Intune で Microsoft Defender for Endpoint を構成する

この記事に記載されている情報と手順を使用して、Microsoft Defender for Endpoint と Intune の統合を構成します。 構成には、次の一般的な手順が含まれます。

  • Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立する。 この接続により、Microsoft Defender for Endpoint では、Intune で管理するサポート対象デバイスからコンピューターのリスクに関するデータを収集できるようになります。 Intune でMicrosoft Defender for Endpointを使用するための前提条件を参照してください。
  • Intune ポリシーを使用して、Microsoft Defender for Endpointでデバイスをオンボードします。 デバイスをオンボードして、Microsoft Defender for Endpoint と通信を行い、そのリスク レベルを評価するのに役立つデータを提供するようにそれらを構成します。
  • Intune デバイス コンプライアンス ポリシーを使用して、許可するリスクのレベルを設定します。 Microsoft Defender for Endpointは、デバイスのリスク レベルを報告します。 許可されたリスク レベルを超えるデバイスは、非準拠として識別されます。
  • 条件付きアクセス ポリシーを使用して、ユーザーが非準拠のデバイスから企業リソースにアクセスできないようにする。
  • Android と iOS/iPadOS のアプリ保護ポリシー使用して、デバイスのリスク レベルを設定します。 アプリ保護ポリシーは、登録されているデバイスと登録されていないデバイスの両方で動作します。

Intune に登録するデバイスでMicrosoft Defender for Endpointの設定を管理するだけでなく、Intune に登録されていないデバイスで Defender for Endpoint セキュリティ構成を管理できます。 このシナリオは、Microsoft Defender for Endpoint のセキュリティ管理と呼ばれ、[Microsoft Defender for Endpoint に Endpoint セキュリティ構成の適用を許可する] トグルを [オン] に設定する必要があります。 詳細については、「MDE セキュリティ構成管理」を参照してください。

Important

Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

Microsoft Defender for Endpointを Intune に接続する

実行する最初の手順は、Intune と Microsoft Defender for Endpoint の間にサービス間接続を設定することです。 設定には、Microsoft Defender セキュリティ センターと Intune の両方に対する管理アクセス権が必要です。

Microsoft Defender for Endpoint を有効にする必要があるのは、テナントごとに 1 回だけです。

Microsoft Defender for Endpoint を有効にするには

security.microsoft.com でMicrosoft Defender for Endpoint ポータルを開きます。 Intune 管理センターには、Defender for Endpoint ポータルへのリンクも含まれています。

  1. Microsoft Intune 管理センターにサインインします。

  2. [エンドポイント セキュリティ]>[Microsoft Defender for Endpoint] の順に選択し、[Microsoft Defender セキュリティ センターを開く] を選択します。

    ヒント

    Intune 管理センターで、[Microsoft Defender for Endpoint] ページの上部にある [接続の状態] が既に [有効] に設定されている場合、Intune への接続は既にアクティブであり、管理センターにはリンクの異なる UI テキストが表示されます。 このイベントでは、[Microsoft Defender for Endpoint管理コンソールを開く] を選択して、ポータルのMicrosoft Defenderを開きます。 その後、次の手順のガイダンスを使用して、Microsoft Intune接続[オン] に設定されていることを確認できます。

    Microsoft Defender セキュリティ センターを開くためのパッチを示すスクリーンショット。

  3. Microsoft Defender ポータル (以前のMicrosoft Defender セキュリティ センター):

    1. [設定]>[エンドポイント]>[高度な機能]を選択します。

    2. [Microsoft Intune の接続] は、[オン] を選択します。

      Microsoft Intune 接続設定のスクリーンショット。

    3. [環境設定の保存] を選択します。

    注:

    接続が確立したら、"少なくとも" 24 時間ごとに 1 回は互いと同期をとることがサービスに求められます。 接続が応答しないと見なされるまでの同期なしの日数は、Microsoft Intune管理センターで構成できます。 [エンドポイント セキュリティ][Microsoft Defender for Endpoint][パートナーが無応答になるまでの日数] の順に選択します。

  4. Microsoft Intune管理センターの [Microsoft Defender for Endpoint] ページに戻ります。

    1. コンプライアンス ポリシーで Defender for Endpoint を使用するには、サポートするプラットフォームの [コンプライアンス ポリシー評価] で次を構成します。

