Google Workspace中心の企業におススメしたいデバイス管理

Google workspaceでMDMや端末のセキュリティを構築する最適な設計って悩みますよね。

Microsoft 365 E3や、Business premiumを最初から利用すれば良いのですが、組織のグループウェアをGoogle workspaceにしている場合はメールサービスや、オフィスツール、ファイル管理機能は重複してしまいますし。

Google workspaceのMDMは正直物足りない

では、Google workspaceのMDM機能を使えば？と思って検証してみました。
結論としては以下の理由から物足りなさを感じました。

・Macの管理が出来ない
・Windowsの設定が結構面倒

まぁ、餅は餅屋…ということで、WindowsはIntune、MacはJamfというのが最適解なんでしょう。もっと言えばChrome BookはGoogle workspaceのMDMなんですかね笑

目的と構成について

Google workspaceとIntuneを組み合わせることで以下を実現していきます。（Macについてはまたどこかで）

▼Intune
・盗難防止策として、Microsoftアカウントでのログイン必須化による端末のログインセキュリティの強化と、ディスクの暗号化
・端末のマルウェア対策として、Microsoft Defenderの必須化
・フィッシングやマルウェアのWebサイトやアプリケーション保護を目的としてSmartScreenの有効化
・その他Windowsの基本設定やアプリケーションの配信などなど

▼Google Workspace
・ChromeブラウザにSmartScreenの拡張機能のインストール

ライセンスは以下を選択しました。
・Google Workspace Business Standard（1,360円/月・ユーザー）
・Microsoft Intune（870円/月・ユーザー）
・Azure AD P1（650円/月・ユーザー）
計2,880円/月・ユーザー

※ちなみに、この構成だと端末の既知のリスクの検知や、ログの分析なども不十分です。
理想で言えば、Microsoft Defender for Endpointを入れたいのですが、コストの問題と購入方法の問題で本構成からは見送りました。（現状直販ではMicrosoft Defender for Endpointの単体ライセンスで購入が出来ない）
もし、EDR等の機能が必要な場合は別製品で補う必要があります。

Google workspaceとAzure ADの連携

Intuneを使うためにはAzure ADとの連携が必要です（IntuneとAzure ADは管理画面が違うので連携が必須なのか不明だけど、そんな構成はやったこともないので割愛）

ということで、前回はGoogle workspaceとAzure ADのユーザー情報の同期を実装しました。

ということで、今回はその他の設定をしていきます。

ライセンスの割り当て

１）セキュリティグループを作成する。
２）「動的メンバーシップ ルール」を設定し、ユーザーが自動でグループに所属するようにする。
３）グループにライセンスを付与する

こうすることで、Google WorkspaceからAzure ADに同期されたユーザーに自動でライセンスが割当たります。

Inutneの設定

さて、ではIntune側の設定をしていきます。
（Intuneは出来ることが多すぎるので、詳しくは自分で見てみてください）

ちなみに、この書籍は何が出来るのかなど丁寧にまとまっているのでおススメです。

ひと目でわかるIntune　改訂新版

Intune側でやることとしては、主に３つです。
１）MDMの自動登録の有効化（Azure AD Premiumなしで実施する場合はDNSを設定）

Microsoft Intune を使用して Windows デバイスの登録をセットアップする

２）Microsoft Endpoint Manager admin centerにてデバイスに割り当てるプロファイルの設定

Microsoft Endpoint Manager admin center

３）実際にWindows PCを登録してみて動作検証

（２）で細かい設定が出来るのですが、細かすぎるのでぜひ参考書籍を読んだ後に実行してください笑
もしくは、「セキュリティベースライン」をそのままテスト端末に割り当て、動作確認をして微調整していく形でも問題はないと思います。

Chromeで「SmartScreen」を使えるように設定

ユーザーが普段edgeを使ってくれればいいのですが、Chromeを使うケースもあるので、ChromeでSmartScreenの拡張機能をインストールしておきます。

Google Workspaceの管理コンソールの「デバイス > Chrome > アプリと拡張機能 > ユーザーとブラウザ」から、「Microsoft Defender Browser Protection」、もしくはID「bkbeeeffjjeopflfhgeknacdieedcoml」で拡張機能を追加します。

設定は強制させたいので「自動インストールする」にしておきましょう。

長くなってきたので今回は設定まで！
次回は実装した結果を検証していきます。