特にモバイルデバイスの紛失時の対応が気になる点と考え、遠隔操作の各機能の比較とリタイヤ機能を使用したときの挙動比較を行っています。
- 操作環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft 365 Business Premium(試用版)
- 管理デバイス環境:Windows10,11、iOS、Android
- モバイルデバイス 遠隔操作機能の比較
- モバイルデバイス 紛失時対応の検討
- 私有Androidデバイス リタイヤ機能の挙動確認
- iOSデバイス リタイヤ機能の挙動確認
- WindowsPC 遠隔操作機能について
- おわりに
モバイルデバイス 遠隔操作機能の比較
下表はモバイルデバイスの遠隔操作に関する機能を比較したものです。
| 機能 | 組織支給Android | 私有Android | iOS(*1) |
|---|---|---|---|
| リタイヤ(組織データ削除) | - | ○ | ○ |
| ワイプ(工場出荷状態) | ○ | ×(*2) | ○ |
| 削除(組織データ削除) | ○(ワイプに相当) | ○(リタイヤに相当) | ○(リタイヤに相当) |
| リモートロック | ○ | ○ | ○ |
| 同期 | - | ○ | ○ |
| パスワードのリセット | ○ | ○ | - |
| パスコードの解除 | - | - | ○ |
| 再起動 | ○ | - | △(監視モード) |
| シャットダウン | - | - | △(監視モード) |
| 紛失デバイスのサウンド再生 | ○ | - | △(監視&紛失モード) |
| デバイス検索 | △(位置情報ONにする) | - | △(紛失モード) |
| カスタム通知 | - | ○ | ○ |
モバイルデバイス 紛失時対応の検討
モバイルデバイスの管理において、特に紛失時の対応が気になる点と考えます。以下、紛失時に使用を検討しそうな機能に関する注意点です。
- パスコードのリセット/解除
Androidは新しいパスコードを生成(Microsoft Intune管理センター画面に表示)、iOSはパスコードなしでアクセスできるようになります。
全く違う機能のため、iOSの方は紛失時に誤ってパスコードを解除しないよう注意が必要です。 - ワイプ
デバイスを工場出荷時の状態に戻します。私有Androidは実行できませんが、組織支給AndroidとiOSは実行できます。
私有iOSをワイプすると、個人のデータまで消去されるため、誤って実行しないよう注意が必要です。 - サウンド再生、デバイス検索
iOSは監視モードや紛失モードの切り替えが必要ですが、私有iOSへの監視モードの適用は余程のことがない限り現実的ではないと考えます。
組織支給Androidは位置情報をONにしておく必要があります。また、これらの機能を使用する場合、個人情報の取扱いや使用者の同意について検討が必要と考えます。
パスコードリセットやデバイス検索等、組織データを消去する前にやれることもありますが、時間がかかってデータ流出のリスクが高まる位なら、直ぐにリタイヤ(組織支給Androidの場合はワイプ)するのも手かと思います。
この後、私有AndroidデバイスとiOSデバイスをリタイヤしたときの挙動を紹介します。
- 紛失・盗難時の対応の公式記事:
Microsoft Intune で紛失したデバイスを探す | Microsoft Learn
私有Androidデバイス リタイヤ機能の挙動確認
デバイスを遠隔操作するには、WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[すべてのデバイス]を選択し、対象のデバイスを選択します。
[リタイヤ]を選択します。
確認メッセージが表示されたら、[はい]を選択します。
暫くすると[見つかりません]とメッセージが表示され、画面を再読み込みするとデバイスの情報が表示されなくなります。
この後、デバイス本体の状態を確認します。
リタイヤ前は個人用/仕事用に分かれていました。
リタイヤ後は仕事用が丸ごとなくなり、個人用のみとなっています。
また、仕事用が削除された旨の通知も届くようになっています。
仕事用のプロファイルごと消えるので、プロファイル内の組織アプリのアンインストールは不要です。
デバイス使用者が設定メニューから[パスワードとアカウント]を選択し、[仕事用>仕事用プロファイルを削除]を選択することでも、リタイヤと同じ状態に(組織データ、つまり仕事用プロファイルを丸ごと削除)することができます。
iOSデバイス リタイヤ機能の挙動確認
Microsoft Intune管理センターにアクセスし、左メニューの[デバイス]から対象のデバイスの画面を開き、[リタイヤ]を選択します。
確認メッセージが表示されたら、[はい]を選択します。
暫くすると[見つかりません]とメッセージが表示され、画面を再読み込みするとデバイスの情報が表示されなくなります。
この後、デバイス本体の状態を確認します。
ホーム画面を確認すると、組織アプリは削除されていません。[ポータル]を起動してみます。
サインイン前の状態になっているようです。[サインイン]を選択してみます。
一時的に使用不可となっています。組織データ自体は使用できないようです。
ホーム画面に戻り、[設定]を選択します。
[一般]を選択します。
デバイス使用者が初期設定した際にインストールした組織用のプロファイルが消えています。図表4-3の右側のポータル画面で使用できないと表示されたのはこのためです。
ここから各組織アプリを完全に削除する手順を紹介します。
ホーム画面に戻り、[Outlook]を選択します。
[ポータル]と同様、サインアウト状態ですが、キャッシュの影響でデータが表示される場合もあるようです。
左上のサインインアイコンから設定メニューを開き、[アカウント]を選択します。
アカウント情報が残っているようです。これを選択します。
[アカウントの削除]を選択します。
確認メッセージが表示されたら、[削除]を選択します。
これでアカウント情報を削除できました。
さらに、ホーム画面に戻り、各組織アプリを長押しして、アプリ自体を削除します。
iOSデバイスは組織支給の場合はワイプすれば手間はかかりません。しかし、私有の場合はリタイヤ後にアカウント・アプリの削除を行う必要があり、私有Androidと比べると手間がかかります。
WindowsPC 遠隔操作機能について
WindowsPCにも遠隔操作機能があり、簡単にご紹介します。
ワイプ・リタイヤ・削除の機能はモバイルデバイスと概ね同じですが、細かい注意点があるので、実行前の確認画面を貼っておきます。
ワイプの二番目のオプションは「デバイスが再起動しなくなる可能性がある」とのことで、チェックをつけるのは躊躇しますね。
他に類似機能として、[Autopilotリセット]があります。公式記事によると、「デバイスを元の設定に復元し、個人用ファイル、アプリ、設定を削除します」とありました。
Autopilot機能を使ってセットアップしたPCのみが対象かと思ったのですが、Autopilot機能を使っていないPCで実施しても、OSが初期化され直前まで使用していた組織ユーザーでPCにサインインできました。なお、このユーザーの個人データーは消去されていました。組織のPCとしては使い続けるけれど一度データーを綺麗にしたい場合の機能という感じでしょうか。
Autopilot機能を使ってセットアップしたPCのAutopilotリセットについては、別の記事で挙動を紹介しています。
おわりに
以前紹介した私有Androidと私有iOSデバイスの管理において、各種ポリシーやアプリ展開の機能性は大きくは変わりませんでした。しかし、この記事のリタイヤ機能の挙動比較において、私有Androidの方が個人用/仕事用に明確にプロファイルが分かれていることもあり、BYOD環境での扱いやすさを感じられるかもしれません。
デバイス選定や紛失等のトラブルの備えの参考になれば幸いです。
当ブログ内の関連記事
