Microsoft Intune でデバイス管理をグローバルで標準化。セキュリティと利便性を向上させることで、多様な働き方を目指す富士通の全社 DX を支援

グローバルでデバイス管理ツールを統一しオペレーションを標準化

テクノロジーを通じて社会や企業の発展に貢献してきた富士通株式会社。2020 年にグローバル企業として社会変革に主体的に貢献していくために、「イノベーションによって社会に信頼をもたらし、世界をより持続可能にしていく」を社会における企業の存在意義と定めました。同社の社内 DX は、事業の変革、人・組織の変革、マネジメントの変革、オペレーションの変革の 4 つの柱で構成されています。

その実現に向け、従業員がいつでもどこでも安全にデータを活用できる環境の構築は欠かせません。富士通株式会社 Digital Systems Platform 本部 End User Services 統括部 マネージャー 深澤 智 氏は「当社では国内外のオフィスにおいて、さまざまなデバイス管理ツールを利用していたため、グローバルでデバイス管理ツールを統一することによりオペレーションを標準化し、運用効率化、セキュリティ向上、ガバナンス強化を図ることが必要でした」と、従来の課題を語ります。

モバイルデバイスの管理から導入スタート。ユーザーの利便性を叶える環境を構築

同社の課題を解決するために検討した Intune の採用理由について深澤氏は次のように語ります。「Intune はデバイスのリモート管理、アプリケーションの配布・アップデート、セキュリティポリシーの適用など、デバイスで業務を行う環境の実現に必要な要素をすべてカバーしています。重要なポイントは、社内データへのアクセスを、会社仕様の安全なデバイスに許可するという点です。アクセスできるデバイスを厳選することが、強固なセキュリティの大きなキーとなると考えています。またグローバル全体でライセンスコスト削減や、クラウド化による運用コスト削減、運用管理負荷軽減が図れます」さらに、世界中で利用されているグローバルスタンダードである点もポイントとなったと付け加えます。

同社では、最初に国内のモバイルデバイスを対象に Intune の利用を開始しました。

「オンプレミスの Microsoft Office からクラウドの Microsoft 365 への移行が Intune 導入のきっかけになりました」と富士通株式会社Digital Systems Platform 本部 End User Services 統括部 マネージャー 羽賀 頼母 氏は導入経緯を振り返り、こう続けます。

「モバイルデバイスでこなせる業務を、メール以外にも広げたいというニーズがユーザーから寄せられました。Microsoft 365 モバイルアプリと Intune アプリ保護ポリシーを導入することで、デスクトップと同様の環境を安全にモバイルデバイスで実現できます。ユーザーの利便性に応える環境を提供するためには、Microsoft 365 と親和性の高い Intune によりユーザーとモバイルデバイス、モバイルアプリの一元管理が必要でした」

Microsoft Entra と Intune の導入によりセキュリティと利便性が向上

モバイルデバイスで業務を行うため Intune の導入に際しては、マイクロソフト米国本社の Intune 製品開発チームと一緒に、運用時に想定されるリスクとシナリオを洗い出し Microsoft Entra と Intune が提供する機能でどのように対応するか整理しました。「たとえば、紛失時に第三者が操作できるか、本人がアクセスしていることを担保する多要素認証、端末自身のデバイスロック機能に加え、Microsoft 365 モバイルアプリ起動時の認証機能といった多層的に守られるといったセキュリティ面を確認しました」（羽賀氏）

セキュリティとともにユーザーの利便性、運用のしやすさもポイントになったと羽賀氏は付け加えます「Microsoft Entra とIntuneの連携により、Microsoft 365 モバイルアプリを起動して 1 度認証が完了すれば、Microsoft Outlook、Microsoft Teams、Microsoft Power Point などのアプリを利用する際、個々に認証することなく切り替えが可能です。また、Android、iOSなどさまざまなプラットフォームを統合管理できるため、管理のシンプル化を実現できます。さらに当社では、BYOD(従業員の私物端末) の利用も可能としており、個人デバイス上で個人データとビジネスデータを切り分ける Intune の機能は非常に有効です」（羽賀氏）

2 つのアプローチで Microsoft Intune を PC 環境に導入

2018年に、同社の国内におけるモバイルデバイスへの Intune の導入が完了。その後、グローバル展開が完了しました。一方、PC に対する Intune の導入は、同社の海外拠点が先行しました。「海外拠点では、オンプレミス型のデバイス管理ソリューション Microsoft Configuration Manager(以下 Configuration Manager)を導入し PC を管理していました。オンプレミスのActive Directoryと Configuration Manager のポリシー設定により 共同管理(Intune とConfiguration Manager による PC 管理)へスムーズに移行することができました」と深澤氏は海外拠点の Intune 導入について語ります。

課題となったのは、地域によって異なる要件にいかに対応するかでした。「国によってレギュレーションが異なること、また Configuration Manager を利用していないリージョンもあり、Discovery フェーズで地域の要件をくみ取る中で、グローバルポリシーの更新や、リージョン固有のアプリ導入をすることで対応を進めています」(深澤氏)

 同社の国内拠点では、従来さまざまなツールを使って PC 管理を行っていたと羽賀氏は語ります。「管理が複雑化し、セキュリティポリシーの適用業務も煩雑となっていました。また、オンプレミスで管理していたためコストもかかっていました。これらの課題解決に向けて PC 環境に Intune を導入することは、モバイルデバイス環境の次の展開として必然でした」

