Intune でのエンドポイント セキュリティのアカウント保護ポリシー
アカウント保護には Intune エンドポイント セキュリティ ポリシーを使用して、ユーザーの ID とアカウントを保護し、デバイス上の組み込みのグループ メンバーシップを管理します。
Microsoft Intune 管理センターの [エンドポイント セキュリティ] ノードの [管理] で、アカウント保護のエンドポイント セキュリティ ポリシーを見つけます。
アカウント保護プロファイルの前提条件
- アカウント保護 (プレビュー) プロファイルをサポートするには、デバイスで Windows 10 または Windows 11 を実行する必要があります。
- ローカル ユーザー グループ メンバーシップ (プレビュー) プロファイルをサポートするには、デバイスで Windows 10 20H2 以降、または Windows 11 を実行する必要があります。
ロールベースのアクセス制御 (RBAC)
Intune アカウント保護プロファイルを管理するための適切なレベルのアクセス許可と権限の割り当てに関するガイダンスについては、「 Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。
アカウント保護プロファイル
アカウント保護プロファイルはプレビュー段階です。
Windows 10/11 プロファイル:
アカウント保護 (プレビュー) – アカウント保護ポリシーの設定は、ユーザーの資格情報を保護するのに役立ちます。
アカウント保護ポリシーは、Windows ID とアクセス管理の一部である Windows Hello と Credential Guard の設定に重点を置いています。
- Windows Hello for Business では、パスワードが PC とモバイル デバイスで強力な 2 要素認証に置き換えられます。
- Credential Guard は 、デバイスで使用する資格情報とシークレットを保護するのに役立ちます。
詳細については、Windows ID とアクセス管理 に関するドキュメントの ID とアクセス管理に関するドキュメントを参照してください。
ローカル管理者パスワード ソリューション (Windows LAPS) - このプロファイルを使用して、デバイスで Windows LAPS を構成します。 Windows LAPS を使用すると、デバイスごとに 1 つのローカル管理者アカウントを管理できます。 Intune ポリシーでは、ポリシー設定 [管理者アカウント名] を使用して、適用するローカル 管理者アカウントを指定できます。
Intune を使用して Windows LAPS を管理する方法の詳細については、次を参照してください。
- Windows LAPS の Intune サポートについて説明します。
- LAPS ポリシーを管理する
ローカル ユーザー グループ メンバーシップ – このプロファイルを使用して、Windows デバイス上の組み込みローカル グループのメンバーを追加、削除、または置き換えます。 たとえば、Administrators ローカル グループには広範な権限があります。 このポリシーを使用して、管理グループのメンバーシップを編集して、排他的に定義されたメンバーのセットにロックダウンできます。
このプロファイルの使用方法については、「 Windows デバイスでローカル グループを管理する」セクションで詳しく説明します。
Windows デバイスでローカル グループを管理する
ローカル ユーザー グループ メンバーシップ プロファイルを使用して、Windows 10 20H2 以降を実行するデバイスおよび Windows 11 デバイス上の組み込みローカル グループのメンバーであるユーザーを管理します。
ヒント
Microsoft Entra グループを使用した管理者特権の管理のサポートの詳細については、Microsoft Entra ドキュメントの 「Microsoft Entra グループを使用して管理者特権を管理 する」を参照してください。
プロファイルを構成する
このプロファイルは、 ポリシー CSP - LocalUsersAndGroups を使用して、デバイスのローカル グループ メンバーシップを管理します。 CSP ドキュメントには、構成の適用方法の詳細と、CSP の使用に関する FAQ が含まれています。
このプロファイルを構成する場合、[ 構成設定 ] ページで、変更する組み込みのローカル グループ、実行するグループ アクション、ユーザーを選択する方法を管理する複数のルールを作成できます。
![プロファイルを構成するための [構成設定] ページのスクリーン ショット。](media/endpoint-security-account-protection-policy/create-profile.png)
実行できる構成を次に示します。
