皆さんこんにちは。明けましておめでとうございます。
本年も、どうぞよろしくお願いいたします。
さ て、第7回となりましたMeraki連載、今回のテーマはMDM(Mobile Device Management)製品であるSM(システムマネージャー)です。
今回の記事の目次は以下の通りです。
昨今の情勢とMDMの必要性
MDMってよく聞くけれど、どうして必要なの?何ができるの?、と疑問に思われている方も多いかと思います。もちろん、概要も必要な理由もバッチリ!という方もいらっしゃると思いますが。
近年は小学校でもモバイルデバイスを使用するようになってきたり、Covid-19によって在宅ワーク体制が一気に進められたり......と、なにかと今までとは異なるデバイスの利用形態になってきています。そのような中、今までと同じセキュリティ対策のみでは対処できないケースが増えてきています。今までの対策では「持ち運び可能な端末にまで対応していない」なんてことがあるからです。
小学校を例に考えてみます。児童一人につき一台のタブレットを配布しました。せっかく人数分配布したのですから、小学校での授業中だけではなく家庭での学習にも活用してもらいたいと考えるのが自然です。そのようなとき、心配になるのは紛失や想定外の利用(悪用)によるトラブル、、、悩みの種は尽きません。
他には、授業で利用するアプリを端末にインストールしたり、時間帯によってアプリの利用に制限をかけたり......このように「設定を入れ込むこと」も、端末を管理する上で必要になってきます。一台一台、ユーザーに合わせた設定内容を端末に入れ込む作業は、時間がいくらあっても足りません。膨大な数の設定をできたとしても、人間が行う以上ヒューマンエラーはつきものです。
セキュリティ対策としてだけでなく、時間の節約やヒューマンエラー防止のためにもMDMを活用できます。
では、MerakiのMDM、System Managerとはどういったものなのか、見ていきましょう。
SMの特徴
SMの特徴は大きく三つに分けられます。「端末管理」「アプリ運用」「セキュリティ対策」です。
本記事では、これら機能の中でも特徴的なものをそれぞれご紹介していきます。
これら機能を可能にするのは「タグ」という仕組みです。ユーザーをタグ付けすることでグループ分けしたり、タグによって適用するプロファイル(設定内容)を分けたりします。
まず、このタグとはいったいどういったものなのか、ご説明いたします。
タグ
MerakiのMDMを便利で使いやすいものにしている機能として「タグ」というものがあります。このタグは、「だれ」といったユーザーだけではなく、「いつ」「どこで」といった時間や場所の要素もタグとして利用することができます。
これらタグ自体も、グループ化することができます。「#4年生」「#5年生」「#6年生」とそれぞれの学年に対してタグを作成し、これらのタグをまとめて「#高学年」と新たなタグにできるということです。「#高学年」を選択すること=「#4年生」「#5年生」「#6年生」の3つのタグを選択することを意味しています。
端末やユーザーのグループは、階層管理も可能です。「学校」>「学年」>「クラス」といった具合です。
これらタグ機能を利用してSMの設定をすることになりますが、タグを様々活用することによってその内容をより細やかにすることができます。時間の設定をタグにすることもできますし、後ほど詳しくご説明しますが、「学校周辺」や「会社周辺」といった位置情報をタグをして設定することも可能です。
端末管理
端末を管理するためには、ユーザーの要素によって設定内容を変えたいという希望があるかと思います。会社なら「役職」や「担当」によって分けたり、学校なら「学年」で分けたり......。そういった設定や制限のセットを「プロファイル」として管理することができます。タグで分けられたユーザーグループによって、もしくは端末のOSによって、作成したプロファイルを自動で適用することが可能です。
こちらの図のように、適用するプロファイルを役職によって分けることで、情報へのアクセス権限を管理します。
また、端末は会社あるいは学校の資産です。その資産をどう管理するか、適切な場所で適切な使用がされているかどうか。気軽に持ち運べてしまう端末(スマートフォンやタブレット)が主流になっている今だからこそ、頭を悩ますポイントだと思います。
端末から様々な情報(位置情報やライセンス情報、ハードウェア情報など)を取得することで、資産管理に役立てます。また、適切な管理のために、資産である端末の不正な使用は禁止したいところです。禁止しているアプリをインストールしようとしたときや、不正な端末持ち出しの際には、通知が届くように設定することも可能です。
