Microsoft ゼロ トラスト セキュリティ モデルをサポートするために、この記事では、Android Enterprise 個人所有のモバイル ユーザーのデバイス コンプライアンス ポリシーとデバイス制限ポリシーの両方を構成するために、Microsoft Intuneで使用する構成の例を示します。 これらの例には、ゼロ トラスト原則に沿ったデバイス セキュリティ構成のレベルが含まれます。
これらの例を使用する場合は、セキュリティ チームと協力して、脅威環境、リスクアペタイト、およびさまざまなレベルと構成が使いやすさに与える影響を評価してください。 organizationのニーズに合わせて例を確認して調整した後、初期テスト用のリング展開アプローチを実装し、その後に運用環境で使用します。
各ポリシー設定の詳細については、次を参照してください。
- Intuneを使用してデバイスを準拠または非準拠としてマークする Android Enterprise 設定
- Intuneを使用して機能を許可または制限する Android Enterprise デバイス設定>個人所有
注:
個人所有の仕事用プロファイル デバイスで使用できる設定のため、基本的なセキュリティ (レベル 1) は提供されません。 使用可能な設定によって、レベル 1 とレベル 2 の差異が正当化されることはありません。
次のセクションの表は、これらの例に含まれている設定のみを一覧表示します。 テーブルに一覧表示されていない設定は構成されていません。
個人所有の仕事用プロファイルの強化されたセキュリティ (レベル 2)
ユーザーが職場または学校のデータにアクセスする個人用デバイスに対して推奨される最小限のセキュリティ構成は、レベル 2 です。 ほとんどのモバイル ユーザーに対して、この構成を適用できます。 一部のコントロールは、ユーザー エクスペリエンスに影響を与える可能性があります。
デバイスコンプライアンス (レベル 2)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| デバイスの正常性 | ルート化されたデバイス | ブロック | |
| デバイスの正常性 | Google Play 開発者サービスが構成されている | 必須 | |
| デバイスの正常性 | 最新のセキュリティ プロバイダー | 必須 | |
| デバイスの正常性 | Play Integrity Verdict | デバイスの整合性 & 基本的な整合性を確認する | Play の基本的な整合性チェックとデバイスの整合性チェックを渡す必要があります。 |
| デバイスの正常性 | ハードウェアに基づくセキュリティ機能を使用して、強力な整合性を確認する | 厳密な整合性を確認する | Play の強力な整合性チェックをデバイスに渡す必要があります。 すべてのデバイスでこの種類のチェックがサポートされているわけではありません。 Intuneは、非準拠などのデバイスをマークします。 |
| デバイスのプロパティ | 最小 OS バージョン | 形式: メジャー.マイナー 例: 9.0 |
Microsoft では、Microsoft アプリでサポートされる Android のバージョンと一致するように、Android の最小のメジャー バージョンを構成することを推奨しています。 OEM と Android Enterprise Recommended の要件に準拠しているデバイスでは、現在出荷されているリリースと 1 つ後のアップグレードをサポートしている必要があります。 現在、Android では、ナレッジ ワーカーに対して Android 9.0 以降が推奨されています。 Android の最新の推奨事項については、「Android Enterprise Recommended の要件」を参照してください。 |
| システム セキュリティ | デバイス上のデータ ストレージの暗号化を要求する | 必須 | |
| システム セキュリティ | 提供元不明のアプリをブロックする | ブロック | |
| システム セキュリティ | ポータル サイト アプリのランタイム整合性 | 必須 | |
| システム セキュリティ | デバイスでの USB デバッグをブロックする | ブロック | この設定では USB デバイスを使用したデバッグがブロックされますが、トラブルシューティングの目的で役立つログを収集する機能も無効になります。 |
| システム セキュリティ | 最低限のセキュリティ パッチ レベル | 未構成 | Android デバイスでは、毎月のセキュリティ パッチを受け取ることができますが、そのリリースは OEM や通信事業者に依存します。 組織では、この設定を実装する前に、展開されている Android デバイスで確実にセキュリティ更新プログラムを受け取れるようにする必要があります。 最新のパッチ リリースについては、「Android のセキュリティに関する公開情報」を参照してください。 |
| システム セキュリティ | モバイル デバイスのロックを解除するパスワードを要求する | 必須 | |
| システム セキュリティ | パスワードの入力が必要 | 複雑な数字 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| システム セキュリティ | パスワードの最小文字数 | 6 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| システム セキュリティ | パスワードが要求されるまでの非アクティブの最長時間 (分) | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 非準拠のアクション | デバイスに非準拠のマークを付ける | 直ちに | 既定では、ポリシーはデバイスを非準拠としてマークするように構成されています。 追加のアクションを使用できます。 詳細については、「Intune で非準拠デバイスに対するアクションを構成する」を参照してください。 |
