くらめその情シス:MDMでのPC管理運用のBefore/Afterとよもやま話

2021.09.08

どうも、情シスやってますアノテーションの徳道です。

クラスメソッドの社内でモバイルデバイス管理(以下、MDM)の導入をしてそろそろ1年になります。今回はMDMを用いたPC運用のBefore/Afterと運用にまつわるよもやま話をしたいと思います。

過去のMDM導入の技術的な記事は以下にまとめがありますので、ここからご覧ください。

くらめその情シス:【まとめ】AzureADとIntuneを使ってPC管理を効率化してみた

PC管理 MDM導入Before/After

Before MDM

MDM導入前でもPCの集中管理自体をしていなかったわけではないのですが、やっぱりいろいろとレガシーなことをやっていました。

  • PCのセットアップは情シスが手動で実施
    • OS初期設定
    • セキュリティ設定(ディスク暗号化、パスワードポリシー設定)
    • アプリインストール
    • ユーザー用アカウント設定
  • PCのセキュリティポリシーはPC単位、ユーザー任せ
    • ActiveDirectoryの制御(リモートワークでは最新化されない)
    • Macはユーザー次第で設定変更可能
    • 現状をモニタリングできない
  • PCが紛失したら…ディスク暗号化を信じて祈る ←オイ
  • 利用ユーザーの情報はスプレッドシートの台帳ベースで把握

この中で特に問題なのが

  • PCのセットアップ:人が増えるに従って情シスの負荷増大
  • PCのセキュリティポリシー:リモートワークが標準になり、放置状態に
  • PCが紛失したら:これは無くしたPCが出てこないと何もできない。。。

After MDM

で、MDMを導入してこれらの課題がどこまで解消されたかと言いますと、かなりイケるようになりました!

  • PCのセットアップはユーザーが自身で実施
    • OS初期設定:半自動(WiFi接続、MDMログインまで手動)
    • セキュリティ設定:自動
    • アプリインストール:自動
    • ユーザー用アカウント設定:自動
  • PCのセキュリティポリシーは集中管理、リアルタイムモニタリング
    • MDMによるポリシー一括制御
    • ユーザーはポリシーを勝手に解除できない
    • 現状は定期的にMDMに収集、評価
  • PCが紛失したらMDMからデバイスワイプ
  • 利用ユーザーの情報はMDMで参照

リモートワーク主体ではインターネットにつながってさえいればユーザーがどこにいても集中管理ができ、セキュリティが保たれるということはとても大きな前進でした!

まとめると

  • フルリモートでもPCのセキュリティを一定水準で担保
  • PCセットアップ作業の分散化・オフロード

が成果と言えるでしょうか。

MDMの構成

現在のMDMを用いた構成を簡単に図にしてみました。これである程度イメージはできるかな、と思います。

Special Thanks:畠山浩樹

MDMの運用よもやま話

Before/Afterの話では、いいことづくめのようなMDMによるPC運用。

しかし当然のことながら過去にできていたことができなくなったり、運用で制約を回避しないといけないこともあります。

ここでは運用上、注意すべき点について情シスよもやま話としていくつか紹介します。

原則は「これまでの運用にどうやって仕組みを当てはめるか」でなかく、「仕組みに運用を擦り合わせていく」という思考の転換が必要になります。

これらは実運用に当てはめると浮かび上がってくる課題です。

PCの入れ替え時のデータ移行には注意が必要

従来、社内ではPCの入れ替えを行う際にはMacユーザーが多いこともあり、TimeMachine/移行アシスタントを使うことが主流でした。

WindowsでもPCの機種を統一している場合、イメージバックアップツールを使ってマシンを移行することもあると思います。

しかし、これらのツールは元のPCにあるアプリケーションや個別設定までリストアしてしまいます。

せっかくゼロタッチデプロイでセットアップしたMDMのPC固有情報を上書きして破壊してしまうのです。

そのため、ユーザーには若干不便になりましたが、データの移行はファイルベースでクラウドストレージや外付けディスクを経由して新PCに移行してもらうことを標準運用と定めました。

どうしても環境移行が必要な方には専用の移行手順を用意しましたが、正常にMDMの制御ができなくなるトラブルが発生することもあり、非推奨としています。

トラブルや手戻りが起きることをあらかじめリスク受容出来る方にだけ手順を開示しているのです。

タイムラグがあることを前提にした運用

PC⇔MDMの情報連携は非同期な仕組みです。

PC側の情報がMDMに通知され、実際に管理画面に反映されるには「意外なほど」タイムラグがあります。

PCのセットアップをユーザーが行い、実際に管理画面に反映されて最新の情報すべてが取れるまでに数十分~1時間以上かかることもあります。

よくある問合せとしては、デスクトップが起動したのだけど、手順に書かれているアプリが入ってないよ、というものなど。

これはアプリケーションのダウンロード、インストールが非同期にバックグラウンドで実行されているため。

Intune/jamfのDEP Notifyなどである程度同期的な設定をしても、ユーザーの自宅ネットワークの環境やMDMのクラウド環境の負荷など様々な条件で失敗 → リトライとなることも少なくありません。

