Microsoft Intune でデバイスのセキュリティ対策状態を把握する
各ユーザーが利用するデバイスが、組織が定めるセキュリティ対策に則って利用されているかを IT 管理者が把握することは、組織全体のセキュリティ レベルを保つために重要なタスクといえます。昨今ではこれらの管理業務を自動化するため、MDM (Mobile Device Management) ツールを導入している企業が増加してきています。
Microsoft Intune は MDM ツールの1つです。Intune のコンプライアンス ポリシー機能を利用することで、デバイスの状態を自動で収集し、一元的に確認することができます。さらに Azure Active Directory Premium P1 ライセンスに含まれる、条件付きアクセス機能と組み合わせることでコンプライアンス ポリシーに準拠しているデバイスのみに対して Microsoft 365 へのアクセスを許可する事も可能です。
Intune + Azure AD Premium P1 は、Microsoft 365 の Business Premium、E3、E5 に含まれています。Office 365 を契約されている場合は、EMS もしくは Intune + Azure AD Premium P1 を追加契約することで利用できます。
Intune のコンプライアンス ポリシーとは
コンプライアンス ポリシーとは Intune で管理されているデバイスのセキュリティ対策状態が組織のルールを満たしているかどうかを確認できる機能です。
以下のセキュリティ対策の有無を確認できます。
- ディスクの暗号化がされているか
- ウイルス対策は行われているか
- モバイルデバイスのロック解除パスワードは有効になっているか
- 指定したバージョン以上の OS が利用されているか
コンプライアンス ポリシーでデバイスのセキュリティ対策状態が収集されると、デバイス一覧で 「準拠」、「非準拠」 といった状態を確認できます。これにより各デバイスの状態をまとめて確認できるだけでなく、非準拠デバイスをいち早く発見し、準拠のために不足しているセキュリティ設定を行うことでトラブルが発生しないよう事前に対策が可能です。
コンプライアンス ポリシーの作成
コンプライアンス ポリシーは OS ごとに作成します。
- Microsoft Endpoint Manager admin center で [デバイス] – [コンプライアンス ポリシー] を開き、[ポリシーの作成] をクリックします。
- プラットフォームを選択し、[作成] をクリックします。
- 名前を入力し、[次へ] をクリックします。
- デバイスのセキュリティ状態を確認する項目を選択し、[次へ] をクリックします。
- デバイスの正常性
BitLocker、セキュア ブート、コードの整合性の状態をチェックします。
※ [コードの整合性] とはドライバーまたはシステム ファイルがメモリに読み込まれるたびに、その整合性を検証する機能です。
- デバイスのプロパティ
デバイスの OS バージョンをチェックします。
- Configuration Manager のコンプライアンス
Microsoft Endpoint Configuration Manager からの評価に準拠しているかをチェックします。
※ この項目は、Microsoft Endpoint Configuration Manager が構築されおり、Windows 10 デバイスを Intune と共同で管理している場合のみ、利用できます。
- システム セキュリティ
パスワードの条件やデータストレージ暗号化の有無、デバイスのセキュリティ、Microsoft Defender の状態をチェックします。
- Microsoft Defender for Endpoint
Microsoft Defender for Endpoint は、デバイスの脆弱性や外部からの攻撃などの脅威を検出したり、発見されたアラートを自動調査・修復を行うなど、デバイスのセキュリティ対策を行う製品です。Microsoft Defender for Endpoint がデバイスを分析した結果として評価されるセキュリティ スコアに対して準拠か非準拠となるよう設定が可能です。
※ デバイスのリスク スコアが、ここで設定したスコア以下であれば、準拠となります。
※ Microsoft Defender for Endpoint は、Microsoft 365 E5 もしくは Microsoft Defender for Endpoint 単体サービスがあれば利用できます。
※ スコアの詳細は、以下を参照してください。
https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/alerts-queue?view=o365-worldwide#severity
- デバイスの正常性
- [コンプライアンス非対応に対するアクション] を確認し、[次へ] をクリックします。
- 設定を割り当てるグループを指定し、[次へ] をクリックします。
- [作成] をクリックします。
コンプライアンス ポリシー既定値の変更
デバイスにコンプライアンス ポリシーが割り当てられていない状態の場合、既定ではそのデバイスは準拠として扱われます。コンプライアンス ポリシーが割り当てられ、そのポリシーのセキュリティ要件をクリアしているデバイスのみを準拠とするため、ポリシーが割り当てられていないデバイスを非準拠とすることをおすすめします。
- Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com/) を開き、[デバイス] – [コンプライアンス ポリシー] をクリックします。
- [コンプライアンス ポリシー設定] をクリックします。
- [コンプライアンス ポリシーが割り当てられていないデバイスをマークする] の [準拠していない] を選択し、[保存] をクリックします。
コンプライアンス ポリシー準拠の確認
作成したポリシーは、自動的に設定した対象先に展開されます。
※ 展開されるまでに数時間かかる場合があります。
Microsoft Endpoint Manager admin center の [デバイス] – [すべてのデバイス] でデバイスの準拠の状態を確認することができます。複数のコンプライアンス ポリシーがあり1つでも非準拠のポリシーがあると、そのデバイスは非準拠とみなされます。デバイスの詳細画面 – [デバイスのポリシー準拠] をクリックすると、割り当てられているコンプライアンス ポリシーを確認することもできます。さらにコンプライアンス ポリシー名をクリックすると、項目ごとの状態を確認できます。
まとめ
コンプライアンス ポリシー機能は、組織が定めるセキュリティ対策が管理デバイスで有効な状態にあるかを確認し、セキュリティ対策がされていない非準拠デバイスを発見しやすくなります。コンプライアンス ポリシーに沿ったセキュリティ対策の展開は、構成プロファイル機能を利用することで自動的に各デバイスに適用させることも可能です。
Microsoft 365 管理者向けコース
- CI520-O 今からはじめる Azure AD 基礎
Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。 - CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。 - CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。 - CI532-H EMS で実現するクラウド IT インフラ管理
企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。 - CI535-H Microsoft 365 を利用したインシデント対応
Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。 - CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。
オンライン コースも提供中!