MobileIronを触ってみました

MDMをリプレースするに辺りいろいろ調べたことをまとめてみました。
今記事はMobileIronになります。

はじめに

MobileIronとは今はIvanti社だっけ？の提供しているMDM（モバイルデバイス管理）システムです。

ようこそ

大きく3つのシステムに分かれています。
・UEM（総合エンドポイント管理）
・Access（ユーザー認証）
・Threat Defense（モバイル脅威対策）

弊社ではAccessやThreat Defenseに当たる部分は別で構築しているので、今回はUEMの話になります。

トライアルの開始方法

販社様に依頼して待つだけ。
1ヶ月間100台のでも環境を借りられます。
優秀な販売店ならデモ環境の受け渡し時に管理画面の説明もしてくれると思います。（3社目で初めてしてもらいました）

ユーザー情報について

CSVで一括登録してもいいし、LDAPで同期をとってもOKです。

ユーザー設定で紐付けられるデバイスの上限やパスワードの複雑さも設定できるんですが、デバイス登録設定でメーカーのブラックリストが作れるのはちょっとすごいですね。
これあれば中華系とかも締め出せますよ。今まで見たこと無いわーこの機能。

デバイス登録について

他製品と同じくafw識別子の登録やQRコード登録、アプリからの登録があります。特に迷ったりはないですね。
おすすめはafw識別子とのこと。確かにQRコードは読み込みに時間がかかったりするので、手打ちとはいafw識別子の方が早いかも。

インベントリ情報について

シリアル番号とIMEIをきっちり分けて表示するのえらい！
今までのMDMの中で一番情報量が多いかな。資産管理ソフト並ですね。

プロファイル、ポリシーについて

しっかり企業プロファイルでの個人アカウント抑止ができるので情報漏えい対策はバッチリ。
OSアップデートの遅延もできるので管理側の融通も多少はきかせられます。

ポリシーはデフォルトでフェールセーフな設定がされているので、雑に初めてもクリティカルなインシデントが起こりにくいようになっているのは助かりますね。
更に一定期間クライアントのチェックインがない端末はユーザーに通知も出来るので、普段使わない端末を定期的に起動してもらうためのきっかけにもできます。（やるかどうかは別）

その他

AADやOkta、Oneloginと連携できるのでユーザー管理は思ったより楽できるかもしれないです。
さらにmacOSにはbashかzshでスクリプトを組んで配布できるので、かゆいところに手が届く感じ。

またGithubでラーニングセンターを構築しているので序盤はこれだけで概ねできちゃいます。

MobileIronラーニングセンターへようこそ

めちゃくちゃわかりやすいですし、Androidのプロファイルによる挙動の違いなんかは動画でわかりやすく紹介してくれるので自分で全部確認する必要がなく大変助かりました。

最後に

素直に使いやすいですねー。思ったところにちゃんと機能があるのでストレスがないです。導入企業が多いのもうなずけます。

これを導入するならSKYSEAとかLanscopeのような資産管理システムは不要ですね。概ね同じことが出来ます。
Lanscopeよりは管理側が専用クライアントを導入とかしなくていいので面倒がないのもポイント高いですね。