Microsoft Defender for Endpointで条件付きアクセスを構成する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
このセクションでは、条件付きアクセスを適切に実装するために必要なすべての手順について説明します。
開始する前に
警告
このシナリオでは、登録されたデバイスMicrosoft Entraサポートされていないことに注意してください。 登録されているデバイスIntuneのみがサポートされます。
すべてのデバイスがIntuneに登録されていることを確認する必要があります。 次のいずれかのオプションを使用して、Intuneにデバイスを登録できます。
- IT 管理: 自動登録を有効にする方法の詳細については、「Windows の自動登録を有効にする」を参照してください。
- エンド ユーザー: IntuneにWindows 10とWindows 11デバイスを登録する方法の詳細については、「Intuneに Windows デバイスを登録する」を参照してください。
- エンド ユーザーの代替手段: Microsoft Entra ドメインへの参加の詳細については、「方法: Microsoft Entra参加実装を計画する」を参照してください。
Microsoft Defender ポータル、Intune ポータル、Microsoft Entra 管理センターで実行する必要がある手順があります。
これらのポータルにアクセスし、条件付きアクセスを実装するために必要なロールに注意することが重要です。
- ポータルMicrosoft Defender - 統合を有効にするには、適切なロールでポータルにサインインする必要があります。 「 アクセス許可オプション」を参照してください。
- Intune - 管理アクセス許可を持つセキュリティ管理者権限でポータルにサインインする必要があります。
- Microsoft Entra 管理センター - セキュリティ管理者または条件付きアクセス管理者としてサインインする必要があります。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft Intune環境が必要です。Intune管理され、Microsoft Entra参加済みのWindows 10デバイスとWindows 11デバイスがあります。
条件付きアクセスを有効にするには、次の手順を実行します。
- 手順 1: Microsoft Defender XDRからMicrosoft Intune接続を有効にする
- 手順 2: Intuneで Defender for Endpoint 統合を有効にする
- 手順 3: Intuneでコンプライアンス ポリシーを作成する
- 手順 4: ポリシーを割り当てる
- 手順 5: Microsoft Entra条件付きアクセス ポリシーを作成する
手順 1: Microsoft Intune接続を有効にする
ナビゲーション ウィンドウで、設定>Endpoints>General>Advanced features>Microsoft Intune connection を選択します。
Microsoft Intune設定を [オン] に切り替えます。
[ Save preferences]\(設定の保存\) をクリックします。
手順 2: Intuneで Defender for Endpoint 統合を有効にする
Intune ポータルにサインインする
[エンドポイント セキュリティ>Microsoft Defender for Endpoint] を選択します。
[Connect Windows 10.0.15063+ デバイス] を [Advanced Threat Protection] を [オン] にMicrosoft Defenderします。
[保存] をクリックします。
手順 3: Intuneでコンプライアンス ポリシーを作成する
Azure portalで、[すべてのサービス] を選択し、Intuneでフィルター処理し、[Microsoft Intune] を選択します。
[ デバイスコンプライアンス>ポリシー>ポリシーの作成] を選択します。
[名前] と [説明] を入力します。
[プラットフォーム] で、[Windows 10 以降] を選択します。
[Device Health]\( デバイスの正常性\) 設定 で、[デバイスをデバイスの脅威レベルまたはデバイス脅威レベルの下 に置く] を好みのレベルに設定します。
- [セキュリティ保護]: このレベルはセキュリティ上最も安全です。 デバイスは既存の脅威を持つことができず、会社のリソースに引き続きアクセスできます。 いずれかの脅威が見つかった場合、デバイスは非準拠と評価されます。
- [低]: 低レベルの脅威が存在する場合にのみ、デバイスは準拠しています。 中または高の脅威レベルを持つデバイスは準拠していません。
- [中]: デバイスに存在する脅威が低または中の場合、デバイスは準拠しています。 高レベルの脅威が検出された場合は、デバイスは非準拠と判定されます。
- 高: このレベルは最も安全性が低く、すべての脅威レベルを許可します。 そのため、脅威レベルが高、中、または低のデバイスは準拠していると見なされます。
[ OK] を選択し、[ 作成] を選択 して変更を保存します (ポリシーを作成します)。
手順 4: ポリシーを割り当てる
Azure portalで、[すべてのサービス] を選択し、Intuneでフィルター処理し、[Microsoft Intune] を選択します。
[デバイスのコンプライアンス>ポリシー] を選択>Microsoft Defender for Endpointコンプライアンス ポリシーを選択します。
[割り当て] を選択します。
Microsoft Entra グループを含めるか除外して、ポリシーを割り当てます。
グループにポリシーを展開するには、[保存] を選択 します。 ポリシーの対象となるユーザー デバイスは、コンプライアンスについて評価されます。
手順 5: Microsoft Entra条件付きアクセス ポリシーを作成する
Azure portalで、[Microsoft Entra ID>Conditional Access>New policy] を開きます。
ポリシー 名を入力し、[ ユーザーとグループ] を選択します。 含めるオプションまたは除外するオプションを使用して、ポリシーのグループを追加し、[完了] を選択します。
[ クラウド アプリ] を選択し、保護するアプリを選択します。 たとえば、[アプリを選択] を選び、[Office 365 SharePoint Online] と [Office 365 Exchange Online] を選択します。 [完了] を選んで変更内容を保存します。
[条件]>[クライアント アプリ] の順に選択して、アプリとブラウザーにポリシーを適用します。 たとえば、[はい] を選択し、[ブラウザー] と [モバイル アプリとデスクトップ クライアント] を有効にします。 [完了] を選んで変更内容を保存します。
[許可] を選択し、デバイスのコンプライアンスに基づいて条件付きアクセスを適用します。 たとえば、[アクセスの許可]>[デバイスは準拠しているとしてマーク済みである必要があります] の順に選択します。 [選択] を選んで変更を保存します。
[ポリシーを有効にする]、[作成] の順に選択して変更を保存します。
注:
Microsoft Defender for Endpoint アプリは、承認済みクライアント アプリ、App Protection ポリシー、および準拠デバイス (デバイスを準拠としてマークする必要があります) コントロールと共にMicrosoft Entra条件付きアクセス ポリシーで使用できます。 条件付きアクセスの設定中に、Microsoft Defender for Endpoint アプリに除外は必要ありません。 Android & iOS 上のMicrosoft Defender for Endpoint (アプリ ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) は承認されたアプリではありませんが、3 つの付与アクセス許可すべてでデバイスのセキュリティ体制を報告できます。
ただし、内部的に Defender は MSGraph/User.read スコープと Intune Tunnel スコープを要求します (Defender+Tunnel シナリオの場合)。 そのため、これらのスコープは除外する必要があります*。 MSGraph/User.read スコープを除外するには、任意のクラウド アプリを除外できます。 Tunnel スコープを除外するには、"Microsoft Tunnel Gateway" を除外する必要があります。これらのアクセス許可と除外により、条件付きアクセスに対するコンプライアンス情報のフローが有効になります。
すべての Cloud Apps に条件付きアクセス ポリシーを適用すると、場合によってはユーザー アクセスが誤ってブロックされる可能性があるため、推奨されません。 Cloud Apps での条件付きアクセス ポリシーの詳細
詳細については、「Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する」を参照してください。
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。