IT用語の説明

モダンデバイス管理とは何か？

モダンデバイス管理により、ネットワークエンドポイントをリモートで監視、プロビジョニング、パッチ適用、セキュリティ保護することで、ユーザー体験を向上させ、生産性を維持し、組織を保護することができます。

簡単な背景
モバイルデバイス管理（MDM）に革命を起こしたものとは？
EMMへの進化
現代のデバイス管理を構成するさまざまなモデルとはどのようなものか？
モバイルデバイス管理 vs モダンデバイス管理
Windows10がMDMに与えた影響とは？
統合エンドポイント管理 (UEM)とは何か？
MDMはどのようにITの作業負荷を最適化できるのか？
MDMについて知っておくべき重要なコンセプトとは？
モダンデバイス管理における次の課題とは？
MDM 2.0とは何か？

ここ30年間で、デバイス管理という概念は従来の管理モデルから脱却して進化してきました。これは、情報技術（IT）部門が常に懸念している監視、セキュリティ、生産性、ユーザー体験に関するニーズに応える方法を見つけることが目的です。

簡単な背景

OS（オペレーティングシステム）ベンダーが導入した、デバイス管理の近代化に向けたレガシーモデルに代わるアプローチの一つ？中央集権型のグループポリシー（GPO）を備えたアクティブディレクトリ（AD）の概念。 OSベンダーが提供できない機能や性能を補うデバイス管理ソリューションを追加するサードパーティベンダーによるアプローチ。

これらのデバイス管理へのアプローチは以下の3つのことにより制限されていました：

GPO（グループポリシー）、スクリプト、ソフトウェアをプッシュするための、企業ネットワークへのデバイス接続。
ユーザーの権限。エンドユーザーがローカル管理者権限を持つ場合、アクティブディレクトリに適用されるものも含め、レガシー管理によって送信されたあらゆる制限を手動で無効にすることができます。従来の管理ツールは、デバイス内にあるOPパッチなどを含むその他のソフトウェアに影響を与えることがあるため、これは明らかな問題を引き起こし、ITチームにとって大きな悩みの種となるでしょう。
IT部門によるデバイスのプロビジョニング。 デバイスの事前プロビジョニングをIT部門の関与なしに自動的に行う方法は当時なく、最もよく使われていたプロビジョニングの手法はイメージングでした。しかし、イメージングは、インフラと絶え間ない更新を必要とする、高価で繰り返し行う必要のある作業です。

モバイルデバイス管理（MDM）に革命を起こしたものとは？

Apple社の最初のバージョンのiPhone OS（iOS）が発表されたとき、その管理機能は、プロファイルではなく許可に基づいていました。これはデバイス管理に革命をもたらしました：

第一に、これにより、大部分の企業デバイスの管理と維持を大幅に簡素化することができたのです。
また、OSベースの高度なセキュリティも実現しました。なぜなら、信頼されたMDMソリューションのみがシステムと深くやりとりすることができ、それによって、要件を満たす制限、構成、ポリシー、およびアプリケーションを徹底させることができるからです。

さらに学ぶ：Ivantiのモバイルデバイス管理ソリューション

EMMへの進化

MDMの概念は、ガートナー社が2014年に複数の現存する戦略を統合するイニシアティブを打ち出したことにより、エンタープライズモバイル管理（EMM）へと発展しました。これは、2014年のモバイルデバイス管理（MDM）のマジック・クアドラントで示された通りです。¹

この新しい用語は、これまで個別のものとみなされていた他のサブカテゴリーや戦略を統合したものです：

MAM（モバイルアプリ管理）は、デバイスのソフトウェアのライフサイクルを管理することに重点を置いた管理です。
MCM（モバイルコンテンツ管理）は、特定のアプリ上にあるデータライフサイクルのデバイスに依存しない管理に重点を置いたものです。
MIM（モバイル情報管理）は、データライフサイクルのデバイスに依存しない管理に重点を置いたものです。

Googleは、Android 5とAndroid Enterprise（AE）のリリースに際して、最終的にEMM管理モデルを採用しました。これにより、OSにネイティブ機能が提供され、管理、ソフトウェアの展開、制限の適用、企業サービスへの安全なアクセスが可能になりました。

iOSモデルのように、AE展開には異なるモデルがありますが、集中管理とサンドボックス化されたアプリモデルという俯瞰的な考え方は同じです。これは、アプリがデバイスのOSのカーネルを危険にさらすことがないようにするためのものです。

