• [アーティクル]

System Center

System Center Mobile Device Manager の概要

Matt Fontaine

 

概要:

  • Mobile Device Manager の典型的なシステム
  • Active Directory を Windows Mobile に拡張する
  • Windows Mobile デバイスの登録、プロビジョニング、およびインベントリ

Microsoft System Center Mobile Device Manager 2008 のリリースは、社内ネットワークで使用している Windows Mobile デバイスを管理する IT プロフェッショナルにとって魅力的な製品です。1 つの製品でデバイス管理、セキュリティ管理、モバイル仮想プライベート ネットワーク (VPN)

の機能が提供されるので、この新製品は、モバイル デバイスの利用に関する管理作業の負担を軽減し、投資収益率 (ROI) の向上を促進するのに役立ちます。

Mobile Device Manager を使用すると、IT プロフェッショナルは、デバイス設定を適用する際に、既存の Active Directory® とグループ ポリシーのインフラストラクチャを使用できます。また、Over-The-Air (OTA) デバイス管理機能を使用すると、更新プログラムやアプリケーションをデバイスに簡単に配布できるだけでなく、OTA セルフ プロビジョニングにより、より簡単に展開することが可能になり、展開のスケーラビリティが向上します。モバイル VPN を使用すると、エンド ユーザーはファイアウォールの内側にあるデータやアプリケーションにアクセスできるようになり、管理者には、展開されたデバイスを制御できるように常時接続が提供されます。Mobile Device Manager は、このような機能が拡張およびカスタマイズ可能な 1 つの製品に備わっている現在の IT プロフェッショナルに必須のツールです。

管理の必要性

モバイル ユーザーは、今後も急増することが予想されます。従来、モバイル デバイスは、その可動性により、他のネットワーク機器よりも管理が困難でした。モバイル デバイスは、さまざまな方法でネットワークに接続するため、他のデバイスほどセキュリティがしっかりしていないものがあります。たとえば、ファイアウォールの外側で使用されたり、クライアント コンピュータとは異なるオペレーティング システムを使用したり、小さいので簡単に置き忘れたり紛失したりする場合があります。

現在のモバイル デバイスでの拡張された機能には、企業とエンド ユーザーの両者にとって魅力的なメリットがありますが、こうしたデバイスのサポートはより複雑になります。特に、このようなモバイル デバイスを使用して重要な基幹業務 (LOB) アプリケーションや顧客データにアクセスしている場合は、企業のデータとネットワークがセキュリティ上の危険にさらされる可能性が高くなります。このようなモバイル デバイスが紛失や盗難に遭ったり、不適切に使用された場合には、セキュリティ上の緊急事態を引き起こすことがあります。

モバイル デバイスと従来のネットワーク クライアントとの機能の格差が縮まったため、モバイル デバイスをラップトップ コンピュータやデスクトップ コンピュータと同じように管理するニーズが高まっています。Mobile Device Manager は、このニーズに対応するために開発された製品です。Windows Mobile® プラットフォームはビジネス ユーザーの間で普及が進んでいるため、Mobile Device Manager は、Windows® ベースの IT 管理システムにおいて不可欠な要素になります。

Mobile Device Manager は、ネットワークに接続された PC やラップトップ PC と同様に、Windows Mobile デバイスをエンド ツー エンドで簡単に管理できるようにデザインされています。Mobile Device Manager の主要機能は次の 3 つです。

デバイス管理 Windows Mobile デバイスのプロビジョニング、監視、および管理を行うための集中管理された機能で、1 台のサーバーにつき数万人のユーザーまで対応できます。

セキュリティ管理 機密データの保護とデバイスの追跡のためのメカニズムを強化します。

モバイル VPN 常時接続機能を使用して、ファイアウォールの内側にあるデータやアプリケーションへのアクセスを強化します。

Mobile Device Manage は、デスクトップ コンピュータやラップトップ コンピュータと同様、企業資産を最重要資産として管理するためのツールを IT プロフェッショナルに提供するという System Center 全体の方針に準拠しています。また、Mobile Device Manager では、他の System Center 製品を既に使用している IT プロフェッショナルが使い慣れているユーザー インターフェイスが採用されています。

つまり、Mobile Device Manager は、既存の Windows ベースのインフラストラクチャと適切に連携するように設計されています。たとえば、Mobile Device Manager は、Active Directory とグループ ポリシーを使用したり、マイクロソフトが提供している既存の分析ツールやレポート作成ツール (SQL Server® など) と連携したり、Microsoft® 管理コンソール スナップインや Windows PowerShellTM コマンドレットを使用して拡張できます。

