共同管理を使用した条件付きアクセス
条件付きアクセスを使用すると、信頼されたアプリを使用して信頼されたデバイス上の組織のリソースにアクセスできるのは信頼されたユーザーだけです。 クラウド内でゼロから構築されています。 Intune でデバイスを管理する場合も、共同管理を使用して Configuration Manager の展開を拡張する場合でも、同様に機能します。
次のビデオでは、シニア プログラム マネージャーの Joey Glocke と製品マーケティング マネージャーの Locky Ainley が共同管理による条件付きアクセスについて説明し、デモを行います。
共同管理により、Intune がネットワーク内のすべてのデバイスを評価して、そのデバイスの信頼性を判断します。 この評価は、次の 2 つの方法で行われます。
Intune では、デバイスまたはアプリが管理され、安全に構成されていることを確認します。 このチェックは、組織のコンプライアンス ポリシーを設定する方法によって異なります。 たとえば、すべてのデバイスで暗号化が有効になっていて、脱獄されていないことを確認します。
この評価は、セキュリティ前の侵害と構成ベースです
共同管理デバイスの場合、Configuration Manager は構成ベースの評価も行います。 たとえば、必要な更新プログラムやアプリのコンプライアンスなどです。 Intune では、この評価と独自の評価が組み合わされています。
Intune は、デバイス上のアクティブなセキュリティ インシデントを検出します。 Microsoft Defender for Endpoint やその他のモバイル脅威防御プロバイダーのインテリジェント なセキュリティを使用します。 これらのパートナーは、デバイスで継続的な行動分析を実行します。 この分析は、アクティブなインシデントを検出し、リアルタイムのコンプライアンス評価のために Intune にこの情報を渡します。
- この評価は、セキュリティ侵害後とインシデント ベースです
Microsoft コーポレート バイス プレジデントの Brad Anderson は、Ignite 2018 の基調でライブ デモを使用して条件付きアクセスについて詳しく説明します。
条件付きアクセスを使用すると、ネットワークに接続されているすべてのデバイスの正常性を一元的に確認できます。 クラウド スケールの利点が得られます。これは、Configuration Manager 運用インスタンスをテストする場合に特に重要です。
利点
すべての IT チームは、ネットワーク セキュリティに取り組みます。 ネットワークにアクセスする前に、すべてのデバイスがセキュリティとビジネス要件を満たしていることを確認することが必須です。 条件付きアクセスでは、次の要因を決定できます。
- すべてのデバイスが暗号化されている場合
- マルウェアがインストールされている場合
- 設定が更新された場合
- 脱獄またはルート化されている場合
条件付きアクセスでは、組織データの詳細な制御と、任意の場所から任意のデバイスの作業者の生産性を最大化するユーザー エクスペリエンスが組み合わされます。
次のビデオは、Microsoft Defender for Endpoint (旧称 Advanced Threat Protection) が、定期的に発生する一般的なシナリオにどのように統合されているかを示しています。
共同管理を使用すると、Intune は、必要な更新プログラムまたはアプリのセキュリティ標準コンプライアンスを評価するための Configuration Manager の責任を組み込むことができます。 この動作は、複雑なアプリとパッチの管理に Configuration Manager を引き続き使用する IT 組織にとって重要です。
条件付きアクセスは、 ゼロ トラスト ネットワーク アーキテクチャを開発する上でも重要な部分です。 条件付きアクセスでは、準拠しているデバイス アクセス制御はゼロ トラスト ネットワークの基本レイヤーをカバーします。 この機能は、将来組織をセキュリティで保護する方法の大部分を占めます。
詳細については、 Microsoft Defender for Endpoint からのマシン リスク データを使用した条件付きアクセスの強化に関するブログ記事を参照してください。
事例研究
IT コンサルティング会社 Wipro は、条件付きアクセスを使用して、91,000 人の従業員全員が使用するデバイスを保護および管理します。 最近のケース スタディでは、Wipro の IT 担当副社長は、次のように注意しました。