こちらは、今回検証に使用したデバイスの管理画面です。
今回載せることができないのですが、正確な位置情報もマップと住所、併せて掲載されています。オンラインステータスも詳しく表示されますので、正しい挙動でない(オンラインであるべき時にオフライン、など)場合は遡って確認することができます。
アプリ運用
ユーザーに端末を活用してもらう上で、アプリのインストールはかかせません。端末にアプリをインストールさせたい場合は、配信したいアプリを選択し、配布する範囲をタグで指定します。そうすると、タグ付けられている端末に、指定したアプリのインストールがプッシュされます。その際、端末がオフラインであれば次回オンライン時にインストールされます。
「システムマネージャー>(管理)アプリ」でアプリリストの画面にアクセスします。画面右上にある「アプリの追加」をクリックします。すると、以下のようなポップアップが表示されます。アプリのプラットフォームを選択します。今回は「iOS」の「AppStoreアプリ」を選択しました。
「アプリの追加」を押下後、「アプリを検索する(左側の赤枠部分)」欄に任意のアプリ名を入力してください。
表示されたアプリ名をクリックすると、上の画像のように詳細な設定を行うためのページが表示されます。この画面で、アプリ配信の対象とする端末をタグを用いて設定します。タグを作成していないなどで今すぐに適した設定ができない場合は、アプリの追加を保存しておき、後ほど編集を行うことができます。
プッシュでアプリを端末にインストールするためには、デバイスを選択する必要があります。その際もタグを使用します(タグで限定せずに「すべてのデバイス」を選択することも可能です)。
デバイスを選択したのち「プッシュ」を押下すると、プッシュによってどういった動作(インストール/アップデートもしくはアンインストール)を行うかを選択する画面が出ます。今回行いたい動作はインストールですので、「インストール」を押下し、「確認」ボタンも押下します。
これにより、選択したデバイスにアプリのインストールを促すプッシュが送られました。
デバイスでの表示はこのようになります。
上記は「管理者が端末に対してアプリのインストールを行う」場合です。
しかし、時にはユーザー自身がアプリのインストールを行うこともあるでしょう。これを一切できないように制限をかけることができます。あるいは、インストールを監視し、承認されていないアプリがインストールされると通知が飛ぶように設定することも可能です。
※iOS製品で「アプリのインストールを制限する」機能を使用する場合は、Apple社から提供されるMDM用のキッティングツールである"iOS Supervised"が必要になります。
一方、ユーザーが自由にアプリを選択してインストールする、ということも可能です。学校を例に考えると、授業で使うアプリは必要だから絶対にインストールさせたいけれど、「役に立つアプリ」や「興味関心に関連するアプリ」は児童/生徒自身で選択してほしい、という要望があったとします。
そんな時は「アプリカタログ」という機能を使用します。このカタログには、端末で利用可能なアプリが一覧で表示されています。ユーザーは、端末のシステムマネージャアプリよりこのアプリカタログを参照します。その中で気になったアプリをインストールする、という流れです。
アプリカタログに載っているアプリは、管理者が許可したもののみが表示されるようになります。そのため、不正なアプリがインストールされる心配がありません。
セキュリティ対策~ジオフェンシング~
もしユーザーが端末を紛失してしまったら。悪意ある人間によって端末を盗まれてしまったら。ユーザーが故意にデータを流出させてしまったら。
これらセキュリティ面で脅威となることが起こらないとは言い切れません。そんな"万が一"のために、セキュリティ対策は必要です。中でも、端末がどこにあるのか把握することは大切です。また、場所によって適切な使用がされるように仕組みを作ることも重要です。
そういったセキュリティ対策のために使用できる機能の一つとして、「ジオフェンシングタグ」というものがあります。
どのようなタグなのかというと、「位置情報をタグとして作成」することができるものになります。ジオフェンシングタグを利用するためには、プロファイルの設定で「ジオフェンシングタグに準拠」もしくは「ジオフェンシングタグに違反」を選ぶ必要があります(両方ともを選択することも可能です)。これにより、ジオフェンシング内、つまり設定した区域内にいるときにプロファイルを適用するのか、もしくは区域外にいるときにプロファイルを適用するのかを決めます。
実際の使用方法については後ほど例を挙げてご説明いたします。
こちらがジオフェンシングタグの設定画面です。「システムマネージャー」>「(設定)ジオフェンシング」でこの画面になります。
「名前」には、このジオフェンシングタグがどこを設定しているのか分かるように任意の名前を入力します。「範囲」には、このジオフェンシングタグをどの端末に適用するかを決めます。「猶予期間」は範囲外にいるデバイスに対して警告(アラート)を通知するまでの時間を意味します。
本題のエリア選択ですが、ジオフェンシングタグ1つにつき、1つもしくは複数のエリアを指定可能です。校舎や会社が複数の建物にある場合にも対応できます。
「新しいエリアを追加」をクリックすると新たに表示された円がこそが、指定する範囲を示しています。中心にある黒のカーソルをクリックしながら円を移動させます。「半径(m)」の数値を変えることで、円の大きさを自由に変えられます。「住所で検索」では、正確な住所が分からなかったとしても「東新橋」や「汐留」といった大まかな住所でも問題なく円は移動します。円の場所は、GPSに多少の誤差が生じる可能性も考えて設定されることをおすすめします。
目的の場所へ正確に円を移動させて保存すれば、エリアの設定は完了です(保存ボタンは画面欄外、下部にあります)。
ジオフェンシングで設定されたエリアから出たデバイスは、各デバイスの詳細ページから確認することができます。システムマネージャー>(監視)デバイスでデバイス一覧にアクセスできます。本記事の〈端末管理〉でご紹介したデバイス詳細画像でも確認できますので、ぜひ見てみてください。
実際の設定例
では、ここで一つ実際の設定例をお見せしたいと思います。先ほど紹介したジオフェンシングを用いた設定です。
工場内では機密情報を写真に撮られないようにカメラの使用を禁止したいとします。従業員に呼びかけるだけでも良いですが、万が一のことを考えて仕組みとしてもカメラの使用を禁止したいですよね。
そんな時は、会社の周りをジオフェンシングで指定して、そのエリア内にいるときには端末のカメラを使えないようにする必要があります。
言葉では簡単ですが具体的な方法や設定は分かりにくいかもしれませんので、早速手順を説明していきたいと思います。段階としては①「タグの作成」→②「ジオフェンシングタグの作成」→③「プロファイルの作成」となります。ジオフェンシングタグで設定するタグがすでに作成されている場合、①は不要です。
まず、タグを作成します。「システムマネージャー」>「(設定)タグ」でアクセスします。新たにタグを作成できるほか、今まで作成した様々な種類のタグを一覧で確認できます。
今回は新規作成ですので、画面右上にある「タグを追加」をクリックします。タグの種類を選択するための画面が表示されます。作成したいタグはデバイスに適用するためのタグですので、「手動タグ」をクリックします(画像左側)。
タグの名前を入力するように指示されますので任意の名前を入力してください。後から編集して変えることができます。今回は「#Engineer_Voice」としました。
また、適用予定のデバイスを最低1つ選択する必要があります。デバイスの設定画面で、今回作成中のタグを外すことも可能ですが、作成時には最低1デバイスに紐づく必要があります。今回はテスト用のiPhoneを選択しました。
画面下部にある「保存」ボタンを押すと、これでタグは作成されました。
まずはジオフェンシングのページで会社の半径500mをエリアとして指定します。弊社の技術部が所属しているビルを今回の工場の地点とします。
名前は「Engineer_Voice_test」としました。適用する範囲は、先ほど作成した「#Engineer_Voice」タグが付されているデバイスとしました(デモのため無効化しています)。他の人が分かるように「説明」も入れておきます(※オプション)。
ジオフェンシングタグが正しく作成されたかは、一覧で確認することができます(ジオフェンシングのトップ画面)。各ジオフェンシングタグは、どのデバイスが対象となっているかも表示されています。
最後に、ジオフェンシングタグを利用したプロファイルを作成します。「システムマネージャー」>「(管理)設定」でプロファイル作成画面にアクセスします。
右上にある「プロファイルを追加」をクリックします。すると、どういったプロファイルを作成するのか、どの(OS)デバイスを対象とするのか、選択画面が表示されます。ここでは、デフォルトである「デバイスプロファイル」を選択し、クリックします。
「名前」には任意の名前を入力してください。プロファイルの内容が分かるものであれば、管理面で効率的です。今回は「Engineer_Voice_camera」としました。
