読者です 読者をやめる 読者になる 読者になる

MDMって結局何なの? というのを可能なかぎり平易に書いてみる

 仕事でMDM(Mobile Device Management=携帯端末管理)に絡んでいたとき多少勉強したのですが、「そもそもMDMって何なのか分からない」という人間向けのドキュメントが、びっくりするくらい無いんですよね。そのせいでえらく苦労したので、自分で書いてみることにします。

 詳しい方には釈迦に説法なことしか書かないのでスルーしてください。

1.MDMってなんぞや

 MDMというのは、社員が貸与された携帯電話に余計なアプリ入れたり、逆に私用の携帯電話で仕事をして情報漏えいされないようにしたりするための仕組みです。
 業務でIT機器(パソコンとか携帯電話、その他いろいろ)を扱う場合、大きく分けて2種類の人間が存在します。管理者と利用者です。
 MDMは、利用者が好き勝手しないために管理者が制限を加えるための仕組みにほかなりません。利用者のためのシステムではないのです。


 MDMは、基本的に下記のような関係性となっています。

管理者が端末にMDMクライアント(利用者側のソフトを入れる)

MDMクライアントは一定の頻度で端末の利用状況を管理者に自動送信する。また最初から機能を一部制限する

 つまり、管理者が親で利用者は子供だと思ってください。MDMクライアントは、言ってみれば自動的に子供のあとをつけて親にチクるガードマンといったところです。

 iPhoneをご利用のかたなら「iPhoneを探す」であったり、あと一部のアプリが絶対にアンインストールできないようになってますが(iOS10でその辺多少変わったらしいですが)、あれをよりえげつなくしたものだと思ってください。

 どのくらいえげつないかというと、自分の位置情報がバレたり、使いたいソフトがインストールできなくなったり、逆に入れたくもないソフトを強制的にインストールさせたりできます。

 まあ、それを強制するのは管理者ですので、会社の端末を使う以上は従わざるをえないのですが、そういう場合、管理者はあらかじめMDM設定を施した上で端末を貸与します。利用者が何かする必要は基本的にないです。

 何が言いたいかというと、MDMクライアントは管理者のためのソフトです。NTTのフレッツを使っていて「IT管理ツール入れませんか?」って言われたことあるかたがいると思うのですが、IT管理ツールというのはまさにこのMDMクライアントです。

 利用者がインストールしても何もメリットないので、NTTに何か言われても「結構です」とスルーしてください。インストールする手間がかかりますし、何より端末の深いところをいじるソフトなので、いざ辞める(使わなくなる)というときにまた手間が増えます。

 

2.MDMの基本構造

 これはMDMを扱わざるをえない人向けの話です。

 端末のロック(遠隔で端末を操作できなくする)やワイプ(端末に入っているデータを全て消す。紛失時にとられる手段)は比較的わかりやすいのですが、「こういう設定にしたい」というのを設定しようとすると、若干面倒です。

 これを理解するには、以下の概念を理解する必要があります。

 ひとつはポリシーです。ポリシーとは、設定の集合体、あるいはテンプレートだと思ってください。
 例えばゲームをインストールできなくしたい場合、ボタンひとつでは設定できず、「ゲームをインストールできないポリシーを作り、それを適用する」というステップを踏まないといけません。面倒ですね。

 

 もうひとつは、ユーザーグループです。上記のポリシーを適用する対象となります。例えば社員1~10がいた場合、10人全員を突っ込むグループと、社員1/3/5/7だけを突っ込むグループが作成できます。そしてそれぞれのグループに、別々のポリシーを適用できます(例:営業社員の設定は緩くするなど)。
 ポリシーは1つだけではなく、1つのグループに重ねがけすることができます。バイキルトスクルトを同時にかけられるのと一緒です。
 逆にいうと、うっかり社員9にポリシーを適用するのを忘れると、適用したはずのポリシーがかかってないなんてことが普通にありえます。

 

 MDMというやつは、とにかくこの基礎が分かっていないと非常に理解しづらいので、この世界では常識ではあるのですが書いてみました。
 あとNTTのサポセンにはご注意ください(ぉ