- [ローカル グループ]: ドロップダウンから 1 つ以上のグループを選択します。 これらのグループはすべて、割り当てたユーザーに同じ [グループ] アクションと [ユーザー] アクションを適用します。 1 つのプロファイルに複数のローカル グループのグループを作成し、ローカル グループの各グループに異なるアクションとユーザー のグループを割り当てることができます。
注:
ローカル グループの一覧は、 Microsoft Entra 参加済みデバイスのローカル管理者グループを管理する方法 に関するドキュメントで参照されているように、ログオン時に評価することが保証されている 6 つの組み込みローカル グループに制限されています。
グループとユーザーのアクション: 選択したグループに適用するアクションを構成します。 このアクションは、同じアクションとローカル アカウントのグループ化に対して選択したユーザーに適用されます。 選択できるアクションは次のとおりです。
- 追加 (更新): 選択したグループにメンバーを追加します。 ポリシーで指定されていないユーザーのグループ メンバーシップは変更されません。
- 削除 (更新): 選択したグループからメンバーを削除します。 ポリシーで指定されていないユーザーのグループ メンバーシップは変更されません。
- 追加 (置換): 選択したグループのメンバーを、このアクションに指定した新しいメンバーに置き換えます。 このオプションは、制限付きグループと同じように機能し、ポリシーで指定されていないグループ メンバーはすべて削除されます。
注意
[置換] アクションと [更新] アクションの両方で同じグループが構成されている場合、[置換] アクションが優先されます。 これは競合とは見なされません。 このような構成は、複数のポリシーを同じデバイスに展開するとき、またはこの CSP も Microsoft Graph を使用して構成されている場合に発生する可能性があります。
ユーザー選択の種類: ユーザーを選択する方法を選択します。 オプションは以下のとおりです。
- [ユーザー]: Microsoft Entra ID からユーザーとユーザー グループを選択します。 (Microsoft Entra 参加済みデバイスでのみサポートされます)。
- 手動: ユーザー名、ドメイン\ユーザー名、またはグループ セキュリティ識別子 (SID) で、Microsoft Entra のユーザーとグループを手動で指定します。 (Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスでサポートされます)。
選択したユーザー: [ ユーザーの選択の種類] の選択に応じて、次のいずれかのオプションを使用します。
ユーザーの選択: Microsoft Entra からユーザーとユーザー グループを選択します。
ユーザーの追加: [ ユーザーの追加 ] ウィンドウが開き、デバイスに表示される 1 つ以上のユーザー識別子を指定できます。 ユーザーは、 セキュリティ識別子 (SID)、 Domain\username、または Username で指定 できます。
![[ユーザーの追加] ページのスクリーン ショット。](media/endpoint-security-account-protection-policy/add-user.png)
[手動] オプションを選択すると、オンプレミスの Active Directory ユーザーを Active Directory から Microsoft Entra ハイブリッド参加済みデバイスのローカル グループに管理するシナリオで役立ちます。 最も優先される順にユーザー選択を識別するためのサポートされている形式は、SID、domain\username、またはメンバーのユーザー名を使用することです。 Active Directory からの値はハイブリッド参加済みデバイスに使用する必要があります。一方、Microsoft Entra 参加には Microsoft Entra ID の値を使用する必要があります。 Microsoft Entra グループ SID は、 Graph API for Groups を使用して取得できます。
競合
ポリシーでグループ メンバーシップの競合が発生した場合、各ポリシーの競合する設定はデバイスに送信されません。 代わりに、Microsoft Intune 管理センターでこれらのポリシーの競合が報告されます。 競合を解決するには、1 つ以上のポリシーを再構成します。
Reporting
デバイスがチェックインしてポリシーを適用すると、管理センターにデバイスとユーザーの状態が正常またはエラーとして表示されます。
ポリシーには複数のルールを含めることができるので、次の点を考慮してください。
- デバイスのポリシーを処理する場合、設定ごとの状態ビューには、1 つの設定であるかのようにルールのグループの状態が表示されます。
- エラーが発生するポリシー内の各ルールはスキップされ、デバイスには送信されません。
- 成功した各ルールは、適用するデバイスに送信されます。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示