Microsoft Intune でエンドポイント セキュリティの管理

セキュリティ管理者は、Intune の エンドポイント セキュリティ ノードを使用して、デバイスのセキュリティを構成し、それらのデバイスが危険にさらされている場合にデバイスのセキュリティ タスクを管理します。 エンドポイント セキュリティ ポリシーは、デバイスのセキュリティに集中し、リスクを軽減するために役立ちます。 使用可能なタスクは、危険なデバイスを特定し、それらのデバイスを修復し、準拠している状態またはより安全な状態に復元するのに役立ちます。

エンドポイント セキュリティ ノードは、デバイスをセキュリティで保護するために使用できる Intune を通じて使用できるツールをグループ分けします。

• すべての管理対象デバイスの状態を確認します。 [ すべてのデバイス ] ビューを使用して、デバイスのコンプライアンスを高いレベルで表示できます。 次に、特定のデバイスにドリルインして、どのコンプライアンス ポリシーが満たされていないかを把握して、それらを解決できるようにします。

• デバイスのセキュリティ構成のベスト プラクティスを確立するセキュリティ ベースラインをデプロイします。 Intune には、Windows デバイス のセキュリティ ベースライン と、Microsoft Defender for Endpoint や Microsoft Edge などのアプリケーションの増え続ける一覧が含まれています。 セキュリティ ベースラインは、関連するセキュリティ チームから推奨される構成を適用するのに役立つ、Windows 設定の事前構成済みのグループです。

• 厳密に重点を置いたポリシーを使用して、デバイスのセキュリティ構成を管理します。 各 エンドポイント セキュリティ ポリシー は、ウイルス対策、ディスク暗号化、ファイアウォール、Microsoft Defender for Endpoint との統合によって使用可能になったいくつかの領域などのデバイス セキュリティの側面に焦点を当てています。

• コンプライアンス ポリシーを使用して、デバイスとユーザーの要件を確立します。 コンプライアンス ポリシーでは、デバイスとユーザーが準拠と見なすために満たす必要があるルールを設定します。 ルールには、OS のバージョン、パスワード要件、デバイスの脅威レベルなどが含まれます。

  Microsoft Entra 条件付きアクセス ポリシー と統合してコンプライアンス ポリシーを適用する場合は、管理対象デバイスと、まだ管理されていないデバイスの両方の企業リソースへのアクセスを制限できます。

• Intune を Microsoft Defender for Endpoint チームと統合します。 Microsoft Defender for Endpoint と統合することで、セキュリティ タスクにアクセスできます。 セキュリティ タスクは、Microsoft Defender for Endpoint と Intune を密接に結び付けて、セキュリティ チームが危険にさらされているデバイスを特定し、詳細な修復手順を Intune 管理者に引き渡して対処できるようにします。

この記事の次のセクションでは、管理センターのエンドポイント セキュリティ ノードから実行できるさまざまなタスクと、それらを使用するために必要なロールベースのアクセス制御 (RBAC) アクセス許可について説明します。

エンドポイント セキュリティの概要

Microsoft Intune 管理センターでエンドポイント セキュリティ ノードを開くと、既定で [概要] ページが表示されます。

[エンドポイント セキュリティの概要] ページには、エンドポイント セキュリティのより重点的なノード (ウイルス対策、エンドポイント検出と応答、Microsoft Defender for Endpoint など) から取得された表示と情報を含む統合ダッシュボードが表示されます。

• Defender for Endpoint Connector の状態 – このビューには、テナント全体の Defender for Endpoint Connector の現在の状態が表示されます。 このビューのラベルは、Microsoft Defender for Endpoint ポータルを開くリンクとしても機能します。

  この同じビューは、[ エンドポイント検出と応答 ポリシー] ノードの [概要] タブで使用できます。

• Defender for Endpoint にオンボードされている Windows デバイス – この表には、 エンドポイント検出と応答 (EDR) オンボードのテナント全体の状態と、オンボードされていないデバイスの数が表示されます。 このビューのラベルは、エンドポイント検出と応答ポリシー ノードの [概要] タブを開くリンクです。

  次の 2 つの追加リンクが含まれています。

  • 構成済みのポリシーを展開 する – このリンクは、デバイスを Defender にオンボードするためのポリシーを展開できる エンドポイント検出と応答 のポリシー ノードを開きます。

  • Defender for Endpoint へのデバイスのオンボード – Defender ポータルを開くためのリンク。Intune の合理化されたワークフローの外部でデバイスをオンボードするための他の手順を実行できます。

