Windows Phone を企業内利用するためのインフラ設計について V1.0
-
Upload
junichi-anno -
Category
Documents
-
view
1.490 -
download
10
description
Transcript of Windows Phone を企業内利用するためのインフラ設計について V1.0
Windows Phone から企業ネットワークを活用するためのインフラ設計 V1.0 (2011.9.12)
日本マイクロソフト株式会社エバンジェリスト
IT プロのための Windows Phone ~企業内利用を考える
安納 順一http://blogs.technet.com/junichia/Twitter @junichia
2
本日の内容
• Windows Phone が持つ基本機能を理解しましょう。
• Windows Phone の基本機能をビジネスシーンで生かすためには、
どのようなインフラを準備しておく必要があるのかを理解しましょ
う。
• Windows Phone をもってしても(現時点では)実装できない機能
が存在することを心の隅にとどめましょう。
3
Agenda
1. はじめに2. Windows Phone のビジネス要件3. Windows Phone の基本機能4. 企業利用の全体像5. セキュリティポリシーの設計と管理6. アプリケーションのライフサイクルの設計と管理7. まとめ
4
はじめに
なぜ IT は萌えるのか
萌えるねぇ
究極秘奥義
VLOOKUP!
積みあがるサーバー怪しく光る LED驚異的なケーブルタッピング
新しいテクノロジ
新しいコミュニケーション手段
6
仕事とプライベートの
境界が ...モバイル
技術的なノウハウの
浸透
複数のデバイス
デジタル世代の
参入
急速な変化
時代の変化にシステムは対応できているか ?
7
モバイル ディスクレス パワー ユーザー スタイル優先
ワークスタイルに合わせてデバイスも変化するスマートフォンは共通のデバイス
8
Windows Phone のビジネス要件
9
「ビジネス要件」と対応する機能~基本機能ビジネス要件 実現するための機能、製品
電話 Windows Phone ( KDDI )
インターネットブラウザー Internet Explorer 9
アドレス帳の管理 People Hub
電子メールの送受信 Outlook mobile ( EAS/POP/IMAP )
スケジュール / タスク管理 Calendar
ドキュメントの参照と作成 Office Mobile 2010 ( Word, PowerPoint, Excel, OneNote )
ドキュメントの管理 Office Hub w/ SharePoint Workspace Mobile 2010
デバイスのスクリーンロック PIN (数字、英語大文字、英語小文字、記号)
紛失時の対応 リモートワイプ、リモートロック
マルウェア対策 Marketplace (アプリケーションの認可制)、バックグラウンドアプリの制御、 IE mobile のロックダウン、 Windows Phone の Updateマネージドコード、 Isolated Storage 、 IRM
保存されたデータの保護 Isolated Storage ※ IS12T には SD カードは搭載できないデータの暗号化
10
「ビジネス要件」と対応する機能~アクセス
ビジネス要件 実現するための機能、製品
Wifi Open 、 WEP 、 WPA (PSK 、 ENT) , WPA2 (PSK, ENT)プロキシー設定、プロキシー認証
Bluetooth V2.1 ( 2007 年 3 月公開)、 MS 製ドライバのみ
ネットワーク IPv4WinSockets (UDP, TCP)HTTP / HTTPS ( 128-bit or 256-bit SSL )
証明書 .cer 、 .p7b 、 .pfx
認証 • Basic 認証 over SSL ( Exchange )• 証明書ベース認証 over SSL (Exchange)• PEAP-MSCHAPv2 ( Wifi )• UAG ( SharePoint Workspace Mobile )• Windows 統合認証
( IE 、 SharePoint Workspace Mobile 、 Outlook mobile )
11
「ビジネス要件」と対応する機能~社内との連携ビジネス要件 実現するための機能、製品
認証およびアクセス管理 • Active Directory Domain Service (認証)• Active Directory Rights Management Service (権限管
理)• Active Directory Federation Service (認可)• Active Directory Certification Service (証明書)• Windows Azure AppFabric Access Control Service
セキュリティポリシー管理 Exchange ActiveSync ( EAS )
デバイスの統合的な構成管理 System Center Configuration Manager 2012 + EAS
ドキュメントの集中管理 SharePoint Server
保護されたメール / ドキュメントの参照
EAS + Information Rights Management ( IRM )
OS の更新 / セキュリティパッチ Zune
アプリケーションの配布 / 更新 Marketplace (隠し URL )
社外から社内リソースへのアクセス Forefront UAG + Active Directory
オンラインミーティング Lync Server 2010 + Lync mobile ( 2011/Q4 予定)
12
Windows Phone の基本機能
13
おさえておきたい基本機能
• People Hub• Office Hub• データ同期
14
People Hub
複数の Identity Provider とのつながりを 1 か所に集約できる
365
その他IMAP/POP
Windows Live
Active Directory
CloudDirectory
Office 365
15
アドレス帳
365
Active Directory
CloudDirectory
Office 365その他IMAP/POP
Windows Live
contacts
contacts
16
プロファイルのリンク各 IdP に登録されている個別のユーザー情報を統合