Mobile Device Manager のシステム

Mobile Device Manager は、拡張性が高いため、1 つのインスタンスで複数の構成オプションに加え、何万台ものデバイスをサポートできます。一般的に、Mobile Device Manager のサーバー側コンポーネントとしては、ゲートウェイ サーバー、デバイス管理サーバー、登録サーバー、SQL Server データベースという 4 つの主なシステム コンポーネントがあります (図 1 参照)。

Figure 1 Typical Mobile Device Manager system

Figure 1** Typical Mobile Device Manager system **(画像を拡大するには、ここをクリックします)

通常、ゲートウェイ サーバーは、境界ネットワーク内に設置されます。デバイスのネットワーク接続端末として機能し、着信したデバイス接続を認証して、デバイスに静的 IP アドレスを提供します。また、デバイスやネットワーク接続に関連するその他の機能も実行します。

デバイス管理サーバーは、グループ ポリシーの実装、OTA ソフトウェアの配布、デバイス ワイプなど、デバイス管理の中核となり、既存のドメイン コントローラと連携します。また、Windows Mobile デバイスの代理ネットワーク クライアントとして機能するので、Windows Mobile デバイスは他のシステムと通信できるようになります。

登録サーバーは、ドメイン コントローラにモバイル デバイスを表す Active Directory ドメイン サービスのオブジェクトを作成し、モバイル デバイスを他のドメイン メンバと同様に管理できるようにします。また、モバイル デバイスに対する証明書の要求と取得に対応します。登録サーバーでは、登録証明書を受付または発行する前に、デバイスを認証する際の基盤として Active Directory を使用します。SQL Server データベースは、デバイスの構成、タスク、状態設定などに関連するすべての情報のリポジトリを提供します。

インフラストラクチャの準備が整うと、Mobile Device Manager は、モバイル デバイスと 3 種類の対話処理 (デバイスの登録、モバイル VPN 接続の確立、およびデバイス管理) を行います。デバイスの登録は、デバイスが Active Directory ドメインに参加する際に発生する処理です。Mobile Device Manager では、"共有シークレット" (期限付きワンタイム パスワード) を使用することで、セキュリティで保護されていない接続経由でデバイスを登録できます。デバイスは登録されると、ゲートウェイ サーバーへのモバイル VPN 接続を確立できます。デバイスからのネットワーク トラフィックは、このサーバーを経由してルーティングされます。モバイル VPN 接続を使用すると、管理者やシステムは、デバイス管理を実行し、ソフトウェアや設定をデバイスに展開できるようになります。

Active Directory を Windows Mobile に拡張する

複数の IT セキュリティ手法を組み合わせたり、その場限りの IT セキュリティ手法を使用すると、セキュリティ モデルに完全に統合された手法を使用するより、リスクが高くなります。Mobile Device Manager は、Windows PC などのモバイル デバイスを既存の Active Directory ドメイン サービス インフラストラクチャを使用して管理する方法を提供することで、こうしたリスクを軽減できるようにデザインされています。その結果、ID とアクセスの管理が合理化され、適用するポリシーの一貫性が高まり、1 つの場所でセキュリティを構成することができます。

PC やサーバーと同様に、Windows Mobile デバイスに関連するグループ ポリシー オブジェクトは、組織単位 (OU)、セキュリティ グループ、および Windows Management Instrumentation (WMI) フィルタに割り当てることができます。また、特定のデバイスにグループ ポリシーの設定が適用されないようにすることもできます。

130 を超える Windows Mobile デバイス対応の設定やポリシーがあり、さまざまな機能をきめ細かく制御することができます。次に例を示します。

  • パスワードの設定では、パスワード要件、種類と最小文字数、パスワードの有効期限、および指定された回数失敗した後のローカル デバイス ワイプの実行 (残りの回数に関するユーザーへの通知を含む) などを指定できます。
  • プラットフォームのロックダウン設定を使用すると、カメラ、ワイヤレス LAN、Bluetooth、リムーバブル記憶域など、デバイスの特定の機能を有効または無効にすることができます。Post Office Protocol (POP)、インターネット メッセージ アクセス プロトコル (IMAP)、ショート メッセージ サービス (SMS)、およびマルチメディア メッセージング サービス (MMS) のメール機能はすべて無効にすることができます。また、Windows Mobile 用 Windows Update も無効にすることができます。
  • Mobile Device Manager では、アプリケーションをきめ細かく制御できます。Mobile Device Manager は、デバイスで未署名のアプリケーションや承認されていない署名の付いたアプリケーションを実行できないようにしたり、管理者の裁量で特定の未署名のアプリケーションの実行を許可したりすることができます。
  • データを保護するために、リムーバブル メモリ カード上に作成されたファイルを (デバイスに関連付けられた暗号化キーを使用して) 強制的に暗号化することができます。デバイスの暗号化は、デバイスに格納されている機密データの保護にも使用できます。また、既定で保護されているファイルに加えて、暗号化するファイルを追加で指定できます。
  • モバイル VPN 設定では、ユーザーがデバイスの VPN 接続をどの程度制御できるかを指定したり、データの暗号化レベルを設定したりすることができます。
  • ActiveSync® の設定では、メッセージの形式、電子メールの期間フィルタ、サイズ制限、同期設定などを設定できます。
  • S/MIME 設定では、メッセージの署名、メッセージの暗号化、または特定のアルゴリズムの使用を要件として設定できます。

