Windows 10 Mobile とモバイル デバイス管理
このガイドでは、Windows 10 Mobile オペレーティング システムのモバイル デバイスとアプリ管理のテクノロジの概要を説明します。 モバイル デバイス管理 (MDM) システムが、組み込みのデバイス管理クライアントを使用して、Windows 10 Mobile を実行しているスマートフォンおよび小型のタブレットの展開、構成、保守、およびサポートを行う方法を説明します。
BYOD による個人のデバイスと、企業のデバイスは、Windows 10 Mobile MDM 機能がサポートする主なシナリオです。 オペレーティング システムが、ディレクトリ サービスおよび MDM システムによりデバイスを登録する柔軟な方法を提供するため、IT 組織は企業のニーズに基づいて、包括的なデバイス構成のプロファイルをプロビジョニングでき、モバイル ビジネス データの制御とセキュリティ保護を行えます。
Windows 10 Mobile は、Windows Phone 8.1 よりも包括的で限定的な構成設定を提供するだけでなく、ユニバーサル Windows プラットフォーム (UWP) 上に構築されたアプリの展開と管理の機能も提供します。 企業は、Windows ストアから直接、または MDM システムを使用して、アプリを配布できます。 企業は同じ方法で、カスタムの基幹業務 (LOB) アプリの制御と配布を行うことができます。
概要
組織のユーザーはモバイル デバイスへの依存をますます強めていますが、IT 部門にとっては、スマートフォンやタブレットは新たな課題をもたらしています。 IT 部門は、ビジネスをサポートするため、モバイル デバイスとアプリの迅速な展開と管理を可能にする必要がある一方、法律や規制の変化やサイバー犯罪の進化に対応するため、企業データの保護も、バランスよく行う必要があります。 IT 部門は、モバイル デバイス上のアプリとデータが安全であるようにする必要があります。これは個人用のデバイスでは特に重要です。 Windows 10 Mobile では、堅牢かつ柔軟な組み込みの MDM クライアントを提供し、企業によるそれらの課題への対応をサポートします。 IT 部門では、クライアント管理に使用する MDM を選択することができます。
組み込みの MDM クライアント
組み込みの MDM クライアントは、デスクトップ、モバイル、モノのインターネット (IoT) を含む、Windows 10 オペレーティング システムのすべてのエディションに共通です。 このクライアントが提供する 1 つのインターフェイスを使って、Windows 10 を実行している任意のデバイスを管理できます。 このクライアントには 2 つの重要な役割があります。MDM システムへのデバイスの登録と、デバイスの管理です。
デバイスの登録。 ユーザーを MDM システムに登録できます。 Windows 10 では、ユーザーが Microsoft Azure Active Directory (Azure AD) を使ってデバイスを登録し、同時に MDM システムにも登録することができます。これによりシステムは、デバイス、デバイスで実行されるアプリ、デバイスが保持している機密データを管理できます。 登録により、デバイスの管理機関が確立されます。 1 度には 1 つの管理機関 (MDM 登録) のみが可能です。これによりデバイスへの不正なアクセスの防止に役立ち、安定性と信頼性を保つことができます。
デバイスの管理。 MDM クライアントにより、MDM システムは、ポリシー設定の構成、アプリと更新プログラムの展開、デバイスのリモート消去などのさまざまな管理タスクを実行することができます。 MDM システムは構成要求を送信し、MDM クライアントによりインベントリを収集します。 クライアントは構成サービス プロバイダー (CSP) を使用してインベントリ設定を構成します。 CSP は、デバイスの構成設定の読み取り、設定、変更、または削除を行うインターフェイスです。 これらの設定は、レジストリ キーまたはファイルにマップされます。 (Windows 10 Mobile のセキュリティ アーキテクチャにより、レジストリ設定とオペレーティング システムのファイルに直接アクセスすることはできません。 詳しくは、「Windows 10 Mobile セキュリティ ガイド」をご覧ください。)
MDM クライアントは Windows 10 Mobile の中心的な部分です。 この結果、追加のカスタム MDM アプリを必要とせずに、デバイスを登録したり、MDM システムによる管理を行うことができます。 すべての MDM システムは Windows 10 Mobile の MDM アプリケーション プログラミング インターフェイス (API) にアクセスできるため、Microsoft Intune またはサード パーティの MDM 製品を選択して、Windows 10 Mobile デバイスを管理できます。 Windows 10 Mobile デバイス管理 API について、詳しくは、「モバイル デバイス管理」をご覧ください。
Windows 10 Mobile のエディション
Windows 10 Mobile を実行しているすべてのデバイスには、MDM クライアントが提供する、エンタープライズ モバイル デバイスのセキュリティと管理機能が含まれています。 さらに Microsoft は、次の 3 つの追加機能が含まれている、Windows 10 Mobile Enterprise エディションを提供しています。 これらの機能を有効にするには、オペレーティング システムを再インストールすることなく、ライセンス ファイルをプロビジョニングすることができます。
ソフトウェア更新プログラムを延期する機能。Windows 10 Mobile は、Windows Update から直接ソフトウェア更新プログラムを取得します。展開する前に更新プログラムを管理することはできません。 ただし、Windows 10 Mobile Enterprise を使用すると、展開する前に更新プログラムの管理と検証を行うことができます。
1 つのデバイスに展開できる、自己署名された LOB アプリの数に制限はありません。 MDM システムを使用して LOB アプリをデバイスに直接展開するには、組織の証明機関 (CA) が生成したコード署名証明書を使って、ソフトウェア パッケージに暗号で署名を行う必要があります。 Windows 10 Mobile デバイスには、最大 20 個までの自己署名された LOB アプリを展開できます。組織のデバイスが Windows 10 Mobile Enterprise を実行している場合には、20 個以上を展開できます。
利用統計情報のセキュリティ レベルを設定します。 利用統計情報のセキュリティ レベルは、オペレーティング システムを構成して、デバイスをセキュリティで保護するために必要な利用統計情報のみを収集します。
注
組織は Verisign からコード署名証明書を購入して LOB アプリに署名をするか、または ビジネス向け Windows ストアでアプリを取得できます。 どちらの方法でも、MDM システムを使用すると、デバイス上の Windows 10 Mobile Enterprise をライセンス認証することなく、1 つのデバイスに 20 個以上のアプリを配布できます。
Windows 10 Mobile デバイス上の Windows 10 Mobile Enterprise をライセンス認証するには、企業の MDM システムまたはプロビジョニング パッケージを使用して、ライセンスをデバイスに挿入します。 Windows 10 Mobile Enterprise のライセンスは、ビジネス サポート ポータルからダウンロードできます。
ライフサイクルの管理
Windows 10 Mobile は、エンド ツー エンドのライフ サイクルのデバイス管理を提供し、企業はデバイス、データ、アプリの制御を行えます。 図 1 に示すように、包括的な MDM システムは、組み込みの MDM クライアントを使用して、ライフサイクル全体にわたってデバイスを管理します。 このガイドの残りの部分では、ライフサイクルの各フェーズにおける、オペレーティング システムによるモバイル デバイスとアプリの管理機能について説明し、MDM システムが各機能を使用する方法を示します。
.png "図 1")
図 1. デバイス管理のライフサイクル
デバイスの展開
デバイスの展開には、最初の登録と、MDM システムへの登録などのデバイスの構成が含まれます。 企業がアプリをプレインストールする場合もあります。 デバイスの展開方法とその制御に関する重要な要素は、デバイスの所有権と、ユーザーによるデバイスの使用方法です。 このガイドでは、2 つのシナリオについて説明します。
ユーザーがデバイスを所有している場合、または企業のポリシーによって厳格な制御を必要としない場合には、企業はユーザーがデバイスをカスタマイズすることを許可します (このガイドでは個人のデバイスと呼びます)。
組織がデバイスを所有している場合、またはセキュリティの要件が高い場合には、企業はユーザーがデバイスをカスタマイズすることを許可しないか、またはカスタマイズを制限します (このガイドでは企業のデバイスと呼びます)。
多くの場合、サポートされているモデルの一覧から従業員がデバイスを選択するか、または企業が基本構成のみで事前構成済みのデバイスを提供します。
企業のデバイスには、Azure AD への参加と MDM の登録と管理を、個人のデバイスには、Azure AD 登録と MDM の登録と管理をお勧めします。
展開シナリオ
ほとんどの組織では、個人のデバイスと企業のデバイスの両方のシナリオをサポートします。 これらのシナリオのインフラストラクチャは似ていますが、展開のプロセスと構成のポリシーが異なります。 表 1 では、個人のデバイスと企業のデバイスのシナリオの特徴について説明します。 組織の ID を使ったデバイスのライセンス認証は、Windows 10 Mobile に固有のものです。
表 1. 個人のデバイスと企業のデバイスのシナリオの特徴
| 個人のデバイス | 企業のデバイス | |
| 所有権 | ユーザー | 組織 |
| 主な用途 | 個人用 | 仕事用 |
| 展開 | デバイスのプライマリ ID は、個人の ID です。 Windows 10 Mobile の既定のオプションは Microsoft アカウントです。 | デバイスのプライマリ ID は、組織の ID です。 Windows 10 Mobile の既定のオプションは Azure AD アカウントです。 |
ID 管理
1 つのアカウントのみを使用してデバイスをライセンス認証できます。このため、どちらのアカウントを最初に有効化するかを組織が制御することが重要です。 ユーザーが選択したアカウントによって、どちらがデバイスを制御するかが決まり、管理機能に影響があります。 次の一覧では、ユーザーの ID による管理機能への影響を示します (表 2 では、これらの考慮事項をまとめて示します)。
個人の ID。 このシナリオでは、従業員は Microsoft アカウントを使用してデバイスのライセンス認証を行います。 次に、Azure AD アカウント (組織の ID) を使って、Azure AD にデバイスを登録し、企業の MDM ソリューションに登録します。 ポリシーを適用して、デバイス上の企業アプリとデータの取得と保護を行い、知的財産の漏洩を防ぐことができます。アプリやゲームのダウンロードやインストールなどの個人のアクティビティは、ユーザーが完全に制御できます。
組織の ID。 このシナリオでは、従業員は Azure AD アカウントを使ってデバイスを Azure AD に登録し、組織の MDM ソリューションに自動的に登録されます。 この場合は、企業はデバイスの個人用の使用をブロックできます。 組織の ID を使用してデバイスを初期化することにより、組織はデバイスを完全に制御でき、ユーザーによるカスタマイズを防ぐことができます。
表 2. 個人の ID と組織の ID の比較
| 個人の ID | 企業の ID | |
| デバイスで最初のアカウント | Microsoft アカウント | Azure AD アカウント |