デバイスの制限 (レベル 2)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| 仕事用プロファイル設定 | 仕事用プロファイルと個人用プロファイルの間でのコピー/貼り付け | ブロック | |
| 仕事用プロファイル設定 | 仕事用プロファイルと個人プロファイル間のデータ共有 | 仕事用プロファイル内のアプリは、個人プロファイルからの共有要求を処理できます | |
| 仕事用プロファイル設定 | デバイス ロック中の仕事用プロファイルからの通知 | 未構成 | この設定をブロックすると、機密性の高いデータが仕事用プロファイルの通知で公開されないようにするため、使いやすさに影響を与える可能性があります。 |
| 仕事用プロファイル設定 | 既定のアプリのアクセス許可 | デバイスの既定値 | 管理者は、展開するアプリによって付与されるアクセス許可を確認して調整する必要があります。 |
| 仕事用プロファイル設定 | アカウントの追加と削除 | ブロック | |
| 仕事用プロファイル設定 | Bluetooth 経由での連絡先の共有 | 有効にする | 既定では、職場の連絡先へのアクセスは、自動車などの他のデバイスではBluetooth統合では使用できません。 この設定を有効にすると、ハンズ フリー ユーザー エクスペリエンスが向上します。 ただし、Bluetooth デバイスは、最初の接続時に連絡先をキャッシュする可能性があります。 組織は、この設定を実装する際に、ユーザビリティ シナリオとデータ保護に関する懸念のバランスを考慮する必要があります。 |
| 仕事用プロファイル設定 | 画面の取り込み | ブロック | |
| 仕事用プロファイル設定 | 個人プロファイルから仕事用の連絡先を検索する | 未構成 | ユーザーが個人用プロファイルから仕事用連絡先にアクセスできないようにすると、個人用プロファイル内のテキスト メッセージングやダイヤラー エクスペリエンスなどの特定の使いやすさシナリオに影響する可能性があります。 組織は、この設定を実装する際に、ユーザビリティ シナリオとデータ保護に関する懸念のバランスを考慮する必要があります。 |
| 仕事用プロファイル設定 | 仕事用プロファイル アプリからのウィジェットを許可する | 有効にする | |
| 仕事用プロファイル設定 | 仕事用プロファイルのパスワードが必要 | 必須 | |
| 仕事用プロファイル設定 | パスワードの最小文字数 | 6 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイル設定 | 仕事用プロファイルがロックされるまでの非アクティブな最長時間 (分) | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイル設定 | 仕事用プロファイルがワイプされるまでのサインイン失敗回数 | 10 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイル設定 | パスワードの有効期限 (日) | 未構成 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイル設定 | パスワードの入力が必要 | 数値複素数 | |
| 仕事用プロファイル設定 | 前のパスワードの再利用を防止 | 未構成 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| デバイスのパスワード | パスワードの最小文字数 | 6 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| デバイスのパスワード | 画面がロックされるまでの非アクティブな最長時間 (分) | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| デバイスのパスワード | デバイスがワイプされるまでのサインイン失敗回数 | 10 | この設定では、デバイスのワイプではなく、仕事用プロファイルのワイプがトリガーされます。 |
| デバイスのパスワード | パスワードの有効期限 (日) | 未構成 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| デバイスのパスワード | パスワードの入力が必要 | 数値複素数 | |
| デバイスのパスワード | 前のパスワードの再利用を防止 | 未構成 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| システム セキュリティ | アプリの脅威のスキャン | 必須 | この設定によって、エンド ユーザー デバイス用に Google のアプリの検証スキャンが確実に有効になります。 構成されている場合、エンド ユーザーは Android デバイスで Google のアプリ スキャンを有効にするまでアクセスがブロックされます。 |
| システム セキュリティ | 個人プロファイルの不明なソースからのアプリのインストール禁止 | ブロック |
注:
個人所有の仕事用プロファイルが有効になっている場合は、デバイスと仕事用プロファイルのパスコードを組み合わせて "One Lock" が既定で構成されます。 1 つのロックを無効にして、必要に応じて、仕事用プロファイルとデバイスのパスコードを仕事用プロファイルの設定で分離できます。 詳細については、「Android Enterprise の個人所有デバイスの仕事用プロファイル パスワード」セクションの「デバイスと仕事用プロファイルの 1 つのロック」の設定を確認してください。
個人所有の仕事用プロファイルの高セキュリティ (レベル 3)
レベル 3 は、非常にリスクが高いユーザーまたはグループによって使用されるデバイスに対して推奨される構成です。 たとえば、不正に開示されると重大な物的損失が発生する極秘データを扱うユーザーです。 十分な資金を提供し、洗練された敵対者の標的となる可能性が高いorganizationは、追加の制約を受ける可能性があります。
この構成では、レベル 2 の構成が以下によって拡張されています。
