Microsoft Intuneでの保護と構成のレベル
Microsoft Intuneを使用すると、管理者はユーザー、デバイス、アプリに適用されるポリシーを作成できます。 これらのポリシーの範囲は、最小セットから、より安全または制御されたポリシーまでです。 これらのポリシーは、organizationのニーズ、使用されるデバイス、デバイスの実行内容によって異なります。
ポリシーを作成する準備ができたら、さまざまなレベルの保護と構成を使用できます。
環境とビジネス ニーズには、異なるレベルが定義されている場合があります。 これらのレベルを出発点として使用し、ニーズに合わせてカスタマイズできます。 たとえば、レベル 1 のデバイス構成ポリシーと、レベル 3 のアプリ ポリシーを使用できます。
organizationに適したレベルを選択します。 間違った選択はありません。
レベル 1 - 最小限の保護と構成
このレベルには、少なくともすべてのorganizationに必要なポリシーが含まれます。 このレベルのポリシーは、セキュリティ機能の最小ベースラインを作成し、ユーザーがジョブを実行するために必要なリソースにアクセスできるようにします。
アプリ (レベル 1)
このレベルでは、ユーザーへの影響を最小限に抑えながら、妥当な量のデータ保護とアクセスの要件が適用されます。 このレベルでは、アプリが PIN で保護され、暗号化され、選択的ワイプ操作が実行されます。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 このレベルは、Exchange Onlineメールボックス ポリシーで同様のデータ保護制御を提供するエントリ レベルの構成です。 また、IT とユーザーの作成をアプリ保護ポリシーに導入します。
このレベルでは、アプリの次の保護とアクセスを構成することをお勧めします。
基本的なデータ保護要件を有効にします。
- アプリの基本的なデータ転送を許可する
- 基本的なアプリの暗号化を適用する
- 基本的なアクセス機能を許可する
基本的なアクセス要件を有効にする:
- PIN、顔 ID、生体認証アクセスが必要
- 基本的なアクセス設定のサポートを適用する
基本的な条件付きアプリケーションの起動を有効にします。
- アプリの基本的なアクセス試行を構成する
- 脱獄/ルート化されたデバイスに基づいてアプリアクセスをブロックする
- デバイスの基本的な整合性に基づいてアプリのアクセスを制限する
詳細については、「 レベル 1 の基本的なアプリ保護」を参照してください。
コンプライアンス (レベル 1)
このレベルでは、デバイス コンプライアンスには、すべてのデバイスに適用されるテナント全体の設定の構成と、コンプライアンス要件のコア セットを適用するために、すべてのデバイスに最小限のコンプライアンス ポリシーを展開することが含まれます。 デバイスがorganizationのリソースにアクセスできるようにする前に、これらの構成を実施することをお勧めします。 レベル 1 のデバイス コンプライアンスには、次のものが含まれます。
コンプライアンス ポリシー設定 は、Intune コンプライアンス サービスがデバイスとどのように連携するかに影響を与える、テナント全体の設定です。
プラットフォーム固有のコンプライアンス ポリシーには、 プラットフォーム間で共通のテーマの設定が含まれます。 実際の設定名と実装は、異なるプラットフォーム間で異なる場合があります。
- ウイルス対策、スパイウェア対策、マルウェア対策が必要 (Windows のみ)
- オペレーティング システムのバージョン:
- 最大 OS
- 最小 OS
- マイナー ビルド バージョンとメジャー ビルド バージョン
- OS パッチ レベル
- パスワード構成
- 非アクティブな期間が経過した後にロック画面を適用し、ロックを解除するためにパスワードまたはピンを要求する
- 文字、数字、記号の組み合わせで複雑なパスワードを要求する
- デバイスのロックを解除するためにパスワードまたは PIN を要求する
- パスワードの最小長が必要
非準拠に対するアクション は、各プラットフォーム固有のポリシーに自動的に含まれます。 これらのアクションは、ポリシーのコンプライアンス要件を満たしていなかったデバイスに適用される、1 つ以上の時間順アクションです。 既定では、デバイスを非準拠としてマークすることは、各ポリシーに含まれる即時アクションです。
詳細については、「 レベル 1 - 最小限のデバイス コンプライアンス」を参照してください。
デバイス構成 (レベル 1)
このレベルでは、プロファイルには、セキュリティとリソース アクセスに焦点を当てた設定が含まれます。 具体的には、このレベルでは、次の機能を構成することをお勧めします。
次のような基本的なセキュリティを有効にします。
- ウイルス対策とスキャン
- 脅威の検出と対応
- ファイアウォール
- ソフトウェア更新プログラム
- 強力な PIN とパスワード ポリシー
