エンドユーザーのデバイスにOSアップデートをインストールするのは簡単であるべきです。結局のところ、これはすべての従業員が適切なセキュリティ対策を実践できる、最もシンプルでありながら最も効果的な方法の一つです。 

さらに、すべての MDM ソリューションは、プロセスを自動化し、ユーザーの介入なしにアップデートをインストールすることを約束しています。

しかし、現実の世界ではそうはなりません。ユーザーはアップデートをインストールせず、IT管理者も強制再起動によってインストールを強制することはありません。

まず2つ目の問題についてお話しましょう。もちろん、全ユーザーに対して更新をスケジュール設定し、勤務時間外に再起動させるという方法もあります。しかし、これは必然的に業務の中断や作業の損失につながります。そして、ユーザー（特に経営幹部）は、更新ポリシーの適用外を望むようになります。つまり、ユーザーの承認なしに強制的に再起動を行うと、データ損失が発生する可能性があり、結果として非常に不評となり、機能的に使用不可能になってしまうのです。

「ナッジ」と呼ばれる方法でユーザーにアップデートを自主的にインストールさせるツールもあります。これらのリマインダーは、ユーザーが諦めるかタイマーが切れるまで、ポップアップ表示の頻度が上がります。これはユーザーをプロセスに巻き込むという点で改善点ですが、ユーザーはアップデートをできるだけ先延ばしにする傾向があります（ツールによっては、期限が無期限になることもあります）。

Kolideでは、OSアップデートはお客様から最も多く寄せられる課題です。お客様がKolideにご依頼いただくのは、デバイスのコンプライアンスに対する独自の（そして他に類を見ないほど効果的な）アプローチがあるからです。

Kolide では、ユーザーのデバイス (Mac、Windows、Linux、モバイルなど) がコンプライアンス違反の場合、修正方法をユーザーに伝えます。

ユーザーはいつ再起動するかを選択できますが、事前に設定された期限までに問題を解決しないと、Okta で認証できなくなります。（現在、Kolide は Okta のお客様専用ですが、近々、より多くの SSO プロバイダーとの統合を計画しています。）

頑なに更新を拒否するデバイスがあなたのデバイス群に溢れている場合は、次の 2 つの原則を検討してください。

1. ユーザーの関与なしにパッチ管理ポリシーを成功させることはできません。
2. 明確な指示と実際の結果の両方を提供しなければ、ユーザーにパッチをインストールしてもらうことはできません。

OS アップデートのインストールは、セキュリティと IT の両方にとって最優先事項であり、これを条件付きアクセスの一部にすると、膨大な免除リストや大量のサポート チケットを作成せずに完了できるようになります。

Kolide が Okta を使用して企業のデバイス コンプライアンスを強化する方法の詳細については、ここをクリックしてオンデマンド デモをご覧ください。

今週の MacStories をスポンサーしていただいた Kolide に感謝します。