• ウイルス対策エージェントの状態 – このビューには、Intune の ウイルス対策エージェントの状態 レポートの概要の詳細が表示されます。それ以外の場合は、Intune 管理センターで [ レポート>Microsoft Defender ウイルス対策 ] に移動して、レポートが [ 概要 ] タブに表示されます。

• その他の監視レポート - このセクションには、 検出されたマルウェア ファイアウォールの状態など、追加の Microsoft Defender ウイルス対策レポートを開くタイルが含まれています。 別のタイルでは 、センサー とウイルス対策の正常性データを表示できる Defender ポータルが開きます。

デバイスを管理する

[エンドポイント セキュリティ] ノードには [ すべてのデバイス ] ビューが含まれています。このビューでは、Microsoft Intune で使用できる Microsoft Entra ID からすべてのデバイスの一覧を表示できます。

このビューから、ドリルインするデバイスを選択して、デバイスが準拠していないポリシーなどの詳細を確認できます。 このビューからのアクセスを使用して、デバイスの再起動、マルウェアのスキャンの開始、Windows 10 デバイスでの BitLocker キーのローテーションなど、デバイスの問題を修復することもできます。

詳細については、「 Microsoft Intune でエンドポイント セキュリティを使用してデバイスを管理する」を参照してください。

セキュリティ ベースラインを管理する

Intune のセキュリティ ベースラインは、製品に関連する Microsoft セキュリティ チームからのベスト プラクティスの推奨事項である設定の事前構成済みグループです。 Intune では、Windows 10/11 デバイス設定、Microsoft Edge、Microsoft Defender for Endpoint Protection などのセキュリティ ベースラインがサポートされています。

セキュリティ ベースラインを使用して、デバイスとアプリケーション設定の ベスト プラクティス 構成を迅速に展開して、ユーザーとデバイスを保護できます。 セキュリティ ベースラインは、Windows 10 バージョン 1809 以降と Windows 11 を実行するデバイスでサポートされています。

詳細については、「セキュリティ ベースラインを使用して Intune で Windows デバイスを構成する」をご覧ください。

セキュリティ ベースラインは、Intune でデバイスの設定を構成するためのいくつかの方法の 1 つです。 設定を管理するときは、競合を回避できるようにデバイスを構成できる環境で使用されている他の方法を理解することが重要です。 この記事の後半の 「ポリシーの競合を回避する 」を参照してください。

Microsoft Defender for Endpoint のセキュリティ タスクを確認する

Intune を Microsoft Defender for Endpoint と統合すると、危険なデバイスを識別し、そのリスクを軽減するための手順を提供する Intune の セキュリティ タスク を確認できます。 その後、タスクを使用して、これらのリスクが正常に軽減されたときに Microsoft Defender for Endpoint に報告できます。

• Microsoft Defender for Endpoint チームは、危険にさらされているデバイスを決定し、その情報をセキュリティ タスクとして Intune チームに渡します。 数回のクリックで、危険にさらされているデバイス、脆弱性を識別する Intune のセキュリティ タスクを作成し、そのリスクを軽減する方法に関するガイダンスを提供します。

• Intune 管理者はセキュリティ タスクを確認し、Intune 内で操作してそれらのタスクを修復します。 軽減されると、タスクが完了するように設定され、その状態が Microsoft Defender for Endpoint チームに伝わります。

セキュリティ タスクを通じて、両方のチームは、どのデバイスが危険にさらされているか、およびそれらのリスクがいつどのように修復されるかについて同期したままです。

セキュリティ タスクの使用の詳細については、「 Intune を使用して Microsoft Defender for Endpoint によって特定された脆弱性を修復する」を参照してください。

ポリシーを使用してデバイスのセキュリティを管理する

セキュリティ管理者は、[エンドポイント セキュリティ] ノードの [ 管理 ] の下にあるセキュリティ ポリシーを使用します。 これらのポリシーを使用すると、デバイス構成プロファイルまたはセキュリティ ベースラインで、より大きな本文と範囲の設定を移動することなく、デバイス セキュリティを構成できます。

これらのセキュリティ ポリシーの使用の詳細については、「エンドポイント セキュリティ ポリシー を使用してデバイス セキュリティを管理する」を参照してください。

エンドポイント セキュリティ ポリシーは、Intune でデバイスの設定を構成するためのいくつかの方法の 1 つです。 設定を管理するときは、デバイスを構成できる環境で使用されている他の方法を理解し、競合を回避することが重要です。 この記事の後半の 「ポリシーの競合を回避する 」を参照してください。

