Microsoft Intune でデバイスのセキュリティ対策状態を把握する

各ユーザーが利用するデバイスが、組織が定めるセキュリティ対策に則って利用されているかを IT 管理者が把握することは、組織全体のセキュリティ レベルを保つために重要なタスクといえます。昨今ではこれらの管理業務を自動化するため、MDM (Mobile Device Management) ツールを導入している企業が増加してきています。

Microsoft Intune は MDM ツールの1つです。Intune のコンプライアンス ポリシー機能を利用することで、デバイスの状態を自動で収集し、一元的に確認することができます。さらに Azure Active Directory Premium P1 ライセンスに含まれる、条件付きアクセス機能と組み合わせることでコンプライアンス ポリシーに準拠しているデバイスのみに対して Microsoft 365 へのアクセスを許可する事も可能です。

Intune ＋ Azure AD Premium P1 は、Microsoft 365 の Business Premium、E3、E5 に含まれています。Office 365 を契約されている場合は、EMS もしくは Intune + Azure AD Premium P1 を追加契約することで利用できます。

Intune のコンプライアンス ポリシーとは

コンプライアンス ポリシーとは Intune で管理されているデバイスのセキュリティ対策状態が組織のルールを満たしているかどうかを確認できる機能です。

以下のセキュリティ対策の有無を確認できます。

• ディスクの暗号化がされているか
• ウイルス対策は行われているか
• モバイルデバイスのロック解除パスワードは有効になっているか
• 指定したバージョン以上の OS が利用されているか

コンプライアンス ポリシーでデバイスのセキュリティ対策状態が収集されると、デバイス一覧で 「準拠」、「非準拠」 といった状態を確認できます。これにより各デバイスの状態をまとめて確認できるだけでなく、非準拠デバイスをいち早く発見し、準拠のために不足しているセキュリティ設定を行うことでトラブルが発生しないよう事前に対策が可能です。

コンプライアンス ポリシーの作成

コンプライアンス ポリシーは OS ごとに作成します。

1. Microsoft Endpoint Manager admin center で [デバイス] – [コンプライアンス ポリシー] を開き、[ポリシーの作成] をクリックします。
   
2. プラットフォームを選択し、[作成] をクリックします。
   
3. 名前を入力し、[次へ] をクリックします。
   
4. デバイスのセキュリティ状態を確認する項目を選択し、[次へ] をクリックします。
   • デバイスの正常性
     BitLocker、セキュア ブート、コードの整合性の状態をチェックします。
     ※ [コードの整合性] とはドライバーまたはシステム ファイルがメモリに読み込まれるたびに、その整合性を検証する機能です。
     
   • デバイスのプロパティ
     デバイスの OS バージョンをチェックします。
     
   • Configuration Manager のコンプライアンス
     Microsoft Endpoint Configuration Manager からの評価に準拠しているかをチェックします。
     ※ この項目は、Microsoft Endpoint Configuration Manager が構築されおり、Windows 10 デバイスを Intune と共同で管理している場合のみ、利用できます。
     
   • システム セキュリティ
     パスワードの条件やデータストレージ暗号化の有無、デバイスのセキュリティ、Microsoft Defender の状態をチェックします。
     
   • Microsoft Defender for Endpoint
     Microsoft Defender for Endpoint は、デバイスの脆弱性や外部からの攻撃などの脅威を検出したり、発見されたアラートを自動調査・修復を行うなど、デバイスのセキュリティ対策を行う製品です。Microsoft Defender for Endpoint がデバイスを分析した結果として評価されるセキュリティ スコアに対して準拠か非準拠となるよう設定が可能です。
     ※ デバイスのリスク スコアが、ここで設定したスコア以下であれば、準拠となります。
     ※ Microsoft Defender for Endpoint は、Microsoft 365 E5 もしくは Microsoft Defender for Endpoint 単体サービスがあれば利用できます。
     ※ スコアの詳細は、以下を参照してください。
     https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/alerts-queue?view=o365-worldwide#severity
     
5. [コンプライアンス非対応に対するアクション] を確認し、[次へ] をクリックします。
   
6. 設定を割り当てるグループを指定し、[次へ] をクリックします。
   
7. [作成] をクリックします。

コンプライアンス ポリシー既定値の変更

デバイスにコンプライアンス ポリシーが割り当てられていない状態の場合、既定ではそのデバイスは準拠として扱われます。コンプライアンス ポリシーが割り当てられ、そのポリシーのセキュリティ要件をクリアしているデバイスのみを準拠とするため、ポリシーが割り当てられていないデバイスを非準拠とすることをおすすめします。

1. Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com/) を開き、[デバイス] – [コンプライアンス ポリシー] をクリックします。
   
2. [コンプライアンス ポリシー設定] をクリックします。
   
3. [コンプライアンス ポリシーが割り当てられていないデバイスをマークする] の [準拠していない] を選択し、[保存] をクリックします。
   

コンプライアンス ポリシー準拠の確認

作成したポリシーは、自動的に設定した対象先に展開されます。
※ 展開されるまでに数時間かかる場合があります。

Microsoft Endpoint Manager admin center の [デバイス] – [すべてのデバイス] でデバイスの準拠の状態を確認することができます。複数のコンプライアンス ポリシーがあり1つでも非準拠のポリシーがあると、そのデバイスは非準拠とみなされます。デバイスの詳細画面 – [デバイスのポリシー準拠] をクリックすると、割り当てられているコンプライアンス ポリシーを確認することもできます。さらにコンプライアンス ポリシー名をクリックすると、項目ごとの状態を確認できます。

まとめ

コンプライアンス ポリシー機能は、組織が定めるセキュリティ対策が管理デバイスで有効な状態にあるかを確認し、セキュリティ対策がされていない非準拠デバイスを発見しやすくなります。コンプライアンス ポリシーに沿ったセキュリティ対策の展開は、構成プロファイル機能を利用することで自動的に各デバイスに適用させることも可能です。