Content
McAfee Enterprise Mobility Management FAQ
McAfee Enterprise Mobility Managementの導入を検討されているお客様、企業のモバイル管理について課題をお持ちの方に、本製品についての機能についてQAでご案内いたします。
※本情報は2012年2月時点のものです。予告なく変更することもございますので予めご了承ください。
◆ 製品について
McAfee EMMとは何ですか?
McAfee Enterprise Mobility Management(EMM)はスマートフォンやネットワーク接続可能なタブレット端末(デバイス)を企業システムに安全に接続・管理するためにご利用いただけるソフトウェア製品です。コンピュータウィルスやスパムを防ぐためのソフトウェアではなく、効率よくデバイスを管理するためのツールです。
EMMはどのように動作するのですか?
スマートフォンなどのデバイス側にエージェントソフトおよびこれに紐付けられるデバイスの特定化、ポリシーなどの設定を含んだプロファイルデータをインストールし(iPhone、Androidなどデバイス側のプラットフォームによって異なります)、この設定をもとに各デバイスの状態をシステム管理者がモニターして管理するためのサーバー側ソフトウェアから構成されます。
↑ トップに戻る
◆ デバイス管理
- 現時点でサポートしている端末は何ですか?
- Microsoft Exchangeや Apple iCPU(iPhone 構成ユーティリティ)、他のデバイス管理ソリューションでは不十分なのでしょうか?
- デバイス上のファームウェアやアプリケーションに対してどのような権限を持つようになるのですか?
- いわゆる“ジェイルブレーク”や”Root化”されたデバイスを検知することは可能ですか?もし可能ならば、これらのデバイスに対しては何ができますか?
現時点でサポートしている端末は何ですか?
McAfee Enterprise Mobility Management(EMM)はApple社のiOS(iPhone, iTouch, iPad)およびMicrosoft社のWindows Mobile/Windows Phone、Google社のAndroid OS端末に対して最大限の機能サポートを提供し、RIM社のBlack Berry端末に対してはセキュリティ確保と端末管理をある程度可能にするプラットフォームの基本的なサポートを提供します。
「基本的なサポート」とは端末のロック(施錠)、アンロック(解錠)のためのパスワード(個人暗証番号)設定を必須とし、端末内のデータをリモートで消去(または工場出荷状態に初期化)することなどを含みます。
McAfeeでは各端末プラットフォームのすべての端末をサポートしてはおりませんが、プラットフォームの成熟度合いに従ってサポートする端末を順次拡張しています。最新サポート状況は担当営業にお問い合わせをいただくか、Webサイト等で公開されているテスト済みデバイスリスト最新版をご確認ください。
Microsoft Exchangeや Apple iCPU(iPhone 構成ユーティリティ)、他のデバイス管理ソリューションでは不十分なのでしょうか?
エンタープライズのレベルではデバイスのライフサイクル全般にわたってコントロールできることが必須であり、パスワードや暗証番号のみでデバイスをロック/アンロックすること、データをリモート消去することだけでは十分ではありません。McAfee EMMはエンタープライズ利用に必要とされるサービスレベルとデバイスに対するユーザー要求、ポリシー適用、ビジネス要件を満たすために次のような機能を提供します。
- ユーザーの同意だけで完了できるセルフサービスのデバイス・アクティベーション
- 社内の組織に基づいたポリシー適用(Microsoft Active Directory, Lotus Domino LDAPとの連携)
- VPN, 電子メール、Wi-Fi適用などエンタープライズサービスへの自動的な接続とパーソナライズ化
- 強力な認証機能
- 暗号化の管理
- OTA(Over the Air)によるセキュリティポリシー、コンフィグレーションのプッシュ式自動アップデート
デバイス上のファームウェアやアプリケーションに対してどのような権限を持つようになるのですか?
ポリシーに適していないデバイス、承認されたファームウェアのバージョンを使用していないデバイスに対して社内ネットワークへの接続をブロックすること、あるいはデバイスに装備されているカメラやBluetoothのような機能に対する制限をかけることができます。Appleのデバイスでは例えば標準アプリケーションとして搭載されているYouTube, Safari, iTuneの使用を禁止することもできます。
デバイスをアクティブ化すると既にインストールされているアプリケーションや個人データはそのままに、新しいアプリケーションの追加インストールをブロックすることも可能です。
いわゆる“ジェイルブレーク”や”Root化”されたデバイスを検知することは可能ですか?もし可能ならば、これらのデバイスに対しては何ができますか?