| デバイスへのサインイン | Microsoft アカウントを使った最初のライセンス認証を行った後で、Azure AD の資格情報を追加しても、ユーザーは Azure AD の資格情報でデバイスにサインインすることはできません。 | ユーザーは Azure AD アカウントを使用して、デバイスをロック解除できます。 組織は、個人の ID の追加をブロックできます。 |
| デバイス間でユーザーの設定とデータのローミング | ユーザーとアプリの設定は、同じ個人の ID を使ってライセンス認証されたデバイス間で、個人の OneDrive によってローミングされます。 | Windows 10 Mobile では現在、ユーザーとアプリの設定のエンタープライズ クラウドによるローミングは、サポートされていません。 個人のクラウドの設定のローミングをブロックすることができます。 |
| デバイス上の個人 ID の使用をブロックする機能 | なし | あり |
| 制御のレベル | 組織はデバイスにほとんどの*制限ポリシーを適用できますが、デバイスから Microsoft アカウントを削除することはできません。 デバイスのユーザーは、組織の MDM ソリューションから登録を解除すると、デバイスの完全な制御を回復できます。 注* 個人のデバイスでの MDM の機能は将来、制限される場合があります。 |
組織は、ポリシー標準とコンプライアンス要件に従い、デバイスに制限ポリシーを自由に適用することができます。企業からデバイスを登録解除できないようにすることができます。 |
インフラストラクチャ要件
どちらのデバイス シナリオでも、Windows 10 Mobile デバイスの展開と管理のために必須であるインフラストラクチャとツールには、Azure AD サブスクリプションと MDM システムがあります。
Azure AD は、ID とアクセス管理を提供する、クラウド ベースのディレクトリ サービスです。 既存のオンプレミスのディレクトリと統合して、ハイブリッド ソリューションを作成できます。 Azure AD には、Free、Basic、および Premium の 3 つのエディションがあります (「Azure Active Directory エディション」をご覧ください)。 Azure AD のデバイス登録はすべてのエディションでサポートされますが、MDM の自動登録とデバイスの状態に基づく条件付きのアクセスを有効にするには、Premium エディションが必要となります。 Microsoft Office 365、または Intune を使用している組織は、Azure AD を既に使用しています。
注
業界をリードする MDM ベンダーのほどんどは既に Azure AD との統合をサポートしているか、またはサポート予定です。 Azure AD をサポートする MDM ベンダーは Azure Marketplace で検索できます。
ユーザーは、サード パーティの MDM システムに、Azure AD の組織のアカウントを使用しないで、Windows 10 Mobile デバイスを登録することができます。 (既定では、Intune は Azure AD を使用します。またライセンスは含まれています)。 組織で Azure AD を使わない場合は、個人の ID を使用してデバイスのライセンス認証を行い、Windows ストアからアプリのダウンロードなどの、一般的なシナリオを有効にする必要があります。
Windows 10 Mobile をサポートしている、複数の MDM システムを利用できます。 ほとんどは、個人のデバイスおよび企業のデバイスの展開のシナリオをサポートしています。 Microsoft では Intune を提供しています。Intune は Enterprise Mobility Suite の一部であり、社外のデバイスを管理できる、クラウド ベースの MDM システムです。 Intune は、Office 365 と同様に、ID 管理に Azure AD を使用します。従業員は、同じ資格情報を使って、デバイスを Intune に登録したり、Office 365 にサインインできます。 Intune は、iOS や Android などのその他のオペレーティング システムを実行しているデバイスもサポートしており、完全な MDM ソリューションを提供します。
Intune を System Center Configuration Manager と統合して、1 つのコンソールでクラウドとオンプレミスのすべてのデバイスを管理することもできます。 詳しくは、「Configuration Manager と Microsoft Intune を使ったモバイル デバイスの管理」をご覧ください。 Intune のスタンドアロンでのインストールと、Intune と Configuration Manager の統合との比較選択についてのガイダンスは「Intune 単体と System Center Configuration Manager との統合との比較選択」をご覧ください。
Intune 以外にも、他の MDM プロバイダーが Windows 10 Mobile をサポートしています。 現時点では、次の MDM システムが Windows 10 および Windows 10 Mobile をサポートしています: AirWatch、Citrix、Lightspeed Systems、Matrix42、MobileIron、SAP、SOTI、および Symantec。
すべての MDM ベンダーは同様に Windows 10 の MDM API にアクセスできます。 これらの API の実装範囲は、各ベンダーに依存します。 サポート レベルについて詳しくは、各 MDM ベンダーにお問い合わせください。
注
このガイドには記載されていませんが、すべての機能を備えた MDM システムを使わずに、Exchange ActiveSync (EAS) を使ってモバイル デバイスを管理することもできます。 EAS は、Microsoft Exchange Server 2010 以降のバージョンおよび Office 365 で利用可能です。
さらに、Microsoft は最近、Intune を活用した MDM 機能を Office 365 に追加しました。 Office 365 の MDM は、Windows 10 Mobile、iOS、Android などを実行しているモバイル デバイスのみをサポートします。 Office 365 の MDM は Intune の管理機能のサブセットを提供します。これにはデバイスのリモート ワイプ、デバイスから Exchange Server メールへのアクセスのブロック、デバイス ポリシーの構成 (たとえば、パスコード要件) などがあります。 Office 365 の MDM の機能について詳しくは、 「Office 365 のモバイル デバイス管理の概要」をご覧ください。
プロビジョニング
プロビジョニングは Windows 10 の新機能であり、Windows 10 Mobile の MDM クライアントを使用します。 ランタイム プロビジョニング パッケージを作成して、Windows 10 を実行しているデバイスに、設定、プロファイル、ファイル アセットを適用できます。
ユーザーの MDM システムへの登録をサポートするには、プロビジョニング パッケージを使用します。 これには、Windows イメージングおよび構成デザイナーを使用してプロビジョニング パッケージを作成し、そのパッケージをデバイスにインストールします。
ユーザーは、次のような展開シナリオに基づいて、セルフ サービスで MDM 登録を実行できます。
企業のデバイス。 Out of Box Experience (OOBE) では、ユーザーが [このデバイスは私の組織の所有物です] を選択して、デバイスを Azure AD と MDM システムに参加させるように指示します。
個人のデバイス。 ユーザーは Microsoft アカウントを使ってデバイスのライセンス認証を行います。ユーザーに、デバイスを Azure AD に登録して、Intune に登録するように指示します。 そのためには、Windows 10 Mobile で、ユーザーは [設定]、[アカウント]、[職場のアクセス] の順にクリックします。
MDM 登録を自動化するには、次のようにプロビジョニング パッケージを使用します。
企業のデバイス。 プロビジョニング パッケージを作成し、ユーザーに配布する前に、企業のデバイスに適用します。または、OOBE でパッケージを適用するように、ユーザーに指示します。 プロビジョニング パッケージの適用後は、OOBE プロセスが自動的にエンタープライズ パスを選択し、ユーザーに対してデバイスを Azure AD に登録して、それを MDM システムに登録するように要求します。
個人のデバイス。 プロビジョニング パッケージを作成して、個人のデバイスを企業に登録するユーザーが利用できるようにします。 ユーザーは、デバイスを企業の MDM に登録して、プロビジョニング パッケージを適用することにより、詳細な構成を行えます。 そのためには、Windows 10 Mobile で、ユーザーは [設定]、[アカウント]、[プロビジョニング] の順にクリックします。
プロビジョニング パッケージを、簡単にアクセスできる場所に発行して (メールの添付ファイルまたは web ページなど)、デバイスに配布します。 プロビジョニング パッケージを暗号で署名するか、または暗号化して、ユーザーが適用するときにパスワードの入力を必要とするようにできます。
プロビジョニング パッケージの作成について詳しくは、「プロビジョニング パッケージをビルドして適用する」をご覧ください。
デバイスの構成
次のセクションでは、組み込みの Windows 10 Mobile MDM クライアントのデバイス構成の機能について説明します。 このクライアントは、Windows 10 と互換性のあるすべての MDM システムに機能を公開します。 構成可能な設定は、次のとおりです。
電子メール アカウント
アカウントの制限
デバイス ロックの制限
ハードウェアの制限
証明書の管理
Wi-Fi
プロキシ
仮想プライベート ネットワーク (VPN)
アクセス ポイント名 (APN) のプロファイル
データ損失防止
記憶域の管理
注
このセクションで説明する MDM の設定はすべて Windows 10 Mobile で利用できますが、MDM システムのユーザー インターフェイスには表示されない場合もあります。 さらに、MDM システムによっては名前が異なる場合があります。 詳しくは、MDM システムのマニュアルをご覧ください。
電子メール アカウント
企業の MDM システムを使って、企業のメール アカウントを管理できます。 MDM システムでメール アカウント プロファイルを定義し、それをデバイスに展開します。 いずれのシナリオでも通常は、登録の直後にこれらの設定を展開します。
この機能は、EAS を使用するメール システムでも利用できます。 表 3 では、EAS メール プロファイルで構成できる設定の一覧を示します。
表 3. EAS メール プロファイル用の Windows 10 Mobile の設定
| 設定 | 説明 |
|---|---|
| メール アドレス | EAS アカウントに関連付けられているメール アドレス |
| ドメイン | Exchange Server インスタンスのドメイン名 |
| アカウント名 | デバイス上のメール アカウントのわかりやすい名前 |
| パスワード | メール アカウントのパスワード |
| サーバー名 | メール アカウントが使用するサーバー名 |
| ユーザー名 | メール アカウントのユーザー名 |
| 予定表の期間フィルター | 予定表アイテムがデバイスと同期される期間 (たとえば、過去の 7 日間の予定表アイテムを同期する) |
| ログ | 診断ログのレベル |
| メールの本文の種類 | メールの本文の形式の種類: テキスト、HTML、RTF、または MIME (Multipurpose Internet Mail Extensions) |
| HTML メールの切り捨て | メッセージがデバイスに同期される前の、HTML 形式のメール メッセージの最大サイズ (このサイズを超える HTML 形式のメール メッセージは自動的に切り捨てられます)。 |
| プレーン テキスト メールの切り捨て | メッセージがデバイスに同期される前の、テキスト形式のメール メッセージの最大サイズ (このサイズを超えるテキスト形式のメール メッセージは自動的に切り捨てられます)。 |
