Windowsクライアントに対してはセキュリティ設定や、ユーザーの操作ログとかとっていて、外出時にVPN引いて業務出来るようにしている組織は多いと思います。監査面で操作ログとることが必須だ!だなんてやかましい会社であればなおさらです。
外出先での業務にWindowsクライアントだけでなく、モバイルを業務に利用するシーンは増えてきているでしょうし、ユーザーから「社内システムをモバイルからつかるようにしてよ!」というニーズも増えてきているでしょう。しかし、常に社外で使う前提のモバイルデバイスから、社内リソースにアクセスさせる環境はセキュリティ上難があるので、デバイスごとVPNを引かせるのも困ります。
こんな時に、モバイルから社内のシステムを利用する際に、特定のアプリだけ許可する(たとえば、社内システム向けのモバイルアプリからは許可するけど、Safariからは禁止する)ことができれば比較的安全です。
社内のモバイルデバイスをEMSで管理しているとき、以下の2つのシナリオがあります。
・Azure AD App Proxyを利用して、Managed Browserからのアクセスのみ許可する
・Per App VPNを利用して、特定のアプリからの場合のみ、アクセスを許可する
Azure AD App Proxyは、特定の条件を満たしたデバイスやアプリからの場合は、VPNを引かなくても社内webアプリを利用できます。社内情報を許可アプリ内で閉じさせて、許可アプリ以外にペーストできなくしたい場合は、Managed Browserでアクセスさせれば、社内システムを安全に利用させられます。
しかし、社内システムの仕様や要件により、ManagedBrowserで利用できない場合(モバイルブラウザでの操作性が違うことや、FQDNを変換することにより処理が正常に行われない、など)や、ネイティブアプリで利用させたい場合は、この方法は使えません。そういった場合は、Per App VPNを使って社内システムを利用させるシナリオを検討することができます。
Per App VPNは、クライアントデバイス側の「特定のアプリの場合だけ、VPN通信をさせる」「それ以外の場合はVPN通信させない」という機能です。社内システム用のアプリAppStoreに公開されているケースではこちらで実現できるかもしれません。
次回、Intune管理画面上でのPer App VPNの設定について書きます。