Slack for EMMを導入した話

弊社Slack for EMMを導入しましたので、その時のメモを残しておこうと思います。
自分自身の準備不足も多分にありますが、なんとか大きな混乱もなく全社展開しきりました。

導入の仕組み自体は簡単

機能の導入自体は簡単です。
Slack社に連絡して担当者をアサインしてもらい、設定を伝えるだけ。ほぼそれだけ。

機能の詳細は以前の記事の通りで、ポチーで変更できるので特に難しくないですね。
注意点としてはSlack側の設定はあくまでMDMで管理されていないスマホ向けということ。

MDMで管理しているスマホはMDMで管理しよう！

問題は展開

なぜ展開が問題かというと、大きく3つあります。

• OSによる挙動の違い

• アカウント種別による挙動の違い

• 浸透させるための時間

ざっくりまとめたのが以下の図になります。
弊社MDMをAndroidはMobileIron（現Ivanti Neurons for MDM）、iOSはJamf Proを使っています。

メンバーアカウントの場合

ゲストアカウントの場合

OSによる挙動の違い

Slack for EMMはモバイルデバイス向けの機能なので、ターゲットはiOSとAndroidです。
設計思想の違いから色々と挙動が異なるので、まずそこを理解することが大事です。

iOSの場合：
アプリに紐づいているアカウント（Apple ID）によって論理的に分けています。
ユーザーとしては見た目で判断できず、ホーム画面なども１つにまとまっているため非常にわかりにくいです。
同名のアプリを複数入れられないため、Slack for EMMという名前のアプリをインストールする形になります。
MDMからライセンスを配布した管理対象アプリと管理対象外アプリに分けられ、管理対象アプリ間のみコピペができるになります。

Appleデバイスに管理対象アプリを配付する

なので、GmailやGoogleカレンダー、Googleドライブなどとデータのやり取りを行いたい場合はそれぞれ配布する必要がありますが、自動配布だと既にGmailアプリがインストールされている場合うまく管理対象アプリに切り替えられないので、Self Serviceから任意で取得できるようにするといいですね。
ただし制限対象がアカウント単位ではなくアプリ単位のため、Gmailを管理対象アプリにしてしまうと、それまで使っていた個人アカウントもコピペ制限対象に入ってしまうので注意が必要です。
別のメールクライアントを管理対象として案内するか、割り切って公式のアプリを管理対象とするかを選択できるようにしておくと良いでしょう。

Androidの場合：
こちらは明確に個人用領域と仕事用領域が分けられます。
ユーザーとしてはわかりやすいですね。
同名のアプリを入れられるため、Slackアプリをインストールする形になりますが、仕事用領域のアプリは全てカバンのマークが付くのでこの点も良きです。
Androidは仕事用領域と個人用領域でコピペをさせないようにできるので、iOSのようなややこしいことにはならないですね。視覚的に分離されているのが明確なので説明もしやすいです。
注意点としてはMDMの機能次第ですが、仕事用領域に個人アカウントを追加できるので、実質意味がない状態になりかねないという点です。
ただ、仕事用領域はMDMで管理しているため、情報の把握という意味では問題ありませんし、MDMによっては会社のGoogleアカウントでしか登録できないように制限できるので、うまく活用していただければ。

アカウント種別による挙動の違い

基本Slack for EMMは対象者がSlack利用者全員です。
とはいえアカウント種別で分けられるので、ほとんどの企業はメンバーアカウントが対象になると思います。
このあたりの挙動は以前の記事に詳しくまとめているのでサラッと書くと…

メンバーアカウントの場合：
基本的には今まで通りコンテンツのコピーやダウンロードが出来ます。
ただし、先のOSによる挙動の違いによりiOSは管理対象アプリ間でしかコピペ出来ません。

ゲストアカウントの場合：
コンテンツのコピーやダウンロードが出来なくなります。
更にAndroidは仕様上添付資料を閲覧もできない状態になります。

浸透させるための時間がかかる

Slack for EMMってEnterprise Gridの機能なので、IDaaS入れてる企業がほとんどだと思うんですよ。
ということはまぁ間違いなくSAML認証やってると思うんですよね。

更にSlack for EMMはApp Configで設定を行うのでMDMへの登録が必須になります。
会社貸与のスマホがあるならまぁいいんですが、ぶっちゃけ会社貸与のスマホならSlack for EMMの効果薄いんですよね。
スマホ側で個人アカウント使わせないようにする方が手っ取り早いし、Slackの特性上完全に個人のスマホを締め出すとコミュニケーションに支障が出るだけでなく、災害発生時などの緊急時の連絡手段として使えなくなるのはちょっと無視できないです。
手元にスマホはあるのに連絡できないのはもどかしすぎる。

なので、この機能は自ずとBYOD向けになります。
ここでまたOSの設計思想がコンニチワしますね。管理対象Apple IDです。

今はBYODの登録に管理対象Apple IDが必須になっているので、自動的に対象者全員に管理対象Apple IDを用意する必要があります。手動で管理なんてもちろんやってられないのでFederated Authenticationをフル活用します。

なのでSlack for EMMを入れるためのMDMに登録するための管理対象Apple IDが必要になります。
管理対象Apple IDが完全に浸透するのに60日。その後スマホをMDMに登録してもらうのにざっくり30日。
Slack for EMMを導入するのに90日は最低限必要になります。
社員のITリテラシーに不安があったり、全国に対象者が散らばっていたりと様々な要因によってより長いスパンで考える必要も出てきます。