365
写真[email protected]@[email protected]自宅の電話番号会社の電話番号所属プライベートの電話番号blog の urlfacebook のアカウント・・
17
ドキュメントノート
Office Hub
保存先
電話
SkyDrive
SharePoint
Office ドキュメント の参照、編集外部ライブラリとの同期
新規作成
18
データの同期の全体像
フォト ドキュメント
Picture Office Hub
Outlook
Calendar
メール添付予定表 予定表ドキュメント タスク
予定一覧 to do
タスク
Music + Video
公開:自分のみ
画像
ドキュメント
ドキ
ュメ
ント
メール添付 予定表 タスク
Hotmail
gmailドキュメント画
像
ドキュメント
Live のみ
19
Windows Phone企業利用の全体像
20
全体像
Lync Server
Hello
SharePoint Server
Exchange Server
Office 365
Active Directory ファミリ
Forefront UAG
2011 年末
Firewall
IT
System CenterConfiguration Manager 2012
2012 年H1
21
社内システムとの連携
社内サービス Windows Phoneクライアントアプリ
利用できる機能
Exchange Server Outlook Mobil 2010 EAS を経由した情報同期・メール・連絡先・カレンダー・タスク
Internet Explorer Outlook Web Access
SharePoint Server 2010SharePoint Foundation Server 2010
SharePoint Workspace mobile 2010
• お知らせ(参照)• タスク(参照)• リンク(参照)• ライブラリ(編集、保存、アップロード)
SharePoint Server Internet Explorer SharePoint 全体ただし、ファイルのアップロードは不可
IRM
IRM
22
Active Directory ファミリ
AD DS
AD RMS
• ID とパスワード• ユーザーの各種属性• グループ
• ドキュメントやメールの暗号化と使用権限の権限管理
• IRM の実装に必須
AD FS
• サービスを使用するためのセキュリティトークンを発行する
• SharePoint の認可に使われる
23
社外から Exchange Server へのアクセス
AD DS
AD RMS
リバースプロキシ
Exchange Server
EAS over https
認証
権限取得
EAS が暗号解読
Windows Phone は リバースプロキシ を介して Exchange ActiveSync と通信IRM メールを使用する場合には AD RMS を構成する
outlook mobile
(クライアントアクセスサーバー)
24
社外から SharePoint Server にアクセス
AD DS
UAG
SharePoint Server 2010
社内 SharePoint Server への接続には VPN 接続が必須SharePoint Workspace Mobile でサポートされているのは Forefront UAG のみ
認証
VPN
AD RMS権限取得
25
使用可能なアクセス制御方式接続先 アクセス制御方法 モバイル版
IE9デスクトップ版 IE9
SharePoint WS Mobile
SharePoint Server
Windows 認証 Kerberos
○ ○ ○
Windows 認証 NTLM ○ ○ ○
Passive Web フェデレーション + AD FS
○ ○ ○
Office 365 Windows 認証 ○ ○ ○
Passive Web フェデレーション + AD FS
○ ○ ○
26
Windows Phone エミュレーター
Windows Phone 実機が無くても動作確認が可能• Internet Explorer 9• 自作アプリケーション
サポートしている OS• Windows Vista / 7
インストールは WebPI が便利• http://www.microsoft.com/web/downloads/
platform.aspx• 「 Windows Phone SDK 7.1(RC) 」を選択して [ イ
ンストール ]
27
セキュリティポリシーの設計と管理
28
セキュリティポリシーは EAS 経由で適用される
企業ネットワーク
リバースプロキシ
Exchange Server( Client Access
Server )
Exchange ActiveSync
AD DS
セキュリティポリシー
EAS : Exchange ActiveSync
29
• データ同期 メール、添付ファイル、会議、連絡先( Contacts )
• デバイスアクセスルールの適用 アクセス可能な機種の限定 検疫
• デバイスポリシーの適用 スマートフォンのパスワード( PIN )設定を強制 パスワードの複雑さ 等
• リモートワイプ
Exchange ActiveSync とは• Exchange Server の クライアントアクセスサーバー役割に実装された同
期プロトコル(最新は v14.1 )• スマートフォン等のモバイルデバイスで電子メール等を受け取れる
• Windows Mobile, Windows Phone, iPhone, Android など
Exchange Server( Client Access Server )
EAS
30
Enterprise ActiveSync がサポートしている機能EAS の機能 Exchange Server 2003 Exchange Server 2007 Exchange Server 2010
ダイレクトプッシュ X X X
Email 同期 X X X
カレンダー同期 X X X
連絡先( Contacts )同期 X X X
リモートワイプ X X X
複数のフォルダー同期 X X X
128-bit SSL 暗号化通信 X X X
ユーザー自身によるリモートワイプ X X
HTML E-mail X X
Global Account List 検索 X* X X
Follow-up Flags X X
会議の出席者情報 X X
自動検出機能 X X
大域幅の最適化 X X
Reply State XNickname Cache X
