Intuneは、デバイス コンプライアンス ポリシーとデバイス条件付きアクセス規則で使用するために、Mobile Threat Defense (MTD) パートナーのデータを統合できます。 この情報は、侵害されたモバイル デバイスからのアクセスをブロックすることで、Exchange や SharePoint などの企業リソースを保護するのに役立ちます。
MTD パートナーを設定し、MTD パートナー コンソールでIntune コネクタを構成した後、Intune管理センター内から、その MTD パートナー アプリケーションの MTD 接続を有効にすることができます。
適用対象:
必要なロールベースのアクセス制御のアクセス許可
Mobile Threat Defense コネクタを正常に有効にするには、Intuneの Endpoint Security Manager 組み込み管理者ロールと同等のロールベースのアクセス制御 (RBAC) アクセス許可が割り当てられているアカウントを使用します。 カスタム ロールを使用する場合は、Intune Mobile Threat Defense アクセス許可の読み取り権限と変更権限が含まれていることを確認します。
Mobile Threat Defense コネクタを有効にするには
Microsoft Intune 管理センターにサインインします。
[テナント管理]>[コネクタとトークン]>[Mobile Threat Defense] の順に選択します。
[Mobile Threat Defense] で、[追加] を選択します。
Mobile Threat Defense コネクタをセットアップするには、ドロップダウン リストから MTD パートナー ソリューションを選択します。
注:
2023 年 8 月のIntune サービス リリース (2308) の時点で、Intune Microsoft Defender for Endpoint コネクタの従来の条件付きアクセス (CA) ポリシーが作成されなくなりました。 2024 年 4 月の時点Intuneサービス リリース (2404) では、Intuneサードパーティの Mobile Threat Defense コネクタの従来の CA ポリシーも不要になりました。 以前に Defender for Endpoint またはサードパーティの Mobile Threat Defense コネクタとの統合のために作成したクラシック CA ポリシーがテナントにある場合は、削除できます。
組織の要件に合わせて切り替えオプションを有効にします。 表示されるトグル オプションは、MTD パートナーによって異なる場合があります。 たとえば、次の図は、Symantec Endpoint Protection で使用できるオプションを示しています。
![Symantec Endpoint Protection の [コネクタの追加] ウィンドウのスクリーンショット。コンプライアンス ポリシー評価、アプリ保護ポリシー評価、Mobile Threat Defense ロール、共有設定のトグル オプションが表示されています。](media/enable-connector/enable-mtd-connector-1.png)
Mobile Threat Defense 切り替えオプション
注:
トグル オプションの完全な一覧を表示するには、テナントの MDM 機関が Intune に設定されていることを確認します。
コネクタに使用できるオプションは、4 つのカテゴリに分かれています。 パートナーがカテゴリをサポートしていない場合、そのカテゴリは使用できません。
- コンプライアンス ポリシーの評価
- アプリ保護 ポリシーの評価
- Mobile Threat Defense ロール
- 共有設定
organizationに必要なオプションのトグルをオンにします。
コンプライアンス ポリシーの評価
Android デバイスのバージョン<サポートされているバージョン>以降を<MTD パートナー名に接続します>: このオプションをオンにすると、Android デバイスのデバイス脅威レベルルール (サポートされている OS バージョン) を使用するコンプライアンス ポリシーには、デバイスを評価するときにこのコネクタのデータが含まれます。
iOS/iPadOS デバイスのバージョン<サポートされているバージョン>以降を<MTD パートナー名に接続します>: このオプションをオンにすると、iOS/iPadOS デバイス (サポートされている OS バージョンの場合) にデバイス脅威レベルルールを使用するコンプライアンス ポリシーに、デバイスを評価するときに、このコネクタのデータが含まれます。
iOS デバイスのアプリ同期を有効にする: この Mobile Threat Defense パートナーは、脅威分析のために使用する iOS アプリケーションのメタデータをIntuneから要求できます。 この iOS デバイスは MDM 登録済みデバイスである必要があり、デバイスのチェック時に更新されたアプリ データを提供します。 標準的な Intune ポリシーのチェックイン頻度は、サイクル時間の更新で確認することができます。
注:
アプリ同期データは、デバイスのチェックに基づく間隔で Mobile Threat Defense パートナーに送信され、検出されたアプリ レポートの更新間隔と混同しないでください。
個人所有の iOS/iPadOS デバイスで完全なアプリケーション インベントリ データを送信する: この設定では、この Mobile Threat Defense パートナーと共有するアプリケーション インベントリ データIntune制御します。 Intuneは、パートナーがアプリ データを同期し、アプリ インベントリリストを要求するときにデータを共有します。
次のオプションから選択します。
- オン - このモバイル脅威防御パートナーが、個人所有の iOS/iPadOS デバイスの iOS/iPadOS アプリケーションのリストを Intune から要求できるようにします。 このリストには、Intune を介して展開されたアプリとアンマネージド アプリ (Intune 経由で展開されていないアプリ) が含まれます。
- オフ - パートナーは、アンマネージド アプリに関するデータを取得しません。 Intune は、Intune を介して展開されるアプリのデータを共有します。
この設定は、会社のデバイスには影響しません。 企業デバイスの場合、Intune は、この MTD ベンダーから要求されたときに、マネージド アプリとアンマネージド アプリの両方に関するデータを送信します。
iOS/iPadOS デバイスの証明書同期を有効にする: このオプションは、Mobile Threat Defense パートナーがサポートしている場合にのみ使用できます。 有効にすると、Mobile Threat Defense パートナーは、脅威分析のために使用するために、Intuneから iOS/iPadOS デバイスにインストールされている証明書の一覧を要求できます。 この iOS/iPadOS デバイスは MDM に登録され、デバイスのチェック時に更新された証明書データを提供する必要があります。