| スケジュール | Exchange Server インスタンスと、デバイスの間でのメールを同期するスケジュール |
| SSL の使用 | 同期するときの Secure Sockets Layer (SSL) の必要の有無 |
| メールの期間のフィルター | メッセージがデバイスと同期される期間 (たとえば、過去の 7 日間のメッセージを同期する) |
| コンテンツの種類 | 同期されるコンテンツの種類 (たとえば、メール、連絡先、予定表、タスク アイテム) |
表 4 では、その他のメール プロファイルで構成できる設定の一覧を示します。
表 4. その他のメール プロファイル用の Windows 10 Mobile の設定
| 設定 | 説明 |
|---|---|
| ユーザー ログオン名 | メール アカウントのユーザー ログオン名 |
| 送信の認証が必要 | 送信サーバーの認証の要否 |
| パスワード | ユーザー ログオン名フィールドのアカウントのパスワード |
| ドメイン | ユーザー ログオン名フィールドのアカウントのドメイン名 |
| ダウンロードの日数 | サーバーからダウンロードするメールの日数 |
| 受信サーバー | 受信サーバー名とポート番号です。値の形式は server_name:port_number (ポート番号はオプション) です。 |
| 送受信スケジュール | メールの送受信の更新の間隔 (分単位) |
| IMAP4 の添付ファイルの最大サイズ | IMAP4 (Internet Message Access Protocol version 4) アカウントのメッセージの添付ファイルの最大サイズ |
| メールの送信の表示名 | 送信メールに表示される送信者の名前 |
| 送信サーバー | 送信サーバー名とポート番号です。値の形式は server_name:port_number (ポート番号はオプション) です。 |
| 返信アドレス | ユーザーの返信メール アドレス |
| メールのサービス名 | メール サービスの名前 |
| メール サービスの種類 | メール サービスの種類 (たとえば、POP3、IMAP4)。 |
| 受信メッセージの最大サイズ | 受信メール サーバーから取得するメッセージの最大サイズ (バイト単位、このサイズを超えるメッセージは、最大サイズに切り捨てられます)。 |
| メッセージの削除アクション | メッセージをサーバーで削除する方法 (メッセージを完全に削除するか、ごみ箱フォルダーに送信できます)。 |
| 携帯ネットワークのみを使用 | アカウントを携帯ネットワーク接続のみで使用し、Wi-Fi 接続を使用しないかどうかを指定します |
| 同期を行うコンテンツの種類 | 同期をサポートするコンテンツの種類 (メール メッセージ、連絡先、予定表アイテムなど) |
| コンテンツの同期サーバー | コンテンツの同期サーバーの名前 (メール サーバーと異なる場合) |
| 予定表の同期サーバー | 予定表の同期サーバーの名前 (メール サーバーと異なる場合) |
| 連絡先のサーバーの SSL 接続の要否 | 連絡先のサーバーが SSL 接続を必要とするかどうかを指定します |
| 予定表のサーバーの SSL の要否 | 予定表のサーバーが SSL 接続を必要とするかどうかを指定します |
| 連絡先アイテムの同期スケジュール | 連絡先アイテムの同期のスケジュール |
| 予定表アイテムの同期スケジュール | 予定表アイテムの同期のスケジュール |
| 代替の SMTP メール アカウント | ユーザーの代替の SMTP (簡易メール転送プロトコル) メール アカウントに関連付けられている表示名 |
| 代替の SMTP ドメイン名 | ユーザーの代替の SMTP メール アカウントのドメイン名 |
| 代替の SMTP アカウントの有効化 | ユーザーの代替の SMTP アカウントを有効化するかどうかを指定します |
| 代替の SMTP パスワード | ユーザーの代替の SMTP アカウントのパスワード |
| 送受信サーバーの SSL の要否 | 送受信メール サーバーが SSL を使用するかどうかを指定するプロパティのグループ |
アカウントの制限
Azure AD に登録され、MDM システムに登録された企業のデバイスでは、ユーザーが Microsoft アカウントを使用するか、また他のコンシューマー メール アカウントを追加するかどうかを制御できます。 表 5 は、Windows 10 Mobile のデバイスで、アカウントの管理に使用できる設定の一覧を示します。
表 5. Windows 10 Mobile のアカウント管理の設定
| 設定 | 説明 |
|---|---|
| Microsoft アカウントを許可 | MDM 登録後に、ユーザーがデバイスに Microsoft アカウントを追加して、そのアカウントを接続の認証とサービスに使用できるかどうかを指定します。このサービスには、Windows ストアでのアプリの購入、または Xbox や Groove などのクラウド ベースのコンシューマー サービスなどがあります。 デバイスが Microsoft アカウントを使用してライセンス認証された場合、MDM システムはそのアカウントの使用をブロックすることはできません。 |
| Microsoft アカウント以外の追加の許可 | MDM 登録後に、ユーザーが Microsoft アカウント以外のメール アカウントを追加できるかどうかを指定します。 [Microsoft アカウントを許可する] を適用すると、ユーザーは Microsoft アカウント以外を使用できません。 |
| 自分のアカウントの許可 | [設定] の [電子メールとアカウント] パネルで、ユーザーがアカウントの構成を変更できるかどうかを指定します。 |
デバイス ロックの制限
通常、デバイスを使用しないときには、デバイスをロックします。 Windows 10 Mobile のデバイスのセキュリティ保護を行い、デバイスのロック ポリシーを実装することをお勧めします。 デバイスのパスワードや PIN ロックは、デバイス上のアプリとデータを保護するためのベスト プラクティスです。 Windows Hello は新しい生体認証によるサインイン オプションです。ユーザーは Windows 10 がサポートする顔認識、虹彩認識、指紋認識によって、デバイスのロック解除を行えます。
注
このセクションで説明するデバイス ロックの制限に加えて、Windows 10 は Microsoft Passport for Work を サポートしています。これにより、パスワードなしでアプリやサービスにアクセスできます。
表 6 では、デバイス ロックの制限を構成するために使用できる Windows 10 Mobile の MDM 設定を示します。
表 6. Windows 10 Mobile のデバイス ロックの制限
| 設定 | 説明 |
|---|---|
| デバイス パスワードの有効化 | ユーザーがデバイス ロックのパスワードを使用する必要があるかどうかを指定します。 注
|
| 単純なデバイス パスワードの許可 | ユーザーが単純なパスワード (たとえば、1111 や 1234) を使用できるかどうかを指定します |
| 英数字のデバイス パスワードの要否 | ユーザーが英数字のパスワードを入力する必要があるかどうかを指定します。構成されると、ユーザーにデバイスのフルキーボードで複雑なパスワードを入力するように求めるメッセージが表示されます。 構成しない場合、ユーザーはキーボードで数値 PIN を入力します。 |
| デバイスの複雑な文字の最小パスワード | 強力なパスワードを作成するために必要なパスワード要素の種類 (大文字、小文字の英字、数字、または句読点) の数 |
| デバイスのパスワードの有効期限 | パスワードの有効期限が切れるまでの日数 (生体認証データには有効期限はありません)。 |
| デバイスのパスワード履歴 | Windows 10 Mobile が記憶するパスワードの履歴の数 (新しいパスワードを作成する際に、履歴として残っているパスワードは再利用できません)。 |
| デバイス パスワードの最小長さ | 新しいパスワードを作成するために必要な文字数の最小値 |
| デバイス ロックのタイムアウトの最大時間 | デバイスがロックされてロック解除するためにパスワードが必要になるまでの、未使用のままの時間 (分) |
| アイドル状態から復帰したときのパスワードの要否 | デバイスがスリープ状態から戻ったとき (タイムアウト前) に、ユーザーを再認証する必要があるかどうかを指定します |
| デバイス パスワードの試行失敗の最大数 | デバイスが消去されるまでに、認証の試行の失敗が可能な最大数 (0 を設定すると、デバイスの消去機能が無効となります)。 |
| ロック中の画面タイムアウト | ロック画面がタイムアウトとなるまでの時間 (分、このポリシーはデバイスの電源管理に影響します)。 |
| ロック中の画面タイムアウトの許可の構成 | デバイスがロック画面のときに、画面のタイムアウトをユーザーが手動で設定できるかどうかを指定します (この設定を無効化すると、Windows 10 Mobile は [ロック中の画面タイムアウト] の設定を無視します)。 |
ハードウェアの制限
Windows 10 Mobile のデバイスでは、カメラ、GPS (全地球測位システム) センサー、マイク、スピーカー、NFC (近接通信) 無線、記憶域カード スロット、USB インターフェイス、Bluetooth インターフェイス、セルラー無線、Wi-fi などの、よく使われるハードウェア機能の最新のテクノロジを使用しています。 ハードウェアの制限を使って、これらの機能の利用を制御することもできます。 表 7 には、Windows 10 Mobile がハードウェアの制限の構成をサポートする、MDM 設定の一覧を示します。
注
これらのハードウェアの制限の中には、接続の提供とデータ保護をサポートするものもあります。 エンタープライズ データ保護は、現在一部の顧客による評価テストが行われています。
表 7. Windows 10 Mobile のハードウェアの制限
| 設定 | 説明 |
|---|---|
| NFC を許可する | NFC 無線を有効化するかどうかを指定します |
| USB 接続を許可する | USB 接続を有効化するかどうかを指定します (この設定は USB 充電には影響しません) |
| Bluetooth を許可する | ユーザーがデバイスで Bluetooth 無線を有効化して使用できるかどうかを指定します |
| Bluetooth 広告を許可する | デバイスが Bluetooth 広告のソースとして機能し、他のデバイスからの検出を可能とするかどうかを指定します |
| Bluetooth 検出可能モードを許可する | デバイスが他のデバイス (ヘッドセットなど) を検出するかどうかを指定します |
| 許可済みの Bluetooth サービスの一覧 | Bluetooth サービスと、デバイスが接続できるプロファイルの一覧 |
| Bluetooth のローカル デバイス名を設定する | Bluetooth のローカル デバイス名 |
| Wi-Fi を許可する | Wi-Fi 無線を有効化するかどうかを指定します |
| Wi-Fi センサーのホットスポットへの自動接続を許可する | デバイスが Wi-Fi センサーで共有されている Wi-Fi ホットスポットや友人の家のネットワークに自動的に接続するかどうかを指定します |
| 手動の Wi-Fi 構成を許可する | ユーザーが、MDM システムの構成済みの Wi-Fi ネットワークの一覧で指定されていない Wi-Fi ネットワークに手動で接続できるかどうかを指定します |
| WLAN スキャン モード | デバイスが Wi-Fi ネットワークをスキャンする頻度を設定します (この設定はハードウェアに依存します) |
| カメラを許可する | カメラを有効化するかどうかを指定します |
| メモリ カードを許可する | 記憶域カード スロットを有効化するかどうかを指定します |
| 音声録音を許可する | ユーザーがマイクを使用して音声録音を作成できるかどうかを指定します |
| 位置情報を許可する | デバイスが GPS センサーまたはその他の方法を使用して、アプリケーションで使用できる位置情報を特定できるかどうかを指定します |
