人、デバイス、データを三位一体で管理せよ――マイクロソフトがモバイル／ID管理スイート「EMS」を解説：クラウド時代はITガバナンスの強化が重要に

日本マイクロソフトは2014年10月7日、法人向けのモバイル環境管理ソリューションに関するラウンドテーブルを開催。ユーザーID管理、デバイス管理、データ保護を実現するスイートソリューション「Enterprise Mobility Suite（EMS）」を説明した。

» 2014年10月08日 12時00分公開

[＠IT]

　マイクロソフトのEnterprise Mobility Suite（以下、EMS）は、「Microsoft Azure Active Directory Premium」（以下、Azure AD Premium）「Windows Intune」「Microsoft Azure Rights Management Service」（以下、Azure RMS）で構成される、ID管理やモバイルデバイス管理のためのスイートソリューションだ。企業がクラウドやモビリティへの取り組みを進める上で不可欠なクラウドソリューションを一つにまとめ、導入や展開を行いやすくしている。

　正式な提供開始は2014年5月だが、2014年12月に導入の前提条件の変更（緩和）を予定しており、より幅広い企業での採用に向け、今回の説明会であらためて特長やメリットを訴求したかたちとなる。

企業がクラウドやモビリティへの取り組みを進める上で不可欠なソリューションを一つにまとめた「Enterprise Mobility Suite」（クリックで拡大します）

　日本マイクロソフトの佐藤久氏（業務執行役員サーバーブラットフォームビジネス本部長）は、EMSの位置付けについて「マイクロソフトの“クラウドOS”ビジョンは、ITサービスを好きなときに好きなところから“つまみ食い”できるようにすること。そのためには、シャドーITや情報漏えい、セキュリティなど、乗り越えていかなければならない課題がある。EMSは、これまで社内に閉じていたITガバナンスを、クラウドを含めた社外に対して効かせるためのスイートソリューションになる。社員がストレスを感じることなく、デジタルワークを実践できるようにすることを目指している」と説明した。

日本マイクロソフト業務執行役員サーバープラットフォームビジネス本部長佐藤久氏

　EMSを構成するソリューションの一つ、Azure AD PremiumはMicrosoft Azure上のActive Directoryサービスである「Azure Active Directory」（以下、Azure AD）の機能強化版である。

　Azure ADは各種クラウドサービスの認証を行うための基盤として、Office 365の他、Salesforce.com、Amazon Web Services（AWS）、SAPなどのクラウドサービスの間でシングルサインオンを実現するための機能を提供する。Azure AD Premiumは、Azure ADの基本機能に加え、高度なID管理やセキュリティ、オンプレミスのWindows Server Active Directoryとの同期機能などを提供する。

　「部門ごとにSalesforce.comを導入して、IDとパスワードの管理は部門任せになっているところも少なくない。全社的にITガバナンスを効かせた上で、ユーザーがどのプラットフォーム、どの言語、どのデバイスを使っても、好きなITリソースを利用できるようにしたい。そのために、オンプレミスとクラウド上のActive Directoryを連携させて、統合的なID管理の仕組みとなる“ハイブリッドID管理”を実現する必要がある」（佐藤氏）

　ハイブリッドID管理とは、クラウドサービス間の認証に使われているSAMLなどのHTTPベースの認証プロトコルを、オンプレミスのActive Directoryと連携できるようにすること。これには、Active Directoryフェデレーションサービス（AD FS）を利用する。

　この他、Azure AD Premiumでは多要素認証やアカウントのプロビジョニング（削除や移動の連携）も可能。レポート機能も強化されており、「『Microsoft Azure Machine Learning』（Azure ML）を使ったマシンラーニング（機械学習）による詳細なセキュリティレポートなど、当社がすごく推している機能も利用できる」（佐藤氏）という。

　二つ目のWindows Intuneは、いわゆるモバイルデバイス管理（Mobile Device Management：MDM）やモバイルアプリケーション管理（Mobile Application Management：MAM）をクラウドベースで実現するサービスだ。Windows PCだけでなく、iOSやAndroidもサポートしており、デバイスの種類、場所を問わないマルチデバイス管理を可能にする。Active Directoryとの連携により既存のユーザーアカウントやセキュリティグループを活用できる他、リモートワイプできる領域を個人と仕事に分ける「セレクティブワイプ」など、近年の新しいMDM／MAM機能も実装している。

　「iPad向けのOffice 365を提供開始したように、現在のマイクロソフトはWindowsに限定せず、マルチデバイスへの対応を積極的に進めている。Windows Intuneはそのためにも重要なサービスになる」（佐藤氏）

　三つ目のAzure RMSは、情報漏えいやコンテンツ管理など、ファイルやデータの適切な管理に欠かせないサービスになる。OfficeアプリケーションやOffice Online Servicesなど、クラウド上で展開しているデータを暗号化し、アクセスや操作に対して詳細な制限を設定して情報を保護する。

　具体的な例として佐藤氏は、マイクロソフト社内でのデータ共有をデモ。マイクロソフトでは、新製品のロードマップを取引先と共有する際に、Azure RMSを利用している。取引先にファイルを公開する場合はファイルに制限をかけて、編集やコピーができないようしたり、透かしや有効期限を入れて安全に文書を利用できるようにしたりしているとのことだ。

日本マイクロソフトビジネスプラットフォーム統括本部デバイス＆モビリティ本部本部長榊原洋氏

　また、マイクロソフトの榊原洋氏（ビジネスプラットフォーム統括本部デバイス＆モビリティ本部本部長）は、営業の立場からEMSが求められる理由として、切迫した状況に置かれている「現場の声」があることを紹介。

　「多くのユーザーは、シャドーITのような動きに対応できないでいる。『コントロールできない』と、はっきり認めているユーザーもいる。さらに、企業統合や買収によるID統合が課題になるケースも増えてきている。MDMにはある程度取り組んだものの、十分に管理ができていない。その結果、管理ツールによる二元管理やコスト増につながっているといったケースも多い」（榊原氏）

　そうした声に対し、榊原氏が「クラウド時代に必要なことは、“人、デバイス、データを三位一体で管理すること”」と提案すると、納得するユーザーここにきて増えてきているのだという。

EMSで実現できるクラウド時代のITガバナンス（クリックで拡大します）

　シングルサインオンを実現するために、Azure AD Premiumからスタートするケースが多いが、導入を進めるうちに「Azure RMSが最も興味深い製品、という話に落ち着くことが多い」（榊原氏）。

　EMSの価格は、標準価格が1ユーザー当たり1カ月620円（EAレベルAの参考価格）から。三つをそれぞれ個別に購入した場合には、1ユーザー1カ月1040円となる。なお、2014年12月31日までは、40％のディスカウントキャンペーンとして370円で展開するという。EMSを低価格で提供することは、段階的に導入を進めていくといったニーズに幅広く対応していくことにも狙いがあるという。

　また、現在の提供ライセンスは、Enterprise Agreement（EA）、Enterprise Agreement Subscription（EAS）、Enrollment for Education Solutions（EES）の三つのみ。ライセンスの前提条件としては、Core CAL（Client Access License）、Enterprise CAL、Bridge CAL for Office 365のいずれかが必要になる。2014年12月からは、前提条件なしのライセンスも提供を開始する予定とのことだ。