スマート・グループ
スマート・グループは、Active Directory グループ、ユーザー属性、およびデバイス属性に基づいて作成および管理される動的ユーザー・グループです。スマート・グループのメンバーは、管理者が手動で定義するのではなく、WebUI で動的に定義されます。ユーザーまたはデバイスが登録されているスマート・グループを使用して複数のデバイスをターゲットに設定し、アプリ、デバイス・アクセス、グループ・メンバーシップなどを管理できます。
利点
スマート・グループは、ユーザーベースの登録とデバイスのターゲット設定により、MDM 登録デバイスのスケーラブルな管理を促進します。スマート・グループを使用すると、IT 管理者は次のようなさまざまな方法でデバイスを管理できます。
スマート・グループはユーザー属性とデバイス属性に基づいてリソースへのアクセス権限を提供するために、効果的なアクセス制御システムとしても使用できます。例えば、iOS のスマートフォンを使用して、「米国」にある「エンジニアリング」部門に所属するすべてのユーザーが含まれているスマート・グループを作成し、米国に準拠した iOS のスマートフォンに適用される特定のエンジニアリング関連リソースへのアクセス権を付与できます。
スマート・グループを使用すると、ユーザーおよび属性データを保存できるユーザーを管理できます。
User の属性
ユーザー属性は、Microsoft Active Directory や LDAP (Lightweight Directory Access Protocol) ディレクトリーなど、組織のディレクトリー・サービスで管理対象情報に基づいて、エンド・ユーザーを一意に識別するのに役立ちます。ユーザー属性には、任意の英数字 ID、電子メール ID、またはさまざまなユーザー間で共有される共通属性を含めることができます。これらのユーザー属性により、認証、許可、および情報の取得が容易になります。ユーザー属性の例は次のとおりです。
- ID 情報: ユーザー名、メール・アドレス、ユーザー ID 番号、役職、部署、または場所
- アクセス資格情報: パスワード、セキュリティーに関する質問/回答、認証トークン
- 許可: アクセス権、役割、および責任
- アクセス制御: デバイスを特定のユーザーに関連付けることで、組織は特定のリソース、システム、またはデータに対してアクセス権を持つユーザーを制御できます。
- セキュリティー: 管理者は、ユーザーの役割に基づいてセキュリティー・ポリシーを設定でき、権限を付与された個人のみが機密情報にアクセスできるようになります。
- デバイスの構成: ユーザー属性を使用して、個々のニーズに基づいてデバイスの構成を調整できます。これにより、ユーザーは各自の役割に必要なツールと設定を確実に使用できます。
- ユーザー・エクスペリエンス: ユーザー属性に基づいてデバイスを管理することで、パーソナライズされたユーザー・エクスペリエンスを実現できます。ユーザーは、各自の役割と責任に合わせて、カスタマイズ済み設定、アプリケーション、およびアクセス権限を持つことができます。
- ポリシーの適用: デバイスを特定のユーザーに関連付けることで、IT ポリシーをより効果的に適用します。これには、ソフトウェアのインストール、更新、アンチウイルス保護、およびその他のセキュリティー対策に関連するポリシーが含まれます。
- リモート・デバイス管理: IT 管理者は、デバイスが特定のユーザーに関連付けられている場合、問題のリモート・トラブルシューティング、更新のデプロイ、およびメンテナンス・タスクの効率化を行うことができます。
- ID 管理: 適切な個人が適切なリソースにアクセスできるようにすることで、安全で効率的な IT 環境を促進します。
- 組織の変化への適応性: ユーザーが役割を変更したり、組織から脱退したりする場合、ユーザー属性に基づいてデバイスを管理することで、シームレスな移行が可能になります。デバイスのアクセスと構成は、ユーザーの状況と責任の変化を反映するよう調整できます。
- 特定のデバイス・セットに対して、パスコード・ポリシー、制限ポリシー、証明書ポリシーなどのカスタマイズされたポリシーをデプロイします。
- 特定のデバイス・セットに応じて、ロック、ワイプなどのカスタマイズ済みアクションをトリガーします。
デバイス属性