“ジェイルブレーク”、”Root化”されたデバイスをブロックすることができます。またコンプライアンスから外れているこれらのデバイスに対して「ブロックする」、「ポリシーとの同期がとれていないデバイスをブロックする」、「一定のバージョン以前のデバイスをブロックする」といった追加ポリシーを設定して監視を続けることも可能です。
↑ トップに戻る
◆ データ暗号化およびデータ消去の操作
- デバイスで利用しているSDカードの暗号化も含めて、デバイスのデータの暗号化をサポートしていますか?
- データ消去はどのタイミングでどのように実行できるのでしょうか?何か制限のようなものがあるのでしょうか?
- デバイスデータ消去を実行する前にSIMカードを抜いた場合はどうなりますか?
デバイスで利用しているSDカードの暗号化も含めて、デバイスのデータの暗号化をサポートしていますか?
McAfee EMMでは暗号機能の使用を原則としており、同時にハイパフォーマンス、データ整合性を両立させています。ただしMcAfee EMMが提供する機能ではなく、もともとデバイスが有している暗号化機能を利用しています。
Windows Mobileに対してはMcAfee EMMはSDカードを含む電話機全体を暗号化することができ、この機能をオンにすることもオフにすることも可能です。
Appleについては3GS以降のすべてのデバイス(iPad, iPhone, iPad Touchを含む)はハードウェアの仕様として暗号化機能を最初から装備しています。
Andorid OS端末については、v3.0以降を搭載の端末(※端末によっては未対応)は暗号化機能をサポートしています。
McAfee EMMは暗号化機能を使用していないデバイスを検知してブロックすることができます。
データ消去はどのタイミングでどのように実行できるのでしょうか?何か制限のようなものがあるのでしょうか?
EMMは二種類のデータ消去をサポートしています。一つは全消去で、もうひとつは部分消去です。
- 全消去はファームウェアとアプリケーションを工場出荷状態に戻します。全消去はユーザーがデバイスを紛失した場合に有効で、デバイス暗号化が有効状態でも機能します。
- 部分消去はIT部門によってデバイス上のエンタープライズ・データ(企業の電子メール、コンタクト情報、カレンダー)消去を可能にする機能です。この場合、個人が使用している情報やコンテンツ(iTuneのライブラリや写真データなど)は影響を受けませんが、アプリケーションをアンインストールすることはできなくなります。
デバイスデータ消去を実行する前にSIMカードを抜いた場合はどうなりますか?
SIMが抜かれた場合でもパスワード設定でデバイスは保護されています。パスワードを一定回数以上間違えるとデバイスのデータは自動的に消去されます。しかしながら、暗号化設定をしていなければSDカードは消去が実行される前に読み取られる可能性があり、SDカード上の重要な情報を盗まれることになるかもしれません。
↑ トップに戻る
◆ 初めてのご利用にあたって
- 管理者はどのようなセットアップ手順をすればよいのですか?
- EMMでユーザーとアプリケーションを有効化するにはどうすればいいのですか?
- ユーザーが異なるデバイスをアクティベートしたい場合はどうなりますか?
- デバイスをプロビジョニングする対象者をコントロールすることはできますか?
管理者はどのようなセットアップ手順をすればよいのですか?
McAfee EMMインストラーが必要なすべてのソフトウェアのコンフィグレーション設定を用意しており、標準的には30分ほどでインストールは完了します。インストールが完了するとEMMがコンフィグレーション設定、各デバイスの機能に基づいたセキュリティ設定の実行などを進めやすい手順でガイドします。
- Active DirectoryやDomino LDAP認証、セキュリティグループのディレクトリ等を活用したロール(役割)ベースのコンソールを設定します。
- ディレクトリ内にグループを構築し、グループ内のメンバーを設定して、システム管理者の役割(ロール)を持ったグループを関連付けます。
- 利用されるデバイスのタイプに基づいて各ユーザーのポリシーを定義し、ユーザーの役割(ロール)ごとにセキュリティを設定します。
- ポリシーを構築し、グループにポリシーを設定し、ポリシーに基づくグループを関連付けます。
- 最後にユーザー/グループがアクセスするサービスと接続方法(VPN, Wi-Fi, メッセージング、LOBアプリケーションなど)を定義します。
EMMでユーザーとアプリケーションを有効化するにはどうすればいいのですか?
