マイクロソフトの先進的なソリューションがエンドポイントの管理と保護の負担を軽減

※こちらの発表は米国時間 4 月 5 日に公開された Ease the burden of managing and protecting endpoints with Microsoft advanced solutions の抄訳をもとに掲載しています。

Dilip Radhakrishnan, Partner Group Product Manager, Microsoft Endpoint Manager
Gideon Bibliowicz, Senior Director of Product Marketing, Microsoft Endpoint Manager

お客様によって必要とするものは違います。この基本的なマーケティング理論は、1920 年代にゼネラル・モーターズ (英語) がヘンリー・フォードの標準化による大量生産に対抗して、かの有名な「あらゆる財布と目的に合った車 (a car for every purse and purpose)」を開発した当時から、現代まで変わらずに言えることです。

この 2 年間の働き方の変化、ひいては企業の IT アーキテクチャの変化により、新たな顧客のニーズが生まれ、あらゆる「財布と目的」に合わせた多数のサードパーティ ソリューションが登場しました。マイクロソフトは本日、企業によるエンド ユーザーのコンピューティング環境の管理、保護をさらに簡素化するため、Microsoft エンドポイント マネージャーに新しい管理機能を提供する計画を発表します。

来年にかけて、エンド ユーザー エクスペリエンスの向上、エンドポイント セキュリティの強化、TCO (総保有コスト) の削減を目的とした一連のソリューションをリリースする予定で、ミッションクリティカルなエンドポイントおよびセキュリティ管理ツールを単一のクラウド ベースのソリューションに統合します。これらの新機能により、クラウド、オンプレミス、各種デバイス プラットフォームのエンドポイントを保護できるようになり、ゼロ トラストのセキュリティ モデルの導入を目指す企業にとっての基盤が整います。

マイクロソフトの目標は、コスト効果の高い新たな Microsoft 365 プランに高度なエンドポイント管理ソリューションを統合することです。この記事では、将来的にスイートに追加される機能と、それに伴う以下のようなメリットについてご紹介します。

• 迅速な対応の実現: 安全なクラウドベースのリモート ヘルプを提供してエンド ユーザー エクスペリエンスを最適化
• 安全なアクセスの強化と簡素化: プラットフォームやデバイスの種類を問わず、企業データに安全かつ簡単にアクセスし、複数の企業アカウントを利用しているユーザーのアプリを保護
• 自動化機能の拡張: アクセス許可の昇格、証明書の管理、パッチ適用を簡素化

迅速な対応によって従業員の満足度を向上

リモート ワークを行う従業員が増加し (従業員の 52% が今後 1 年間にハイブリッド ワークまたは完全なリモート ワークへの移行を検討中 (英語))、フロントライン ワーカーのデバイスをサポートする必要性が高まる中で、IT ヘルプデスクへの要求も変化しています。「テクニカル サポートは従業員のデスクで行うもの」という常識は過去の話となり、ヘルプデスクは従業員がどこにいてもサポートすることを迫られています。こうした変化を受けて、マイクロソフトはリモート アシスタンス ツールキットを見直すことにしました。このプレミアム ソリューションの第 1 弾として、本日より、Microsoft Endpoint Managerのリモート ヘルプ (英語) の一般提供が開始されます。

リモート ヘルプは、ヘルプデスクとユーザー間で安全な接続を確立するためのクラウドベースのソリューションです。Microsoft Endpoint Managerとの緊密な統合によってセキュリティが強化され、ヘルプデスクの従業員は、ユーザーがどこにいても迅速に問題を解決できます。

Microsoft Endpoint Managerとの統合により、クラウド管理デバイスやオンプレミスの共同管理デバイスを利用しているユーザーにもリモート ヘルプを提供できます。また、ロールベースのアクセス制御も提供されるため、管理者はサポートを提供するユーザーとサポートを受けるユーザーを制御し、接続セッション中にユーザーのデバイス上でサポート担当者ができる操作を管理できます。さらに、ユーザーとヘルプデスクのサポート担当者の本人確認を明示的に行う機能が提供されるほか、デバイスのコンプライアンス チェックによってデータ侵害のリスクを軽減できます。この 2 つの機能により、ゼロ トラストのセキュリティ モデルが強化されます。これらすべての機能により、エンド ユーザーにとって迅速かつ効果的で信頼性の高いリモート アシスタンスを実現できるため、ユーザーの満足度が向上し、迅速に仕事に戻ることができるようになります。