証明書の管理
ユーザーによる証明書の管理には困難も伴いますが、証明書の利用は、アカウント認証、Wi-Fi 認証、VPN 暗号化、Web コンテンツの SSL 暗号化など、さまざまな用途に広がっています。 ユーザーがデバイス上の証明書を手動で管理することも可能ですが、MDM システムを使用して、証明書の登録から、更新、失効までのライフサイクル全体にわたって管理するのがベスト プラクティスです。 Simple Certificate Enrollment Protocol (SCEP) と Personal Information Exchange (PFX) 証明書ファイルを使用して、Windows 10 Mobile に証明書をインストールできます。 SCEP および MDM システムによる証明書の管理は、ユーザーに完全に透過的です。ユーザーによる操作は必要なく、ユーザーの生産性を向上させ、サポートの問い合わせを減らすことができます。 デバイスの登録後に、MDM システムは、これらの証明書を、デバイスの証明書ストアに自動的に展開できます。 表 8 には、Windows 10 Mobile の MDM クライアントが提供する SCEP 設定の一覧を示します。
表 8. Windows 10 Mobile の SCEP 証明書の登録の設定
| 設定 | 説明 |
|---|---|
| 証明書の登録サーバーの URL | 証明書の登録サーバー (複数のサーバーの URL を指定するには、URL をセミコロン [;] で区切ります) |
| SCEP 登録のチャレンジ | Base64 エンコードされた SCEP 登録のチャレンジ |
| 拡張キー使用法のオブジェクト識別子 | 拡張キー使用法のオブジェクト識別子 (OID) |
| キー使用法 | 10 進形式の証明書のキー使用法のビット |
| サブジェクト名 | 証明書のサブジェクト名 |
| 秘密キーの保存場所 | 秘密キーを保存する場所 (トラステッド プラットフォーム モジュール [TPM]、ソフトウェア キー記憶域プロバイダー [KSP]、または Microsoft Passport KSP) |
| 保留中の再試行の遅延 | SCEP サーバーが保留中状態を送信するときに、デバイスが再試行を待機する時間 |
| 保留中の再試行の回数 | SCEP サーバーが保留中状態を送信するときに、デバイスが再試行を行う回数 |
| テンプレート名 | 証明書のテンプレート名の OID |
| 秘密キーの長さ | 秘密キーの長さ (1024 ビット、2048 ビット、または 4096 ビットです。Microsoft Passport は 2048 ビットのキーの長さのみをサポートしています) |
| 証明書のハッシュ アルゴリズム | ハッシュ アルゴリズムのファミリ (SHA-1、SHA-2、SHA-3。複数のハッシュ アルゴリズム ファミリはプラス記号 [+] で区切ります) |
| ルート CA 拇印 | ルート CA 拇印 |
| サブジェクト代替名 | 証明書のサブジェクト代替名 (複数のサブジェクト代替名はセミコロンで区切ります) |
| 有効期間 | 証明書が有効と見なされる期間の計測単位 (日、月、または年) |
| 有効期間の単位 | 証明書が有効と見なされる期間の単位数 (この設定を有効期間と併せて使用します。 たとえば、この設定が 3 で有効期間が年である場合、証明書の有効期間は 3 年です)。 |
| Microsoft Passport の PIN の入力画面に表示するカスタム テキスト | 証明書の登録時に、Microsoft Passport の PIN の入力画面に表示するカスタム テキスト |
| 拇印 | 現在の証明書の拇印 (証明書の登録が成功した場合) |
SCEP 証明書の管理に加え、Windows 10 Mobile は PFX 証明書の展開をサポートしています。 表 9 では、Windows 10 Mobile の PFX 証明書の展開の設定を示します。
表 9. Windows 10 Mobile の PFX 証明書の展開の設定
| 設定 | 説明 |
|---|---|
| 秘密キーの保存場所 | 秘密キーを保存する場所 (TPM、ソフトウェアの KSP、または Microsoft Passport KSP) |
| Microsoft Passport コンテナーの名前 | Microsoft Passport の派生元である Azure AD テナントのテナント識別子です。[秘密キーの保存場所] として [Microsoft Passport KSP] を選択した場合のみ必要です。 |
| PFX パケット | エクスポートされて暗号化された証明書と、Binary64 形式のキーを含む PFX パケット |
| PFX パケットのパスワード | PFX パケットで指定された PFX BLOB を保護しているパスワード |
| PFX パケットのパスワードの暗号化 | MDM システムが MDM 証明書を使って PFX 証明書のパスワードを暗号化するかどうかを指定します |
| PFX 秘密キーのエクスポート | PFX 秘密キーがエクスポート可能であるかどうかを指定します |
| 拇印 | インストール済みの PFX 証明書の拇印 |
[ルート証明書の手動インストールを許可する] の設定を使って、ユーザーがルート証明書と中間 CA 証明書を手動で、または誤ってインストールすることを防ぎます。
注
Windows 10 Mobile のデバイスでの証明書関連の問題を診断するには、Windows ストアの証明書アプリ (無料) を使用します。 この Windows 10 Mobile アプリは以下を行えます。
すべての個人証明書の概要を表示します。
個々の証明書の詳細を表示します。
VPN、Wi-Fi、およびメール認証に使用される証明書を表示します。
各証明書の有効期限が切れているかどうかを識別します。
証明書のパスを確認し、中間証明書とルート CA 証明書が正しいことを確認します。
デバイスの TPM に保存されている証明書のキーを表示します。
Wi-Fi
ユーザーはモバイル デバイスで Wi-Fi を、携帯データ ネットワークと同様に、またはそれ以上に使用します。 多くの企業の Wi-Fi ネットワークは、ユーザー アクセスの制限とセキュリティ保護のため、証明書とその他の複雑な情報を必要とします。 通常のユーザーが高度な Wi-Fi 情報を構成するには困難が伴いますが、MDM システムを利用して、ユーザーの介在なしで、すべての Wi-Fi 設定を行うことができます。
表 10 には、Windows 10 Mobile の Wi-Fi 接続のプロファイル設定の一覧を示します。 この表の情報を使用して、MDM システムの Wi-Fi 接続プロファイルを作成できます。
表 10. Windows 10 Mobile の Wi-Fi 接続プロファイルの設定
| 設定 | 説明 |
|---|---|
| SSID | Wi-Fi ネットワークの名前 (サービス セット識別子 [SSID] であり、大文字と小文字を区別します) |
| セキュリティの種類 | Wi-Fi ネットワークが使用するセキュリティの種類です。次の種類の認証のいずれかを設定できます。
|
| 認証の暗号化 | 認証が使用する暗号化の種類です。次の暗号化の方法のいずれかを設定できます。
|
| 拡張認証プロトコル トランスポート層セキュリティ (EAP-TLS) | WPA - エンタープライズ 802.11 および WPA2 - エンタープライズ 802.11 のセキュリティの種類は、証明書を使った EAP-TLS を認証に利用できます |
| Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 を使った Protected Extensible Authentication Protocol (PEAP-MSCHAPv2) | WPA - エンタープライズ 802.11 および WPA2 - エンタープライズ 802.11 のセキュリティの種類は、ユーザー名とパスワードを使った PEAP-MSCHAPv2 を認証に利用できます |
| 共有キー | WPA - パーソナル 802.11 および WPA2 - パーソナル 802.11 のセキュリティの種類は、共有キーを認証に利用できます。 |
| プロキシ | Wi-Fi 接続が必要とするすべてのネットワーク プロキシの構成 (プロキシ サーバーを指定するには、完全修飾ドメイン名 [FQDN]、インターネット プロトコル バージョン 4 [IPv4] アドレス、IP バージョン 6 [IPv6] アドレス、または IPvFuture アドレスを使用します)。 |
| インターネット接続の確認を無効にする | Wi-Fi 接続がインターネット接続の確認を行うかどうかを指定します |
| プロキシの自動構成の URL | プロキシの自動構成ファイルを指定する URL |
| Web プロキシ自動検出プロトコル (WPAD) を有効化する | WPAD を有効化するかどうかを指定します |
表 11 では、Wi-Fi 接続を管理するための Windows 10 Mobile の設定の一覧を示します。
表 11. Windows 10 Mobile の Wi-Fi 接続の設定
| 設定 | 構成 |
|---|---|
| Wi-Fi センサーのホットスポットへの自動接続を許可する | デバイスが Wi-Fi ネットワークを自動的に検出して接続するかどうかを指定します |
| 手動の Wi-Fi 構成を許可する | ユーザーが手動で Wi-Fi 設定を構成するかどうかを指定します |
| Wi-Fi を許可する | Wi-Fi ハードウェアを有効化するかどうかを指定します |
| WLAN スキャン モード | デバイスが Wi-Fi ネットワークのスキャンを行う頻度を設定します |
プロキシ
Windows 10 Mobile で実行されるアプリ (たとえば、Microsoft Edge) は、プロキシ接続を使用してインターネット コンテンツにアクセスすることができます。企業イントラネット上の Wi-Fi 接続は通常、プロキシ接続を使用します。 Windows 10 Mobile では、複数のプロキシを定義できます。
注
さらに Windows 10 Mobile は、プロキシ自動構成 (PAC) ファイルをサポートします。これにより、プロキシ設定を自動的に構成できます。 Web プロキシ自動検出プロトコル (WPAD) によって、アプリは動的ホスト構成プロトコル (DHCP) とドメイン ネーム システム (DNS) の参照を使用して、PAC ファイルを検索できます。
表 12 では、Windows 10 Mobile のプロキシ接続の設定の一覧を示します。
表 12. Windows 10 Mobile のプロキシ接続の設定
| 設定 | 構成 |
|---|---|
| プロキシ名 | プロキシ接続の一意の名前 |
| プロキシ ID | プロキシ接続の一意の識別子 |
| 名前 | プロキシ接続のわかりやすい名前 |
| サーバーのアドレス | プロキシ サーバーのアドレス (サーバーの FQDN または IP アドレス) |
| IP アドレスの種類 | プロキシ サーバーを識別する IP アドレスの種類です。次のいずれかの値に設定できます。
|
| プロキシ接続の種類 | プロキシ接続の種類です。次のいずれかの値に設定できます。
|
| ポート | プロキシ接続のポート情報です。次の設定が含まれます。
|
| 構成のリファレンス | プロキシ接続のリファレンス情報。 企業はこのオプションの設定の情報を決定します。 |
VPN
ユーザーは多くの場合、Wi-Fi に加えて VPN を使用して、ファイアウォールの背後にある会社のイントラネット上のアプリとリソースに安全にアクセスします。 Windows 10 Mobile は、ネイティブの Microsoft VPN (Point to Point Tunneling プロトコル [PPTP]、レイヤ 2 トンネリング プロトコル [L2TP]、インターネット キー交換プロトコル バージョン 2 [IKEv2] など) に加えて、いくつかの VPN ベンダーをサポートしています。これには次のようなものがあります。
IKEv2
IP セキュリティ
SSL VPN 接続 (VPN サーバー ベンダーからダウンロード可能なプラグインが必要)