ユーザーにネットワークへのアクセス権を付与します。
- 電子メール
- リモート アクセス用の VPN
- オンプレミス アクセスの Wi-Fi
このレベルのこれらのポリシーの詳細については、「手順 4 - デバイス構成プロファイルを作成してデバイスをセキュリティで保護し、organization リソースへの接続を作成する」を参照してください。
レベル 2 - 強化された保護と構成
このレベルは、より多くのセキュリティを含め、モバイル デバイス管理を拡張するために、ポリシーの最小セットで拡張されます。 このレベルのポリシーは、より多くの機能をセキュリティで保護し、ID 保護を提供し、より多くのデバイス設定を管理します。
このレベルの設定を使用して、レベル 1 で行ったことを追加します。
アプリ (レベル 2)
このレベルでは、ユーザーがより機密性の高い情報にアクセスするデバイスに対して、標準的なレベルのアプリケーション保護が推奨されます。 このレベルでは、アプリ保護ポリシーのデータ漏洩防止メカニズムと最小 OS 要件が導入されています。 このレベルは、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用される構成です。
レベル 1 の設定に加えて、アプリの次の保護とアクセスを構成することをお勧めします。
拡張データ保護の要件を有効にします。
- 関連データorganization転送
- 選択したアプリのデータ転送要件を除外する (iOS/iPadOS)
- 通信データの転送
- アプリ間での切り取り、コピー、貼り付けを制限する
- 画面キャプチャをブロックする (Android)
拡張条件付きアプリケーションの起動を有効にします。
- アプリケーション アカウントの無効化をブロックする
- デバイス OS の最小要件を適用する
- 最小パッチ バージョンが必要 (Android)
- Play 整合性判定評価の種類を要求する (Android)
- デバイス ロックが必要 (Android)
- デバイスの整合性の向上に基づいてアプリへのアクセスを許可する
詳細については、「 レベル 2 の強化されたアプリ保護」を参照してください。
コンプライアンス (レベル 2)
このレベルでは、コンプライアンス ポリシーにより複雑なオプションを追加することをお勧めします。 このレベルの設定の多くは、プラットフォーム固有の名前を持ち、すべて同様の結果を提供します。 Microsoft が使用できる場合に使用することをお勧めする設定のカテゴリまたは種類を次に示します。
アプリケーション:
- Google Play for Android など、デバイスがアプリを取得する場所を管理する
- 特定の場所からのアプリを許可する
- 提供元不明のアプリをブロックする
ファイアウォールの設定
- ファイアウォール設定 (macOS、Windows)
暗号化:
- データ ストレージの暗号化を要求する
- BitLocker (Windows)
- FileVault (macOS)
パスワード
- パスワードの有効期限と再利用
システム レベルのファイルとブート保護:
- USB デバッグをブロックする (Android)
- ルート化されたデバイスまたは脱獄されたデバイスをブロックする (Android、iOS)
- システム整合性保護を要求する (macOS)
- コードの整合性を要求する (Windows)
- セキュア ブートを有効にする必要がある (Windows)
- トラステッド プラットフォーム モジュール (Windows)
詳細については、「 レベル 2 - 拡張デバイス コンプライアンス設定」を参照してください。
デバイス構成 (レベル 2)
このレベルでは、レベル 1 で構成した設定と機能を拡張します。 Microsoft では、次のポリシーを作成することをお勧めします。
- デバイスでディスク暗号化、セキュア ブート、TPM を有効にして、別のセキュリティレイヤーを追加します。
- パスワードの有効期限が切れ、パスワードを再利用できる場合とタイミングを管理するように、PIN & パスワードを構成します。
- より詳細なデバイス機能、設定、動作を構成します。
- オンプレミスの GPO がある場合は、これらの GPO が Intune で使用できるかどうかを判断できます。
このレベルのデバイス構成ポリシーの詳細については、「 レベル 2 - 強化された保護と構成」を参照してください。
レベル 3 - 高い保護と構成
このレベルにはエンタープライズ レベルのポリシーが含まれており、organizationに異なる管理者が関与する場合があります。 これらのポリシーは、引き続きパスワードレス認証に移行し、セキュリティを強化し、特殊なデバイスを構成します。
このレベルの設定を使用して、レベル 1 と 2 で行ったことを追加します。
アプリ (レベル 3)