【参考】

くらめその情シス:jamfPROにDEP Notifyを導入して、ほぼゼロタッチデプロイ運用を実現してみた。

そのため、「タイムラグがあることが普通」をいうことを理解した運用、ユーザーへの事前の周知を行う必要があります。

チャットベースで普段から非同期コミュニケーションになっていればこの辺の問題は起きにくいです(レスポンスが即時であることを期待しないことが根付いているためです)。

電話サポートなど同期コミュニケーションを中心にしている場合は運用上の工夫が必要になってくるでしょう。

弊社でも新入社員にゼロタッチデプロイをしてもらっているのですが、チャットでこうした認識を持っていただくためのサポートが欠かせません。

MDMの変更管理は都度実施しないといけない

PCのセットアップが自動化されたとはいえ、その管理まで自動になるわけではありません。

逆にMDMのデバイス管理はPCの入れ替えやユーザー変更時に常にセットで作業が必要です。

セットアップ作業がユーザーのタスクになったことで、逆に情報のメンテナンスを行うトリガーが非同期で分かりにくくなり、作業が漏れやすくなるポイントでもあります。

具体的に運用が増えたポイントとしては以下の点です。

  1. PCの利用終了時にMDMとAzureADからデバイス情報を削除しておく
  2. WindowsPCがセットアップされた時にコンピューター名を設定する
  3. デバイスがポリシーに準拠しているか定期的にモニタリング

1番目はPCインベントリー管理ソフトなどを利用していればメンテナンスが発生すると思いますのでそのタイミングでMDMのメンテナンスも手順に組み込んでおくといいでしょう。

IntuneやjamfなどのMDMだけでなくAzureADからも削除が必要であることにご注意ください。

2番目はWindowsPCでコンピューター名を管理する場合に発生します。AutoPilotデバイス情報の管理とどちらがいいか…は運用する方の判断でしょうか。。。

詳しくは以下のページをご覧ください。

くらめその情シス:WindowsでAutoPilotデバイス情報登録の運用をやめたおはなし

3番目の運用は条件付きアクセスで「デバイスが準拠しているにマークされている」の条件を設定している場合に注意を払う必要がある項目です。

定期的にモニタリングしておくことで非準拠のデバイスに対して牽制をすることでユーザーのアクセシビリティを担保できますが、あまり頻度が高くても運用する側の負担。

ここについては次項でちょっと詳しく。

【コラム:AzureADに残るゴミ情報に注意】

Windowsの場合BitLockerの回復キーはMDMではなくAzureADのデバイス情報に格納されます。

これはIntune側で情報を削除しても連動して消えてくれません。

そのためMDMでのデバイス削除とセットで削除をしておかないと、いつのまにかAzureAD側で同じようなデバイスがいくつも作られてしまい、どれが正しい情報かわからなくなってしまうのです。

セキュリティを優先するか、アクセシビリティを優先するか

MDMを運用していると何らかの理由でPC、デバイスがコンプライアンスポリシー非準拠になり、条件付きアクセスを指定したアプリにアクセス不可能になることが発生します。

そうしたPCには、

  1. まずMDMと同期させる
  2. アクセス回復急ぐ場合は運用で回避(リスクを受容する)

という回避策をあらかじめ考えておく必要があります。

1番目は手順化しておき、社内システムでなくともアクセスできる場所に掲示することが望ましいでしょう。

チャットのヘルプチャンネルにピン止めする、PDFファイルを公開しておき、すぐに参照できるように。

2番目はこの項目のヘッダーにあるように、運用の「決め」の問題です。

デバイスが正しい状態であることを優先するか、それとも業務の再開を優先するか。

あらかじめ方針を決め社内・責任者との間で認識を共有しておく必要があります。そうしておくことでトラブル発生時の対応を迅速に行えるのですね。

(あるあるなのが都度ステークホルダーに確認して…というもの。そのお伺いの時間、もったいないと思いませんか?)

MDMで何でも管理しようと考えない

MDMではハードウェアやインストールされているソフトウェアのインベントリーが詳しく取れるため、管理をしていると

これって資産の管理もできるんじゃね…?

という錯覚をしがちです。

「そんなふうに考えていた時期が…俺にもありました」(大人の事情で画像は割愛)

MDMはあくまでアクティブなデバイスの状態を管理するものであり、インベントリーやアセットメント管理の機能は持っていないか、不十分なものが多いです。

(世の中にはそうしたサービス、製品はあるのかもしれませんが、オールインワンの統合パッケージだったりします)

例えばPC管理台帳の代わりをさせてみよう、と思った場合。

Intuneもjamfもオフラインデバイス管理は想定されていませんので、そもそもMDMのエージェントをインストールしないデバイスを追加することができませんね。

資産の管理は新品で未セットアップの機器や、故障したもの、オフラインで利用される機器の管理も想定されますから、これでは都合が悪いのです。

コメントなどでマーキングをしていくのも項目欄のカスタマイズなどができない・限定されるので情報がとっ散らかったり、平準化が難しいです。

ソフトウェアインベントリーの管理も同様で、Intuneでは従来型のソフトウェア(=マイクロソフトストア以外のアプリ)のインベントリ取得をサポートしません。

台帳の代わりをMDMにさせよう、というのは最初からちょっと無理があるのです。

MDMがもつ動的な情報と台帳や資産・インベントリー管理の静的な情報をうまく連携して管理してくことが現状としてはベターではないかな、と考えています。

※あくまで筆者の見解です。。。

さいごに

今回は技術的な話よりも運用の経験に重きを置いた読み物にしてみました。

リモートワークが当たり前になりつつあり、PC管理をこれからMDMに移行していこうかな、と考えている方の検討のお役に立てればいいな、と思います。

ぜひステークホルダーに運用って大変なのよ~って伝えるときの参考にでもどうぞ(笑)。

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。 「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。 現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイト をご覧ください。