Windows 10 Mobile を構成して、自動トリガー VPN 接続を使用することも可能です。 イントラネット接続を必要とする各アプリに VPN 接続を定義できます。 ユーザーがアプリを切り替えると、オペレーティング システムは自動的にそのアプリの VPN 接続を確立します。 デバイスの VPN 接続が切断された場合には、Windows 10 Mobile は、ユーザーの介入なしに自動的に再接続します。
常時有効な VPN を使って、ユーザーがサインインしたときに Windows 10 Mobile が自動的に VPN 接続を開始することもできます。 ユーザーが手動で VPN を切断するまで、接続を保持します。
MDM による Windows 10 Mobile の VPN 接続のサポートには、VPN 接続プロファイルのプロビジョニングと更新、およびアプリと VPN 接続の関連付けが含まれます。 VPN 接続プロファイルを作成してプロビジョニングし、Windows 10 Mobile を実行している管理対象デバイスにそれを展開できます。 表 13 では、Windows 10 Mobile の VPN 接続プロファイルのフィールドの一覧を示します。
表 13. Windows 10 Mobile の VPN 接続プロファイルの設定
| 設定 | 説明 |
|---|---|
| ネイティブ VPN プロトコル プロファイル | VPN が Windows 10 Mobile のネイティブの VPN プロトコル (IKEv2、PPTP、L2TP など) を使用する場合の構成情報です。次の設定が含まれます。
|
| VPN プラグインのプロファイル | VPN 接続のための Windows ストア ベースの VPN プラグインです。次の設定が含まれます。
|
| 常時接続 | ユーザーのサインイン時に VPN 接続を行い、ユーザーが VPN 接続を手動で切断するまで接続を保持するかどうかを指定します。 |
| アプリのトリガー一覧 | 自動的に VPN 接続を開始するアプリの一覧です。 一覧の各アプリのトリガーには、次の設定が含まれています。
|
| DNS サフィックス | VPN 接続の DNS サフィックスのコンマ区切りの一覧です。 この一覧に含まれる DNS サフィックスは、自動的にサフィックス検索一覧に追加されます。 |
| ロックダウン VPN プロファイル | この VPN 接続がロックダウン プロファイルかどうかを指定します。 ロックダウン VPN プロファイルには、次の特徴があります。
他の VPN プロファイルを追加、削除、または接続するには、ロックダウン VPN プロファイルを削除する必要があります。 |
| 名前解決ポリシー テーブルの規則 | VPN 接続の名前解決ポリシー テーブルの規則の一覧です。 一覧の各規則には、次の設定が含まれています。
|
| プロキシ | VPN 接続に必要な、接続後のプロキシ サポート。次の設定が含まれます。
|
| 資格情報を記憶する | VPN 接続が資格情報をキャッシュするかどうかを指定します。 |
| ルートの一覧 | VPN 接続用のルーティング テーブルに追加するルートの一覧です。 一覧の各ルートには、次の設定が含まれています。
|
| トラフィック フィルターの一覧 | VPN 接続経由で送信できるトラフィックを定義するトラフィックの規則の一覧です。 一覧の各規則には、次の設定が含まれています。
|
| 信頼されたネットワークの検出 | イントラネットに直接アクセスできる場合に VPN に接続できない原因となる、信頼されたネットワークの、コンマ区切りの一覧です。 |
表 14 は、VPN 接続を管理するための、Windows 10 Mobile の設定を一覧を示します。 これらの設定は、携帯データ ネットワーク接続経由の VPN を管理するために役立ちます。これはローミング料金やデータ プラン料金のコストの削減にも役立ちます。
表 14. Windows 10 Mobile VPN 管理の設定
| 設定 | 説明 |
|---|---|
| VPN を許可する | ユーザーが VPN の設定を変更できるかどうかを指定します |
| 携帯データ ネットワーク経由での VPN を許可する | ユーザーが携帯データ ネットワーク経由で VPN 接続を確立できるかどうかを指定します |
| ローミング時に携帯データ ネットワーク経由での VPN を許可する | ユーザーがローミング時に携帯データ ネットワーク経由で VPN 接続を確立できるかどうかを指定します |
APN プロファイル
APN は携帯データ ネットワーク接続のネットワーク パスを定義します。 通常は、通信事業者に対応する 1 つの APN をデバイスに定義します。企業が複数の携帯電話会社を使用する場合には、複数の APN を定義できます。
APN は、通信事業者のネットワーク上で、他の企業が使用できない、企業ネットワークへのプライベート接続を提供します。 ヨーロッパとアジア太平洋地域の企業は APN を使用しますが、米国では一般的ではありません。
MDM システムで APN のプロファイルを定義して展開し、Windows 10 Mobile の携帯データ ネットワーク接続を構成できます。 Windows 10 Mobile を実行しているデバイスは、APN プロファイルを 1 つだけ設定できます。 表 15 には、Windows 10 Mobile が APN プロファイルをサポートする MDM 設定の一覧を示します。
表 15. Windows 10 Mobile の APN プロファイルの設定
| 設定 | 説明 |
|---|---|
| APN 名 | APN の名前 |
| IP 接続の種類 | IP 接続の種類です。次の値のいずれかを設定します。
|
| LTE のアタッチ | LTE アタッチの一部として APN をアタッチするかどうかを指定します |
| APN クラス ID | モデムの APN クラスを定義する、グローバルで一意の識別子です |
| APN 認証の種類 | APN 認証の種類です。次の値のいずれかを設定します。
|
| ユーザー名 | APN 認証の種類で、ユーザーがパスワード認証プロトコル (PAP)、CHAP、または MSCHAPv2 認証を選択するときのユーザー アカウント |
| パスワード | ユーザー名で指定されたユーザー アカウントのパスワード |
| 集積回路カード ID | 携帯データ ネットワーク接続プロファイルに関連付けられている集積回路カード ID |
データ漏洩からの保護
ユーザー エクスペリエンスの中には、企業のデバイスに保存された企業データを危険にさらすものもあります。 たとえば、ユーザーに企業の LOB アプリからの情報のコピー/貼り付けを許可する場合、データはリスクにさらされます。 リスクを軽減するため、Windows 10 Mobile のユーザー エクスペリエンスを制限して、企業のデータを保護し、データ漏洩を防止することができます。 たとえば、設定の同期、コピー/貼り付けの操作、画面のキャプチャを防ぐことができます。 表 16 では、データ漏洩を回避するために使用できる Windows 10 Mobile の MDM の設定の一覧を示します。
表 16. Windows 10 Mobile のデータ漏洩の保護設定
| 設定 | 説明 |
|---|---|
| コピー/貼り付けを使用する | ユーザーがコンテンツのコピー/貼り付けを使用できるかどうかを指定します |
| Cortana を許可する | ユーザーがデバイスで Cortana を使用できるかどうかを指定します (利用可能な場合) |
| デバイスの検出を許可する | デバイスの検出のユーザー エクスペリエンスをロック仮面で利用できるかどうかを指定します (たとえば、この設定により、デバイスが、ロック画面の表示時に、プロジェクターなどのデバイスを検出できるかどうかを制御できます)。 |
| 入力の個人用設定を許可する | 個人を特定できる情報をデバイスから取得できるか、またローカルに保存できるかどうかを指定します (たとえば、Cortana の学習、インク入力、音声入力など) |
| 手動の MDM 登録解除を許可する | ユーザーが会社アカウントを削除できるかどうか (MDM システムからデバイスを登録解除できるかどうか) を指定します |
| 画面キャプチャを使用する | ユーザーにデバイス上のスクリーン ショットのキャプチャを許可するかどうかを指定します |
| SIM エラー ダイアログ プロンプトを許可する | SIM カードがインストールされていない場合に、ダイアログ プロンプトを表示するかどうかを指定します |
| 設定の同期を許可する | デバイス間でユーザー エクスペリエンスの設定を同期するかどうかを指定します (Microsoft アカウントのみで有効) |
| ロック画面上のトースト通知を許可する | ユーザーがデバイスのロック画面にトースト通知を表示できるかどうかを指定します |
| 音声録音を許可する | ユーザーが音声録音を実行できるかどうかを指定します。 |
記憶域の管理
デバイスに保存されたアプリとデータの保護は、デバイスのセキュリティに不可欠です。 アプリとデータを保護する方法の 1 つは、Windows 10 Mobile でデバイスの暗号化を使用して、デバイスの内部記憶域を暗号化することです。 この暗号化は不正なアクセスに対して企業データを保護するためにも役立ちます。これは許可されないユーザーがデバイスを物理的に所持している場合でも役立ちます。
Windows 10 Mobile の機能の 1 つに、セキュア デジタル (SD) カードにアプリをインストールできる機能があります。 オペレーティング システムは、アプリをその目的のために明確に指定されたパーティションに保存します。 この機能は常に有効化されているため、明示的にポリシーを設定して有効化する必要はありません。
SD カードは、デバイスと一意にペアリングされています。 暗号化されたパーティション上のアプリやデータを他のデバイスで参照することはできませんが、SD カード上の暗号化されていないパーティションに保存された音楽や写真などのデータにアクセスすることは可能です。
メモリ カードを許可するの設定を無効化すると、ユーザーによる SD カードの使用を防ぐことができますが、SD カードのアプリ パーティションの暗号化機能の主な利点は、ユーザーが SD カードを使用する柔軟性を保持しながら、SD カード上の機密のアプリとデータを保護できることです。
記憶域を暗号化しない場合は、アプリ データをシステム ボリュームに制限する、およびアプリをシステム ボリュームに制限するの設定を使用して、企業のアプリとデータを保護できます。 これにより、ユーザーがアプリとデータを SD カードにコピーできないようにします。
表 17 は、Windows 10 Mobile が提供する、MDM の記憶域管理の設定の一覧を示します。
表 17. Windows 10 Mobile の記憶域の管理設定
| 設定 | 説明 |
|---|---|
| メモリ カードを許可する | ユーザーがデバイスの記憶域にメモリ カードを使用できるかどうかを指定します (この設定はプログラムよるメモリ カードへのアクセスには影響しません)。 |
| デバイス暗号化を必要とする | 内部記憶域を暗号化するかどうかを指定します (デバイスを暗号化すると、暗号化を無効にするポリシーを使用することはできません)。 |
| 暗号化の方法 | BitLocker ドライブ暗号化の方法と暗号強度を指定します。次の値のいずれかを指定します。
|
| FIPS (Federal Information Processing Standard) アルゴリズムのポリシーを許可する | デバイスが FIPS アルゴリズムのポリシーを許可するかどうかを指定します |
| SSL 暗号 | SSL 接続に許可されている暗号アルゴリズムの一覧を指定します |
| アプリ データをシステム ボリュームに制限する | アプリ データをシステム ドライブに制限するかどうかを指定します |
| アプリをシステム ボリュームに制限する | アプリをシステム ドライブに制限するかどうかを指定します |
アプリ管理
