Microsoft Intune を使用してデータとデバイスを保護する
Microsoft Intuneは、マネージド デバイスをセキュリティで保護し、最新の状態に保ち、organizationのデータを侵害されたデバイスから保護するのに役立ちます。 データ保護には、管理対象デバイスとアンマネージド デバイスの両方でorganizationのデータを使用してユーザーが行う操作の制御が含まれます。 また、データ保護は、侵害された可能性のあるデバイスからのデータへのアクセスをブロックする機能にまで及びます。
この記事では、Intuneと統合できるIntuneの組み込み機能とパートナー テクノロジの多くについて説明します。 これらを詳細に学習していくにつれ、お客様はより包括的なソリューションのためにそのいくつかをまとめて、ゼロ トラスト環境に向けて進んでいくことができます。
Microsoft Intune管理センターから、Intuneは、Android、iOS/iPad、Linux、macOS、および Windows を実行するマネージド デバイスをサポートします。
Configuration Manager を使用してオンプレミスのデバイスを管理する場合は、テナントのアタッチまたは共同管理を構成して、Intune ポリシーをそれらのデバイスにまで拡張することができます。
Intune では、デバイス コンプライアンスとモバイル脅威保護が提供されるサード パーティ製品を使用して管理しているデバイスからの情報を使用することもできます。
ポリシーを使用してデバイスを保護する
Intuneのエンドポイント セキュリティ、デバイス構成、デバイス コンプライアンス ポリシーを展開して、組織のセキュリティ目標を満たすようにデバイスを構成します。 ポリシーでは、1 つまたは複数のプロファイルがサポートされます。これは、登録されたデバイスのグループに展開する、プラットフォーム固有のルールの個別セットです。
エンドポイント セキュリティ ポリシーを使用して、デバイスのセキュリティに集中し、リスクを軽減できるように設計されたセキュリティに重点を置いたポリシーをデプロイします。 使用可能なタスクは、危険なデバイスを特定し、それらのデバイスを修復し、準拠している状態またはより安全な状態に復元するのに役立ちます。
デバイス構成ポリシーを使用して、組織内でデバイスによって使用される設定と機能を定義するプロファイルを管理します。 エンドポイント保護のためのデバイスの構成、認証のための証明書のプロビジョニング、ソフトウェア更新プログラムの動作の設定などを行います。
デバイス コンプライアンス ポリシーを使用して、デバイスの要件を確立するさまざまなデバイス プラットフォーム用のプロファイルを作成します。 要件には、オペレーティング システムのバージョン、ディスク暗号化の使用、または脅威管理ソフトウェアによって定義される特定の "脅威レベル" 以下であることなどを含めることができます。
Intune では、ポリシーに準拠していないデバイスを保護し、そのデバイスを準拠させるようにデバイス ユーザーに警告することができます。
ミックスに条件付きアクセスを追加する場合は、準拠しているデバイスのみがネットワークとorganizationのリソースにアクセスできるようにするポリシーを構成します。 アクセスの制限には、ファイル共有と会社のメールを含めることができます。 条件付きアクセス ポリシーでは、Intune と統合したサード パーティのデバイス コンプライアンス パートナーによって報告されるデバイス状態データを使用することもできます。
使用可能なポリシーを使用して管理できるセキュリティ設定とタスクを次に示します。
認証方法 – organizationのリソース、電子メール、アプリケーションに対するデバイスの認証方法を構成します。
証明書は、アプリケーション、organizationのリソースへの認証、および S/MIME を使用した電子メールの署名と暗号化に使用します。 また、環境でスマートカードを使用する必要がある場合は、派生資格情報を設定することもできます。
リスクの制限に役立つ次のような設定を構成します。
- 多要素認証 (MFA) を要求して、ユーザーに対する認証レイヤーを追加します。
- リソースにアクセスする前に満たす必要がある PIN とパスワードの要件を設定します。
- Windows デバイスのWindows Hello for Businessを有効にします。
デバイスの暗号化 – Windows デバイスでは BitLocker 、macOS では FileVault を管理します。
ソフトウェア更新プログラム – デバイスによってソフトウェア更新プログラムが取得される方法とタイミングを管理します。 次のものがサポートされています。
- Android ファームウェア の更新:
- ファームウェア Over-the-Air (FOTA) - 一部の OEM でサポートされており、FOTA を使用してデバイスのファームウェアをリモートで更新できます。
- Zebra LifeGuard Over-the-Air (LG OTA) - Intune管理センターを通じて、サポートされている Zebra デバイスのファームウェア更新プログラムを管理します。
- iOS - デバイス オペレーティング システムのバージョンを管理し、デバイスで更新プログラムのチェックとインストールを行う場合。
- macOS - 監視対象デバイスとして登録された macOS デバイスのソフトウェア更新プログラムを管理します。