リモート ヘルプでは、アクセス許可に応じて閲覧のみまたはフル コントロールでの接続によってリアルタイムでサポートを提供できます。

また、従業員の満足度を向上させるには、問題が発生して従業員が IT ヘルプデスクに連絡してきた場合に対応するだけでなく、その問題を未然に防ぐためにあらかじめ対策を行うことも重要です。ハイブリッド ワークの場合は、エンドポイントで業務を行うことになるため、従業員がストレスを感じることなく安全に作業できるようにするうえで、IT 管理者が重要な役割を担うことになります。マイクロソフトは、企業が従業員のデジタル エンドポイント エクスペリエンスを最適化できるように投資を拡大しています。追加のエージェントを導入する必要はなく、エンドポイントのインサイト、AI、Microsoft Cloud のシグナルを使用して、異常検出と推奨事項に基づいて IT 向けのアラートを提供します。これらの新機能をEndpoint Managerにネイティブに統合することで、IT 管理者がすべてのエンドポイントをもれなく把握することができます。また、この機能は主要な IT サービス管理ツールとも統合されるため、お客様が追加のサードパーティ ソリューションを管理する必要性が最小限に抑えられ、効果的なエンドポイント管理を一本化することができます。

企業リソースへの安全なアクセスの強化と簡素化

ますます巧妙になるサイバーセキュリティの脅威に対処するためには、任意のデバイスから企業リソースに安全にアクセスできるようにすることがこれまで以上に重要になっています。そのためには、未登録または管理対象外のモバイル デバイス (多くの場合、個人所有デバイスまたは BYOD) からオンプレミスのアプリや Web サイトにアクセスするケースも考慮する必要があります。Microsoft Tunnel で安全な VPN とアプリ保護ポリシーを設定することで、IT 管理者はアプリ単位の安全なアクセスを実現すると同時に、偶発的な漏えいから企業データを保護することができます。マイクロソフトの目標は、エンド ユーザーと IT 管理者の両方にメリットをもたらすソリューションを提供し、従業員が任意のデバイスからオンプレミスのアプリや Web サイトに安全にアクセスして生産性を維持しながら、特定の業務関連アプリのトラフィックのみを企業ネットワーク経由で送信して従業員のプライバシーを確保することです。IT 部門は、アプリ単位で保護ポリシーを適用して企業データを保護できます。管理者は、当初は Microsoft Edge モバイル アプリから Microsoft Tunnel を使用して、未登録のモバイル デバイスからオンプレミスの企業リソースへの VPN 接続を有効にすることができます。

未登録のモバイル デバイスでも企業リソースに安全にアクセスできます。

このソリューションは、3 つの点で優れています。第 1 に、Azure Active Directory によって強力な認証が提供されます。第 2 に、マイクロソフトがリードするネイティブのモバイル アプリ保護ポリシー (MAM) を活用できます。マイクロソフトのアプリだけでなく、いずれはサードパーティ アプリ (基幹業務アプリなど) にも対応します。最後に、Edge ブラウザーのサポートにより、ユーザーが企業 ID を使用している場合にのみ VPN 接続が確立されます (そのため、ユーザーが個人アカウントの資格情報を使用してサインインしている場合は、企業データとユーザーのプライバシーが保護されます)。

安全なアクセスの強化と簡素化の原則は、企業のお客様が Linux デスクトップを管理、保護できるようにする計画 (英語) にも反映されており、エンジニアや開発者が業務用デバイスとして Linux デスクトップを選択した場合に、企業アプリや企業データに簡単かつ安全にアクセスできるようにします。こうした「専用」デバイスに対して例外を認めたり (その結果、企業の Linux デスクトップが管理および保護されない可能性がある)、その使用を完全にブロックしたりするのではなく、Endpoint Managerでは Linux デバイスを対象にして、条件付きアクセス、デバイス コンプライアンス、デバイス構成の各ポリシーを適用することができます。