アプリは、モバイル デバイスでユーザーの生産性の向上に役立ちます。 Windows 10 の新機能により、組織は Windows ストアからアプリを購入し、従業員はそのアプリを Windows ストアまたは MDM システムから展開できます。 アプリの管理は、MDM システムの重要な機能です。アプリの配布や、アプリのポリシーを使用したデータ保護など、アプリに関連する一般的な作業を行うための負荷を軽減できます。 このセクションでは、Windows 10 Mobile のアプリ管理機能を説明します。次のトピックが含まれています。
ユニバーサル Windows プラットフォーム (UWP)
適切なアプリの供給
ビジネス向け Windows ストア
モバイル アプリケーション管理 (MAM) ポリシー
Microsoft Edge
ユニバーサル Windows プラットフォーム
Windows 10 では UWP が導入され、Windows 10 の各エディションを実行しているすべてのデバイスのアプリ プラットフォームが集約されました。 UWP アプリは、Windows 10 のすべてのエディションで、変更を必要とせずに実行できます。Windows ストアでは、すべての Windows 10 デバイス用にライセンスを購入できるアプリが提供されています。 Windows Phone 8.1 アプリと Windows 8.1 アプリは、引き続き Windows 10 デバイスで実行できますが、Windows 10 の MAM の機能強化は UWP アプリのみが対象となります。 詳しくは、「ユニバーサル Windows プラットフォーム (UWP) アプリのガイド」をご覧ください。
適切なアプリの供給
アプリの管理の最初の手順は、ユーザーが必要とするアプリを取得することです。Windows ストアからアプリを取得できるようになりました。 また開発者は、line-of-business (LOB) apps と呼ばれる、組織に固有なアプリを作成できます (これらのアプリの開発者は LOB publishers です)。 LOB 開発者 (社内または社外) は要求により、アプリを Windows ストアに公開できます。またはアプリ パッケージをオフラインで入手し、MDM システムを使って配布することもできます。
Windows ストア アプリまたは LOB アプリをインストールするには、Windows ストアのクラウド サービスや MDM システムを使用して、アプリ パッケージを配布します。 MDM システムは、ライセンスを取得した Windows ストアのアプリにユーザーをリダイレクトして、オンラインでアプリを Windows 10 Mobile のデバイスに展開することができます。または Windows ストアからダウンロードしたパッケージを配布して、オフラインでアプリを展開 (sideloading とも呼ばれます) することもできます。 アプリの展開プロセスは、ユーザーの介入を必要としないように、完全に自動化できます。
IT 管理者は、ビジネス向けストアでアプリを取得できます。 ほとんどのアプリはオンラインで配布できます。この場合、ユーザーは、Azure AD アカウントを使用してデバイスにログインする必要があり、インストール時にインターネットに接続できる必要があります。 アプリをオフラインで配布するには、開発者はオプトインする必要があります。 アプリ開発者が Windows ストアからのアプリのダウンロードを許可しない場合、開発者から直接ファイルを取得するか、またはオンラインによる方法を使用する必要があります。 ビジネス向けストア経由で取得したアプリについて詳しくは、「ビジネス向けの Windows ストア」をご覧ください。
Windows ストア アプリは自動的に信頼されています。 社内で開発されたか、または信頼できるソフトウェア ベンダーによって開発された、カスタムの LOB アプリは、デバイスがアプリの署名証明書を信頼する必要があります。 信頼を確立するには 2 つの方法があります。信頼できる発行元からの署名証明書を使用するか、または独自の署名証明書を生成して、デバイス上の信頼された証明書に信頼チェーンを追加します。 Windows 10 Mobile のデバイスでは、最大 20 個の自己署名されたアプリをインストールできます。 公共の CA から署名証明書を購入する場合、20 個を超えるアプリをデバイスにインストールできます。また Windows 10 Mobile Enterprise では、デバイスにつき 20 個を超える自己署名アプリをインストールできます。
ユーザーは、組織がストアで購入したアプリを、Windows ストアからデバイス上にインストールできます。 ユーザーが Microsoft アカウントでログインすることを許可している場合は、デバイス上のストア アプリにより、個人のアプリと企業のアプリを統合してインストールする方法が提供されます。
ビジネス向けストア
ビジネス向け Windows ストア は、IT 担当者および IT 購入者が Windows 10 のデバイス用のアプリを検索、取得、管理、配布できる Web ポータルです。 このオンライン ポータルにより、Azure AD 認証済みのマネージャーは、ビジネス向けのストアの機能と設定にアクセスできます。 ストアのマネージャーは、Windows ストアにプライベート セクションを作成して、組織に専用のアプリを管理できます。 組織はビジネス向けのストアにより、アプリを組織のユーザーが利用できるようにしたり、アプリのライセンスを購入できます。 ビジネス向けストアのサブスクリプションを MDM システムと統合し、無料のビジネス向けストアのサブスクリプションのアプリを MDM システムで展開することもできます。
ビジネス向けのストアを使用するためのプロセスは次のとおりです。
ビジネス向けストアの組織用のサブスクリプションを作成します。
ビジネス向けストアのポータルで、Windows ストアからアプリを取得します (現時点では無料アプリのみが利用可能です)。
ビジネス向けストアでアプリをユーザーに配布し、前の手順で取得したアプリのライセンスを管理します。
MDM システムを、組織のビジネス向けストアのサブスクリプションと統合します。
MDM システムを使用して、アプリを展開します。
ビジネス向けのストアについて詳しくは、「ビジネス向け Windows ストア」をご覧ください。
モバイル アプリケーション管理 (MAM) ポリシー
MDM を使って Windows 10 Mobile の Device Guard を管理して、アプリの許可 (ホワイト リスト) または拒否 (ブラック リスト) の一覧を作成できます。 この機能は、電話、テキスト メッセージング、メール、予定表などの、組み込みアプリも同様に対象となります。 アプリの許可または拒否の機能により、ユーザーがモバイル デバイスを意図した用途に利用するようにできます。
またユーザーの Windows ストアへのアクセスを制御したり、ストア サービスが自動的にアプリを更新するかどうかを制御することも可能です。 これらすべての機能は MDM システムを通じて管理できます。 表 18 では、Windows 10 Mobile のアプリ管理の設定の一覧を示します。
表 18. Windows 10 Mobile のアプリ管理の設定
| 設定 | 説明 |
|---|---|
| 信頼されたアプリをすべて許可する | ユーザーがデバイス上にアプリをサイドローディングできるかどうかを指定します |
| アプリ ストアの自動更新を許可する | Windows ストアからのアプリの自動更新を許可するかどうかを指定します |
| 開発者ロック解除を許可する | 開発者のロック解除を許可するかどうかを指定します |
| 共有ユーザー アプリ データを許可する | 同じアプリの複数のユーザーがデータを共有するかどうかを指定します |
| ストアを許可する | Windows ストア アプリの実行を許可するかどうかを指定します |
| Android 用 Windows ブリッジ アプリの実行を許可する | Android 用 Windows ブリッジ アプリの実行を許可するかどうかを指定します |
| アプリケーションの制限 | デバイスでのアプリの制限を定義する XML BLOB (XML BLOB には、アプリの許可リストや拒否リストを含めることができます。 アプリ ID や発行元に基づいて、アプリを許可したり拒否できます)。 |
| プライベート ストアのみを必要とする | プライベート ストアがユーザー専用に利用可能かどうかを指定します (有効にした場合、プライベート ストアのみが利用可能となります。 無効にした場合、小売りカタログとプライベート ストアは両方とも利用可能です)。 |
| アプリ データをシステム ボリュームに制限する | アプリ データをシステム ドライブでのみ許可するかどうかを指定します |
| アプリをシステム ボリュームに制限する | システム ドライブにのみアプリのインストールを許可するかどうかを指定します |
| スタート画面のレイアウト | スタート画面を構成するために使用する XML BLOB (詳しくは、「Windows 10 Mobile エディションのスタート画面のレイアウト」をご覧ください)。 |
潜在的なセキュリティ上の問題の 1 つは、ユーザーが Windows 10 Mobile アプリの開発者として登録し、デバイスで開発者向けの機能を有効にして、不明な発行元からアプリをインストールし、マルウェアの脅威にデバイスをさらすことがありえる点です。 ユーザーがデバイスの開発者向け機能を有効化することを防ぐには、MDM システムを構成して、開発者ロック解除 (サイドローディング) を無効にするポリシーを設定します。
Microsoft Edge
MDM システムにより、モバイル デバイスの Microsoft Edge を管理できます。 表 19 は、Windows 10 Mobile の Microsoft Edge の設定の一覧を示します。
表 19. Windows 10 Mobile の Microsoft Edge の設定
| 設定 | 説明 |
|---|---|
| アクティブ スクリプティングを許可する | アクティブ スクリプティングを許可するかどうかを指定します |
| オートコンプリートを使用する | Web サイトで自動的に値を入力するかどうかを指定します |
| ブラウザーを許可する | デバイスで Internet Explorer を許可するかどうかを指定します |
| Cookie を使用する | Cookie を使用するかどうかを指定します |
| 追跡禁止ヘッダーを許可する | 追跡禁止ヘッダーを許可するかどうかを指定します |
| InPrivate を許可する | ユーザーが InPrivate ブラウズを使用できるかどうかを指定します |
| Password Manager を許可する | ユーザーが Password Manager を使用して、パスワードをローカルに保存して管理するかどうかを指定します |
| アドレス バーで検索候補を許可する | アドレス バーに検索候補を表示するかどうかを指定します |
| SmartScreen を許可する | SmartScreen フィルターを有効にするかどうかを指定します |
| 最初の実行 URL | ユーザーが最初に Microsoft Edge を起動したときに開く URL |
| プロキシをバイパスするサイトをイントラネット サイトに含む | プロキシ サーバーをバイパスする Web サイトがイントラネット セキュリティ ゾーンを使用できるかどうかを指定します |
| UNC パスをイントラネット サイトに含む | URL パスがイントラネット セキュリティ ゾーンでの汎用名前付け規則 (UNC) パスを表すかどうかを指定します |
| イントラネット サイト | イントラネット セキュリティ ゾーンの Web サイトの一覧 |
| ファイルの SmartScreen のプロンプトの上書きを防ぐ | 未検証ファイルのダウンロードで SmartScreen フィルター機能の警告をユーザーが上書きできるかどうかを指定します |
デバイス操作
このセクションでは、Windows 10 Mobile の MDM 設定が、次のシナリオを有効にする方法について説明します。
デバイスの更新
デバイスのポリシー準拠の監視
デバイスのインベントリ
リモート アシスタンス
クラウド サービス
デバイスの更新
モバイル デバイスとそのデータを保護するため、デバイスを更新した状態に保つ必要があります。 Windows Update は、更新プログラムやアップグレードが提供されると、自動的にインストールします。