      • [Android デバイスを Microsoft Defender for Endpoint に接続します][オン] に設定します
      • [iOS/iPadOS デバイスの接続] を [Microsoft Defender for Endpoint] を [オン] に設定します
      • Microsoft Defender for Endpoint への [Connect Windows devices]\(Windows デバイスを接続する\)[オン] に設定します

      これらの構成が "オン" になっている場合、Intune で管理している該当するデバイスと、今後登録するデバイスは、コンプライアンスのために Microsoft Defender for Endpoint に接続されます。

      iOS デバイスの場合、Defender for Endpoint では、iOS 用のMicrosoft Defender for Endpointアプリの脆弱性評価を提供するのに役立つ次の設定もサポートされています。 次の 2 つの設定の使用方法の詳細については、「 アプリの脆弱性評価を構成する」を参照してください。

      • [iOS デバイスのアプリ同期を有効にする]: [ オン] に設定すると、Defender for Endpoint は脅威分析のために使用する iOS アプリケーションのメタデータを Intune から要求できます。 iOS デバイスは MDM に登録され、デバイスのチェック中に更新されたアプリ データを提供する必要があります。

      • 個人所有の iOS/iPadOS デバイスで完全なアプリケーション インベントリ データを送信する: この設定では、Defender for Endpoint がアプリ データを同期し、アプリ インベントリリストを要求するときに、Intune が Defender for Endpoint と共有するアプリケーション インベントリ データを制御します。

        [オン] に設定すると、Defender for Endpoint は、個人所有の iOS/iPadOS デバイスのアプリケーションの一覧を Intune から要求できます。 この一覧には、Intune を介して展開されたアンマネージド アプリとアプリが含まれます。

        [Off] に設定すると、アンマネージド アプリに関するデータは提供されません。 Intune は、Intune を介して展開されるアプリのデータを共有します。

      詳細については、「Mobile Threat Defense トグル オプション」を参照してください。

    2. Android および iOS/iPadOS 用のアプリ保護ポリシーで Defender for Endpoint を使用するには、使用するプラットフォームのアプリ保護 ポリシー評価で次を構成します。

      • [Android デバイスの接続] を [エンドポイントのMicrosoft Defender] を [オン] に設定します。
      • [iOS/iPadOS デバイスの接続] を [オン] にMicrosoft Defender for Endpointに設定します

    コンプライアンスとアプリ保護ポリシーの評価のために統合Microsoft Defender for Endpointを設定するには、Intune の Mobile Threat Defense アクセス許可の読み取りと変更を含むロールが必要です。 Intune の Endpoint Security Manager 組み込み管理者ロールには、これらのアクセス許可が含まれています。 MDM コンプライアンス ポリシー設定とアプリ保護ポリシー設定の両方の詳細については、「Mobile Threat Defense トグル オプションを参照してください。

  5. [保存] を選択します。

ヒント

新しいアプリケーションを Intune Mobile Threat Defense に統合し、Intune への接続を有効にすると、Intune は ATP デバイス ポリシー Windows Defenderなどの従来の条件付きアクセス ポリシーをMicrosoft Entra IDに作成します。 統合する各 MTD アプリ (Microsoft Defender for Endpoint や他の MTD パートナーなど) によって、新しい従来の条件付きアクセス ポリシーが作成されます。 これらのポリシーは無視してもかまいませんが、編集、削除、または無効にすることはできません。

従来のポリシーを削除した場合は、その作成に使用された Intune への接続を削除してから、それを再設定する必要があります。 これにより、従来のポリシーが再作成されます。 MTD アプリ用の従来のポリシーを、条件付きアクセス用の新しいポリシーの種類に移行することは、サポートされていません。

MTD アプリ用の従来の条件付きアクセス ポリシーは:

  • Intune MTD によって使用され、MTD パートナーと通信する前にデバイス ID を持つデバイスをMicrosoft Entra IDに登録する必要があります。 ID は、デバイスが Intune に正常に自身の状態を報告できるようにするために必要です。
  • 他のクラウド アプリやリソースには影響しません。
  • MTD の管理を支援するために作成する条件付きアクセス ポリシーとは異なります。
  • 既定では、評価に使用する他の条件付きアクセス ポリシーとは対話しません。

従来の条件付きアクセス ポリシーを表示するには、Azure[Microsoft Entra ID>Conditional Access>クラシック ポリシー] に移動します。

