Windows Autopilotの注意点とセキュリティベースラインの利用

今回は「Windows Autopilotの注意点とセキュリティベースラインの利用」についてご紹介します。

関連ワード (モバイル、新潮流Device as a Serviceの世界等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 前回は、PCの展開手法「Windows Autopilot」を導入時に課題となりやすい「HW-ID(ハードウェアアイディ)」の運用について解説しましたが、そもそも現状のPC運用をしている人たちがWindows Autopilotへスムーズに移行できるのでしょうか。私の答えは、正直「No」です。

 移行できる企業は簡単でしょうが、できない企業が多数派だと思わざるを得ません。その理由は、多くの企業がオンプレミスの「Active Directory(以下、オンプレAD)」を運用しているからです。

 オンプレADを運用している従来の環境では、PCをオンプレADのドメインに参加させて、管理していることが多いでしょう。オンプレADに参加することで、オンプレADのユーザー(ドメインユーザー)でPCにサインインすることができ、ファイルサーバーなどにシングルサインオン(Windowsのサインインとは別に、IDとパスワードを入力しない)ができます。

 また、企業のPCとして、オンプレADのグループポリシーでコンプライアンスやセキュリティ、ガバナンスのために制約をかけていることも多いと思います。Windows AutopilotでセットアップされたPCは、クラウドの「Azure AD」に参加することになります。基本的には、オンプレADに参加しないことになりますので、従来型の認証やグループポリシーによる制限が機能しなくなる可能性があります。

 認証については、オンプレADでシングルサインオンしているのがファイルサーバーのみなら、Azure ADとオンプレADを「Azure AD Connect」で同期させることで問題が起きません。オンプレADに参加していなくても同期しているAzure ADに参加すれば、オンプレADと参加している時と同じようにシングルサインオンが機能します。なお、多要素認証では、一部制約が発生する可能性があるので、確認が必要です。

 それ以外に、オンプレADのドメイン参加資格を用いた認証を行っている場合は、それぞれ確認が必要です。単純にオンプレADのIDとパスワードで認証しているだけならあまり問題になることはないでしょう。(都度IDとパスワードを聞かれるウェブサーバーなど)シングルサインイン環境やVPN(仮想閉域網)などでは、Azure ADと同期しているだけでは、オンプレADのドメイン参加資格を用いた認証がうまく機能しなくなる可能性があります。

 またグループポリシーについては、「Microsoft Intune」などのモバイル端末管理(MDM)への移行が求められます。そもそもAzure ADは、オンプレADの機能全てをクラウドに持っていくような思想ではありません。オンプレADは、“Microsoftワールド”のような発想で開発された代物です。オンプレAD一つで、企業のPC管理を全部やってしまおうというものです。これ対してAzure ADは、昨今の一般的なゼロトラストセキュリティを実現するIDaaSとして開発されています。オンプレADが行っていたグループポリシーによる制御のような機能は、それに代わるMDMに任せることになり、Azure ADの機能ではありません。Microsoftの場合は、Intuneがそれになります。

 Windows Autopilotというのは、その名前からPCをセットアップする手段だと思われがちですが、実のところAzure ADへの強制参加という機能に過ぎません。Azure ADに参加されたPCは、既定のMDM(デフォルトでは、Intune)に登録され、そのMDMから自動セットアップが行われ、以後の企業としての制限もMDMから行われます。そのため、企業PCとしての制限をオンプレADで行っていたとすると、同じことをWindows Autopilotでするには、その設定をIntuneへ移行する必要があります。

 これは、結構骨が折れる作業です。オンプレADの運用を10~20年やっているという企業は、少なくありません。このような長期間の運用の中で、「なぜ、この設定をしているのか」「そもそも必要なのか」と思われるようなことが少なからずあるはずです。意図が不明な設定含めてIntuneへ移行するとなると、その作業は膨大になります。少し前までのIntuneは機能不足で、オンプレADのグループポリシーで可能なことができないということもありました。しかし今は、ほとんどのケースでIntuneが対応できないということはなくなっています。

 とはいえ、オンプレADの時代と今のクラウドネイティブな時代では、セキュリティやコンプライアンス、ガバナンスの考え方は全然違うものになっています。そもそも10~20年前のポリシーをそのまま再構築するべきでしょうか。言わずもがな、それは労力がかかるだけで、あまりに意味のないことです。

元記事: https://japan.zdnet.com/article/35189744/
IT関連 #モバイル #新潮流Device as a Serviceの世界

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
アップルが配偶者とティーンエージャーのための「Apple Card Family」発表、ジェンダー差別疑惑を払拭
フィンテック
2021-04-22 13:38
みずほFGとIBM、システム運用での生成AIの実証で有効性を確認
IT関連
2024-02-02 21:54
“情報システム部門も知らない資産”がサイバー攻撃の標的に 「CyCognito」で隠れたリスクを洗い出せ!
PR
2021-03-19 01:47
日本IBM、医薬品の流通経路や在庫状況を可視化–ブロックチェーン活用したプラットフォームを検証開始
IT関連
2023-03-30 05:10
IT運用担当者はキャリアパスに不安–スキル獲得機会の欠如や待遇・評価面に不満
IT関連
2023-09-15 23:38
コクヨ、グループ経営管理システムを構築各事業の詳細な経営管理情報を統合
IT関連
2021-07-19 13:55
Facebook幹部のシモ氏をInstacartがCEOとして引き抜き
企業・業界動向
2021-07-10 20:49
OKI、羽田空港で遠隔操作ロボットの実証実験–4つのカメラ映像を俯瞰合成してシームレスに表示
IT関連
2021-03-13 07:54
パスワードマネージャー6選–すべてのログイン情報を簡単に管理
IT関連
2022-05-22 14:21
NASAはいかにしてデータサイエンス人材のスキルギャップ解消に取り組んでいるのか
IT関連
2021-07-16 03:20
米サイバーセキュリティ庁CISAがハッカー向けにセキュリティバグ報告用プラットフォーム開設
セキュリティ
2021-06-10 01:31
フェーズドアレイ気象レーダーの複数展開で線状降水帯の予測精度を大きく改善できることを富岳のシミュレーションで確認
IT関連
2022-03-09 11:44
Apple、A12チップを搭載しiPodのようなクリックホイール備えた「Apple TV 4K」を発表
IT関連
2021-04-22 05:06
ノーコードの自動化ツールZapierがノーコード教育サービスとコミュニティのMakerpadを初めての企業買収で合併
ソフトウェア
2021-03-10 17:24