このセクションで説明するデバイスの更新機能は Windows 10 Mobile Enterprise のみで利用可能です。 管理対象の Windows 10 Mobile デバイスで、エンタープライズ ライセンスをライセンス認証し、更新プログラムやアップグレードの適用方法を制御する場合には、MDM システムを使用してシステムのアップグレードを延期できます。 たとえば、更新プログラムをすべて無効化したり、更新プログラムやアップグレードを保留させたり、更新をインストールする日時をスケジュールしたりできます。これは Current Branch for Business を実行している Windows 10 デスクトップで Windows Server Update Services (WSUS) を実行する場合と同様です。 表 20 は、更新プログラムとアップグレードの構成に使用できる、Windows 10 Mobile Enterprise の設定の一覧を示します。
表 20. Windows 10 Mobile Enterprise の更新プログラムの管理の設定
| 設定 | 説明 |
|---|---|
| 自動更新を許可する | 自動的に行う更新プログラムのスキャン、ダウンロード、インストールの動作です。動作には、次のいずれかを指定します。
|
| Microsoft の署名のない更新プログラムを許可する | 自動更新が、Microsoft 以外のエンティティにより署名されている更新プログラムを受け入れるかどうかを指定します |
| 更新サービスを許可する | デバイスが Windows Update、WSUS、Windows ストアから更新プログラムを取得するかどうかを指定します |
| 月例のセキュリティ更新プログラムを保留する | 月例の更新プログラム (たとえば、セキュリティ修正プログラム) を保留するかどうかを指定します (最大 4 週間まで更新プログラムを保留できます)。 |
| セキュリティ以外のアップグレードを延期する | セキュリティ以外のアップグレードを延期するかどうかを指定します (最大 8 か月までアップグレードを延期できます)。 |
| 更新プログラムの保留を一時停止する | デバイスが更新サイクルをスキップするかどうかを指定します (この設定は、デバイスの更新プログラムとアップグレードの保留を構成している場合のみ有効です)。 |
| 更新プログラムの承認が必要 | デバイスに更新プログラムをインストールする前に承認が必要かどうかを指定します (承認が必要な場合、ソフトウェア ライセンス条項 [EULA] を含む更新プログラムは、ユーザーに代わって自動的に同意します)。 |
| インストールの時刻をスケジュールする | 更新プログラムがインストールされる予定の時刻 |
| インストールを実行する予定の日 | 更新プログラムがインストールされる予定の日 |
| 更新の保留期間 | 更新プログラムの保留の期間 |
| 更新サービスの URL | Windows Update に代えて更新プログラムをダウンロードする WSUS サーバーの名前 |
| アップグレードの延期期間 | Windows 10 Mobile のアップグレードを延期する期間 |
Windows 10 Mobile Enterprise で更新プログラムを取得する方法を構成するだけでなく、個々の Windows 10 Mobile の更新プログラムを管理できます。 表 21 は、Windows 10 Mobile Enterprise のデバイスへの新しい更新プログラムのロールアウトを制御するための、承認済みの更新プログラムに関する情報を提供します。
表 21. Windows 10 Mobile Enterprise の承認済みの更新プログラムに関する情報
| 設定 | 説明 |
|---|---|
| 承認済み更新プログラム | 承認済み更新プログラムの一覧。 一覧に含まれる各更新プログラムには承認時間の設定が含まれています。これは更新プログラムの承認の時間を指定します。 承認済みの更新プログラムは、ユーザーの代わりに自動的に EULA に同意します。 |
| 失敗した更新プログラム | インストール中に失敗した更新プログラムの一覧。 一覧の各更新プログラムには、次の設定が含まれています。
|
| インストールされた更新プログラム | デバイスにインストールされた更新プログラムの一覧。 |
| インストール可能な更新プログラム | インストールするために利用できる更新プログラムの一覧。 一覧の各更新プログラムには、次の設定が含まれています。
|
| 再起動が保留中の更新プログラム | 更新プログラムのインストールを完了するために再起動が必要な更新プログラムの一覧。 各更新プログラムの最後でインストール時間の設定が有効化されます。これは更新プログラムのインストール時間を指定します。 |
| 前回成功したスキャン | 最後に成功した更新プログラムのスキャンが完了した日時。 |
| アップグレードを延期する | アップグレードを次回の更新サイクルまで延期するかどうかを指定します。 |
デバイスのポリシー準拠の監視
MDM システムを使用してポリシー準拠を監視できます。 Windows 10 Mobile は、追跡の問題と改善措置のための監査情報を提供します。 この情報を使用して、デバイスを組織の標準に準拠して構成することができます。
また、Windows 10 Mobile を実行しているデバイスの正常性を評価し、エンタープライズ ポリシーの操作を実行できます。 Windows 10 Mobile の正常性認証機能が使用するプロセスは次のとおりです。
正常性認証クライアントが、デバイスの正常性を検証するためのデータを収集します。
クライアントはそのデータを正常性認証サービス (HAS) に転送します。
HAS は正常性の認証証明書を生成します。
クライアントは、正常性の認証証明書と関連する情報を検証するため MDM システムに転送します。
Windows 10 Mobile の正常性の認証について詳しくは、「Windows 10 Mobile セキュリティ ガイド」をご覧ください。
正常性の状態の検証の結果により、MDM システムは次のいずれかの処理を実行します。
リソースへのアクセスをデバイスに許可します。
リソースへのアクセスをデバイスに許可しますが、デバイスを識別してさらに調査します。
デバイスをリソースにアクセスできないようにします。
表 21 では、実行するアクションを決定するために、Windows 10 Mobile を実行しているデバイスから、HAS が収集して評価を行うデータ ポイントの一覧を示します。 これらのデータ ポイントのほとんどについて、MDM システムは次のいずれかの処理を実行することができます。
すべてのアクセスを禁止します。
High Business Impact (HBI) の資産へのアクセスを禁止します。
評価時に存在する他のデータ ポイントに基づいて、条件付きアクセスを許可します。たとえば、正常性証明書の他の属性、またはデバイスの過去のアクティビティおよび信頼の履歴などに基づきます。
上記の処理の 1 つを実行し、デバイスをウォッチ リストに配置して、潜在的なリスクをより詳細に監視します。
IT 管理者に通知して、所有者に連絡を取り、問題を調査するなどの改善措置を行います。
表 21. Windows 10 Mobile の HAS データ ポイント
| データ ポイント | 説明 |
|---|---|
| 認証 ID キー (AIK) の存在 | AIK が存在することを示します (AIK のないデバイスより信頼性が高いことを意味します)。 |
| データ実行防止 (DEP) の有効化 | デバイスで DEP ポリシーが有効化されているかどうかを示します。DEP ポリシーのないデバイスよりも信頼性が高いことを意味します。 |
| BitLocker のステータス | BitLocker は、デバイス上の記憶域を保護できます。 BitLocker で保護されたデバイスは、BitLocker のないデバイスより信頼性が高いことを意味します。 |
| セキュア ブートの有効化 | デバイスでセキュア ブートが有効化されているかどうかを示します。 セキュア ブートが有効化されているデバイスは、セキュア ブートのないデバイスより信頼性が高いことを意味します。 Windows 10 Mobile のデバイスでは、セキュア ブートは常に有効化されています。 |
| コード整合性の有効化 | ドライブやシステム ファイルがメモリに読み込まれるたびに、そのコード整合性を検証するかどうかを示します。 コード整合性が有効化されているデバイスは、コード整合性を持たないデバイスより信頼性が高いことを意味します。 |
| セーフ モード | Windows がセーフ モードで実行されているかどうかを示します。 セーフ モードで Windows を実行しているデバイスは、標準モードで実行中のデバイスほど信頼性が高くありません。 |
| Windows プレインストール環境 (Windows PE) を実行中 | デバイスが、Windows PE を実行中であるかどうかを示します。 Windows PE を実行中のデバイスは、Windows 10 Mobile を実行しているデバイスほど安全ではありません。 |
| ブート デバッグの有効化 | デバイスでブート デバッグが有効化されているかどうかを示します。 ブート デバッグが有効化されているデバイスは、ブート デバッグが有効化されていないデバイスほど安全では (信頼性が高く) ありません。 |
| OS のカーネル デバッグの有効化 | デバイスでオペレーティング システムのカーネル デバッグが有効化されているかどうかを示します。 オペレーティング システムのカーネル デバッグが有効化されているデバイスは、オペレーティング システムのカーネル デバッグを無効化されているデバイスほど安全では (信頼性が高く) ありません。 |
| テスト署名の有効化 | テスト署名が無効化されているかどうかを示します。 テスト署名が無効化されているデバイスは、テスト署名が有効化されているデバイスよりも信頼できます。 |
| ブート マネージャーのバージョン | デバイスで実行されているブート マネージャーのバージョンを示します。 HAS はこのバージョンによって、より安全な (信頼性の高い) 最新のブート マネージャーが実行されているかどうかを判断できます。 |
| コード整合性のバージョン | 起動シーケンス中に整合性チェックを実行するコードのバージョンを指定します。 HAS はこのバージョンによって、より安全な (信頼性の高い) 最新のバージョンのコードが実行されているかどうかを判断できます。 |
| セキュア ブート構成ポリシー (SBCP) の存在 | カスタム SBCP のハッシュが存在するかどうかを示します。 SBCP ハッシュが存在するデバイスは、SBCP ハッシュのないデバイスよりも信頼できます。 |
| ブート サイクル ホワイト リスト | 製造元が定義したブート サイクル間のホスト プラットフォームと、公開されているホワイト リストとの比較を示します。 ホワイト リストに準拠しているデバイスは、準拠していないデバイスよりも信頼できます (安全です)。 |
デバイスのインベントリ
デバイスのインベントリは、デバイスに関する詳細情報を提供します。企業はデバイスのインベントリを活用して、デバイスを管理できます。 MDM システムはリモートでインベントリ情報を収集します。システムのレポート機能を使用して、デバイスのリソースと情報を分析できます。 この情報を使って、デバイスの現在のハードウェアとソフトウェアのリソース (たとえば、インストールされた更新プログラム) を知ることができます。
表 22 は、デバイスのインベントリが提供する、Windows 10 Mobile のソフトウェアとハードウェア情報の例を示します。 この情報に加えて、MDM システムは、このガイドで説明する構成設定のすべてを読み取ることができます。
表 22. Windows 10 Mobile のソフトウェアおよびハードウェア インベントリの例
| 設定 | 説明 |
|---|---|
| インストールされているエンタープライズ アプリ | デバイスにインストールされているエンタープライズ アプリの一覧 |
| デバイス名 | デバイスに構成されているデバイス名 |