上記の設定をはじめとした、Windows Mobile 対応の設定では、さまざまなシナリオがサポートされています。このような設定により、IT プロフェッショナルは、デバイスごとに実行できるアプリケーションを指定することができます。ハードウェア機能は、OTA で有効または無効にすることができます。たとえば、カメラを無効にして、機密情報が事故または故意で危険にさらされるのを防ぐことができます。データの暗号化は、デバイスまたはリムーバブル メモリ カード、あるいはその両方に適用して、紛失または盗難に遭ったデバイスやカードから、所有するデータが許可されていない人の手に渡る可能性を軽減することができます。

Mobile Device Manager には、他のセキュリティ管理ツールも用意されています。Windows Mobile デバイスで使用できるアプリケーションは多数あるので、管理者がインストールできるアプリケーションとインストールできないアプリケーションを制御する必要があるのは明らかです。Mobile Device Manager を使用すると、それだけの目的で、アプリケーションの許可リストや禁止リストを作成して適用できます。また、Mobile Device Manager には、強力なリモート ワイプ機能も用意されています。デバイスへの VPN 接続は常時確立されているので、デバイスがネットワークに接続して同期されるのを待機することなく、すぐにデバイスをワイプできます。デバイスはリモートでワイプされると、ドメイン コントローラから削除され、そのデバイスの証明書は失効します。このようなデバイスを後日復旧する場合は、新しいワンタイム パスワードを使用して再登録すると、ドメインに再度参加するようにデバイスを設定できます。

モバイル デバイスを抑制する

Mobile Device Manager は、OTA プロビジョニング、OTA ソフトウェアと更新プログラムの配布、インベントリの包括的な一元管理など、1 つのソリューションで完全なデバイス管理機能を提供することで、ネットワーク上の Windows Mobile デバイスをできる限り簡単に管理できるようにデザインされています。

OTA の自動登録は、忙しい IT プロフェッショナルやエンド ユーザーに重宝される可能性が高い機能です。ユーザーが Windows Mobile 6.1 デバイスで電子メール アドレスを入力すると、デバイスにより、指定された電子メール アドレスに基づいてモバイル デバイスの管理サーバーが検出されます。サーバーが見つからない場合、ユーザーは、管理サーバーのアドレスを手動で入力するよう求められます。サーバーが検出され、登録できることが確認されると、ユーザーは、管理者が事前に生成したワンタイム パスワードを入力するよう求められます。

電子メール アドレスとパスコードは、ユーザーの認証と、管理サーバーへのデバイスの登録に使用されます。この処理が完了すると、管理者が定義した設定やポリシーがデバイスに適用されます。自動登録という手法は、Windows Mobile デバイスの展開のスケーラビリティを向上し、こうしたデバイスを稼動させるのに必要な時間とコストを削減するようにデザインされています。

Mobile Device Manager の OTA ソフトウェア配布機能は、世界中の多くの IT プロフェッショナルが既に使用しているソフトウェア更新ツールキットである Windows Software Update Services (WSUS) 3.0 に基づいています。WSUS 3.0 では、複雑な IT ニーズに必要なターゲット機能やアプリケーションのパッケージ化機能を提供しています (図 2 参照)。ソフトウェアは、管理者が設定したルールやポリシーに基づいて、適切なデバイスに自動的に配布できます。サーバーやクライアントの更新プログラムと同様に、WSUS 3.0 を使用すると、モバイル デバイスの更新プログラムや修正プログラムの配布を自動化できます。展開の計画およびテスト時に自動更新を無効にできることも重要な点です。

Figure 2 Software distribution wizard

Figure 2** Software distribution wizard **(画像を拡大するには、ここをクリックします)

ある程度の規模で展開されているモバイル デバイスの管理における最も大きな課題の 1 つは、すべてを追跡することです。Mobile Device Manager は、インベントリ情報を一元管理し、SQL Server 2005 に基づいてカスタマイズ可能で柔軟性のあるレポートを提供しています。このような場面でも、多くのユーザーが既にインストールしていて使い慣れているソフトウェアを使用します。管理者は、100 を超えるアイテムのインベントリ情報を収集できます。これには、オペレーティング システムとバージョン、デバイス モデル、インストール済みのアプリケーション、セキュリティ ポリシーなどが含まれますが、これらに限定されるわけではありません。インベントリは拡張可能なので、管理者はアイテムやレジストリの設定を追加できます。

