MDM導入手順書:業務委託PC管理
📁 docs/dev-environment/artifact/20260412_012855_MDM導入手順書_業務委託PC管理.md
目的
業務委託者のPCに対してファイアウォールルール等の設定を強制適用するため、MDM(Mobile Device Management)の導入を検討・実施する。
MDMとは(概要)
会社の管理者が、複数のPCに対して遠隔から設定を一括適用・強制できる仕組み。業務委託者の操作を必要とせず、設定の削除・変更もロックできる。
前提条件
Windows(Microsoft Intune)
| 項目 | 条件 |
| OS | Windows 10 Pro以上、またはWindows 11 Pro以上(Home版は非対応) |
| ライセンス | Microsoft 365 Business Premium または Intune単体ライセンスが必要 |
| ネットワーク | インターネット接続があれば可(社内LAN不要) |
| アカウント | 業務委託者に会社のMicrosoft Entra ID(旧Azure AD)アカウントを付与する必要あり |
| PC登録方法 | 業務委託者のPCをIntuneに「登録」してもらう操作が1回必要 |
注意: Windows Home版はMDM管理に対応していない。業務委託者のPCがHome版の場合はPro版へのアップグレードが必要(約2万円/台)。
Mac(Jamf / Apple Business Manager)
| 項目 | 条件 |
| OS | macOS 11(Big Sur)以上推奨 |
| ライセンス | Jamf Proまたは Jamf Now のライセンスが必要 |
| Apple側の設定 | Apple Business Manager(ABM)への登録が必要 |
| ネットワーク | インターネット接続があれば可(社内LAN不要) |
| PC登録方法 | 業務委託者のMacをJamfに登録してもらう操作が1回必要 |
注意: 業務委託者の私物Macの場合、MDMプロファイルのインストールに本人の同意が必要。会社支給PCの場合はApple Business Manager経由で自動登録が可能。
OS別の対応策
Windows(Intune)の場合
Step 1. Microsoft 365 Business PremiumまたはIntuneライセンスを契約
Step 2. Microsoft Entra ID(Azure AD)で業務委託者アカウントを作成
Step 3. 業務委託者のPCがWindows Pro以上であることを確認
Step 4. 業務委託者にIntuneへのPC登録を依頼(設定 → アカウント → 職場または学校にアクセスする)
Step 5. Intuneの管理画面からファイアウォールルールを設定・配布
Mac(Jamf)の場合
Step 1. Jamf NowまたはJamf Proのライセンスを契約
Step 2. Apple Business Managerに会社を登録
Step 3. 業務委託者のMacにJamfの登録プロファイルをインストールしてもらう
Step 4. Jamfの管理画面からファイアウォール設定・プロファイルを配布
MDMなしで対応できる代替手段(現実的な暫定対応)
MDM導入コストや手間が大きい場合、以下の方法で暫定的に対応できる。
| 方法 | 手間 | 強制力 | 備考 |
| PowerShellスクリプトを手動実行依頼(Windows) | 低 | 弱 | 業務委託者が管理者権限を持つ場合は削除可能 |
| リモートデスクトップで管理者が代わりに設定 | 中 | 中 | 管理者が直接操作するため確実 |
| MDM(Intune / Jamf)で強制適用 | 高(初期) | 強 | 一度導入すれば以降は自動 |
導入コスト概算
Microsoft Intune(Windows向け)
| プラン | 月額(1ユーザー) | 備考 |
| Intune単体 | 約900円 | デバイス管理のみ |
| Microsoft 365 Business Premium | 約2,750円 | Teams・Exchange等も含む |
Jamf(Mac向け)
| プラン | 月額(1デバイス) | 備考 |
| Jamf Now | 約400円 | 小規模向け、機能限定 |
| Jamf Pro | 要見積もり | 大規模・高機能 |
業務委託者への影響
| 影響 | 内容 |
| 初回登録操作 | PCをMDMに登録する操作が1回必要(5〜10分程度) |
| 日常業務への影響 | ほぼなし(設定が自動で適用されるだけ) |
| プライバシー | 管理者は業務委託者の個人ファイルや閲覧履歴は見えない(管理できるのはデバイス設定のみ) |
| 私物PC利用の場合 | MDMプロファイルのインストールに本人の同意が必要。心理的抵抗がある場合は会社支給PCへの切り替えを検討 |
推奨アプローチ(優先順位)
短期(今すぐできる)
→ リモートデスクトップで接続し、PowerShellスクリプトを管理者が実行
中期(1〜2ヶ月以内)
→ 業務委託者のOSがWindowsならIntune導入を検討
→ Windows HomeならProへのアップグレード要否を確認
長期
→ MDM一元管理体制を整備し、今後の業務委託者追加にも対応
残確認事項
| 確認項目 | 優先度 | 内容 |
| 業務委託者PCのWindowsエディション確認 | 高 | Home版はMDM非対応のため要確認 |
| 業務委託者PCが私物か会社支給かの確認 | 高 | MDMプロファイル同意の要否に影響 |
| Microsoft 365契約状況の確認 | 中 | Intune単体契約かM365かで費用が変わる |
| 業務委託者の人数 | 中 | ライセンス費用の総額に影響 |