デバイス管理におけるこのアプローチは、より効果的で説得力のあるものであることが証明されました。通常、単一のソリューションで、すべてのデバイスに適切なレベルのセキュリティ、制御、可視性を提供することが可能です。同時に、組織はその従業員へ、特に現場での業務において、企業サービスへの安全なアクセスを提供することができます。

現代のデバイス管理を構成するさまざまなモデルとはどのようなものか？

ここで一旦立ち止まって、これまで登場したすべての略語を整理して定義し、新しい単語を追加しましょう：UEM。

MAM

モバイルアプリケーション管理：

企業データにアクセスするアプリの制御に重点を置いたデバイス管理モデルで、デバイスの他の部分は対象としていない。

MCM

モバイルコンテンツ管理：

デバイスにおけるコラボレーション用コンテンツへのアクセス提供に重点を置いた管理モデル。

MIM

モバイル情報管理：

企業データのライフサイクルを管理し、暗号化された状態を維持しながら、どのアプリケーションがデータを送信できるかを制御する管理モデルで、デバイスの他の部分は制御の対象外。

MDM

モバイルデバイス管理：

ネイティブMDM APIとやり取りするデバイスとアプリの制御に重点を置いた管理モデル。OSのカーネルを制御・変更する権限が与えられている唯一のモデル。

EMM

エンタープライズモバイル管理：

2014年にガートナー社が導入した用語で、いくつかのモデルを統合する取り組み。 EMMは理論的には、MDMとMAMで構成されている。

UEM

統合エンドポイント管理：

EMMが自然に進化したのがUEMで、スマートフォン、タブレット、デスクトップPC、ノートパソコン、サーバー、IoTデバイスなど、幅広い種類のデバイスを単一のコンソールで管理できます。これが可能なのは、すべてがサンドボックス化されたOSの同じロジックを共有しており、一元化（統合）された管理ソリューションによって管理されているためです。

モバイルデバイス管理 vs モダンデバイス管理

実際のところ、MDM（モバイルデバイス管理）とMDM（モダンデバイス管理）は双子のように似たものです。その頭字語の意味は変化しましたが、それには十分な理由があります。

Apple社がiOSの導入でITの世界に打ち出したアーキテクチャを覚えていますか？これは教育機関を念頭において開発されたものでしたが、Apple社はMicrosoft社のような伝統的な企業が支配していたエンタープライズ市場に参入することを明確に意図していました。

この戦略の一環として、iOSモデルはデスクトップPCやノートパソコンなどのmacOSデバイスに徐々に拡張され、デバイス管理APIはバージョンごとに進化してきました。 Apple社はmacOSを、組み込まれたセキュリティと管理されたネイティブAPIを備えた、モバイルのような管理型OSへとますます移行させています。

この結果（また以下に述べるような他のプロバイダーによる同様の動きも）、名称が変更されました。「モバイルデバイス管理」と呼ばれていたものが、モバイルではない他の（多くの場合リモートの）エンドポイントをMDMツールが管理するネットワークエコシステムの中で適用されるようになったのです。

それにより現在、プライベート所有のデバイスを会社に持ち込むBYODのケースを含めたノートパソコンやデスクトップPCのようなデバイスが、モバイルデバイスだけでなく、すべてのエンドポイントに適用される「モダンデバイス管理」と呼ばれるシステムに登録されています。

さらに学ぶ：モバイルデバイス管理とモダンデバイス管理の違いとは？

Windows10がMDMに与えた影響とは？

Windows 10が誕生したとき、Microsoft社は「MDM/EMM」のような管理モデルを導入し、従来IT部門が行ってきたデバイスの管理方法を近代化するという抜け目のないアプローチをとりました。これが重要なのは、Apple社のような競合他社が進出しているにもかかわらず、Windowsは依然として36%以上のエンドポイントデバイスにインストールされているからです。²

Windows 10はWindows 7や8の進化版ではありません。むしろWindows Phone 8と10の進化版で、MDM API を使用して、DLP、制限、ソフトウェア配布など、デバイスのあらゆる側面を管理できるようになりました。