条件付きアクセスの実現は、Wipro にとって大きなメリットです。 今では、すべての従業員がオンデマンドで情報にモバイル アクセスできます。 セキュリティ体制と従業員の生産性を強化しました。 現在、91,000人の従業員が、どこからでも、100を超えるアプリに非常に安全にアクセスできます。
その他の例を次に示します。
150,000 人以上の従業員にアプリベースの条件付きアクセスを使用するネスレ
自動化ソフトウェア会社のケイデンスは、"マネージド デバイスのみが Teams や会社のイントラネットなどの Microsoft 365 Apps にアクセスできる" ことを確認できるようになりました。また、従業員に「Workday や Salesforce などの他のクラウドベースのアプリへのより安全なアクセス」を提供することもできます。
Intune は、Cisco ISE、Aruba Clear Pass、Citrix NetScaler などのパートナーとも完全に統合されています。 これらのパートナーを使用すると、Intune 登録と、これらの他のプラットフォーム全体のデバイス コンプライアンス状態に基づいてアクセス制御を維持できます。
詳細については、次のビデオを参照してください。
価値提案
条件付きアクセスと ATP の統合により、すべての IT 組織の基本的なコンポーネントであるセキュリティで保護されたクラウド アクセスを強化できます。
すべてのデータ侵害の 63% を超える攻撃者は、脆弱なユーザー資格情報、既定の資格情報、または盗まれたユーザー資格情報を通じて組織のネットワークにアクセスできます。 条件付きアクセスはユーザー ID のセキュリティ保護に重点を置いているため、資格情報の盗難が制限されます。 条件付きアクセスは、特権または非特権のどちらであっても、ID を管理および保護します。 デバイスとその上のデータを保護する優れた方法はありません。
条件付きアクセスは Enterprise Mobility + Security (EMS) のコア コンポーネントであるため、オンプレミスのセットアップやアーキテクチャは必要ありません。 Intune と Microsoft Entra ID を使用すると、クラウドで条件付きアクセスをすばやく構成できます。 現在 Configuration Manager を使用している場合は、共同管理を使用して環境をクラウドに簡単に拡張し、今すぐ使用を開始できます。
ATP 統合の詳細については、このブログ記事 「Microsoft Defender for Endpoint デバイス リスク スコアは、新しいサイバー攻撃を公開し、ネットワークを保護するための条件付きアクセスを推進する」を参照してください。 高度なハッカー グループがこれまで見たことのないツールを使用した方法について詳しく説明します。 対象ユーザーが条件付きアクセス権を持っていたため、Microsoft クラウドによって検出され、停止されました。 侵入によって、デバイスのリスクベースの条件付きアクセス ポリシーがアクティブ化されました。 攻撃者は既にネットワークに足掛かりを確立していますが、悪用されたマシンは、Microsoft Entra ID によって管理される組織のサービスやデータへのアクセスを自動的に制限されました。
Configure
条件付きアクセスは、 共同管理を有効にすると簡単に使用できます。 コンプライアンス ポリシー ワークロードを Intune に移動する必要があります。 詳細については、「 Configuration Manager ワークロードを Intune に切り替える方法」を参照してください。
条件付きアクセスの使用方法の詳細については、次の記事を参照してください。
注:
条件付きアクセス機能は、Microsoft Entra ハイブリッド参加済みデバイスですぐに使用できるようになります。 これらの機能には、多要素認証と Microsoft Entra ハイブリッド参加アクセス制御が含まれます。 この動作は、Microsoft Entra プロパティに基づいているためです。 Intune と Configuration Manager からの構成ベースの評価を利用するには、共同管理を有効にします。 この構成を使用すると、準拠しているデバイスに対して Intune から直接アクセス制御を行うことができます。 また、Intune のコンプライアンス ポリシーの評価機能も提供します。