fbpx

リモートの従業員を保護するためのマイクロソフトのベストプラクティス

安全なリモート作業への移行

COVID-19が世界中に広まるにつれ、何万人もの人々が、何万人ものマイクロソフトの従業員を含め、遠隔地の仕事に移りました。クラウドへの移行により、すべてのユーザーのIDとネットワークアクセスを管理する方法が変わりました。ネットワークへのアクセスに使用されるデバイスが安全で健全であることを保証するのに役立ちました。そして、重要な生産性アプリにアクセスするためのより良いエンドユーザー体験を作り出しました。社内のITチームであるCore Services Engineering and Operations(CSEO)が主導するこの変革は、Microsoft製品が顧客、データ、およびアプリケーションを保護し続けながら、膨大な従業員のリモート作業を迅速に可能にするのに役立ちました。

チームがリモートで作業できるようにすることは、組織の規模、業界、およびデジタル変革の段階によって、組織ごとに異なるように見える進行中の課題です。

すべてのITリーダーは、組織の従業員全体でリモート生産性を実現するために独自の優先順位を定義する必要があることを理解しています。私たちのリモートワークジャーニーはあなたのものとは異なって見えるかもしれませんが、私たちはいくつかのベストプラクティスと学習を共有することで助けたいと思います。

ゼロトラスト

現代のビジネス環境の複雑さは、私たちの労働力がモバイルであり、どこからでも仕事ができることを期待していることを意味します。そのため、私たちのセキュリティアプローチはゼロトラストから始まります。ゼロトラストは、信頼しない、常に検証するという原則に基づいています。各アクセス要求は、制御されていないネットワークから発信されたかのように扱われます。すべてのアクセス要求は、強力に認証され、ポリシーの制約内で承認され、アクセスが許可される前に異常がないか検査されます。ユーザーのIDからアプリケーションのホスティング環境までのすべてが、リクエストを検証して違反を防ぐために使用されます。このアプローチは、ユーザーがどこにいても、マイクロソフトが従業員、デバイス、アプリケーション、データ、そしてお客様を保護するのに役立ちます。

Microsoft製品のゼロトラストアプローチの詳細については、別の記事をご覧ください。すべての組織には固有の要件、既存のテクノロジーの実装、およびセキュリティ段階があるため、ゼロトラスト評価ツールを使用して、次のステップを計画できるように、どこにいるのか、どの成熟段階にあるのかを判断することをお勧めします。

IDとアクセスの管理

強力なID基盤により、ユーザーはどこからでも必要なリソースやアプリに安全にアクセスできます。私たちのハイブリッド環境は、クラウドベースのコントロールプレーンを使用して人々が生産的かつ安全に作業できるようにする一方で、既存のシステムを保持および拡張するのに役立ちます。従業員、パートナー、サプライヤーなど、企業ネットワークにアクセスする必要があるすべてのユーザーは、Azure Active Directory(Azure AD)に同期されたプライマリアカウントを受け取ります。

さらに、Microsoft製品を用いての企業リソースにアクセスするには、Multi-Factor Authentication(MFA)が必要です。ユーザーが、私たちが管理するデバイスでMicrosoftの仕事用の資格情報を使用してリモートでドメインに接続する場合、MFAはほとんど透過的です。ほとんどの場合、ユーザーはパスワードなしの方法でサインインするだけで、たとえば、別のブラウザーやデバイスを使用したり、機密性の高いアプリケーションにアクセスしたりするなど、使用方法に変更がない限り、MFA プロンプトは表示されません。Microsoft製品は3つの認証方法を提供します:証明書ベースの仮想および物理スマートカード、Windows Hello for Business(PINまたは生体認証サインインを使用)、およびAzure Multi-Factor Authentication。

デバイスの管理

管理されていないデバイスは、悪意のあるパーティにとって強力なエントリポイントであり、正常なデバイスだけがアプリケーションとデータにアクセスできることが重要です。マイクロソフトでは、Windows、Mac、Linux、iOS、Androidなどの幅広いデバイスを管理しています。多くの皆さんと同様に、私たちは完全にクラウドベースの管理環境への移行を行っています。その変化に伴い、Microsoft Endpoint Managerとの共同管理アプローチを採用しました。Endpoint Managerは、Microsoft IntuneとConfiguration Managerを単一のコンソールに統合し、すべてのエンドポイントとアプリケーションを管理し、それらが安全で信頼できることを確認するためのアクションを実行できます。

従業員が自宅やデバイスをまたいで作業する人が増えるにつれ、組織は自分のデバイスの持ち込み(BYOD)シナリオをサポートする戦略が必要になります。ユーザーがAzure ADにすばやく簡単に参加し、Endpoint Managerに登録して会社のリソースにアクセスできるように、セルフサービス登録を提供しています。登録すると、Endpoint Managerは適切なポリシーを適用します。たとえば、デバイスが強力なパスワードで暗号化され、VPNやWi-Fiなどにアクセスするための証明書を持っていることを確認します。Endpoint Manager は、ユーザーの認証を処理するときに、デバイスの正常性コンプライアンスステータスをAzure ADにチェックインすることで、デバイスがポリシーに準拠していることも確認します。マイクロソフトの会社のポリシーではデバイスの登録が必要ですが、Endpoint Managerを使用して登録せずに安全なBYODポリシーをロールアウトできます。

Endpoint Managerのデプロイと使用に関するガイダンスについては、Endpoint Managerのドキュメントとチュートリアルをご覧ください。

生産性と基幹業務アプリへのアクセスを可能にする

安全でシームレスなアクセスにより、リモートの従業員をサポートしながら生産性を実現できます。

マイクロソフトでは、すべての会議がTeams会議になり、セキュリティとプライバシーの保護機能が組み込まれているため、会議への参加者の管理、ドキュメントの共同編集、コンテンツの表示を行うことができます。Microsoft 365は、Microsoft Teams内でOffice 365グループまたはチームをセルフサービスで作成し、適切なセキュリティ、コンプライアンス、および管理性を確保しながら、従業員がコラボレーションできるようにします。そして、より深いレベルでの共同作業が必要な場合、従業員はチャンネルに自分のチャットを移動することをお勧めします。

マイクロソフトの職場向け生産性向上アプリへのアクセスを簡単にすることに加えて、従来の基幹業務アプリの多くをクラウドに移動しました。

Endpoint ManagerはWindows とモバイルデバイスの両方に配信できるため、従業員はモバイルとWeb、SaaS、デスクトップ、および基幹業務アプリにアクセスするときにシームレスなエクスペリエンスを提供できます。さらに、Windows Virtual Desktop (WVD)の展開を進めており、開発者が使用したいデバイスをサポートするためにこの製品を拡張しています。デスクトップだけで作業するエンジニアのために、開発環境にリモートでアクセスできるように、WVDソリューションを含むラップトップを提供します。

従業員がリモートでMicrosoft Teamsを使用できるようにする方法と、Microsoft 365のライブイベントの詳細をご覧ください。

一緒に適応する

マイクロソフト製品は場所やデバイスを問わずに働く従業員をサポートする方法を提供しています。

SNSでもご購読できます。

コメントを残す

*