ここで何が大きく変わったのでしょうか？ Windows 10は、モバイルOSが取ったアプローチを採用し、EMMソリューションへのデバイスのオンボードとプロビジョニングのタスクを軽減しています。これにより、IT管理者は突然、Windows、macOS、iOS、Androidデバイスを同じ一元化されたプラットフォームで管理できるようになったのです。

統合エンドポイント管理 (UEM)とは何か？

同時に、モノのインターネット（IoT）デバイスプロバイダーが、MDM/EMM機能も提供するWindows IoTや、テレビ、ボックス、キオスク端末、専用デバイスなどに使用されるAndroid AOSPなど、「4大」OSを目的に採用し始めると、同様のデバイス管理機能が適用されるようになりました。

これが、EMMが統合エンドポイント管理（UEM）へと進化した起点です。IT部門ではこれまで述べてきたテクノロジーを使用して、ネットワーク上のすべてのデバイスを中央管理し、それらに関するすべての洞察と情報を「単一のガラス窓」、つまり単一のコンソールから表示します。

これが可能なのは、APIを使用してUEMモデルに統合する他のソリューションとの相互作用に対して、UEMプラットフォームが開かれているからです。これにより、ソリューションプロバイダーは、最新の管理型デバイスが利用可能なサービスを拡張することができ、その際にサンドボックス化されたOSを損なうことはありません。

異なるオペレーティングシステムを使用する異なるデバイスを管理できることの重要さは、以下に示すグラフを見れば明らかです。

無料ガイド：統合エンドポイント管理のための究極のガイド

北米、西欧、アジア太平洋地域の企業向けエンドポイントにおけるオペレーティングシステム（OS）の分布（2022年時点）。出典：Statista

MDMはどのようにITの作業負荷を最適化できるのか？

ここまで見てきたように、MDMはネットワークの自動登録とネットワークに接続されたデバイスのプロビジョニングを可能にします。これにより、ITチームの反復作業の負担を大きく減らし、より戦略的な課題に集中して取り組むことができるようになります。 MDMのその他の利点は？

デバイスが、MS AutoPilotやApple Automated Device Enrollment（ADE）などの自動化されたデバイス登録プログラムの一部でもある場合、IT部門はそのデバイスを直接エンドユーザーに送り、プログラムがプロビジョニングを自動的に行います。
オンボーディング、管理、ソフトウェア配布、セキュリティ対策などは、企業ネットワークへの直接接続を必要としません。インターネット接続のみが必要で、MDMはデバイスが個人使用だけのためにプロビジョニングされていないことを確認するための対策を統合しています。

後者の利点は、2020年の初めにパンデミックが発生した際に極めて重要なものとなりました。ほとんどの企業は迅速な方向転換を迫られ、企業ネットワーク全体でBYODとノートパソコンの戦略（従来の固定デスクトップPCを使う職場に対して）を採用する必要がありました。

現在もユーザーはリモートで働き、どこからでもいつでも接続できる能力を求めています。そのため、24時間365日サービスを提供できるSaaSとオンプレミスのソリューションを組み合わせた安全なネットワークアアクセスへの要望は拡大しています。

このため、ゼロトラストアクセスといったMDMに関連した他の概念も注目されています。これは、デバイスが企業ネットワーク内にあるか、部分的または完全に管理されているかに関係なく、厳格なセキュリティレベルが維持されるべきであるというものです。

デモを見る：UEMのためのIvanti Neurons

MDMについて知っておくべき重要なコンセプトとは？

WindowsやmacOSのようなデスクトップPC/ノートパソコンOSに適用されるモダンデバイス管理に関して理解しておくべき重要なコンセプトとは？ネットワーク管理者によって適用された制限が常に優先されるということです。それは、たとえユーザーがローカル管理者権限を持っていたとしてもです。

これが重要なのは、ほとんどのソフトウェアがどのOSでもスムーズに動作するように開発されているためです。これが複雑さを招くのは、ユーザーの権限が制限されている場合で、セキュリティレベルを下げることなく、ソフトウェアを適切に動作させる方法を見つけ出す必要があります。

