Microsoft Intune に統合された Mobile Threat Defense ソリューションである Symantec Endpoint Protection Mobile (SEP Mobile) によって実行されるリスク評価に基づき、条件付きアクセスを利用し、モバイル デバイスから会社のリソースへのアクセスを制御できます。 リスクは、SEP Mobile を実行するデバイスから収集される次のような製品利用統計情報に基づいて評価されます。
物理的防御
ネットワーク防御
アプリケーション防御
脆弱性防御
Intune デバイス コンプライアンス ポリシーで SEP Mobile のリスク評価を有効にした後、条件付きアクセスのポリシーを使って、検出された脅威に基づき、非準拠デバイスから企業リソースへのアクセスを許可または拒否できます。
注:
この Mobile Threat Defense ベンダーは、未登録のデバイスではサポートされていません。
サポートされるプラットフォーム
Android 5.0 以降
iOS 10 以降
前提条件
- Microsoft Entra ID P1
- Microsoft Intune プラン 1 サブスクリプション
- Symantec Endpoint Protection Mobile のサブスクリプション
詳しくは、Symantec の Web サイトをご覧ください。
Intune と SEP Mobile が会社のリソースを保護する方法
Android、iOS/iPadOS 向け SEP Mobile モバイル アプリは、ファイル システム、ネットワーク スタック、デバイス、アプリケーション テレメトリを可能な限り記録し、SEP Mobile クラウド サービスに送信し、モバイル デバイスの脅威に対するリスクを評価します。
Intune デバイス コンプライアンス ポリシーには、SEP Mobile のリスク評価に基づく、SEP Mobile に関するルールが含まれています。 このルールを有効にすると、Intune は、有効にされたポリシーに基づいてデバイスの準拠状態を評価します。
デバイスが準拠していないことが判明した場合、Exchange Online や SharePoint Online などのリソースに対するアクセスがブロックされます。 デバイスがブロックされたユーザーには SEP Mobile アプリから手引きが届きます。それを見て問題を解決し、企業リソースへのアクセスを回復できます。
Intune では、SEP Mobile との統合に 2 つのモードがあります。
- 基本セットアップは読み取り専用モードであり、SEP Mobile は Intune のデバイスを表示できます。
- 完全統合の場合、SEP Mobile から、デバイスのリスクとセキュリティ インシデントの詳細を Intune に報告できます。
サンプル シナリオ
一般的なシナリオを次に示します。
悪意のあるアプリの脅威に基づいてアクセスを制御する
マルウェアなどの悪意のあるアプリがデバイスで検出されると、脅威が解決されるまで、デバイスで次の行為が禁止されます。
- 会社の電子メールに接続する
- OneDrive for Work アプリを使用して会社のファイルを同期する
- 会社のアプリにアクセスする
悪意のあるアプリが検出されたときにブロックする:
修復後、アクセスが与えられる:
ネットワークに対する脅威に基づいてアクセスを制御する
ネットワークで Man-in-the-middle のような脅威を検出し、デバイスのリスクに基づいて Wi-Fi ネットワークへのアクセスを保護します。
Wi-Fi 経由のネットワーク アクセスをブロックする:
修復後、アクセスが与えられる:
ネットワークへの脅威に基づいて SharePoint Online へのアクセスを制御する
ネットワークで Man-in-the-middle のような脅威を検出し、デバイスのリスクに基づいて会社内のファイルの同期を阻止します。
ネットワークの脅威が検出されたときに SharePoint Online をブロック:
修復後、アクセスが与えられる:
悪意のあるアプリの脅威に基づいて登録されていないデバイスでアクセスを制御する
Symantec Endpoint Protection Mobile Threat Defense ソリューションが、デバイスが感染したと見なす場合:
修復するとアクセス権が付与されます。
次の手順
Intune と SEP Mobile の統合は次の手順で行います。