注:
証明書同期データは、デバイスのチェックに基づいて、一定の間隔で Mobile Threat Defense パートナーに送信されます。
個人所有の iOS/iPadOS デバイスで完全な証明書インベントリ データを送信する: この設定では、個人所有デバイスのこの Mobile Threat Defense パートナーと共有Intune証明書インベントリ データを制御します。 Intuneは、パートナーが証明書データを同期し、証明書インベントリリストを要求するときにデータを共有します。
次のオプションから選択します。
- オン - この Mobile Threat Defense パートナーが、個人所有の iOS/iPadOS デバイスのIntuneからインストールされている証明書の一覧を要求できるようにします。 この一覧には、管理されていない証明書 (Intuneを介して展開されていない証明書) と、Intuneを介して展開された証明書が含まれます。
- オフ - パートナーは、個人所有デバイスのアンマネージド証明書に関するデータを取得しません。 個人所有デバイスの証明書データは送信されません。
この設定は、会社のデバイスには影響しません。 企業デバイスの場合、Intuneは、この MTD ベンダーから要求されたときに、マネージド証明書とアンマネージド証明書の両方に関するデータを送信します。
[サポートされていない OS バージョンをブロックする]: デバイスがサポートされる最低バージョン以前のオペレーティング システムを実行している場合は、ブロックします。 サポートされている最小バージョンの詳細は、Mobile Threat Defense ベンダーのドキュメント内で共有されます。
アプリ保護 ポリシーの評価
アプリ保護ポリシーの評価のために>バージョン<サポートされているバージョンの Android デバイスを<MTD パートナー名に接続します>。このオプションをオンにすると、"最大許容脅威レベル" ルールを使用するアプリ保護ポリシーは、このコネクタからのデータを含めることによってデバイスを評価します。
iOS デバイスのバージョン<サポートされているバージョンに接続します>アプリ保護ポリシーの評価のために>MTD パートナー名を<します。このオプションをオンにすると、"許可された最大脅威レベル" ルールを使用するアプリ保護ポリシーは、このコネクタからのデータを含めることによってデバイスを評価します。
App Protection Policy の評価に Mobile Threat Defense コネクタIntune使用する方法の詳細については、「登録されていないデバイスの Mobile Threat Defense を設定する」を参照してください。
Mobile Threat Defense ロール
登録済みの Android COBO および COPE デバイスでMTD パートナー名 MTD ロールのアクセス許可を付与する: このオプションをオンにすると、選択した Mobile Threat Defense パートナーは、登録された Android Enterprise 企業所有のフル マネージド (COBO) デバイスと Android Enterprise 企業所有の仕事用プロファイル (COPE) デバイスをモバイル脅威から保護するための強化されたアクセス許可を受け取ります。
これらのアクセス許可を構成するデバイスでは、MTD アプリは次の除外を受け取ります。
- 一時停止 - アプリを中断できません。
- 休止状態 - アプリは休止状態に入ることはできません。
- 電源制限 - アプリは、アプリ スタンバイなどの電源関連の制限から除外されます。 アプリはバックグラウンドからフォアグラウンド サービスを開始でき、ユーザーはアプリによって実行されるフォアグラウンド サービスを停止できません。
- ユーザー コントロール - アプリに対するユーザー コントロールが無効になっています。 ユーザーはアプリ データをクリアすることも、アプリを強制停止することもできません。
重要
テナントごとに MTD ロールのアクセス許可を保持できる MTD パートナーは 1 つだけです。 このトグルを使用するには、まずこのパートナーの MTD コネクタを構成し、ユーザーまたはデバイス グループを介してデバイスに MTD アプリをターゲットにします。
注:
このトグルは、Android をサポートするすべての MTD パートナー で使用できます。 同じトグルは、[エンドポイント のセキュリティ] の [Defender for Endpoint コネクタ] ページ>[エンドポイントの既定] で使用できます。
適用対象:
- Android Enterprise 企業所有のフル マネージド
- Android Enterprise の会社所有の仕事用プロファイル
Mobile Threat Defense ロールには 、Android Management API を介して登録されたデバイスが必要です。 個人所有の仕事用プロファイルは現在サポートされていません。
Android COBO および COPE デバイスでのセットアップ中に Defender for Endpoint を自動的に起動する: このトグルは Defender for Endpoint コネクタでのみ使用できます。 このオプションをオンにすると、Android Enterprise COBO および COPE デバイスのデバイスセットアップ プロセス中に Defender for Endpoint アプリが自動的に起動され、Defender for Endpoint はユーザーが手動で開く必要なく初期構成を完了できます。
注:
このトグルでは、Defender for Endpoint の [MTD ロールのアクセス許可の付与 ] トグルもオンになっている必要があります。
共有設定
- [パートナーが無応答になるまでの日数]: 接続が失われたためにパートナーが応答していないと Intune が判断するまでの、非アクティブ状態の日数。 Intune は、応答しない MTD パートナーのコンプライアンス対応状態を無視します。
重要
可能であれば、デバイス コンプライアンスと条件付きアクセス ポリシー規則を作成する 前に 、MTD アプリを追加して割り当てます。 このアプローチは、電子メールやその他の会社のリソースにアクセスする前に、エンド ユーザーがインストールできる MTD アプリの準備が整っていることを確認するのに役立ちます。
ヒント
[Mobile Threat Defense] ウィンドウで、[接続の状態] や、Intune と MTD パートナー間の [最終同期] 時刻を確認できます。