グラフィカル ユーザー インターフェイスをお好みの場合は Microsoft 管理コンソール スナップイン (図 3 参照)、コマンド ラインをお好みの場合は Windows PowerShell コンソールを使用すると、さらに柔軟に Mobile Device Manager を制御できます。どちらの方法を使用しても、システムは拡張およびカスタマイズ可能です。これは、ソフトウェアを組織に合わせて調整する必要がある企業ユーザーに必要な特性です。

Figure 3 Mobile Device Manager Console

Figure 3** Mobile Device Manager Console **(画像を拡大するには、ここをクリックします)

モバイル VPN

インフォメーション ワーカーは、何年もの間、モバイル デバイスを使用して電子メールやメッセージを送受信しています。現在、モバイル デバイス テクノロジにおける最も便利な進化の 1 つは、ファイアウォールの内側にあるビジネス データやアプリケーションにアクセスする機能が提供されるようになったことです。アクセス数の増加に伴い、新しいセキュリティ リスクが発生するため、追加機能は慎重に管理して、脆弱性を防ぐ必要があります。Mobile Device Manager は最先端のモバイル VPN 機能を提供するため、ユーザーは、Microsoft DynamicsTM Customer Relationship Management (CRM) から SAP や Siebel に至るまで、さまざまなイントラネット データにアクセスできるようになります。このモデルは、デスクトップ コンピュータやラップトップ コンピュータに対する既存のリモート アクセス戦略に対応するように構築されています (図 4 参照)。

Figure 4 Mobile VPN settings

Figure 4** Mobile VPN settings **(画像を拡大するには、ここをクリックします)

モバイル VPN では、ダブル エンベロープ セキュリティ機能を使用してデバイスをゲートウェイ サーバーに接続し、データは、IPsec で暗号化されたトンネルを経由して SSL 暗号化形式で転送されます。デバイスが認証されると、ユーザーは、リソース固有のポリシーの条件とユーザーの資格情報に基づいてリソースにアクセスできます。

Mobile Device Manager で使用されているモバイル VPN テクノロジにより、常時接続を確立できます。これにより、ユーザーのアクセスが向上するだけでなく、IT プロフェッショナルが最新のポリシーや設定を使用してデバイスを常に最新の状態にし、デバイスの紛失または盗難時にはすぐにそのデバイスをワイプできるようになります。セッションが中断された場合でも、高速な再接続機能により、デバイス セッションは再認証の必要なく処理を続行できます。Mobile Device Manager を使用すると、接続を維持しながら、Wi-Fi ネットワークと移動体通信ネットワーク間の移行をスムーズに行えます。

Mobile Device Manager のモバイル VPN で使用されているセキュリティ テクノロジは、Open Mobile Alliance for Device Management (OMA DM)、インターネット キー交換 (IKE) Version 2、OMA Software Component Management Object (SCOMO) などの業界標準に基づいています。そのため、複雑な環境で作業している IT プロフェッショナルが直面した特定の状況に応じて、システムをさらに拡張およびカスタマイズすることができます。

まとめ

Mobile Device Manager には、1 つのインターフェイスからアクセスできる、Windows Mobile デバイスを管理するためのツール一式が用意されています。Mobile Device Manager は、データ、デバイス、およびネットワークを保護するセキュリティ ツールを提供するために Active Directory とグループ ポリシーを利用しています。デバイス管理は、OTA の登録、プロビジョニング、および更新に加え、強力なインベントリ ツールにより簡略化されます。また、モバイル VPN は、セキュリティを損なうことなく、企業やユーザーが必要とする機能を提供するようにデザインされています。

これはすべて、ネットワーク上のモバイル デバイスを重要なリソースとして管理できるようにして IT プロフェッショナルの仕事を簡略化するという目的には必要不可欠です。Mobile Device Manager を使用することで、IT プロフェッショナルは、エンド ユーザーの優れた操作性の提供、管理オーバーヘッドの削減、管理作業の ROI の向上を実現できます。これは、特筆に価する同製品の導入により得られるメリットです。

この記事の執筆に協力してくれた Brian Hoskins、Derek Snyder、Prithvi Raj、Lax Madapaty、および Katharine Holdsworth に感謝します。

Matt Fontaine は、BuzzBee Company と仕事をしている、フリーランスのテクニカル ライターであり、コンサルタントでもあります。彼は、ハイ パフォーマンス コンピューティング、エンタープライズ ソフトウェア、生命保険、商業用不動産、エンジニアリング、建設、一般消費財など、さまざまな業界に応対しています。Matt は、エバーグリーン州立大学の名誉ある卒業生です。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.