Column

端末の初期設定を自動化することで、迅速かつセキュアな端末を展開するゼロタッチデプロイとは?

はじめに

新たに入社する社員やプロジェクトへ新たに参画をする社員などへ端末を配布する際、その対応に苦労したシステム担当の方も多いと思われます。また、端末配布後にも利用者側でセットアップが必要なケースが多く、セットアップ手順が煩雑で利用するまで苦労した記憶がある方も多いのではないでしょうか。今回は、システム管理者も利用者側も負担が軽減されるゼロタッチデプロイ(自動キッティング)の機能を紹介します。

手間のかかる端末配布時の作業

端末の展開とその設定には多くの課題があります。 企業で利用する端末の場合、IT管理者が企業のセキュリティポリシーに合わせた設定を行い、さらに利用者個人に合わせた設定を行う、そして利用者に端末を送付します。配布後、利用者は届いた端末に対して自分自身で設定を行う必要があります。
また、企業独自のアプリがある場合は、事前にインストール/基本設定を施したマスタを作成し、それを複製し展開します。展開後は、事業部ごとの設定をIT管理者が行い、さらに利用者が個人の設定を行うという流れになります。

手間のかかる端末配布時の作業

このように、利用可能な端末が手元に届くまでに時間がかかるためすぐに業務に取りかかれないうえ、最終的な設定は個人に依存するため設定ミスが起こりやすいなどの課題がありました。

ゼロタッチデプロイとは

前述の一連の作業を自動化する技術が「ゼロタッチデプロイ」です。ゼロタッチデプロイは、クラウドで提供されるUEM/MDM機能を利用し、利用者が意識せずとも自動で端末を「セキュア化」します。Windowsの場合はAutopilot、Apple端末であればADE(Automated Device Enrollment)を利用します。オンプレミスのサーバーをあえて用意する必要はなく、全てクラウド上で行います。そのため対応する端末においても、閉域網の接続が不要で、インターネットへ接続できれば設定を反映することができます。

ゼロタッチデプロイとは

このような流れで設定やアプリが配信されるため、利用者側の手も煩わせずに必要な設定を網羅的に実装できます。実際に配信できる設定には、管理者権限のはく奪、ディスクの暗号化、FW設定、ネットワーク設定、不要アプリや機能の無効化の設定などがあります。またインストールするアプリも業務に必要な企業アプリやセキュリティ管理のためのエージェントなどを選択し配布することも可能です。このような設定や配布が適切に管理できることで、企業のセキュリティポリシーに即した端末にすることができます。

これまで人任せにしていた設定作業がなくなり、システム担当者はキッティングの負担がなくなるというメリットがあり、また利用者にとっては端末を開封後の面倒な設定が激減し、端末が利用できるようになるまでの時間が大幅に短縮でき、人手による設定ミスなども防げるというメリットがあります。

ゼロタッチデプロイの必要性

当然、企業規模が大きくなるほど、利用端末の導入や入れ替え作業には負担がかかります。働き方の多様化が進み、ノートPCやタブレットといったテレワークに向いた端末のニーズが増え、また一人で複数端末を使い分けるケースも多く、複数のOS管理をしたいという要望も増え、それらによる負担は増すばかりです。
さらに端末を狙うサイバー攻撃も増加しているため、適切な設定をすることはセキュリティ確保にもつながります。特定の個人を狙い機密情報を詐取する標的型攻撃も巧妙化していることから、テレワークで利用する端末管理が十分でないとセキュリティホールになる危険性が高まります。ゼロタッチデプロイは、人手の負担を減らし、セキュリティレベルを維持するためにも必要な技術です。

ゼロタッチデプロイの流れ

利用者にゼロタッチデプロイの機能を搭載した端末を配布し、インターネットに接続したうえで、電源を入れてから利用を開始するまでの流れは以下のようになります。
※Windows端末の例です。また導入するアプリや利用サービスにより、手順や流れは異なります。

ゼロタッチデプロイの流れ1

Microsoftアカウントへログインします。

ゼロタッチデプロイの流れ2

企業で払い出されている個人のID/パスワードの認証を行います。
(認証ツールとしてOktaを活用している例となります)

ゼロタッチデプロイの流れ3

多要素認証で、本人であることをより強固に確認します。
(認証ツールとしてOktaを活用している例となります)

ゼロタッチデプロイの流れ4

設定が進んでいる様子が自動で画面上に流れます。

ゼロタッチデプロイの流れ5

端末のログインにおける生体認証の設定を行います。
(画面は顔認証を選択した例となります)

ゼロタッチデプロイの流れ6

PIN(Personal Identification Number)を設定します。

ゼロタッチデプロイの流れ6

デスクトップ画面に遷移して、アプリが自動で配布されます。

ゼロタッチデプロイの流れ7

自動設定が完了すると、必要な設定やアプリが搭載された状態で業務を開始することができます。

このように、個人を特定する数カ所の入力のみで利用者に適したアプリ配布、重要なセキュリティ設定が行われ、利用を開始することができます。

まとめ

サイバー攻撃などのセキュリティの観点からも、端末管理の重要性が高まっています。迅速な端末の展開と漏れなく適切なセキュリティ設定するために、ゼロタッチデプロイを利用することを検討してはいかがでしょうか。
WindowsやMac OS、またAndroidなど、対応するOSの種類や台数により、適した機能を持つ製品選択をおすすめします。

ゼロタッチデプロイの機能をもつUEMは、導入後のセキュリティパッチ配布OSやアプリのアップデートなど、継続的な管理も実現します。ご興味がある方はこちらへ。
> BXO Managed UEMへ

上記UEMのエージェントを搭載し、ゼロトラスト環境に必要な機能をFAT端末に搭載して提供するセキュアFATについてはこちらへ。
> セキュアFATページへ

資料ダウンロード
お問い合わせ
メールマガジン登録