この記事は「Eureka Advent Calendar 2022」7日目の記事です。
こんにちは、MISチームのコーポレートエンジニアの @jetkiwi です。WindowsをIntuneでMDM管理したのでそのことについて話したいと思います。
MacはMDM管理できてるけど、Windowsは台数も少ないし全然管理できてなかった 〜発端は1件のトンデモ事件だった〜
エウレカではMacが標準環境となっており、9割近くのユーザーがMacを使用しています。
しかしながら業務の都合でWindowsを使う必要のあるユーザーもおり、1割程度のユーザーがWindowsを使っています。
上記の理由により大多数を占めるMacについては2018年にJamf Proを導入し管理を行っていましたが、
Windowsについては台数が少ないこともありMDMの導入が遅れていました。
ある日、Windows端末を利用している方にトンデモな事件が発生してしまいました。
台数が少ない というのは実は 重要な端末が少ない ということでは決してなかったのです。
これはいかん という事で、WindowsもMDM管理して世界を救うことにしました。
Windows管理における課題
いままではWindowsの管理については以下の課題がありました。
- 継続的に必要な設定が適用されていることを担保できない
- 一度デプロイした端末への設定変更やアプリケーションの展開が困難
- 台数が少ないためキッティングが手動で時間がかかり、抜け漏れが発生しやすい
この課題を解消するために、MDMを導入しました。
WindowsにIntuneを導入した
WindowsのMDMはいくつか選択肢がありますが、以下の理由よりエウレカではIntuneを導入しました。
- Macについては既にJamf Proを導入していることから、Windowsの親和性を重視したこと
- 既にMicrosoft 365ライセンスの利用があり、Azure AD環境が存在したため
- 台数が少ないことから、ミニマムライセンスがないこと
またIntuneを導入するうえでAzure AD参加は必須ではないのですが、展開の容易さや今後のAutopilot導入のためにAzure AD参加も同時に行うことにしました。
これによりWindows端末においてもアプリケーションや設定の集中管理、ゼロタッチデプロイが実現し、世界に平和が訪れました。
既存端末への展開については妥協したところも
新規で支給する端末についてはOktaの資格情報でログインができる状態が実現しました。
既存の端末についてはAzure AD参加およびIntuneの登録こそ行いましたが、ユーザーアカウントについては引き続きローカルユーザーを利用することにしました。ユーザーアカウントを移行する手間が大きく、またPCのリプレース周期が2年であり最低でも2年後には無くなることが理由です。
今後入社するユーザーは、ゼロタッチデプロイにより平和な世界が維持されます。
残る課題は
課題としては、Windowsにログイン後、再度認証を求められずにWebアプリケーションを利用できるようなデスクトップSSOを実現できない点があります。Azure ADをIdPとした場合は実現可能であるため、ここはOktaをIdPとして利用する場合のデメリットといえます。
まとめ
今回WindowsでもMDMを導入し、ポリシーやアプリケーションの管理、ゼロタッチデプロイが可能になりました。これにより自信をもってWindows端末も管理することができ、安心して年を越せそうです。
明日は、@hisamounaによる「(仮) pairsで利用しているBatchのEKS移行」です。
お楽しみに!