ネットワーク管理者がiOSとAndroidで実行を許可するアプリを設定し、（プロフィールによって）ユーザーに異なるレベルの自律性を提供できるように、今日のWindows 10/11とmacOSの管理者も同じことができます。これにより、必要とされるセキュリティを採用するためにユーザー権限を制限する複雑さが解消されます。

その結果、WindowsとmacOSデバイスは登録時に自動でプロビジョニングされ、適切なソフトウェアのみが実行され、IT部門による直接的な操作が不要になります。

例：

例えば、通常のWindowsソフトウェアと企業アプリのみをネットワーク上のノートパソコンで実行するために、ネイティブなMDM APIに基づいていくつかの制限を送る必要があるとします。
ユーザーが非認証のソフトウェアをインストールもしくは実行しようとすると、OSはそれを開くことを拒否し、管理者がこのアプリを無効にしていることをユーザーに伝えます。
同じロジックが、コマンドラインインターフェイス、PowerShellコンソール、タスクマネージャーなどにも当てはまります。

さらに学ぶ：IT用語をさらに説明

モダンデバイス管理における次の課題とは？

現在、多くのベンダーがすでに、MDM/EMMに特化した管理を完結させることを目的としたアプリを提供しています。その意図は？コントロールを拡大して、より多くの機能を提供し、セキュリティデータを取得・分析し、モダンデバイス管理APIが単独で対応できないギャップを埋めることです。

他のデバイス管理が進歩するにつれて、これらのイノベーションの多くがモバイルOSの領域で誕生してきました。特に、次のような機能を提供する管理エージェントアプリという形で登場しました。

デバイスの態勢：検出、監視、および侵害されたOSの修復
通知：エージェントアプリ内で、エンドユーザーに向けたアラートやメッセージを直接通知
ロケーション：管理者エージェントアプリは、該当する場合に位置情報を提供し、デバイスと通信が可能
モバイル脅威ぼ防御：デバイス、アプリ、ネットワーク、およびフィッシング対策の攻撃対象領域に重点を置いたサイバー攻撃対策
プライベートアプリストア：ユーザーがオプションのアプリを入手できる情報源

WindowsとmacOSの場合、これらのアプリはUEMネイティブ構成と連携して動作し、重要ではあるもののMDM APIの一部として含まれていないタスクを実行します。これは特に、Windows 10/11やmacOSなどのデスクトップPC/ノートパソコンのOSで顕著であり、いくつかの重要なアクションが依然としてMDM APIの一部として利用できない状態です。例えば、以下のようなものがあります：

カスタム管理プロフィール（カスタム構成、カスタムペイロードなど）
スクリプト
タスクシーケンスに基づくソフトウェア配布
柔軟なパッチ処理
リスクに基づく脆弱性管理
サービスへのリスクに基づいたアクセス制御

MDM 2.0とは何か？

モバイルとデスクトップPC/ノートパソコンのモダンデバイス管理におけるこの格差を解決するには、両方のモデルを組み合わせたものを開発し、展開することが必要です。どこで展開してもスムーズに動作するように最適化されていて、より優れた機能を備えたものです。これは、一部のアナリストやベンダーが予測的に「MDM 2.0」と名付けたものです。

このモデルでは、ネットワーク上のすべてのデバイスが単一の集中型UEMソリューションに登録されます。能動的および受動的なスキャンにより自動的に検出し、全てにプロビジョニングまたはパッチを適用し、管理されていないデバイスや安全に最新の状態に更新されていないデバイスを検出し、セキュリティリスクを提示します。またこれらのデバイス群は、Office365、Salesforce、SAPなど、会社のすべてのサービスプロバイダーとシームレスに動作するように最適化されています。

_{¹ Messmer, Ellen. 「ガートナー・マジック・クアドラント、MDMからエンタープライズモビリティ管理に焦点をシフト」『Network World』2014年6月10日。 https://www.networkworld.com/article/2361467/gartner-magic-quadrant-shifts-focus-from-mdm-to-enterprise-mobility-management.html.}

_{²Taylor, Petroc. 「2022年の企業向けデバイスOSの分布」『Statista』、2023年2月27日。
https://www.statista.com/statistics/741497/worldwide-enterprise-endpoint-operating-system-distribution}