国内拠点において、PC に対する Intune の導入は、2 つのアプローチでおこなわれました。「新規導入PCは、Microsoft Entra Join (旧 Azure AD Join) のアプローチで展開しています。国内のオンプレミス AD 環境に参加している既存 PC は Microsoft Entra Hybrid Join  (旧 Hybrid Azure AD Join) のアプローチで展開しています。この方法は、既存 PC の OS リセットをする必要なく展開することができました。Microsoft Entra Join と Microsoft Entra Hybrid Join を併用することで、新規導入と既存 PC ともに Intune による PC 管理を実現できました」(深澤氏)

今後、同社の PC のライフサイクルに合わせて Microsoft Entra Hybrid Join のPC を Microsoft Entra Join に切り替えていく予定だと深澤氏は語ります。

セキュリティの高度化、キッティングの自動化を実現

Intune 導入による PC へのセキュリティ強化について、富士通は 3 つのポイントを挙げました。

1 つ目は、PC の状態の可視化です。「PC 管理で課題となるのは、たとえばセキュリティポリシーが適切に適用できているかどうか、管理者がタイムリーに把握できないという点です。Intune は 1 つの管理コンソールで、アプリケ―ションをインストールしたか、デバイスが暗号化されているかなど管理下にある PC の状態を可視化できます。現状を把握したうえで、次のアクションプランの作成が可能です。さらにサポートデスクも対応しやすくなります」(羽賀氏)

2 つ目は、プッシュ型のアプリケーション配信です。「ユーザーがアプリケーションをインストールするのではなく、Intune により管理者側がインストールできるアプリケーションの枠組みを決めてプッシュ型で提供できます。ユーザーはインストールの手間もなく、シャドー IT 問題の解決にもつながります」(深澤氏)

3 つ目は、セキュリティポリシー適用の自動化です。「これまでセキュリティポリシーに合わせてユーザーが PC の設定を行っていました。設定ミス・漏れや、スキル不足で設定ができないなどの課題がありました。Intune により自動的かつ強制的にセキュリティポリシーを適用できるので、ユーザーは設定の手間やセキュリティチェックが必要なくなり、時間の有効活用が可能です。ユーザーの手間を解消しながら、人に依存しないセキュリティを実現しセキュリティ対策を徹底できます」(深澤氏)

運用の観点では、Intune の機能の 1 つである、Windows Autopilot(以下 Autopilot)を利用しており、大きな期待が寄せられています。

Autopilot は、Microsoft Entra ID (以下 Entra ID)および Intune と連携し、社員向け PC の初期設定におけるセキュリティ設定やアプリをインストールする、いわゆるキッティングを自動化するクラウドサービスです。Intuneでデバイスの管理が、Entra IDでIDとアクセスの管理ができているからこそ、Autopilot を利用できる点がポイントです。

「Intune により既存 PC は企業それぞれの仕様やニーズ、セキュテリィポリシーに合わせた状態を維持できます。新規 PC 導入時に、Autopilot により会社仕様の PC に自動的にセットアップすることで、Intune の管理下に置くことができます。まだ準備段階ではありますが、自動化によりキッティングに要する時間や手間を削減。在宅勤務や遠隔地の拠点への PC 配布においても、ネットワーク環境さえあれば、電源オンにするだけですぐに 業務が始められことも構想しています」(羽賀氏)

マイクロソフトのシームレスなグローバルサポートでスムーズに導入

デバイス管理は、新しい分野のため新規機能も多く、将来を見越すために十分な知見を独自に得ることが難しかったと深澤氏は語ります。「Intune 製品開発チームからさまざまな提案を受けたことで導入がスムーズに進みました。また展開にあたっては、マイクロソフトのミッション クリティカル サポートを利用。専任チームが当社の IT 環境や課題を深く理解したうえで支援にあたってくれたことで、Intune 導入時における環境依存や技術的な課題を解決できました」

同社に対するミッション クリティカル サポートでは、国内だけでなく海外にも専任担当を配置。「マイクロソフトがグローバルのサポートをシームレスにおこなってくれたことで、当社の国内外における情報共有の質とスピードの向上が図れました。また、Intune に加え、Entra ID、Microsoft Azure など各製品の専任者が組織横断でチーム構成されていたため、総合的な支援により課題解決の迅速化を実現できました」(羽賀氏)

Intune のグローバル展開は、同社の DX プロジェクトの方向性と一致。2023 年、国内拠点の PC への Intune の導入はほぼ完了。海外拠点の PC に対する展開は、ローカライズの対応に配慮しつつ進められています。

Microsoft Intune の新技術を導入し、利便性と高度なセキュリティの実現へ

今後の展望について深澤氏は次のように語ります。「マイクロソフト開発部門と連携して Intune の新技術を導入していきたいと思います。たとえば、エンドポイント特権管理(EPM)など Intune の機能を拡張する Microsoft Intune Suite にも非常に関心を持っています」

「Intune は、安全なデバイスを使ってデータ活用を促進することで多様な働き方を支え、従業員 １ 人 １ 人の生産性向上に寄与するものです」と羽賀氏は話し、「Intune の導入、運用で得たノウハウや知見を当社のお客様に還元し、お客様の DX や働き方改革の推進に貢献していきます」と力強く語りました。