その他に、簡単にご紹介したい機能が 2 つあります。1 つ目に、プレミアム ポートフォリオの一環として、Android オープンソース プロジェクト (AOSP) を実行するデバイスに対する管理機能 (英語) の一般提供が近日中に開始される予定です。既にパブリック プレビューが開始されており、ユーザーが必要とするタイミング、場所、方法で企業リソースにアクセスできるように、管理者は条件付きアクセスを使用して専用 AOSP デバイスを簡単にプロビジョニングして構成できます。

2 つ目に、今後のリリースでは、1 つのデバイスで複数の企業アカウントまたは ID を利用しているユーザーのアプリにもアプリ保護ポリシーを適用する予定です。これにより、従業員は任意のモバイル アプリを使用して複数の企業アカウントから企業ファイルにアクセスできるようになり、デバイスを登録することなく各企業のデータ保護ポリシーが適用されます。この機能により、さまざまな役割を同時に果たしている従業員が、シームレスに業務を行うことができるようになります。たとえば、医師、コンサルタント、採用担当者などの業種では、所属する企業または個人の事業とクライアントに対して同時に責任を持つことになり、複数のメール アカウントを管理したり、企業の機密情報にアクセスしたりする必要が生じる場合があります。この新機能により、適切なデータを、適切なユーザーだけでなく適切なペルソナに、適切なタイミングで提供できるようになります。

自動化の拡張、セキュリティの強化、ストレスの軽減

摩擦はストレスを生む原因となります。多くの従業員にとって、適切なアクセス許可、証明書、最新バージョンのアプリや OS を利用できないと生産性が低下する可能性があります。こうしたストレスに対処すると同時にセキュリティを強化するために、3 つの新機能を発表します。

第 1 に、マイクロソフトは、従業員が特定のタスクで管理者権限を使用できるようにする自動化および管理機能を導入する予定です。ローカル管理者権限を持つユーザーが攻撃を受けると、データ侵害の被害が大きくなるため、標準ユーザーのアクセス許可を付与することが絶対的なスタンダードです。しかし、標準ユーザーは、特定のアプリのインストールや Windows 診断ツール (タスク マネージャーなど) の実行といったタスクを実行できません。その結果、エンド ユーザーの生産性が低下し、サポート コストが増大する可能性があります。この問題に対処するために、IT 管理者はこの新機能を使用して、標準ユーザーのアクセス許可を昇格するルールを設定すれば、そのユーザーは一時的に管理者レベルのタスクを実行できるようになります。これにより、エンド ユーザーが「セルフサービス」で必要な場合に Windows デバイスで特定の管理者アクションを実行できるようになり、エンド ユーザーの生産性が阻害されることがなくなります。権限の昇格は、事前に定義されたルールとパラメーターのセットに基づいて自動的に行うことも、エンド ユーザーが行うことも、IT サポートの承認を受けて行うこともできます。どのケースでも、こうしたエンドポイントの権限管理により、エンド ユーザーと IT 管理者の両方の負担が軽減されます。企業は、デバイスの詳細なアクセス許可を昇格する実行可能ファイルを定義して、IT 部門の時間を節約できます。マイクロソフトのソリューションが他社と異なるのは、Endpoint Managerや広範な Windows エコシステムと統合されている点です。また、昇格された権限を確認できるレポート機能も追加され、どの権限を、どのような場合に、どのエンドポイントに拡張すべきかを継続的に改善できるようになります。

エンドポイントのアクセス許可管理により、標準ユーザーが管理者タスクを実行できるようになります。

第 2 に、クラウドから証明書を簡単に設定、展開できるようにする証明書ライフサイクル管理ソリューションを導入します。Wi-Fi、VPN、アプリへの認証をシームレスに行うことは、多くのエンド ユーザーが当たり前だと考えているものの、セキュリティ担当者の豊富な専門知識とオンプレミスの大規模な公開鍵基盤 (PKI) が必要とされます。マイクロソフトの PKI 向けクラウド証明書管理ソリューションは、基盤となるインフラストラクチャの管理に伴う複雑さと、そのために必要なスキルを軽減するもので、IT 管理者がEndpoint Managerから簡単に証明書を展開し、前述の安全な認証シナリオをすばやく実現することができます。また、PKI の証明書管理の設定が簡単になり、エンド ユーザーにシームレスなパスワードレス認証を提供できます。しかも、クラウドベースのサービスであるため、可用性と拡張性が高く、IT 担当者はコストを削減し、戦略的なタスクに集中できるようになります。