このレベルでは、ユーザーがより機密性の高い情報にアクセスするデバイスに対して、標準的なレベルのアプリケーション保護が推奨されます。 このレベルでは、高度なデータ保護メカニズム、強化された PIN 構成、アプリ保護ポリシー Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
レベル 1 と 2 の設定に加えて、アプリの次の保護とアクセスを構成することをお勧めします。
高いデータ保護要件を有効にする:
- 通信データ転送時の高い保護
- ポリシーマネージド アプリからのデータの受信
- organization ドキュメントへのデータの開き方をブロックする
- 選択したサービスからデータを開くことをユーザーに許可する
- サード パーティ製キーボードをブロックする
- 承認済みのキーボードを要求または選択する (Android)
- organizationデータの印刷をブロックする
高アクセス要件を有効にする:
- 単純な PIN をブロックし、特定の最小 PIN 長を必要とする
- 日数が経過した後に PIN リセットを要求する
- クラス 3 の生体認証が必要 (Android 9.0 以降)
- 生体認証の更新後に PIN による生体認証のオーバーライドを要求する (Android)
高条件付きアプリケーションの起動を有効にします。
- デバイス ロックが必要 (Android)
- 許可された最大脅威レベルを要求する
- 最大 OS バージョンが必要
詳細については、「 レベル 3 の高度なアプリ保護」を参照してください。
コンプライアンス (レベル 3)
このレベルでは、次の機能を使用して、Intune の組み込みのコンプライアンス機能を拡張できます。
Mobile Threat Defense (MTD) パートナーからのデータを統合する
- MTD パートナーの場合、コンプライアンス ポリシーでは、そのパートナーによって決定された デバイスの脅威レベル または マシン リスク スコアの下にあるデバイスが必要になる場合があります
Intune でサード パーティのコンプライアンス パートナーを使用する
スクリプトを使用して、Intune UI 内から使用できない設定のカスタム コンプライアンス設定をポリシーに追加します。 (Windows、Linux)
条件付きアクセス ポリシーでコンプライアンス ポリシー データを使用して、organizationのリソースへのアクセスを制限する
詳細については、「 レベル 3 - 高度なデバイス コンプライアンス構成」を参照してください。
デバイス構成 (レベル 3)
このレベルでは、エンタープライズ レベルのサービスと機能に焦点を当て、インフラストラクチャへの投資が必要になる場合があります。 このレベルでは、次のポリシーを作成できます。
証明書ベースの認証、アプリのシングル サインオン、多要素認証 (MFA)、Microsoft Tunnel VPN ゲートウェイなど、organization内の他のサービスにパスワードレス認証を展開します。
Microsoft Tunnel for Mobile Application Management (TUNNEL for MAM) を展開して Microsoft Tunnel を展開します。これにより、Intune に登録されていない iOS および Android デバイスに Tunnel のサポートが拡張されます。 MAM のトンネルは、Intune アドオンとして使用できます。
詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。
Windows ファームウェアレイヤーに適用されるデバイス機能を構成します。 Android 共通条件モードを使用します。
マネージド Windows デバイスで組み込みのローカル管理者アカウントをセキュリティで保護するには、Windows ローカル管理者パスワード ソリューション (LAPS) の Intune ポリシーを使用します。
詳細については、「 Windows LAPS の Intune サポート」を参照してください。
エンドポイント特権管理 (EPM) を使用して Windows デバイスを保護します。これにより、organizationのユーザーを標準ユーザー (管理者権限なし) として実行しながら、それらの同じユーザーが昇格された特権を必要とするタスクを完了できるようになります。
EPM は Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。
キオスクや共有デバイスなどの特殊なデバイスを構成します。
必要に応じてスクリプトをデプロイします。
このレベルのデバイス構成ポリシーの詳細については、「 レベル 3 - 高い保護と構成」を参照してください。
次の手順
作成できるすべてのデバイス構成プロファイルの完全な一覧については、「Microsoft Intuneのデバイス プロファイルを使用してデバイスに機能と設定を適用する」を参照してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示