- Windows- デバイスのWindows Updateエクスペリエンスを管理するには、デバイスが更新プログラムをスキャンまたはインストールするタイミングを構成し、特定の機能バージョンで管理対象デバイスのセットを保持します。
- Android ファームウェア の更新:
セキュリティ ベースライン – セキュリティ ベースラインを 展開して、Windows デバイスにコア セキュリティ体制を確立します。 セキュリティ ベースラインは、関連する製品チームによって推奨される Windows 設定の事前構成済みグループです。 指定されたとおりのベースラインを使用するか、それらのインスタンスを編集して、対象のデバイス グループに対するご自身のセキュリティ目標を満たすことができます。
仮想プライベート ネットワーク (VPN) – VPN プロファイルを使用して、デバイスに VPN 設定を割り当てて、organizationのネットワークに簡単に接続できるようにします。 Intuneでは、一部のプラットフォーム用の組み込み機能と、デバイス用のファースト パーティとサード パーティの両方の VPN アプリの両方を含む、いくつかの VPN 接続の種類とアプリがサポートされています。
Windows ローカル管理者パスワード ソリューション (LAPS) - Windows LAPS ポリシーを使用すると、次のことができます。
- ローカル管理者アカウントにパスワード要件を適用する
- デバイスから Active Directory (AD) またはMicrosoft Entraにローカル管理者アカウントをバックアップする
- アカウント パスワードを安全に保つために、それらのアカウント パスワードのローテーションをスケジュールします。
ポリシーを使用してデータを保護する
Intune マネージド アプリと Intune のアプリ保護ポリシーを使用すると、データの漏洩を防ぎ、組織のデータを安全な状態に保つことができます。 これらの保護は、Intuneに登録されているデバイスと、登録されていないデバイスに適用できます。
Intuneマネージド アプリ (または一言で言えばマネージド アプリ) は、Intune App SDK を統合するアプリ、またはIntune App Wrapping Toolによってラップされるアプリです。 これらのアプリは、Intune アプリ保護ポリシーを使用して管理できます。 一般公開されているマネージド アプリの一覧を確認するには、保護されている Intune アプリに関する記事を参照してください。
ユーザーは、マネージド アプリを使用して、organizationのデータと独自の個人データの両方を操作できます。 ただし、アプリ保護ポリシーでマネージド アプリの使用が必要な場合、マネージド アプリは、organizationのデータへのアクセスに使用できる唯一のアプリです。 アプリ保護ルールは、ユーザーの個人データには適用されません。
アプリ保護ポリシーは、管理対象アプリで組織のデータがセキュリティ保護または保持されるようにするルールです。 ルールは、使用する必要があるマネージド アプリを識別し、アプリの使用中にデータで実行できる内容を定義します。
アプリ保護ポリシーとマネージド アプリで設定できる保護と制限の例を次に示します。
- 職場コンテキストでアプリを開くために PIN を要求するなど、アプリ層の保護を構成します。
- コピーと貼り付けのブロック、画面キャプチャなど、デバイス上のアプリ間でのorganizationのデータの共有を制御します。
- organizationのデータが個人用ストレージの場所に保存されないようにします。
デバイス操作を使用してデバイスとデータを保護する
Microsoft Intune管理センターから、選択したデバイスを保護したままにするのに役立つデバイス アクションを実行できます。 これらの操作のサブセットをデバイスの一括操作として実行して、複数のデバイスに同時に影響を及ぼすことができます。 また、いくつかの Intune からのリモート操作を共同管理デバイスで使用することもできます。
デバイス操作はポリシーではなく、呼び出されると 1 回効力が生じます。 オンラインでデバイスにアクセスできる場合に即座に適用されるか、次のデバイスの起動時または Intune でのチェックイン時に適用されます。 これらの操作は、デバイス設定のセキュリティ構成を構成および維持するポリシーの使用に対する補足と見なされます。
デバイスとデータをセキュリティで保護するために実行できる操作の例を次に示します。
Intune で管理されているデバイス:
- BitLocker キーの交換 (Windows のみ)
- アクティブ化ロックを無効にする (Apple デバイスのみ、 Apple Business Manager を使用してアクティブ化ロックをオフにする方法を参照してください)
- フル スキャンまたはクイック スキャン (Windows のみ)
- リモート ロック
- 廃止 (個人データはそのままにしたまま、デバイスからorganizationのデータを削除します)
- Microsoft Defender のセキュリティ インテリジェンスの更新
- ワイプ (デバイスを出荷時の設定に戻し、すべてのデータ、アプリ、設定を削除します)
Configuration Manager によって管理されるデバイス:
- 破棄
- ワイプ
