Windows 10(ウィンドウズ10) - Windowsダウンロード購入もOffice 2016ダウンロード購入。価格を安く購入するならこちらから、便利なダウンロード販売をぜひご利用ください
Azure ADにPCを参加させることで、Azure ADやIntuneのさまざまな管理機能を活用したユーザーの利便性向上やより便利なデバイス管理が実現できる。
(1)Microsoft Passportを利用したSSO環境の提供
Azure ADへの参加での一番のメリットとなるのは、Azure ADのデバイス登録サービスと連携した新しいユーザー認証の仕組みである「Microsoft Passport」によるシングルサインオン(SSO)環境の実装だろう。PCをAzure ADに参加させるとPCへのログオンにAzure ADのアカウントが利用できるようになる。それにより、同じアカウントで利用するSaaSのサービスに、PCへのログオンを起点としたSSOが利用可能になるのだ。ユーザーはPCにログオンさえしてしまえば、Azure ADを認証基盤として利用している多くのSaaSにシームレスにアクセスできる。
そして、その認証の仕組みも従来のIDとパスワードの入力によるものから証明書ベースの認証となったMicrosoft Passportに切り替わり、よりセキュアな環境でのサービス利用ができるようになった。Microsoft Passportの詳細については下記の日本マイクロソフトのセキュリティチームのブログを参考にしてほしい。
また、Microsoft Passportは、Windows 10で新しく追加された生体認証機能「Windows Hello」とも連携する。顔、指紋、虹彩などの生体認証とPassportの証明書ベースの認証を組み合わせることで、非常にセキュアな認証基盤を構成可能だ。さらに従来のスマートカード認証と比べて公開鍵暗号基盤(PKI)を自前で準備しなくてもいいというメリットもある。
(2)Azure ADに参加したデバイス間でのユーザー設定情報のローミング
Windows 8では、Windows OSのログオンにマイクロソフトアカウントを利用できるようになった。マイクロソフトアカウントでログオンした場合にはWindows OSのさまざまな設定をクラウド側に保存し、同じアカウントでログオンする複数のデバイス間で設定を同期できるようになっていた。Windows 10では、Azure ADのアカウントでPCにログオンすることで、Windows 8同様に設定の同期ができる。実際に同期できる情報についてはこちらのウェブサイトに詳細が記載されているので併せて参照いただきたい。
また、Azure ADはドライブ暗号化機能「BitLocker」の回復パスワードをバックアップする機能を備えている。Windows 8以降、Proエディションからも利用可能となったBitLockerだが、暗号化してファイルにアクセスできなくなったという事態は避けたいものだ。Windows 10では、Azure ADへの参加と同時に自動的にBitLockerでドライブを暗号化し、ここで回復用のパスワードも自動的にバックアップする。有事の時にはクラウド上からパスワードが入手できるのだ。
(3)Intune MDMを使ったデバイスの構成管理
IntuneはSaaSで提供されるデバイス管理ソリューションで、下記に挙げるようなMDMに類する機能を提供し、Windows 10はこれらの制御の受け入れに対応している。
PCをIntuneに参加させる際には、Azure ADへの参加と同時に自動的にIntuneにも参加するように管理者が設定できる。この場合、ユーザーは特にアクションを必要とせず、自動的にIntuneからの管理を受けることが可能だ。
また、Azure ADへの参加と切り離して、Intuneに手動で参加することもできる。「設定」→「アカウント」→「職場のアクセス」に「デバイス管理に登録する」というメニューがあるので、そこからIntuneに参加するためにAzure ADの組織IDでサインインすることでIntuneのモバイルデバイス管理に参加させることができる。
IntuneのMDMに参加すると、Intune側からはあらかじめ定義されている管理ポリシーが展開され、各種設定が自動的に定義される。どのような管理ポリシーがあるのかについては下記のサイトに設定項目が記載されているので参考にしてほしい。
そして、これらのポリシーベースの機能制御により、Windows 10のセキュリティ関連の設定を一元的に管理・適用できる。また、Windows 10の新機能で間もなくリリースされる「Enterprise Data Protection」も、このモバイルデバイス管理ポリシーで実装される予定だ。