| ファームウェア バージョン | デバイスにインストールされているファームウェアのバージョン |
| オペレーティング システムのバージョン | デバイスにインストールされているオペレーティング システムのバージョン |
| デバイスの現地時刻 | デバイス上の現地時刻 |
| プロセッサの種類 | デバイスのプロセッサの種類 |
| デバイスのモデル | 製造元が定義したデバイスのモデル |
| デバイスの製造元 | デバイスの製造元 |
| デバイスのプロセッサ アーキテクチャ | デバイスのプロセッサ アーキテクチャ |
| デバイスの言語 | デバイスで使用している言語 |
| 電話番号 | デバイスに割り当てられている電話番号 |
| ローミング状態 | デバイスにローミングの携帯データ ネットワーク接続があるかどうかを示します |
| IMEI (国際移動体装置識別番号) と IMSI (国際移動電話加入者識別番号) | 携帯電話接続用の一意の識別子です。GSM 接続ネットワークでは IMEI を使用して有効なデバイスを識別します。すべての携帯電話ネットワークは IMSI を使用してデバイスとユーザーを識別します。 |
| Wi-Fi の IP アドレス | デバイスの Wi-Fi アダプターに現在割り当てられている IPv4 と IPv6 のアドレス |
| Wi-Fi メディア アクセス制御 (MAC) アドレス | デバイスで Wi-Fi アダプターに割り当てられている MAC アドレス |
| Wi-Fi 接続の DNS サフィックスとサブネット マスク | デバイスで Wi-Fi アダプターに割り当てられている DNS サフィックスと IP サブネット マスク |
| セキュア ブートの状態 | セキュア ブートが有効化されているかどうかを示します |
| エンタープライズ暗号化ポリシーへの準拠 | デバイスが暗号化されているかどうかを示します |
リモート アシスタンス
Windows 10 Mobile のリモート アシスタンス機能を使うと、ヘルプ デスクは、ユーザーのデバイスに物理的にアクセスできない場合でも、問題を解決できます。 次のような機能があります。
リモート ロック。 サポート担当者は、デバイスをリモートからロックできます。 この機能は、ユーザーがモバイル デバイスを置き忘れ、それを後から回収できるが、直ちにではない場合に利用できます (たとえば、デバイスを顧客の会社に置き忘れた場合など)。
PIN のリモート リセット。 サポート担当者は、リモートから PIN をリセットできます。ユーザーが PIN を忘れて、デバイスにアクセスできない場合に役立ちます。 企業データとユーザー データは保持されます。ユーザーはデバイスへのアクセスをすぐに取り戻すことができます。
リモート着信。 サポート担当者は、リモートからデバイスの着信呼び出しを行えます。 この機能は、ユーザーがデバイスを置き忘れた場合に、デバイスを見つけることができます。リモート ロック機能と併せて利用して、承認されていないユーザーがデバイスを見つけても、アクセスできないようにします。
リモート検索。 サポート担当者は、デバイスをリモートから地図上で検索できます。デバイスの地理的な位置を識別できます。 Windows 10 Mobile のリモート検索を構成するには、表 23 の設定を使用します。 リモート検索機能は、デバイスの最新の緯度、経度、高度を返します。
これらのリモート管理機能を使うと、デバイスを管理するために必要な IT 部門の負荷を軽減できます。 またユーザーがデバイスを置き忘れた場合や、デバイスのパスワードを忘れた場合でも、すぐに取り戻したり、利用を再開するために役立ちます。
表 23. Windows 10 Mobile のリモート検索の設定
| 設定 | 説明 |
|---|---|
| 必要な場所の精度 | 範囲の半径値に必要な精度 (メートル) で、1 ~ 1,000 m の間で指定します |
| リモート検索の最大値 | 成功したリモート検索をサーバーが受け入れる時間の最大値 (分単位) で、0 ~ 1,000 分の間で指定します |
| リモートの検索のタイムアウト | デバイスがリモート検索の完了を待機する秒数で、0 ~ 1,800 秒の間で指定します |
クラウド サービス
Windows 10 Mobile を実行しているモバイル デバイスでは、ユーザーはアプリとデータに簡単に接続できます。 この結果、ユーザーはクラウド サービスに頻繁に接続します。クラウド サービスはユーザーに通知を提供し、利用統計情報 (利用状況データ) を収集します。 Windows 10 Mobile によって、組織は、デバイスがクラウド サービスを活用する方法を管理できます。
プッシュ通知の管理
Windows プッシュ通知サービスを利用することで、ソフトウェア開発者はクラウド サービスから、トースト更新、タイル更新、バッジ更新、直接更新を送信できます。 これにより、電力効率に優れ、信頼できる方法で、ユーザーに更新を配信するためのメカニズムを提供します。
プッシュ通知はバッテリー駆動時間に影響する場合がありますが、Windows 10 Mobile のバッテリー セーバー機能により、デバイスのバック グラウンド アクティビティを制限して、バッテリーの寿命を延ばすことができます。 ユーザーは、バッテリーが設定されているしきい値を下回ると、バッテリー セーバーが自動的にオンになるように構成できます。 バッテリー セーバーがオンのときは、電力を節約するため、Windows 10 Mobile のプッシュ通知の受信は無効になります。
ただし、この動作には、例外があります。 Windows 10 Mobile では、バッテリー セーバー設定の [常に許可] ([設定] アプリにあります) によって、バッテリー セーバーがオンになっているときでも、プッシュ通知を受け取ることができます。 ユーザーはこの一覧を手動で構成できます。または MDM システムを使って構成することも可能です。Windows 10 Mobile のバッテリー セーバーの URI スキーム設定 (ms-settings:batterysaver-settings) を使って、これらの設定を構成できます。
プッシュ通知について詳しくは、「Windows プッシュ通知サービス (WNS) の概要」をご覧ください。
利用統計情報の管理
ユーザーが Windows 10 Mobile を使用すると、パフォーマンスと製品使用に関する利用統計情報が収集されます。これは Microsoft が問題の識別とトラブルシューティングを行い、製品やサービスを向上させるために役立ちます。 この設定には [完全] を選択することをお勧めします。
Microsoft の従業員、契約者、ベンダー、およびパートナーは Windows 10 Mobile が収集した情報の一部にアクセスする場合がありますが、その情報の利用は、Microsoft 製品とサービス、または Microsoft 製品とサービスと使用するためのサード パーティのソフトウェアとハードウェアの、修復または向上のためにのみ許可されています。
MDM システムが収集するデータのレベルを制御することができます。 表 24 には、Windows 10 Mobile が収集するデータのレベルと、それぞれの簡単な説明を一覧で示します。 デバイスを構成するには、[利用統計情報の許可] の設定で、これらのレベルでのいずれかを指定します。
表 24. Windows 10 Mobile のデータ収集レベル
| データのレベル | 説明 |
|---|---|
| セキュリティ | Windows 10 Mobile のエンタープライズ レベルのセキュリティを保持するために必要な情報のみを収集します。これには、利用統計情報のクライアント設定、悪意のあるソフトウェア削除ツール、Windows Defender についての情報が含まれます。 このレベルは、Windows 10 Enterprise、Windows 10 Education、Windows 10 IoT Core でのみ利用できます。 Windows 10 Mobile では、この設定により、Windows 10 Mobile 利用統計情報は無効となります。 |
| 基本 | Windows 10 Mobile の運用にとって重要なデータのみを提供します。 このデータ レベルでは、デバイスの機能、インストールされている内容、Windows が正しく動作しているかどうかについての情報を Microsoft に提供し、Windows 10 Mobile とアプリの正常な実行のために役立てられます。 このオプションは、基本的なエラーの Microsoft への報告も有効化します。 このオプションの選択により、Microsoft は Windows Update によって更新を提供します。これには悪意のあるソフトウェア削除ツールによる、悪意のあるソフトウェアからの保護を含みます。 |
| 拡張 | すべての基本的なデータと、ユーザーによる Windows 10 Mobile の使用方法に関するデータが含まれます。これには特定の機能やアプリを使用する頻度や使用時間、最も頻繁に使用するアプリの情報などが含まれます。 このオプションでは、オペレーティング システムは、診断拡張情報も収集します。これには、システムまたはアプリのクラッシュが発生したときのデバイスのメモリの状態や、デバイス、オペレーティング システム、およびアプリの信頼性の測定などが含まれます。 |
| 完全 | 基本レベルと拡張レベルのすべてのデータに加え、高度な診断機能を有効化して、デバイスから追加データを収集します。これには、システム ファイルやメモリのスナップショットが含まれます。問題が発生したときにユーザーが作業を行っていたドキュメントの一部が意図せずに含まれる場合があります。 この情報は、Microsoft が詳細なトラブルシューティングを行い、問題を解決するために役立てられます。 エラー報告に個人データが含まれている場合、Microsoft はその情報を使用して、ユーザーを特定したり、連絡したり、広告の対象とすることはありません。 |
デバイスの廃棄
デバイスの廃棄 (登録解除) は、デバイスのライフ サイクルの最後のフェーズです。 従来はモバイル デバイスの廃棄は、組織にとって複雑で困難なプロセスでした。 組織にとってデバイスが不要となったときには、デバイスから企業データを削除 (ワイプ) する必要があります。 BYOD シナリオでは、ユーザーは個人のアプリとデータの保持を望むため、廃棄はより複雑となります。 このため組織は、ユーザーのデータに影響を与えずに、データを削除する必要があります。
Windows 10 Mobile を実行しているデバイスから、既存のユーザー データに影響を与えずに、すべての企業データをリモートから削除 (部分的またはエンタープライズ ワイプ) できます。 ヘルプ デスクまたはデバイスのユーザーにより、デバイスの廃棄を開始できます。 廃棄が完了すると、Windows 10 Mobile によって、デバイスは登録前のコンシューマーの状態に戻ります。 廃棄されたときにデバイスから削除される企業データをまとめて以下に示します。
電子メール アカウント
企業によって発行された証明書
ネットワーク プロファイル
エンタープライズ展開のアプリ
エンタープライズ展開のアプリに関連付けられたすべてのデータ
注
これらの機能に加え、デバイスのソフトウェアとハードウエアを出荷時の設定に戻す機能を使って、ユーザーはデバイスを出荷時の設定に戻すことができます。
ユーザーがコントロール パネルで会社アカウントを削除して、MDM システムから登録解除を行えるかどうかを指定するには、[手動の MDM 登録解除を許可する] 設定を有効化します。 表 25 では、MDM システムの構成に使用できる、追加の Windows 10 リモート ワイプ設定の一覧を示します。
表 25. Windows 10 Mobile のリモート ワイプ設定
| 設定 | 説明 |
|---|---|
| ワイプ | デバイスのリモート ワイプの実行を指定します |
| 手動の MDM 登録解除を許可する | ユーザーが会社アカウントを削除できるかどうか (MDM システムからデバイスを登録解除できるかどうか) を指定します |
| ユーザーによる電話のリセットを許可する | ユーザーがコントロール パネルまたはハードウェアのキーの組み合わせを使って、デバイスを工場出荷時の状態に戻すことができるかどうかを指定します |