- 同期 (強制的にデバイスを Intune にすぐにチェックインさせ、新しいポリシーまたは保留中の操作を検出します)
他の製品やパートナー テクノロジとの統合
Intune では、ファースト パーティとサード パーティの両方のソースからのパートナー アプリとの統合がサポートされています。これによって組み込み機能を拡張できます。 また、Intune をいくつかの Microsoft テクノロジと統合することもできます。
コンプライアンス パートナー
Intuneでのデバイス コンプライアンス パートナーの使用について説明します。 Intune以外のモバイル デバイス管理パートナーを使用してデバイスを管理する場合は、そのコンプライアンス データをMicrosoft Entra IDと統合できます。 統合されると、条件付きアクセス ポリシーでは、パートナー データとIntuneからのコンプライアンス データを使用できます。
構成マネージャーを使用するための
多くの Intune ポリシーとデバイス操作を使用して、Configuration Manager で管理するデバイスを保護することができます。 これらのデバイスをサポートするには、共同管理またはテナントのアタッチを構成します。 また、Intune で両方を共に使用することもできます。
共同管理を使用すると、Configuration ManagerとIntuneの両方で Windows デバイスを同時に管理できます。 Configuration Manager クライアントをインストールし、デバイスを Intune に登録します。 デバイスは、両方のサービスと通信します。
テナントアタッチを使用すると、Configuration Manager サイトとIntune テナント間の同期を設定します。 この同期により、Microsoft Intuneで管理するすべてのデバイスに対して 1 つのビューが提供されます。
IntuneとConfiguration Managerの間の接続が確立されると、Configuration ManagerのデバイスがMicrosoft Intune管理センターで使用できるようになります。 その後、それらのデバイスに Intune ポリシーを展開したり、デバイス操作を使用して保護したりすることができます。
適用できる保護には、次のようなものがあります。
- Intune の Simple Certificate Enrollment Protocol (SCEP) または秘密キーと公開キーのペア (PKCS) 証明書プロファイルを使用して、デバイスに証明書を展開する。
- コンプライアンス ポリシーを使用する。
- "ウイルス対策"、"エンドポイントの検出と応答"、"ファイアウォール" 規則などのエンドポイント セキュリティ ポリシーを使用する。
- セキュリティ ベースラインを適用する。
- Windows 更新プログラムを管理する。
モバイル脅威防御アプリ
モバイル脅威防御 (MTD) アプリでは、デバイスの脅威のスキャンと分析を積極的に行います。 モバイル脅威防御アプリを Intune に統合 (接続) すると、デバイスの脅威レベルに関するアプリの評価が得られます。 デバイスの脅威またはリスク レベルの評価は、侵害されたモバイル デバイスからorganizationのリソースを保護するための重要なツールです。 その後、条件付きアクセス ポリシーなどのさまざまなポリシーでその脅威レベルを使用して、それらのリソースへのアクセスをゲートすることができます。
デバイス コンプライアンス、アプリ保護、および条件付きアクセスのポリシーで、脅威レベルのデータを使用します。 これらのポリシーでは、データを使用して、準拠していないデバイスがorganizationのリソースにアクセスするのをブロックするのに役立ちます。
統合 MTD アプリを使用する場合:
登録済みデバイスの場合:
- Intune を使用して MTD アプリを展開した後、デバイス上で管理します。
- デバイスの報告された脅威レベルを使用するデバイス コンプライアンス ポリシーを展開して、コンプライアンスを評価します。
- デバイスの脅威レベルを考慮する条件付きアクセス ポリシーを定義します。
- アプリ保護ポリシーを定義し、デバイスの脅威レベルに基づいて、データへのアクセスをブロックまたは許可する条件を決定します。
Intuneに登録せず、Intuneと統合される MTD アプリを実行するデバイスの場合は、脅威レベルのデータをアプリ保護ポリシーと共に使用して、organizationのデータへのアクセスをブロックします。
Intune では、次との統合がサポートされています。
- いくつかのサード パーティ MTD パートナー。
- Microsoft Defender for Endpoint (Intune での追加機能がサポートされています)。
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint には、セキュリティに重点を置いた独自の利点がいくつか備わっています。 Microsoft Defender for Endpoint も Intune と統合され、複数のデバイス プラットフォームでサポートされています。 統合により、モバイル脅威防御アプリが得られ、データとデバイスを安全に保つ機能が Intune に追加されます。 次のような機能があります。
