外部エンティティにデータをバックアップすることはできません。管理対象ビジネスアプリで PDF を作成した場合、管理対象外の個人用アプリではこの PDF を開くことができません。

管理対象ビジネスアプリの管理されていないバージョンがすでにユーザーのデバイスにインストールされている場合、そのアプリを組織が管理することを許可するよう求める通知が表示されます。同意しない場合でも、管理対象外の個人用アプリは引き続き使用できますが、そのデバイスからは企業アカウントとすべての管理対象アプリにアクセスできなくなります。

Android デバイスで管理対象の構成を設定する

一部の Android アプリには、管理対象の構成として保存できる設定があります。管理対象の構成を使用すると、ユーザー用のアプリを事前構成できます。また、同じアプリに対して複数の管理対象の構成を作成し、グループや組織ごとに異なる構成を適用することもできます。

管理者は、VPN アプリなどの複雑な設定のアプリを簡単にデプロイできます。従業員がアプリを構成する必要はありません。これにより、構成ミスによって問題が生じてヘルプデスクに問い合わせが来ることを避けられます。

承認済みアプリを Android デバイスに自動的に push する

ホワイトリストの設定時に、Android デバイスに主なビジネスアプリを自動的にインストールするように指定して、適切なアプリを特定の組織に割り当てることができます。ユーザーは、Google Play からアプリを手動でダウンロードしなくても必要なアプリを入手できます。

推奨事項

高度なモバイル デバイス管理では、個人のモバイル デバイス上の企業アクセスを保護するための便利なオプションを提供しています。高度なモバイル デバイス管理を利用するには、Cloud Identity Premium に登録する必要があります。

承認済みビジネスアプリのホワイトリストを作成して、Android デバイスでは仕事用プロファイルを適用し、iOS デバイスでは管理対象アプリを必須とすることをおすすめします。

アプリでサポートされている場合、管理対象の構成を設定し、承認済みアプリを Android デバイスに自動 push すると、管理者とユーザー両者にとって大きな時間の節約になります。これは省略可能ですが、設定することをおすすめします。

サードパーティ プロバイダ

サードパーティ EMM プロバイダ

Cloud Identity で高度なモバイル デバイス管理の機能を使用するには、企業のモバイル管理(EMM)プロバイダが Google である必要があります。

サードパーティ製 IdP

サードパーティ製 ID プロバイダ(IdP)を利用している場合でも、高度なモバイル デバイス管理を使用できます。この場合、ほとんどのユーザー認証はサードパーティ製 IdP で行われます(例外はデバイスの登録です)。ユーザーは、サードパーティ製 IdP 認証情報でログインするか、Cloud Identity アカウントのパスワードを使用します。

高度なモバイル デバイス管理を使用してモバイル デバイス上の仕事用アプリへのアクセスを管理するには、次のようにします。

  • ユーザーの Cloud Identity アカウントを作成します。
  • ユーザーがデバイスを管理対象として登録する際、サードパーティ製 IdP 認証情報ではなく Cloud Identity の認証情報を入力する必要があります。

企業は高度なモバイル デバイス管理を使用して、個人のデバイス上の企業データを保護できます。

A 社では、従業員の 40% 以上がモバイル デバイスから会社のリソースにアクセスしていると推定しています。A 社は、従業員に対して会社所有(および管理)デバイスを使用することを要求していません。これには費用がかかり、また、従業員は個人的な用途と業務の両方に、使い慣れた個人用デバイスを使用したいと考えています。

ユーザー フレンドリーな業務環境を促進するため、A 社は従業員が個人のモバイル デバイスを業務に使用できるようにすることにしました。しかし、会社のセキュリティを犠牲にしたくはありません。A 社は、高度なモバイル デバイス管理を使用して、個人データと企業データを安全に保つモバイル ポリシーを実装する予定です。

A 社がモバイル環境を設定する手順を以下に示します。

Cloud Identity Premium に申し込む

Google モバイル管理の高度なモバイル デバイス管理機能は、Cloud Identity の Premium Edition でのみ利用できるため、A 社は Cloud Identity Premium に申し込みます。