このプロファイルをどういった端末に適用するかの設定が、以下となります。
グループ化されたタグではなく、単一のタグが付されているデバイスにプロファイルを適用したいので「手動」を選択します。そのため、範囲は「次のタグのいずれかに該当するもの」となります。
デバイスタグは、最初に作成した「#Engineer_Voice」を選択します。今回は1つのタグのみを選択しましたが、複数個選択することも可能です。
続いて、ポリシータグとしてジオフェンシングタグを適用します。今回は「工場内」で利用されたくないという希望で、かつジオフェンシングタグで設定した位置情報は工場周辺です。ですので、「ジオフェンシングタグに準拠」した端末を対象とするタグにする必要があります。
どういったデバイスにこのプロファイルに適用するのかは上記で完了しましたが、このままではプロファイルとしてどういった動作をデバイスに行うかが決められていませんので、「カメラを禁止する」という内容を設定する必要があります。
左上にある「設定を追加」をクリックします。Wi-Fiの設定やVPNの設定など、ジャンルに分かれています。今回は「制限事項(Restrictions)」をクリックしてください。
Meraki SMで制限できる事項が一覧となって表示されています。一番上に「カメラの使用を許可」という文章がありますが、これに入っているチェックを外します。これにより、カメラの使用が許可されない、つまりカメラの使用が禁止された設定がプロファイルに含まれました。
以上でプロファイルの設定は完了しましたので、「保存」ボタンを押下してください。
カメラ使用禁止のプロファイルが適用されたデバイスではどのように表示されるのか、気になりますよね...?こちらが、カメラの使用が禁止された実際のデバイスのスクリーンショットとなります。
ご覧のように、最初からインストールされているカメラアプリは表示されなくなりました。ほかにも、カメラを使用するFaceTimeも見当たらないことが分かるかと思います。検索しても出てきません。
「でも、インスタとか使えば写真撮れるんじゃない...?」と思ったとします。インスタのアプリを開いて写真を撮ろうとしますが、カメラの使用が許可されていない旨の文章が表示されます。これは、デバイスそのものでカメラの使用が禁止されているためです。
プロファイルの適用条件から外れると、カメラはまた使用できるようになります。
ライセンス
では、セキュリティ面の担保もしてくれ、膨大な数の端末に設定まで簡単に入れられる......そんなMeraki SMはどのようにして利用するのでしょうか。
利用のためにはライセンスが対象端末台数分必要になります。型番と年数は以下の画像の通りです。
ライセンスは端末の種類(iOSやAndroidなど)によって分ける必要はありません。1年分のライセンスは、iOS端末用もAndroid端末用も「LIC-SME-1YR」です。また、固有の端末に紐づくわけではありませんので、対象端末分のライセンスを購入しているのであれば途中で端末を入れ替えることも可能です。
このMeraki SMライセンスを購入することでメーカーのサポートも受けられます。追加のライセンス購入不要でサポートまで付いてくるのはとってもお得ですね。
まとめ
今回は、MerakiのMDM製品であるSystem Managerについてご紹介しました。MDMというと管理=セキュリティ対策?一元管理?という漠然としたイメージを持たれていた方も多いかと思います。
MDMってよく聞くけど、具体的にはどんな機能があるの?どんなことができるの?そういった疑問に対してこたえられるよう、できる限り具体的な例を挙げつつ機能の説明をいたしました。イメージするものが少しでも具体的になり、MerakiのSMならこれができるからいいね!簡単にできるね!と思っていただけますと嬉しいです。
Meraki SMで管理するための端末はiOS/Android/MAC/Windows、どのOSであったとしても対応できます。また、ライセンスも1種類のみなのでOSに合わせて変更する必要がありませんという話もお伝えした通りです。
また、Merakiの特徴として「ダッシュボード上で管理すること」という点が挙げられます。つまり同じルーターやスイッチと同様の端末まで管理対象にできるということで、全体の管理が非常に簡単になります。
MDM製品を検討される際はMeraki SMを選択肢に入れていただけますと幸いです。
では、また次の連載でお会いしましょう!
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術本部 技術統括部 第2技術部 1課
福田 睦