最後に、サードパーティ製ソフトウェア アプリケーションの脆弱性は、企業のお客様にとってセキュリティ上の大きな懸念事項です。IT チームが企業で使用しているすべてのサードパーティ製ソフトウェアの脆弱性を常に監視し、それらのアプリケーションの最新バージョンのパッチを特定して手動で展開することは不可能です。また、脆弱性が公表されると、攻撃者が悪意のあるコードを開発し、数時間以内に企業のお客様を標的にするケースも少なくありません。マイクロソフトは、企業のお客様のセキュリティ リスクを低減するため、デバイスの脆弱性管理を自動化し、ソフトウェアとハードウェアの両方のセキュリティ上の脆弱性をプロアクティブに特定して自動的に修正できるようにする予定です。Microsoft Defender for Endpoint とEndpoint Managerによる継続的な検出、評価、アプリのパッチ適用の自動化により、お客様の企業がゼロ トラスト環境構築の目標に向けて大きく前進できます。

さらに、ソフトウェアとファームウェアの実証済みセキュリティ ベースラインにより、設定を評価し、適用することで、自社の要件と業界のセキュリティ標準へのコンプライアンスを確保できます。これらの機能がプロアクティブかつ自動的に動作するようにして、マイクロソフトの他の脅威および脆弱性管理機能と組み合わせることで、エンド ユーザーの摩擦を軽減し、リスクを低減して、IT 管理者が重要度の低い作業時間を短縮したいと考えています。

今後の展望

本日の発表は出発点に過ぎません。お客様がハイブリッド ワークへの移行期間中に、従業員のニーズの変化に対応する中で、将来に向けた計画を立てることができるように、最新情報をお伝えできることを嬉しく思います。マイクロソフトの目標は、マイクロソフトのコネクテッド クラウドによってエンドポイント管理を簡素化し、お客様の TCO を削減することです。

Microsoft Endpoint Managerで提供するソリューション範囲を拡張することで、お客様が複数のソリューションを利用せずに、ミッションクリティカルなエンドポイント管理ツールを一本化できることを目指します。これにより、ツール間の一貫性が向上し、IT トレーニングと導入が容易になります。さらに、一貫性が向上することで、共通データ レイヤーによって詳細なインサイトと自動化が提供され、エンド ユーザーのコンピューティング環境全体を把握できるようになります。また、経済的なメリットも期待できます。管理するベンダーが少なければ、コストの削減や IT 部門の生産性向上につながり、マイクロソフト セキュリティとの緊密な統合により、データ侵害のリスクも低減します。

今回ご紹介したプレミアム機能のスケジュールや提供開始などの詳細については、今後数か月以内にご案内します。これらの機能は、Microsoft Intune のライセンスを含む Microsoft 365 Enterprise プランのアラカルト式のアドオンとして、今後数か月の間に個別にリリースされる予定です。十分な数のアドオン機能の一般提供が開始された時点で、それらを包括したスイート ライセンスの提供も予定しています。

1920 年代のゼネラル・モーターズ社長のアルフレッド・スローンのように、今後も Microsoft Endpoint Managerで「あらゆる財布と目的に合った」ソリューションを提供できることを楽しみにしています。

今回の発表について、皆様からのご意見もお待ちしております。詳細については、デジタル イベント「Windows Powers the Future of Hybrid Work」の Windows およびエンドポイント管理に関するブレークアウト セッション (英語) をご覧になるか、下記の関連情報の記事をご確認ください。

関連情報 (近日公開):

• リモート ヘルプの一般提供を開始 (英語)
• Windows 11 エンドポイント管理の今後の展望 (英語)
• Windows AutoPatch を発表 (英語)
• クラウド管理への移行 (英語)
• Windows Powers the Future of Hybrid Work (英語)
• 新しい働き方を支援する Windows 11 と Windows 365 の新機能 (英語)
• 大きな期待に応える効果的なハイブリッド ワークの実現 (英語)