ポリシーが満足いくものに設定できれば、あとはユーザーがセルフサービスの画面からOTA(Over the Air)を通じて自身でサービスを利用できるようにするだけです。
- エンドユーザーは自分の有効なアカウントが存在しているのか確認ができますし、なければ新たにアカウント設定のリクエストをすることができます。もしアカウントが無効になっていれば、デバイスをEMM環境に対して有効にすることはできません。
- iPhoneユーザーはAppStoreにアクセスしてEMMエージェントソフトをダウンロードし、エージェントソフト上で電子メールアカウントとパスワードの認証(ExchangeとDominoのユーザーはアカウントとパスワードをそのまま利用できます)を実行して企業の定めたポリシーに同意をすれば、EMMが暗号化されたプロファイルをユーザーにプッシュ配信しますので、自動的に社内ITサービスとして利用できるようになります。
- セキュリティポリシーやコンフィグレーションの更新があった場合、デバイスにはOTAを通じてリアルタイムにプッシュ配信されます。デバイスを紛失したり盗難にあった場合の全消去、部分消去の実行もプッシュで実行されます。
ユーザーが異なるデバイスをアクティベートしたい場合はどうなりますか?
新たにプロビジョニング(利用できるよう設定)をする必要があります。この場合ユーザーはプロビジョニングされた二つのデバイスを持つことになります。もし新しいデバイスだけを使いたい場合は、企業のIT部門が管理コンソールと管理者パスワードを使って古いデバイスのアカウントを削除するか、データ消去を実行することになります。
デバイスをプロビジョニングする対象者をコントロールすることはできますか?
プロビジョニングができるユーザーを(ホワイトリストなどによって)選択し、あらかじめ設定しておくことも可能ですし、すべてのユーザーを可能に設定することもできます。
↑ トップに戻る
◆ アプリケーションと個人所有のコンテンツ
- 特定のアプリケーションをブラックリスト化することはできますか?
- 社内で開発したアプリケーションへのアクセス権はどのように付与できますか?
- EMMでは利用している端末で個人の電子メールや個人で利用する情報にアクセスすることはできますか?
特定のアプリケーションをブラックリスト化することはできますか?
Appleのデバイス上においては、特定のプレインストール・アプリケーション(YouTube, Safari, iTuneなど)を使用禁止(ブラックリスト化)することは可能です。
社内で開発したアプリケーションへのアクセス権はどのように付与できますか?
社内開発アプリケーションの配布には下記の方法があります。
・EMMサーバ上にアプリケーションを登録し、EMMサーバをアプリケーションの配布元として使用する。
・Apple App StoreやAndroid Marketにアップロードする。
・物理的にデバイスをダウンロードサーバーに接続して各デバイスにアプリケーションをダウンロードし、iPCU(iPhone 構成ユーティリティ)などを使ってコンフィグレーション設定をすることで利用可能となります。
EMMでは利用している端末で個人の電子メールや個人で利用する情報にアクセスすることはできますか?
できます。またEMMでは個人用のデータを部分的に消去することも全消去することもできますが、データのバックアップと復元する機能は持っていません。またEMMでは個人用に使用している領域のデータをエンタープライズサーバーにダウンロードする機能は持っていません。
↑ トップに戻る
◆ コンプライアンス
- デバイスのコンプライアンスを確実に実行、継続させるためにどのようなサポート機能がありますか?
- コンプライアンスが不適合のデバイスを接続しようとした場合どうなりますか?
- コンプライアンスに特化したようなレポート機能はありますか?
デバイスのコンプライアンスを確実に実行、継続させるためにどのようなサポート機能がありますか?