事前の周知が勝利の鍵

管理対象Apple ID、MDM登録、Slack for EMM。
全てのポイントで問い合わせが激烈に増えるので、事前に理解してもらうために必要な資料は大量かつ非常に重要です。
私が今回導入するにあたり作成した成果物は以下の通りです。
レビューはチームメンバーに協力していただきました。（感謝！）

• Wikiページ

  • 個人スマホについてのページ（会社スマホとの違いなど）

  • 管理対象Apple IDについてのページ（個人Apple IDとの違いなど）

  • 個人スマホを会社管理にするためのガイドライン（どの情報が収集されて、どの情報が収集されないのかなど）

  • Slack for EMMについてのページ（配布方法からアイコンの違い、挙動の違いなど）

  • スマホの登録手順のページ（OSごと）

  • スマホの登録解除のページ

• 全体共有用のスライド

  • 全体の流れのスライド（管理対象Apple IDの導入からSlack for EMMまでの一連の大まかな流れとフェーズごとの影響について）

  • 管理対象Apple IDの導入についてのスライド

  • 管理対象Apple IDの変更マニュアルのスライド

  • Slack for EMMの導入についてのスライド

  • スマホの登録手順のスライド（Wikiページが見られない対象者向け）

弊社は月に1回全社情報共有会を行なっているので、そこで周知もさせてもらいました。
初手から全体像を見せ、段階を踏んで施策を行うこと、今回は何をするのか、対応しないと最悪業務が止まるのでちゃんと対応して欲しいなどと伝えました。
初回の共有時にはCISOにも協力いただき、会社方針であること、よりセキュアな環境を構築することなどより目的にスコープした内容を話してもらいました。

Slack for EMMに至っては期間中に2度のリマインド＋要の事業部向けに個別対応承りますというアピール＋役員向けのピンポイントリマインドを実施。
必要に応じてDMだろうがなんだろうが全て受け入れて捌きました。Slackの「後で」機能やリマインドフル活用した。。。

上記に加えて専用の問い合わせチャンネルを作りました。
それでもオペレーションチームにだいぶ負担をかけていましたが、基本は問い合わせチャンネルに誘導してもらい、私が1人で捌きました。
もちろんそこでのやり取りも並行してWikiにQ＆Aとして追記するのも忘れてはいけません。問い合わせが減るので何より自分のためですね。

私もそれなりに準備期間を頂いてあれこれ検証していましたが、ポロポロと検証漏れやら伝え漏れが出て非常に申し訳ない気持ちで一杯に。す、すまねぇみんな。。。
本来従業員がやるべきことに注力させるために仕事をしているのに、準備不足で時間を取らせてしまっていることが本当に悔しかったです。

これを見ている情シスの方には是非参考にしてもらい、同じ状況を生まないよう万全の体制を整えていただければ幸いです。

アンチパターン2選

というわけでやっちまった部分を共有します。

ちゃんと説明しようとする

普段の周知ではなぜ今回の施策を行うのかの背景を説明したり、誰が対象なのか、どういった影響があるのかを共有するのがセオリーかなと思います。
が、ここまで複雑だと返って混乱を招くならまだ良く、よく分からないからとりあえず様子見の方が多くいらっしゃったかなと思いました。

「とりあえず何すればいいの？」をまず明確に提示しましょう。
背景や様々なパターンがあるとまとめるのは非常に難しいですが、まず何をするのかがないと話が入ってきません。

エンドユーザーの腰が重いのをITリテラシーガーと言って他責にする人は、経理や法務が電帳法対応やインボイス制度対応などで説明していた話をすぐキャッチアップして理解できたでしょうか？
誰だって自分の業務が最優先で、業務に支障が出て初めて動くものです。
それならそういう想定で、支障が出てもすぐにフォローアップ出来るような体制を組んで望むのが建設的ですね。

楽観的に進める

まぁ言うほど楽観的に進めてはいなかったつもりですが。
管理対象Apple IDでかなり痛い目を見ました。

わからないことはないです！と言えるだけ調べに調べ尽くしましょう。
時間がない？私の記事をみろ！知見の全てをそこに置いてきた（ドンッ!!）

探すまでもねぇ〜〜

最後に

正直なところ、Slack for EMMは存在は知っていてもなかなか導入を決められる企業は少ないと思います。
だってこんな七面倒なことするくらいなら、最初から会社からスマホを貸与してそこからしかアクセスできないようにしたり、経営判断としてリスクを許容したほうが手っ取り早いですからね。
費用面でも個人スマホが登録された分MDMのライセンス費用がかかるので、ここ2ヶ月でめちゃくちゃライセンス購入しています。

でも弊社は利便性とセキュリティをなるべく高いレベルで両立するために導入を決めました。
当然、一連のアクセス管理への施策はこれで終わりではありません。
よくガードレールに例えられるように、従業員が日常的に業務を行っている状態であれば情報漏洩のリスクが可能な限り低くなりつつも、開発スピードの足手まといにならない仕組みとなるようにこれからも全体最適化を見据えて並走していく所存です。

あ、ウチもSlack for EMM導入してますとか、BYODガッツリやってますよ！て企業様いらっしゃったら是非情報交換したいです。
インターネットで事例見つけられていないのでなかなかベストプラクティスも手探り状態ゆえ…。
弊社スナックルームで内緒話も出来るので是非お声がけくださいー。