ユーザーとデバイス アクセスの保護

  • [アーティクル]

Microsoft 365 のデータとサービスへのアクセスを保護することは、サイバー攻撃から防御し、データ損失から保護するために重要です。 同じ保護は、環境内の他の SaaS アプリケーションや、Microsoft Entra アプリケーション プロキシで発行されたオンプレミス アプリケーションにも適用できます。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

手順 1: 推奨事項を確認する

Office 365、その他の SaaS サービス、および Microsoft Entra アプリケーション プロキシで公開されているオンプレミス アプリケーションにアクセスする ID とデバイスを保護するための推奨機能。

PDF | Visio | その他の言語

手順 2: 管理者アカウントとアクセスを保護する

Microsoft 365 環境の管理に使用する管理アカウントには、管理者特権が含まれます。 これらはハッカーやサイバー攻撃の貴重なターゲットです。

まず、管理者アカウントを管理にのみ使用します。 管理者は、通常の管理以外の使用のために別のユーザー アカウントを持ち、自分のジョブ機能に関連付けられているタスクを完了するために必要な場合にのみ管理アカウントを使用する必要があります。

多要素認証と条件付きアクセスを使用して管理者アカウントを保護します。 詳細については、「 管理者アカウントの保護」を参照してください。

次に、Microsoft Purview Privileged Access Management を構成します。 特権アクセスの管理では、Office 365 の特権的管理タスクを細かくアクセス制限できます。 これは、機密データへの永続的なアクセスまたは重要な構成設定へのアクセスで、既存の特権管理者アカウントを使用する可能性がある侵害からorganizationを保護するのに役立ちます。

もう 1 つの推奨事項は、特に管理作業用に構成されたワークステーションを使用することです。 これらは、管理タスクにのみ使用される専用デバイスです。 「特権アクセスのセキュリティ保護」を参照してください。

最後に、テナントに 2 つ以上の緊急アクセス アカウントを作成することで、管理アクセスの不注意によるアクセス不足の影響を軽減できます。 「Microsoft Entra ID で緊急アクセス アカウントを管理する」を参照してください。

多要素認証 (MFA) と条件付きアクセス ポリシーは、侵害されたアカウントと未承認のアクセスを軽減するための強力なツールです。 一緒にテストされた一連のポリシーを実装することをお勧めします。 デプロイ手順など、詳細については、「 ID とデバイスのアクセス構成」を参照してください。

これらのポリシーは、次の機能を実装します。

  • 多要素認証
  • 条件付きアクセス
  • Intune アプリ保護 (デバイスのアプリとデータ保護)
  • Intune デバイス コンプライアンス
  • Microsoft Entra ID 保護

Intune デバイス コンプライアンスを実装するには、デバイスの登録が必要です。 デバイスを管理すると、環境内のリソースへのアクセスを許可する前に、デバイスが正常で準拠していることを確認できます。 Intune での管理のためのデバイスの登録に関するページを参照してください

手順 4: SharePoint デバイス アクセス ポリシーを構成する

Microsoft では、デバイスアクセス制御を使用して、機密性の高く規制の厳しいコンテンツを使用して SharePoint サイトのコンテンツを保護することをお勧めします。 詳細については、「 SharePoint サイトとファイルをセキュリティで保護するためのポリシーの推奨事項」を参照してください。