UEM(統合エンドポイント管理)とは? ― MDM・EMMとの違いと中小企業が取るべきアプローチ
「MDMを導入してスマートフォンは管理できたが、PCの管理は別のツール。管理コンソールが2つあって運用が煩雑」「テレワーク端末のセキュリティ状態を一元的に把握できない」――こうした課題を抱えている情シス担当者は多いのではないでしょうか。
これらの課題を解決するのがUEM(Unified Endpoint Management:統合エンドポイント管理)という考え方です。この記事では、UEMの概念をMDMやEMMとの違いから解説し、中小企業が現実的に取り組める方法を紹介します。
MDM → EMM → UEM:デバイス管理の進化
MDM(Mobile Device Management)
MDMは2007年のiPhone登場以降、企業のモバイルデバイス管理のために生まれた概念です。スマートフォンやタブレットを対象に、リモートワイプ、パスコードポリシーの強制、デバイスの位置情報取得などを実現しました。管理対象はモバイルデバイスに限定されており、PCは別のツール(Active Directoryのグループポリシー、SCCMなど)で管理するのが一般的でした。
EMM(Enterprise Mobility Management)
EMMはMDMを拡張した概念で、デバイス管理(MDM)に加えて、アプリケーション管理(MAM:Mobile Application Management)とコンテンツ管理(MCM:Mobile Content Management)を統合したものです。デバイスそのものだけでなく、デバイス上のアプリやデータまで管理範囲を広げました。BYOD(個人端末の業務利用)環境で、個人領域と業務領域を分離して管理するという考え方もEMMから本格化しました。
UEM(Unified Endpoint Management)
UEMは、モバイルデバイスだけでなくPC(Windows / macOS / Linux)、さらには仮想デスクトップ(Azure Virtual Desktop / Windows 365)やIoTデバイスまでを、1つのコンソールから一元管理する概念です。
UEMの最も重要なポイントは「Unified(統合)」にあります。従来は、PCはSCCMやグループポリシー、スマートフォンはMDM、アプリはMAMと、管理ツールがバラバラでした。UEMはこれらを1つのプラットフォームに統合し、すべてのエンドポイントに対して統一されたセキュリティポリシーを適用できるようにします。
なぜ今UEMが重要なのか
テレワークと「境界のないIT環境」
従来の企業IT環境は「社内ネットワーク=安全、社外=危険」という境界型セキュリティが前提でした。しかしテレワークの定着により、社員は自宅やカフェから直接クラウドサービスにアクセスします。社内ネットワークを経由しないデバイスを、どう管理し、どうセキュリティを担保するのか。この課題に対する答えがUEMです。
UEMプラットフォームはクラウドベースで動作するため、デバイスがインターネットに接続されていれば、場所を問わずポリシーの適用と状態の監視が可能です。
ゼロトラストセキュリティの基盤
ゼロトラストセキュリティは「何も信頼せず、常に検証する」という原則に基づきます。アクセスの都度、ユーザーの認証情報だけでなく、デバイスの健全性(OSのパッチ適用状態、暗号化の有無、ウイルス対策の動作状況など)も検証します。
この「デバイスの健全性の検証」を担うのがUEMです。UEMがデバイスのコンプライアンス状態を常時評価し、その結果をIDプロバイダー(Entra IDなど)に連携することで、「準拠していないデバイスからのアクセスをブロックする」という条件付きアクセスが実現します。
デバイスの多様化
企業で使用されるデバイスはWindows PC、Mac、iPhone、iPad、Androidスマートフォン、さらにはChromebookまで多様化しています。これらすべてを個別のツールで管理するのは非現実的であり、マルチOS対応の統合管理プラットフォームが必須になっています。
UEMの主要機能
デバイス登録とゼロタッチプロビジョニング
UEMプラットフォームにデバイスを登録(エンロール)する仕組みです。企業所有デバイスの場合、Windows AutopilotやApple Business Managerと連携することで、ユーザーが電源を入れるだけで自動的にUEMに登録される「ゼロタッチプロビジョニング」が実現します。BYOD端末は、ユーザー自身がCompany Portal アプリから登録を行います。
構成プロファイルとポリシー管理
Wi-Fi設定、VPN設定、メール設定、パスコード要件、暗号化の強制など、デバイスの構成をプロファイルとして定義し、対象のデバイスグループに一括適用します。OSごとに設定項目は異なりますが、1つの管理コンソールから統一的に管理できるのがUEMの強みです。
アプリケーション管理
業務アプリの一括配布、アップデート管理、不要アプリの削除を一元的に行います。さらにMAM(Mobile Application Management)機能により、アプリ内のデータコピーやスクリーンショット取得を制限するなど、アプリレベルでのデータ保護ポリシーを適用できます。BYODの場合は、デバイス全体ではなく業務アプリのみを管理対象とする「アプリ保護ポリシー」が有効です。
コンプライアンス評価
デバイスが企業のセキュリティ基準に準拠しているかを継続的に評価します。OSバージョン、パッチ適用状態、暗号化の有効性、ウイルス対策ソフトの動作状況、脱獄(Jailbreak)の有無などをチェックし、非準拠のデバイスには警告やアクセス制限を適用します。
セキュリティアクション
デバイスの紛失・盗難時にはリモートロックやリモートワイプ(データ消去)を実行できます。退職者のデバイスから企業データのみを選択的に削除する「セレクティブワイプ」も可能です。
Windows Update管理
UEMプラットフォームからWindows Updateの配信タイミングを制御できます。更新リングによる段階配信、機能更新プログラムのバージョン固定、ドライバー更新の管理などが可能です。
主要なUEMプラットフォーム
Microsoft Intune
Microsoftが提供するクラウドベースのUEMプラットフォームです。Microsoft 365 Business Premiumに含まれており、Windows / macOS / iOS / Androidを一元管理できます。Entra ID(条件付きアクセス)、Microsoft Defender for Business(EDR)との統合が最大の強みで、Microsoft 365エコシステムの中核を担います。
IDC MarketScapeの2024年版UEM評価ではリーダーに選出されており、市場をリードする存在です。
VMware Workspace ONE(現Omnissa)
VMwareのUEMプラットフォームで、2024年にBroadcomへの売却を経てOmnissaとして独立しました。マルチOS対応の管理機能と、仮想デスクトップ(Horizon)との統合が特徴です。
Jamf Pro
Apple製品に特化したUEMで、macOS / iOS / iPadOSの管理においてはデファクトスタンダードです。Apple製品で統一された環境では最良の選択肢ですが、WindowsやAndroidの管理は対象外です。
その他
ManageEngine Endpoint Central、Ivanti Neurons for UEM、Hexnode UEM、SOTI MobileControlなど、多数のUEM製品が存在します。それぞれにマルチOS対応の範囲、セキュリティ機能、価格帯が異なります。
中小企業のUEM戦略:Microsoft 365 + Intune
中小企業にとって最も現実的なUEM導入は、Microsoft 365 Business Premium + Intuneの組み合わせです。1ユーザーあたり月額2,750円で、以下のUEM機能がすべて利用できます。
Intuneによるデバイス管理として、Windows / macOS / iOS / Androidの登録・管理、構成プロファイルの配布、Windows Autopilotによるゼロタッチキッティング、Windows Update の更新リング管理が含まれます。
セキュリティ基盤として、Entra IDの条件付きアクセス(デバイスのコンプライアンス状態に基づくアクセス制御)、Microsoft Defender for Business(EDR:エンドポイント検知と対応)、Azure Information Protection(情報保護)が含まれます。
アプリ管理として、Microsoft 365 Appsの配布と更新管理、アプリ保護ポリシー(MAM)によるBYOD対応が可能です。
これらは単体のUEM専用製品を別途購入するよりもコストパフォーマンスが圧倒的に高く、しかもMicrosoft 365のメール・ファイル共有・コミュニケーション基盤と完全に統合されています。
UEM導入の段階的アプローチ
UEMは一度にすべての機能を導入する必要はありません。段階的に進めるのが現実的です。
Phase 1(基盤構築): Microsoft 365 Business Premiumへのアップグレード。Entra IDでのMFA有効化。Intuneへのデバイス登録開始(まずは情シスのPC数台から)。
Phase 2(ポリシー展開): コンプライアンスポリシーの設定(OS最小バージョン、BitLocker有効化の要件など)。条件付きアクセスの設定(非準拠デバイスからのアクセスに対する警告→段階的にブロック)。Windows Updateの更新リング設定。
Phase 3(全社展開): 全デバイスのIntune登録。Windows Autopilotの設定(新規PCのゼロタッチキッティング)。アプリ保護ポリシーの適用。BYOD端末のMAM管理。
Phase 4(高度化): Defender for Businessのアラート監視体制構築。リスクベースの条件付きアクセス。デバイスのカテゴリ分けとグループベースの管理。
UEMとIT資産管理ツールの使い分け
「UEM(Intune)があればIT資産管理ツールは不要か?」という疑問がよくあります。結論から言えば、企業の要件次第です。
Intuneでカバーできる範囲は、ハードウェア情報の自動収集、コンプライアンス状態の監視、アプリの配布・管理、セキュリティポリシーの適用、Windows Updateの制御です。
Intuneだけでは不足する可能性がある領域は、詳細なPC操作ログの取得(ファイルコピー、Web閲覧履歴、印刷ログなど)、ソフトウェアライセンスの過不足管理台帳、USBデバイスの詳細な接続制御と利用ログです。
操作ログの詳細な取得や、厳格なライセンス管理が求められる場合は、SKYSEA Client ViewやLANSCOPEなどのIT資産管理ツールをIntuneと併用するのが最適です。
情シス365では、Microsoft 365 Business Premium + Intuneを活用したUEM環境の構築を支援しています。「Intuneの初期設定が難しくて進まない」「条件付きアクセスの設計をどうすればよいか分からない」という方は、無料相談からお気軽にどうぞ。