デバイスのオンボード

Intune でMicrosoft Defender for Endpointのサポートを有効にすると、Intune とMicrosoft Defender for Endpointの間にサービス間接続が確立されました。 その後、Intune で管理するデバイスを Microsoft Defender for Endpoint にオンボードできます。 オンボードすると、デバイスのリスク レベルに関するデータを収集できるようになります。

デバイスをオンボードするときは、プラットフォームごとに最新バージョンのMicrosoft Defender for Endpointを使用してください。

Windows デバイスのオンボード

  • エンドポイントの検出と応答 (EDR) ポリシー。 Intune 管理センターの [Microsoft Defender for Endpoint] ページには、Intune のエンドポイント セキュリティの一部である EDR ポリシー作成ワークフローを直接開くリンクが含まれています。

    デバイス構成プロファイルで見られるような大きな設定本文のオーバーヘッドなしで、デバイスのセキュリティを構成するには、EDR ポリシーを使用します。 また、テナントに接続されたデバイスで EDR ポリシーを使用することもできます。これは、Configuration Manager で管理するデバイスです。

    Intune を Defender に接続した後に EDR ポリシーを構成すると、クライアント構成パッケージの種類Microsoft Defender for Endpointポリシー設定に新しい構成オプション [コネクタから自動] が追加されます。 このオプションを使用すると、Intune は Defender for Endpoint の展開からオンボード パッケージ (BLOB) を自動的に取得し、[オンボード] パッケージを手動で構成する必要が置き換えられます。

  • デバイス構成プロファイル。 Windows デバイスをオンボードするためのデバイス構成ポリシーを作成する場合は、Microsoft Defender for Endpoint テンプレートを選択します。 Intune を Defender に接続すると、Intune は Defender からオンボード構成パッケージを受け取ります。 このパッケージは、Microsoft Defender for Endpoint サービスと通信し、ファイルをスキャンして脅威を検出するようにデバイスを構成するためにテンプレートによって使用されます。 オンボードされたデバイスは、コンプライアンス ポリシーに基づいてリスク レベルをMicrosoft Defender for Endpointに報告します。 構成パッケージを使用してデバイスをオンボードした後は、再度これを行う必要はありません。

  • グループ ポリシーまたはMicrosoft Configuration ManagerMicrosoft Configuration Managerを使用して Windows マシンをオンボードすると、Microsoft Defender for Endpoint設定の詳細が表示されます。

ヒント

複数のポリシーまたはポリシーの種類 ("デバイス構成" ポリシー、"エンドポイントの検出と応答" ポリシーなど) を使用して、同じデバイス設定 (Defender for Endpoint へのオンボードなど) を管理する場合は、デバイスにポリシーの競合を作成することができます。 競合の詳細については、"セキュリティ ポリシーの管理" に関する記事の「競合の管理」を参照してください。

デバイス構成プロファイルを作成して Windows デバイスをオンボードする

  1. Microsoft Intune 管理センターにサインインします。

  2. [エンドポイント セキュリティ]>[エンドポイントの検出と応答]>[ポリシーの作成] の順に選択します。

  3. [プラットフォーム] で、[Windows 10、Windows 11、および Windows Server] を選択します

  4. [プロファイルの種類][エンドポイントの検出と応答] を選択し、[作成] を選択します。

  5. [基本] ページで、プロファイルの "名前" と "説明" (必要に応じて) を入力して、[次へ] を選択します。

  6. [構成設定] ページの [エンドポイントの検出と応答] で次のオプションを構成します。

    • Microsoft Defender for Endpointクライアント構成パッケージの種類: [コネクタから自動] を選択して、Defender for Endpoint デプロイのオンボード パッケージ (BLOB) を使用します。 別の Defender for Endpoint デプロイにオンボードする場合は、[ オンボード ] を選択し、WindowsDefenderATP.onboarding BLOB ファイルのテキストを [オンボード (デバイス)] フィールドに貼り付けます。
    • サンプル共有: Microsoft Defender for Endpointサンプル共有構成パラメーターを取得または設定します。
    • [非推奨] テレメトリ レポート頻度: リスクが高いデバイスの場合は、この設定を有効にして、テレメトリをより頻繁にMicrosoft Defender for Endpoint サービスに報告します。

    エンドポイントの検出と応答の構成オプションのスクリーンショット。

    注:

    上記の画面キャプチャは、Intune と Microsoft Defender for Endpoint の接続を構成した後の構成オプションを示しています。 接続すると、オンボード BLOB とオフボード BLOB の詳細が自動的に生成され、Intune に転送されます。

    この接続を正常に構成していない場合、クライアント構成パッケージの種類Microsoft Defender for Endpoint設定には、オンボード BLOB とオフボード BLOB を指定するオプションのみが含まれます。

  7. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

  8. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    ユーザー グループに展開する場合、ユーザーはポリシーが適用される前にデバイスにサインインする必要があり、デバイスは Defender for Endpoint にオンボードできます。

    [次へ] を選択します。

  9. [確認および作成] ページで、完了したら、[作成] を選択します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。 [OK][作成] の順に選択して変更内容を保存します。これで、プロファイルが作成されます。

macOS デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に macOS デバイスをオンボードできます。 オンボードによって Microsoft Defender Endpoint と通信するようにデバイスが構成され、その後、デバイスのリスク レベルに関するデータが収集されます。

Intune の構成ガイダンスについては、macOS 用 Microsoft Defender For Endpoint に関する記事を参照してください。

最新リリースの新機能を含む Mac 用Microsoft Defender for Endpointの詳細については、Microsoft 365 セキュリティ ドキュメントの「Microsoft Defender for Endpoint for Mac」を参照してください。

Android デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に Android デバイスをオンボードできます。 オンボードによって Defender for Endpoint と通信するようにデバイスが構成され、その後、デバイスのリスク レベルに関するデータが収集されます。

Android を実行するデバイス用の構成パッケージはありません。 代わりに、Microsoft Defender for Endpoint のドキュメントに含まれている Android 用 Microsoft Defender for Endpoint の概要に関する記事を参照して、Android の前提条件とオンボード手順をご確認ください。

Android を実行するデバイスの場合、Intune ポリシーを使用して、Android に対する Microsoft Defender for Endpoint を変更することもできます。 詳細については、Microsoft Defender for Endpoint の Web 保護に関するページを参照してください。

iOS/iPadOS デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に iOS/iPadOS デバイスをオンボードできます。 オンボードによって Defender for Endpoint と通信するようにデバイスが構成され、その後、デバイスのリスク レベルに関するデータが収集されます。

iOS および iPadOS を実行するデバイス用の構成パッケージはありません。 代わりに、Microsoft Defender for Endpoint のドキュメントに含まれている iOS 用 Microsoft Defender for Endpoint の概要に関する記事を参照して、iOS/iPadOS の前提条件とオンボード手順を確認してください。

iOS/iPadOS (監視モード) を実行するデバイスでは、この種のデバイスのプラットフォームに用意されている高度な管理能力を使った特別な機能を利用できます。 これらの機能を利用するには、デバイスが監視モードになっているかどうかを Defender アプリが把握できる必要があります。 Intune を使用すると、ベスト プラクティスとしてすべての iOS デバイスを対象にする必要があるアプリ構成ポリシー (マネージド デバイスの場合) により、iOS 用 Defender アプリを構成できます。 詳細については、「 監視対象デバイスの完全な展開」を参照してください。

  1. Microsoft Intune 管理センターにサインインします。

  2. [ アプリ>アプリ構成ポリシー>+ 追加] を選択し、ドロップダウン リストから [管理対象デバイス ] を選択します。

  3. [基本] ページで、プロファイルの "名前" と "説明" (必要に応じて) を入力し、[プラットフォーム] として [iOS/iPadOS] を選択して、[次へ] を選択します。

  4. [対象アプリ] として [Microsoft Defender for iOS] を選択します。

  5. [設定] ページで、[構成キー]issupervised に設定し、[値の型][文字列] に設定し、[構成値]{{issupervised}} を設定します。

  6. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

  7. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 このシナリオの場合、[すべてのデバイス] を対象にするのがベスト プラクティスです。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    ユーザー グループにポリシーを展開する場合、ユーザーはポリシーを適用する前にデバイスにサインインする必要があります。

    [次へ] を選択します。

  8. [確認および作成] ページで、完了したら、[作成] を選択します。 構成プロファイルの一覧に新しいプロファイルが表示されます。

さらに、iOS/iPadOS (監視モード) が実行されているデバイスの場合は、Defender for iOS チームにより、iPad/iOS デバイスに展開するためにカスタム .mobileconfig プロファイルが使用できるようになっています。 .mobileconfig プロファイルは、ネットワーク トラフィックを分析して、安全な閲覧エクスペリエンス (Defender for iOS の機能) を保証するために使用されます。

  1. https://aka.ms/mdatpiossupervisedprofile でホストされている .mobile プロファイルをダウンロードします。

  2. Microsoft Intune 管理センターにサインインします。

  3. [ デバイス>の構成> ] [ポリシー] タブ 、[ + 作成] を選択します。

  4. [プラットフォーム][iOS/iPadOS] を選択します

  5. [プロファイルの種類][カスタム] を選択してから、[作成] を選択します。

  6. [基本] ページで、プロファイルの "名前" と "説明" (必要に応じて) を入力して、[次へ] を選択します。

  7. [構成プロファイル名] を入力し、アップロードする .mobileconfig ファイルを選択します。

  8. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

  9. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 このシナリオの場合、[すべてのデバイス] を対象にするのがベスト プラクティスです。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    ユーザー グループに展開する場合、ユーザーはポリシーを適用する前にデバイスにサインインする必要があります。

    [次へ] を選択します。

  10. [確認および作成] ページで、完了したら、[作成] を選択します。 構成プロファイルの一覧に新しいプロファイルが表示されます。

Microsoft Defender for Endpointにオンボードされているデバイスの数を表示する

Microsoft Defender for Endpoint コネクタ ページ内のMicrosoft Defender for Endpointからオンボードデバイスを表示するには、Microsoft Defender Advanced Threat Protection アクセス許可の読み取りを含む Intune ロールが必要です。

オンボードされたデバイス レポートのサンプル ビュー。

デバイスのリスク レベルを設定するコンプライアンス ポリシーを作成して割り当てる

Android、iOS/iPadOS、Windows デバイスの場合、コンプライアンス ポリシーによって、デバイスに対して許容可能と見なすリスク レベルが決まります。

コンプライアンス ポリシーの作成に慣れていない場合は、「Microsoft Intune でコンプライアンス ポリシーを作成する」の記事の「ポリシーを作成する」の手順を参照してください。 次の情報は、コンプライアンス ポリシーの一部として Microsoft Defender for Endpoint を構成する場合に固有のものです。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイスのコンプライアンス] を選択します>。 [ポリシー] タブで、[+ ポリシーの 作成] を選択 します

  3. [プラットフォーム] については、ドロップダウン ボックスを使用して、次のいずれかのオプションを選択します。

    • Android デバイス管理者
    • Android エンタープライズ
    • iOS/iPadOS
    • Windows 10 以降

    次に、[ 作成] を選択します。

  4. [ 基本 ] タブで、後でこのポリシーを識別するのに役立つ [名前] を 指定します。 [説明] を指定することもできます。

  5. [コンプライアンス設定] タブで、[Microsoft Defender for Endpoint] カテゴリを展開し、[デバイスをマシン リスク スコアの下に置く必要がある] オプションを希望のレベルに設定します。

    脅威レベルの分類は、Microsoft Defender for Endpoint によって決定されます

    • [クリア]: このレベルはセキュリティ上最も安全です。 デバイスには既存のいかなる脅威も存在できず、引き続き会社のリソースにアクセスできます。 いずれかの脅威が見つかった場合、デバイスは非準拠と評価されます。 (Microsoft Defender for Endpoint には値 [安全] が使用されます。)
    • [低]: 低レベルの脅威が存在する場合にのみ、デバイスは準拠しています。 脅威レベルが中または高のデバイスは非準拠になります。
    • [中]: デバイスに存在する脅威が低または中の場合、デバイスは準拠しています。 高レベルの脅威が検出された場合は、デバイスは非準拠と判定されます。
    • [高]: 最も安全性の低いレベルであり、すべての脅威レベルが許容されます。 脅威レベルが高、中または低のデバイスは準拠していると見なされます。
  6. 該当するグループへのポリシーの割り当てを含め、ポリシーの構成を完了します。

デバイス リスク レベルを設定するアプリ保護ポリシーを作成し、割り当てる

iOS および iPadOS または Android 用のアプリケーション保護ポリシーを作成するための手順に従い、[アプリ][条件付き起動][割り当て] ページで次の情報を使用します。

  • アプリ: アプリ保護ポリシーの対象とするアプリを選択します。 この機能セットでは、選択した Mobile Threat Defense ベンダーによるデバイスのリスク評価に基づいて、これらのアプリがブロックまたは選択的にワイプされます。

  • 条件付き起動: [ デバイスの条件] の下にあるドロップダウン ボックスを使用して、[ 最大許容デバイス脅威レベル] を選択します。

    脅威レベルの [値] のオプション:

    • [セキュリティ保護]: このレベルはセキュリティ上最も安全です。 デバイスにいかなる脅威も存在できず、デバイスからは引き続き会社のリソースにアクセスできます。 いずれかの脅威が見つかった場合、デバイスは非準拠と評価されます。
    • [低]: 存在する脅威が低レベルの場合のみ、デバイスは準拠しています。 低レベルより高い脅威が存在する場合、デバイスは非準拠状態になります。
    • [中]: デバイスに存在する脅威が低レベルまたは中レベルの場合、デバイスは準拠しています。 高レベルの脅威が検出された場合は、デバイスは非準拠と判定されます。
    • [高]: このレベルは最も安全性が低く、すべての脅威レベルが許可され、Mobile Threat Defense はレポート目的にのみ使用されます。 デバイスには、この設定でアクティブ化された MTD アプリが含まれている必要があります。

    [アクション] のオプション:

    • [アクセスのブロック]
    • [データのワイプ]
  • [割り当て]: このポリシーをユーザーのグループに割り当てます。 Intune アプリ保護の対象アプリで企業データにアクセスすることについて、このグループのメンバーが使用するデバイスが評価されます。

重要

保護されたアプリに対してアプリ保護ポリシーを作成すると、デバイスの脅威レベルが評価されます。 構成によっては、許容レベルを満たしていないデバイスは、条件付き起動によりブロックされるか、選択的にワイプされます。 ブロックされた場合は、デバイスの脅威が解決され、選択した MTD ベンダーによって Intune に報告されるまで、会社のリソースにアクセスすることはできません。

条件付きアクセス ポリシーを作成する

条件付きアクセス ポリシーでは Microsoft Defender for Endpoint からのデータを使用して、お客様が設定した脅威レベルを超えるデバイスによるリソースへのアクセスをブロックすることができます。 デバイスから企業リソース (SharePoint や Exchange Online など) へのアクセスをブロックできます。

ヒント

条件付きアクセスは、Microsoft Entraテクノロジです。 Microsoft Intune管理センターにある条件付きアクセス ノードは、Microsoft Entraのノードです。

  1. Microsoft Intune 管理センターにサインインします。

  2. [エンドポイント セキュリティ>] [条件付きアクセス]> [新しいポリシーの作成] を選択します。 Intune では、Azure portalからの条件付きアクセスのポリシー作成ユーザー インターフェイスが表示されるため、インターフェイスは、使い慣れたポリシー作成ワークフローとは異なります。

  3. ポリシー名を入力 します

  4. [ユーザー] の場合は、[含める] タブと [除外] タブを使用して、このポリシーを受け取るグループを構成します。

  5. [ターゲット リソース] で、[このポリシーがクラウド アプリに適用される内容を選択する] を設定し、保護するアプリを選択します。 たとえば、[アプリの選択] を選択し、[選択] で [SharePoint Online と Office 365 Exchange Online Office 365検索して選択します

  6. [ 条件] で [ クライアント アプリ ] を選択し、[ 構成] を[はい] に設定します。 次に、[ ブラウザー ] と [ モバイル アプリ] と [デスクトップ クライアント] のチェック ボックスをオンにします。 次に、[ 完了 ] を選択してクライアント アプリの構成を保存します。

  7. [ 許可] で、デバイスコンプライアンス規則に基づいて適用するようにこのポリシーを構成します。 例:

    1. [ アクセス権の付与] を選択します
    2. [ デバイスを準拠としてマークする必要がある] チェック ボックスをオンにします。
    3. [ 選択したすべてのコントロールを必須にする] を選択します。 [ 選択] を選択 して、構成の許可を保存します。
  8. [ ポリシーを有効にする] で、[オン] を選択し、[ 作成 ] を選択して変更を保存します。

次の手順

Intune のドキュメントで詳細を確認します。

詳細については、Defender for Endpoint のドキュメントを参照してください。