許可 / ブロック /検疫リストの管理 X
添付ファイルのダウンロード X
256-bit SSL 暗号化通信 X
メールのサーバー検索 X
IRM で保護された E-mail X**
* Windows Phone 7 March Update 以降が必須 ** Exchange Server 2010 SP1 画必須
31
WP が Exchange を利用できるようになるまでの流れ
EASデバイス
アクセスルール
EASデバイスポリシー
• アクセス 許可 拒否 検疫
• PIN 必須• PIN 有効期限• PIN の複雑性
など
セキュリティポリシー
32
EAS デバイスアクセスルール( ABQ リストの管理)
特定の機種に対してアクセスの 許可 / ブロック /検疫 を実施するためのルール
ABQ = Allow/Block/Quarantine
特定のデバイ
スその他
Rule
ポリシー無し
ブロック
許可
検疫
Rule
ブロック
許可
検疫
ポリシー無し
管理者が手動で設定
管理者が手動で設定
33
デバイスアクセスルール を PowerShell から設定
New-ActiveSyncDeviceAccessRule -AccessLevel <Allow | Block | Quarantine> -Characteristic <DeviceType | DeviceModel> -QueryString <String>
http://technet.microsoft.com/ja-jp/library/dd876923.aspx
Set-ActiveSyncDeviceAccessRule -Identity <ActiveSyncDeviceAccessRuleIdParameter> [-AccessLevel <Allow | Block | Quarantine]
Get-ActiveSyncDeviceAccessRule [-Identity <ActiveSyncDeviceAccessRuleIdParameter>]
34
Windows Phone 7.5 で有効な EAS セキュリティポリシーEAS Policy: Exchange 2003
SP2 Exchange 2007
( BPOS ) Exchange 2010( Office 365 )
パスワードを要求する Yes Yes Yes
パスワードの有効期限(日) No Yes Yes
パスワードリサイクルカウント No Yes Yes
簡易パスワードを許可 No Yes Yes
パスワードの最小桁数 No Yes Yes
アイドル状態になってからログオンが要求されるまでの時間 ( 分 )
No Yes Yes
デバイスをワイプする前にサインインに失敗した回数 No Yes Yes
英数字のパスワードが必要 No Yes Yes
パスワードに含めなければならない文字セットの数 No Yes Yes
35
もっとも厳しいポリシーはこんなかんじ
英数記号のパスワード必須
英小文字 / 英大文字 / 数字 / 記号 すべてを含む
最低 16 文字(最長)
パスワードの入力に 4回失敗したら強制ワイプ
アイドル状態から 1 分後にロック
パスワードは毎日変更
50回前までのパスワードは使用できない
36
その他の EAS ポリシーについて( Exchange 2010 )ポリシー 規定の設定値
リムーバブル記憶域を許可する False (Windows Phone はリムーバブル記憶域を未サポート)
赤外線を許可する False (Windows Phone は赤外線機能を未サポート ).
リモートデスクトップを許可する False (Windows Phone 7 はリモートデスクトップを未サポート ).
カメラを許可する (調査中)
Bluetooth を許可する (調査中)
インターネット共有を許可する False (Windows Phone 7 はテザリングを未サポート ).
パスワードの回復を有効にする (調査中)
メモリカードでの暗号化を要求する FALSE (Windows Phone では リムーバブル記憶域の暗号化を未サポート)
デバイスでの暗号化を要求する FALSE (Windows Phone では デバイスの暗号化を未サポート)
HTML 形式の電子メールを許可する TRUE (Windows Phone は常に HTML メールを使用する。ただし、テキスト形式のメールを受け取ることは可能)
ローミング時に手動の同期を必要とする TRUE ( 利用者が自身で設定可能 ).
これらのポリシーを完全にはサポートしていないデバイスの同期を許可する
True( Windows Phone を使用する場合にはこのポリシーを True にしておくこと)
37
System Center Configuration Manager 2012※2012 年 H1
• 企業内デバイスの統合的な構成管理• Mobile Device Manager を統合
• デバイスセキュリティポリシーの統合管理
38
ソフトウェアのライフサイクル
39
インストール
Windows Phone
Marketplace
.xap
.dll
実行
• Windows Phone には Marketplace によって署名された .xap パッケージのみがインストール可能
• アプリケーションの更新は Marketplace タイルに通知される• 利用者がインストール / 更新 /削除を判断して実施
.xap
.dll
開発者
インストール
40
アップデート
Windows Phone Marketplace
アプリUpdates
Marketplace を介してアプリケーションをアップデート
プリインストールされているアプリケーション
ISVUpdates
マーケットプレースを介して購入したアプリケーション
Windows Phone Update OS
Updates
Zune ソフトウェアを経由して更新ファイルを配布
MicrosoftUpdates
マイクロソフト製のアプリケーション OS のコア機能 バグ / セキュリティ 修正
OEMUpdates
ファイル、データベース、ドライバー、レジストリ など
OEMUpdates
41
まとめ
42
まとめ
• フレキシブルなワークスタイルを手に入れましょう
• Forefront UAG が肝です
• 現時点でできないことがあります e.g. ソフトウェアの構成管理
• Windows Phone は個人で持っても楽しいデバイスです
43
みんな大好き! Windows デバイス
スマートフォン から クラウドまで
そして ...
44
つながり、軽快、ココチいい