ユーザー アカウントを作成してアプリを組織に割り当てる

IT 部門がユーザーを Cloud Identity に追加する際、各ユーザーを特定の組織のメンバーとしても指定します。IT 部門は、次のような特定の組織に適切なアプリを割り当てます。

  • 組織全体にメッセージング、人事、コラボレーションのアプリを割り当てる(誰もが入手できるように)
  • 営業部門に顧客管理(CRM)アプリを割り当てる
  • サポート部門にカスタマー サポート アプリを割り当てる

特定の組織部門に適切なアプリを割り当てます。

高度なモバイル デバイス管理を設定する

IT 部門は詳細管理を有効にします。Android ユーザーに対して Android アプリの管理を有効にし、iOS ユーザーに対して iOS push 証明書を設定します。

デバイスの承認設定は任意ですが、A 社はそれを実装することにしました。モバイル デバイスのオペレーティング システムが最新バージョンでない場合、ビジネスアプリに問題が発生するとユーザーから報告されています。IT 部門は、すべてのモバイル デバイスが確実に最新の状態を保つようにしたいと考えています。

IT 部門は、デバイスの承認を使用してモデルやオペレーティング システムなどのデバイスの特性を確認し、従業員が使用できるデバイスを定義します。これらの特性は手動でチェックするほかに、API によるプログラム、またはルールを使用してもチェックできます。ルールは API ほど細かく制御できませんが、簡単にデプロイできます。IT 部門は、ルールを使用して、最新バージョンのオペレーティング システムを実行しているデバイスのみを承認します。ユーザーが会社のリソースにアクセスするには、デバイスがルールに準拠している必要があります。

ホワイトリストに登録された仕事用アプリを適用する

IT 部門は、メッセージング、コラボレーション、会議アプリなど、A 社が従業員に使用してほしいビジネスアプリのホワイトリストを作成します。Google Play ストアと App Store からアプリを選択し、ホワイトリストに追加します(Android デバイス用のものと iOS デバイス用のもの)。

A 社は、単にビジネスアプリをユーザーに推奨するのではなく、従業員が会社のリソースにアクセスする際には、承認済みのビジネスアプリのみを使用させたいと考えています。IT 部門は、Android デバイスに対し、仕事用プロファイルの適用を有効にします。ユーザーは、仕事用プロファイルを設定しない限り企業データを同期できず、設定を拒否することもできません。すでに管理用に登録されている Android デバイスに仕事用プロファイルが設定されていない場合は、仕事用プロファイルの作成を求めるメッセージが表示されます。

IT 部門は、iOS デバイスの管理対象アプリも必須要件にします。高度なモバイル デバイス管理は、モバイル デバイスにアプリの管理対象外のバージョンがあることを検出します。会社のリソースにアクセスするには、ユーザーがアプリの管理を有効にする必要があります。

Android デバイス向けの複雑なアプリを事前構成する

VPN 構成によって発生するサポートコールを回避するために、A 社は Android デバイスで管理対象の構成をサポートする VPN アプリに移行することにしました。IT 部門はアプリベンダーと協力して、管理者が他のアプリを管理対象の構成として保存できる設定を行うよう計画しています。

承認済みアプリを Android デバイスに push する

ユーザーの利便性を高めるため、IT 部門は各組織の承認済みビジネスアプリをその組織内のユーザーに push します。これにより、ユーザーがアプリの検索やダウンロードを行う際にサポートコールが発生するのを回避し、IT 部門の時間を節約できます。

ユーザーに通知する

IT 部門は、モバイル デバイスが管理対象であることを従業員に通知し、Cloud Identity の認証情報を使用してデバイスを詳細管理に登録するよう求めるプロンプトを表示させます。

登録するには、Android デバイス所有ユーザーは、Google Apps Device Policy アプリと仕事用プロファイルをインストールします。iOS デバイス所有ユーザーは、Google Device Policy アプリと Device Policy プロファイルをインストールします。アプリとプロファイルにより、IT 部門が設定したポリシーをデバイスが遵守していることを確認します。登録済みのデバイスのみが企業データを同期できます。