デバイス属性とは、MDM 登録デバイスに関連付けられたさまざまな特性と情報のことを指します。これらの属性には、ハードウェアの仕様、オペレーティング・システムの詳細、ネットワークの構成、およびその他の関連情報が含まれます。
- デバイス登録: 登録プロセス中、MDM サーバーはデバイス・タイプ、モデル、シリアル番号、ハードウェア仕様などの基本的なデバイス情報を収集します。
- BigFix エージェントのインストール: BigFix エージェントは、デバイスに関する情報を収集して BigFix に送信します。
- デバイス照会: MDM サーバーは、現在の場所、インストール済みアプリケーション、またはセキュリティー設定に関する詳細をデバイスに送信する場合があります。
- プラットフォーム固有の API: MDM サーバーは、オペレーティング・システムが提供するプラットフォーム固有の API を使用して、デバイス情報を取得します。例えば、iOS デバイスでは、MDM サーバーは Apple の MDM プロトコルと API を使用してデバイスに関する情報を収集できます。
- ネットワーク通信: デバイスは、更新、ポリシー、およびその他の指示について、MDM サーバーと定期的に通信します。このような通信中、MDM サーバーはデバイスに関する情報を要求して受信できます。
- ユーザーの入力: 一部の属性には、ユーザーの入力または権限が必要な場合があります例えば、デバイスの場所を取得するには、ユーザーが位置情報へのアクセスを許可する必要がある場合があります。
- デバイスの更新: デバイス情報は、デバイスが更新されると更新されます。
- セキュリティー・ポリシー: スマート・グループは、デバイス・モデルとオペレーティング・システムのバージョンに基づいて定義でき、パスコード要件、暗号化設定、その他の認証ポリシーなどのセキュリティー構成をプッシュできます。
- アプリケーション管理: オペレーティング・システムと使用可能なストレージに基づいてスマート・グループを定義し、特定のアプリケーションをデバイスにプッシュしたり、互換性と組織ポリシーに基づいて特定のアプリケーションのインストールを制限したりできます。
- ネットワーク構成: ネットワーク接続に関連するデバイス属性に基づいて、Wi-Fi ポリシーをプッシュして、デバイスが承認されたネットワークに接続し、組織固有のネットワーク・ポリシーに従うようにすることができます。
- 電子メールおよび通信ポリシー: デバイス属性を使用して、電子メールと通信の設定を構成できます。これには、企業のメール・アカウントの設定と管理、VPN 構成、およびデバイス・タイプとオペレーティング・システムに基づいた通信制限の定義が含まれます。
- 更新: デバイス・タイプ、モデル、OS バージョン、ハードウェア仕様などのデバイスのインベントリーの詳細に基づき、更新を管理し、ハードウェアのアップグレードを計画できます。
- リモート・ワイプおよびロック: デバイスの紛失や盗難時、または従業員が退職した場合は、デバイス属性を使用してデバイスをリモートでワイプまたはロックできます。
- 位置ベースのポリシー: デバイスの場所に基づいて、異なるセキュリティー設定を構成できます (例: 社内と社外のセキュリティー設定を比較する場合など)。
- コンプライアンス・チェック: デバイスのコンプライアンス違反 (古い OS バージョン、セキュリティー設定が満たされていないなど) をモニターし、必要な構成を適用することで問題を自動的に修復できます。
- カスタム構成: デバイス属性に基づいてカスタム構成を作成し、組織のニーズや業界の規制に従って管理アプローチを調整できます。
ベスト・プラクティス
- スマート・グループを作成して、特定のポリシー・グループと関連付けられた構成に一致するために、新しい登録によって満たす必要があるユーザーまたはデバイスの条件を定義します。
- スマート・グループ名:
- スマート・グループで定義された条件セットを反映する必要があります。
- スマート・グループに特定のデバイスまたは特定の OS 条件を識別するデバイス条件が含まれていない限り、特定のデバイス・タイプを参照しないようにしてください。
- スマート・グループ内で定義されていないアプリケーションやポリシーを参照しないようにしてください。
- 同じスマート・グループを任意の数のポリシー・グループに適用できます。