Microsoft Tunnel のサポート - Android デバイスの場合、Microsoft Defender for Endpoint は、Intune 用の VPN ゲートウェイ ソリューションである Microsoft Tunnel と共に使用するクライアント アプリケーションです。 Microsoft Tunnel クライアント アプリとして使用する場合、Microsoft Defender for Endpointのサブスクリプションは必要ありません。
セキュリティ タスク – セキュリティ タスクを使用すると、Intune 管理者は Microsoft Defender for Endpoint の脅威と脆弱性の管理機能を活用できます。 しくみ:
- Defender for Endpoint チームが、危険にさらされているデバイスを特定し、Defender for Endpoint セキュリティ センターで Intune 用のセキュリティ タスクを作成します。
- これらのタスクは、Intune 管理者がリスクを軽減するために使用できる軽減策のアドバイスと一緒に Intune に表示されます。
- Intune でタスクが解決されると、その状態が Defender for Endpoint セキュリティ センターに返され、そこで軽減策の結果を評価できます。
エンドポイント セキュリティ ポリシー – 次の Intune エンドポイント セキュリティ ポリシーでは、Microsoft Defender for Endpoint との統合が必要です。 テナントのアタッチを使用する場合は、Intune または Configuration Manager のいずれかを使用して管理するデバイスにこれらのポリシーを展開できます。
ウイルス対策ポリシー - Microsoft Defenderウイルス対策の設定と、サポートされているデバイス (Windows や macOS など) でのWindows セキュリティエクスペリエンスを管理します。
エンドポイントの検出と応答ポリシー – このポリシーを使用して、Microsoft Defender for Endpoint の機能であるエンドポイントの検出と応答 (EDR) を構成します。
条件付きアクセス
条件付きアクセスは、デバイスの保護に役立つIntuneと連携するMicrosoft Entra機能です。 Microsoft Entra IDに登録するデバイスの場合、条件付きアクセス ポリシーでは、Intuneのデバイスとコンプライアンスの詳細を使用して、ユーザーとデバイスのアクセスに関する決定を適用できます。
条件付きアクセス ポリシーを次と組み合わせます。
デバイス コンプライアンス ポリシーでは、そのデバイスを使用してorganizationのリソースにアクセスする前に、デバイスを準拠としてマークする必要があります。 条件付きアクセス ポリシーでは、保護するアプリまたはサービス、そのアプリまたはサービスにアクセスするための条件、およびポリシーが適用されるユーザーを指定します。
アプリ保護ポリシーでは、Intuneアプリ保護ポリシーをサポートするクライアント アプリのみが Exchange や他の Microsoft 365 サービスなどのオンライン リソースにアクセスできるようにするセキュリティレイヤーを追加できます。
条件付きアクセスは、デバイスのセキュリティを維持するために、以下と連動させることもできます。
- Microsoft Defender for Endpoint およびサード パーティ MTD アプリ
- デバイス コンプライアンス パートナー アプリ
- Microsoft Tunnel
エンドポイント特権管理の追加
Endpoint Privilege Management (EPM) を使用すると、organizationによって設定された組織の規則とパラメーターによって設計されているように、必要な場合にのみ特権を昇格しながら、Windows ユーザーを標準ユーザーとして実行できます。 この設計では、ゼロ トラスト セキュリティ アーキテクチャのコア テナントである最小特権アクセスの適用がサポートされています。 EPM を使用すると、IT チームは標準ユーザーをより効率的に管理し、特定の承認済みのアプリケーションまたはタスクの管理者として従業員を実行できるようにすることで、攻撃対象を制限できます。
一般的に管理特権が必要なタスクは、アプリケーションのインストール (Microsoft 365 アプリケーションなど)、デバイス ドライバーの更新、特定の Windows 診断の実行です。
定義した EPM 昇格規則 をデプロイすることで、管理者特権のコンテキストで信頼できるアプリケーションの実行のみを許可できます。 たとえば、デバイス上で実行される前に ファイルの 整合性を検証するために、ファイル ハッシュの一致や 証明書 の存在がルールに必要な場合があります。
ヒント
Endpoint Privilege Management は、使用する追加のライセンスを必要とするIntuneアドオンとして使用でき、Windows 10およびWindows 11デバイスをサポートします。
詳細については、「 エンドポイント特権管理」を参照してください。
次の手順
データの保護とデバイスの保護によってゼロ トラスト環境に向けて進んでいくために、Intune の機能を使用することを計画します。 それらの機能に関する上記のインライン リンクよりも詳細な情報については、「Intune でのデータのセキュリティと共有」を参照してください。