- モバイル脅威防御またはMicrosoft Defender for Endpointの実装。
- 個人所有の仕事用プロファイル データ のシナリオを制限する。
- 強力なパスワード ポリシーを設定する。
レベル 3 の設定には、レベル 2 で推奨されるすべてのポリシー設定が含まれています。 ただし、次のセクションに示す設定には、追加または変更された設定のみが含まれます。 これらの設定は、ユーザーまたはアプリケーションに大きな影響を与える可能性があります。 攻撃対象の組織が直面するリスクへの対応に適したレベルのセキュリティが提供されます。
デバイスコンプライアンス (レベル 3)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| Microsoft Defender for Endpoint | デバイスは、次のマシン リスク スコア以下であることが必要 | Clear | この設定には、Microsoft Defender for Endpoint が必要です。 詳細については、「Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する」を参照してください。 お客様は、Microsoft Defender for Endpoint またはモバイル脅威防御ソリューションの実装を検討する必要があります。 両方をデプロイする必要はありません。 |
| デバイスの正常性 | デバイスは、デバイス脅威レベル以下であることが必要 | セキュリティで保護 | この設定には、モバイル脅威防御製品が必要です。 詳細については、登録デバイスのモバイル脅威防御に関するページをご覧ください。 お客様は、Microsoft Defender for Endpoint またはモバイル脅威防御ソリューションの実装を検討する必要があります。 両方をデプロイする必要はありません。 |
| デバイスのプロパティ | 最小 OS バージョン | 形式: メジャー.マイナー 例: 11.0 |
Microsoft では、Microsoft アプリでサポートされる Android のバージョンと一致するように、Android の最小のメジャー バージョンを構成することを推奨しています。 OEM と Android Enterprise Recommended の要件に準拠しているデバイスでは、現在出荷されているリリースと 1 つ後のアップグレードをサポートしている必要があります。 現在、Android では、ナレッジ ワーカーに対して Android 9.0 以降が推奨されています。 Android の最新の推奨事項については、「Android Enterprise Recommended の要件」を参照してください。 |
| システム セキュリティ | パスワードの有効期限が切れるまでの日数 | 365 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| システム セキュリティ | 再使用を禁止するパスワード世代数 | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
デバイスの制限 (レベル 3)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| 仕事用プロファイル設定 | デバイス ロック中の仕事用プロファイルからの通知 | ブロック | この設定をブロックすると、機密性の高いデータが仕事用プロファイルの通知で公開されないようにするため、使いやすさに影響を与える可能性があります。 |
| 仕事用プロファイル設定 | Bluetooth 経由での連絡先の共有 | 未構成 | 既定では、職場の連絡先へのアクセスは、自動車などの他のデバイスではBluetooth統合では使用できません。 この設定を有効にすると、ハンズ フリー ユーザー エクスペリエンスが向上します。 ただし、Bluetooth デバイスは、最初の接続時に連絡先をキャッシュする可能性があります。 組織は、この設定を実装する際に、ユーザビリティ シナリオとデータ保護に関する懸念のバランスを考慮する必要があります。 |
| 仕事用プロファイル設定 | 個人プロファイルから仕事用の連絡先を検索する | ブロック | ユーザーが個人用プロファイルから仕事用連絡先にアクセスできないようにすると、個人用プロファイル内のテキスト メッセージングやダイヤラー エクスペリエンスなどの特定の使いやすさシナリオに影響する可能性があります。 組織は、この設定を実装する際に、ユーザビリティ シナリオとデータ保護に関する懸念のバランスを考慮する必要があります。 |
| 仕事用プロファイル設定 | 仕事用プロファイル アプリからのウィジェットを許可する | 未構成 | |
| 仕事用プロファイル設定 | 仕事用プロファイルがワイプされるまでのサインイン失敗回数 | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイル設定 | パスワードの有効期限 (日) | 365 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイル設定 | 前のパスワードの再利用を防止 | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイル設定 | Smart Lock などの信頼できるエージェント | ブロック | |
| デバイスのパスワード | デバイスがワイプされるまでのサインイン失敗回数 | 5 | この設定によって、デバイスのワイプではなく、仕事用プロファイルのワイプがトリガーされます。 |
| デバイスのパスワード | パスワードの有効期限 (日) | 365 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| デバイスのパスワード | 前のパスワードの再利用を防止 | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |