- BYOD
- Microsoft Intune
- 退職者管理
- MDM
- MAM
「退職した社員のスマホに業務メールがそのまま……」その後の対処はできますか?
リモートワーク・ハイブリッドワークの定着により、多くの企業で従業員の私物スマートフォンやタブレットを業務利用するBYOD(Bring Your Own Device:私物端末の業務利用)が広まっています。
しかし情シス担当者を悩ませる問題が後を絶ちません。「退職者の私物スマホを会社が管理できない」「紛失した個人端末に業務メールと顧客連絡先が残っている」「私物PCがマルウェアに感染して社内ネットワークに接続された」——これらは実際に国内企業で発生したインシデントです。
特に退職者管理は深刻です。退職後にアカウントを無効化しても、端末にキャッシュされた業務データは残り続けます。個人情報保護法・不正競争防止法の観点からも「退職後の情報管理」は企業責任が問われます。
Microsoft Intuneを活用したBYOD管理で、この問題を体系的に解決できます。
BYODが引き起こす5つのリスク
| リスク | 具体的な問題 |
|---|---|
| 端末の紛失・盗難 | 業務メール・顧客情報が第三者に閲覧される |
| 退職者管理の不備 | 退職後もデータへのアクセスや持ち出しが可能 |
| OSアップデートの未適用 | 古いOSの脆弱性を突いた攻撃にさらされる |
| 私用アプリからのデータ流出 | 業務ファイルが個人のSNS・Dropboxに共有される |
| マルウェア感染 | 私物端末経由で社内ネットワークに攻撃者が侵入 |
Microsoft Intuneとは?「会社データだけを管理する」がポイント
Microsoft Intuneは、Microsoft 365(一部のプラン)に含まれるデバイス管理ツールです。BYOD管理において最大の特長は 「会社の業務データと個人のプライベートデータを端末上で分離管理できる」 点です。
プライバシーが気になる従業員が心配する「会社に私物スマホを監視される」という懸念に対して:
- Intune管理者が確認できるのは業務アプリの領域のみ
- 個人の写真・LINEのメッセージ・プライベートアプリは確認不可
この分離管理の仕組みを「アプリ保護ポリシー(MAM: Mobile Application Management)」と呼びます。
導入で解決できること・期待できる工数削減
① 退職者対応の自動化
Entra IDでアカウントを無効化すると、Intune経由で業務アプリ内のデータが自動削除されます。これまで退職者ごとに手作業で行っていた「端末のデータ消去確認→本人への連絡→IT部門による削除操作→完了確認」の一連の手順がほぼ不要になります。退職者が月に複数名いる組織では、この自動化だけでも大きな工数削減効果があります。
② 紛失時のリモートワイプ(数分で対応完了)
端末紛失の報告を受けてから、Intune管理コンソールから数クリックで業務データのみ削除可能。個人の写真や連絡先はそのまま保持されるため、従業員への影響も最小化されます。
③ セキュリティ基準を自動チェック(条件付きアクセスとの連携)
「OSが最新版でなければ業務アプリへのアクセスを拒否」「画面ロックが設定されていない端末をブロック」などの条件をポリシーとして設定できます。人が確認しなくても自動で安全な端末のみを許可する仕組みが作れます。
導入ステップ(BYODシナリオ)
Step 1:業務データの範囲を定義する
「IntuneでBYODを管理する」と決める前に、「業務でどのアプリを使わせるか」を明確化します。たとえば「Outlook・Teams・OneDriveのみ許可、ローカル保存は禁止」という境界線を先に定義することが設計の起点です。
Step 2:アプリ保護ポリシー(MAM)を設定する
Intune管理センターでOutlook・Teams・OneDriveなどのMicrosoft 365アプリにアプリ保護ポリシーを適用します。端末の完全な登録なしにデータ保護が実現できるため、従業員の心理的抵抗を下げることができます。
Step 3:条件付きアクセスポリシーを設定する
Entra IDで「Intune管理されたコンプライアント端末のみM365へのアクセスを許可」するポリシーを設定。管理外の端末からのアクセスを自動的に遮断します。
Step 4:従業員への丁寧な説明・展開
「何が管理されて何が見られないか」を具体的に説明したうえでロールアウトすることが、従業員からの抵抗感を最小化する最重要ポイントです。
実運用のハマりどころ:「MDM登録」を求めると導入が頓挫する
Intuneには大きく2つの管理方式があります。
- MDM登録(Device Enrollment):端末全体を会社が管理
- MAMのみ(アプリ保護ポリシー):アプリレベルのみ管理
BYODでMDM登録を求めると「私物スマホを会社に監視される」という強い抵抗が生まれ、BYOD推進プロジェクトが頓挫した事例が多数あります。
BYODシナリオでは原則としてMAMのみの構成からスタートすることを強く推奨します。「業務アプリの中だけ保護する」という構成なら、プライバシー侵害への懸念なく展開できます。MDM登録は、会社支給端末(COD)に限定するのが現実的な運用設計です。
まとめ
BYODのセキュリティ問題は「禁止するか許容するか」の二択ではなく、Microsoft Intuneを使った「適切な管理」で安全と従業員の利便性を両立させることができます。特に退職者対応の自動化は、Intune導入効果を最も実感しやすいユースケースです。
不安がある場合は、ぜひお気軽にご相談ください。
