Microsoft Defender for Endpointセキュリティ ベースラインへのコンプライアンスを強化する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
セキュリティ ベースラインにより、セキュリティの専門家と Windows システム管理者の両方からのガイダンスに従ってセキュリティ機能が構成されます。 展開すると、Defender for Endpoint セキュリティ ベースラインは、最適な保護を提供するように Defender for Endpoint セキュリティ 制御を設定します。
セキュリティ ベースラインと、構成プロファイルを使用したIntuneでのセキュリティ ベースラインの割り当て方法については、こちらの FAQ を参照してください。
セキュリティ ベースラインへのコンプライアンスを展開して追跡する前に、次の手順を実行します。
Microsoft Defender for Endpointと Windows Intuneセキュリティ ベースラインを比較する
Windows Intune セキュリティ ベースラインは、ブラウザーの設定、PowerShell の設定、Microsoft Defender ウイルス対策などの一部のセキュリティ機能の設定など、Windows を実行しているデバイスを安全に構成するために必要な包括的な推奨設定セットを提供します。 対照的に、Defender for Endpoint ベースラインでは、エンドポイント検出と応答 (EDR) の設定や、Windows Intune セキュリティ ベースラインにも含まれる設定など、Defender for Endpoint スタック内のすべてのセキュリティ制御を最適化する設定が提供されます。 各ベースラインの詳細については、次を参照してください。
理想的には、Defender for Endpoint にオンボーディングされたデバイスは、両方のベースラインで展開されます。最初に Windows を保護するための Windows Intune セキュリティ ベースラインと、次に Defender for Endpoint セキュリティ コントロールを最適に構成するために上に階層化された Defender for Endpoint セキュリティベースラインです。 リスクと脅威に関する最新のデータの恩恵を受け、ベースラインの進化に伴う競合を最小限に抑えるには、リリースされるとすぐにすべての製品に最新バージョンのベースラインを常に適用します。
注:
Defender for Endpoint セキュリティ ベースラインは物理デバイス用に最適化されており、現在、仮想マシン (VM) または VDI エンドポイントでの使用はお勧めしません。 特定のベースライン設定が、仮想化された環境でのリモート対話型セッションに影響を与える可能性があります。
Defender for Endpoint セキュリティ ベースラインへのコンプライアンスを監視する
デバイス構成管理のセキュリティ ベースライン カードには、Defender for Endpoint セキュリティ ベースラインが割り当てられているWindows 10デバイスとWindows 11 デバイス全体のコンプライアンスの概要が示されています。
Defender for Endpoint セキュリティ ベースラインへの準拠を示すカード
各デバイスには、次のいずれかの状態の種類が与えられます。
- ベースラインと一致する: デバイス設定は、ベースライン内のすべての設定と一致します。
- ベースラインと一致しない: 少なくとも 1 つのデバイス設定がベースラインと一致しません。
- 正しく構成されていない: 少なくとも 1 つのベースライン設定がデバイスで正しく構成されておらず、競合、エラー、または保留中の状態です。
- 適用不可: 少なくとも 1 つのベースライン設定がデバイスに適用されません。
特定のデバイスを確認するには、カードで [セキュリティ ベースラインの構成] を選択します。 これにより、デバイス管理をIntuneできます。 そこから、デバイスの名前と 状態 の [デバイスの状態] を選択します。
注:
デバイス構成管理ページに表示される集計データと、Intuneの概要画面に表示されるデータに不一致が発生する場合があります。
Microsoft Defender for Endpointセキュリティ ベースラインを確認して割り当てる
デバイス構成管理では、Microsoft Defender for Endpointセキュリティ ベースラインが特に割り当てられているWindows 10デバイスとWindows 11デバイスのベースライン コンプライアンスのみが監視されます。 ベースラインを簡単に確認し、Intuneデバイス管理でデバイスに割り当てることができます。
[セキュリティ ベースライン] カードで [セキュリティ ベースラインの構成] を選択して、デバイス管理Intune移動します。 ベースライン コンプライアンスの同様の概要が表示されます。
ヒント
または、[すべてのサービス] > Intune > [デバイス セキュリティ] > [セキュリティ ベースライン] > Microsoft Defender ATP ベースラインから、Microsoft Azure portalの Defender for Endpoint セキュリティ ベースラインに移動できます。
新しいプロファイルを作成します。
![IntuneのMicrosoft Defender for Endpoint セキュリティ ベースラインの概要の [プロファイルの作成] タブ](media/secconmgmt-baseline-intuneprofile1.png)
Intuneのセキュリティ ベースラインの概要をMicrosoft Defender for Endpointするプロファイルの作成中に、ベースラインの特定の設定を確認および調整できます。
Intuneでのプロファイル作成時のセキュリティ ベースライン オプションプロファイルを適切なデバイス グループに割り当てます。
Intuneでのセキュリティ ベースライン プロファイルの割り当てプロファイルを作成して保存し、割り当てられたデバイス グループに展開します。
Intuneでのセキュリティ ベースライン プロファイルの作成
![IntuneのMicrosoft Defender for Endpoint セキュリティ ベースラインの概要の [プロファイルの作成] タブ](media/secconmgmt-baseline-intuneprofile1.png#lightbox)
ヒント
Intuneのセキュリティ ベースラインは、デバイスを包括的にセキュリティで保護し、保護するための便利な方法を提供します。 Intuneのセキュリティ ベースラインの詳細については、こちらをご覧ください。
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。