EMMではSilverlightが利用可能なWebブラウザで確認できるビジュアルなレポート機能を提供しており、次のような機能でポリシー、デバイスの監視が可能です。
- エンタープライズ・アプリケーションとサービスには認証されたユーザーとデバイスしか接続できない規定をポリシーとして保持し、自動で実行する機能があります。
- デバイスの接続が許可される前に、条件としてデバイスの登録や、ポリシーへの準拠、コンフィグレーション設定、OSのバージョンなどが最新になっていることなどを要求できます。
- ポリシーを更新する場合(通常はユーザーごと、またはグループごと)、デバイスがシステムにチェックインする際に新しいポリシーを適用させることができます。
- McAfee ePO(ePolicy Orchestrator)のダッシュボード上でコンプライアンス状況の統計情報、またポリシー違反、アプリケーション情報、コンプライアンス状況などの詳細情報レポートを表示できます。
コンプライアンスが不適合のデバイスを接続しようとした場合どうなりますか?
接続をブロックすることもできますが、EMMではエンタープライズシステムにどのデバイスがアクセスを試みているかを監視することができます。コンプライアンス不適合の(あるいは許可されていない)デバイスを抽出してユーザーに通知し、適切なデバイスに設定して、利用し、維持していくためにユーザーと協業して適切な利用方法を広げていくこともできます。
コンプライアンスに特化したようなレポート機能はありますか?
いくつかの監査レポートが利用できます。これにはデバイスのステータス(状態)、コンプライアンス不適合デバイスのリスト表示、ユーザーに要求したアクションが履行されているかとデバイスの健全性などについて変更があったかを管理コンソールで確認できるログレポートがあります。
またデバイスの詳細(ユーザーの電子メール、電話番号履歴、セキュリティポリシー適用、デバイスのステータスなど)についても確認することはできます。
↑ トップに戻る
◆ 安全な接続、認証、通信
- McAfee EMMにはITシステムのネットワークからモバイル端末に安全な通信を提供するためにどのような仕組みがありますか?
- ユーザー認証と接続はどのように行われますか?
- 強力な認証の種類としてはどのようなものがありますか?
- Wi-Fi利用のためのサポートはありますか?
- McAfee ePO (ePolicy Orchestrator) との統合について何かプランがありますか?
McAfee EMMにはITシステムのネットワークからモバイル端末に安全な通信を提供するためにどのような仕組みがありますか?
EMMでは各デバイスに、エンタープライズネットワーク対して強力な認証を実行するための固有のデジタル認証を義務付けています。また、すべての通信はSSL(Secure Socket Layer)プロトコルが使われています。
ユーザー認証と接続はどのように行われますか?
EMMではユーザー認証にはいくつかのオプションを設けています。
- 標準技術としての認証
- VPN on demand
- SSL VPN
強力な認証の種類としてはどのようなものがありますか?
EMMではアクセスと暗号技術の利用に関しては各デバイスが実装している認証技術を利用していますので各デバイスに依存します。また、電子メールの同期についてはユーザー名とパスワードに加えて、デバイスそのものの認証を必要とします。
Wi-Fi利用のためのサポートはありますか?
あります。Wi-Fiはポリシー設定でデバイスのサービスとしてコントロールできるサービスの一つです。EMMではWi-Fi設定のプロビジョニングが可能で、これを利用するとユーザーにSSIDや接続キーを伝えて設定する手間を省くことができます。
McAfee ePO (ePolicy Orchestrator) との統合について何かプランがありますか?
現時点ではMcAfee ePO内にWebベースのEMM管理コンソールを統合して提供しています。
現在このコンソールでは、監査、およびポリシー違反、アプリケーションのインベントリー、コンプライアンスのトラッキング、デバイスの紛失などについての管理とレポーティングが可能です。
またこれ以外にはデバイス・ハードウェアのステータス、OS、不正な電話利用、およびポリシー適用とコンフィグレーション設定についてもレポート作成が可能です。
↑ トップに戻る
お問い合わせ窓口について
本製品に関するお問い合わせは下記の法人向け問い合わせ窓口までお願いいたします。
企業のお客様専用お問い合わせ窓口 : http://www.mcafee.com/japan/contact/hojin.asp