[ 管理 ] には、[ デバイス コンプライアンス ] と [条件付きアクセス ポリシー] もあります。 これらのポリシーの種類は、エンドポイントを構成するためのセキュリティ ポリシーに重点を置いたものではなく、デバイスを管理し、会社のリソースにアクセスするための重要なツールです。

デバイス コンプライアンス ポリシーを使用する

デバイス コンプライアンス ポリシーを使用して、デバイスとユーザーがネットワークと会社のリソースへのアクセスを許可される条件を確立します。

使用可能なコンプライアンス設定は、使用するプラットフォームによって異なりますが、一般的なポリシー規則には次のものが含まれます。

• デバイスの最小または特定の OS バージョンの実行を要求する
• パスワード要件の設定
• Microsoft Defender for Endpoint または別の Mobile Threat Defense パートナーによって決定される、許可される最大デバイス脅威レベルの指定

ポリシー ルールに加えて、コンプライアンス ポリシーでは 、コンプライアンス違反に対するアクションがサポートされます。 これらのアクションは、非準拠デバイスに適用する時間順の一連のアクションです。 アクションには、デバイス ユーザーに非準拠に関するアラートをデバイスに送信したり、デバイスをリモートでロックしたり、準拠していないデバイスを廃止したり、そのデバイス上にある可能性のある会社のデータを削除したりすることが含まれます。

Intune Microsoft Entra 条件付きアクセス ポリシー を統合してコンプライアンス ポリシーを適用する場合、条件付きアクセスでは、コンプライアンス データを使用して、管理対象デバイスと管理していないデバイスの両方の企業リソースへのアクセスをゲートできます。

詳細については、「Intune を 使用して組織内のリソースへのアクセスを許可するようにデバイスにルールを設定する」を参照してください。

デバイス コンプライアンス ポリシーは、Intune でデバイスの設定を構成するためのいくつかの方法の 1 つです。 設定を管理するときは、デバイスを構成できる環境内で他の方法が使用されていることを理解し、競合を回避することが重要です。 この記事の後半の 「ポリシーの競合を回避する 」を参照してください。

条件付きアクセスを構成する

デバイスと企業リソースを保護するには、Intune で Microsoft Entra 条件付きアクセス ポリシーを使用できます。

Intune は、デバイス コンプライアンス ポリシーの結果を Microsoft Entra に渡し、条件付きアクセス ポリシーを使用して、会社のリソースにアクセスできるデバイスとアプリを適用します。 条件付きアクセス ポリシーは、Intune で管理していないデバイスのアクセスをゲートするのにも役立ち、Intune と統合する Mobile Threat Defense パートナー のコンプライアンスの詳細を使用できます。

Intune で条件付きアクセスを使用する 2 つの一般的な方法を次に示します。

• 管理対象デバイスと準拠デバイスのみがネットワーク リソースにアクセスできるように、デバイス ベースの条件付きアクセス。
• アプリベースの条件付きアクセス。アプリ保護ポリシーを使用して、Intune で管理していないデバイス上のユーザーによるネットワーク リソースへのアクセスを管理します。

Intune での条件付きアクセスの使用の詳細については、「 条件付きアクセスと Intune の詳細」を参照してください。

Microsoft Defender for Endpoint との統合を設定する

Microsoft Defender for Endpoint と Intune を統合すると、リスクを特定して対応する能力が向上します。

Intune は 複数の Mobile Threat Defense パートナーと統合できますが、Microsoft Defender for Endpoint を使用すると、Microsoft Defender for Endpoint と Intune の間で緊密に統合され、次のようなディープ デバイス保護オプションにアクセスできるようになります。

• セキュリティ タスク – Defender for Endpoint と Intune 管理者の間で、危険にさらされているデバイスに関するシームレスな通信、修復方法、およびそれらのリスクが軽減されたタイミングの確認。
• クライアントでの Microsoft Defender for Endpoint の効率的なオンボード。
• Intune コンプライアンス ポリシーとアプリ保護ポリシーでの Defender for Endpoint デバイス リスクシグナルの使用。
• 改ざん防止機能へのアクセス。

Intune での Microsoft Defender for Endpoint の使用の詳細については、「Intune で 条件付きアクセスを使用して Microsoft Defender for Endpoint のコンプライアンスを適用する」を参照してください。

ロールベースのアクセス制御の要件

Microsoft Intune 管理センターのエンドポイント セキュリティ ノードでタスクを管理するには、アカウントで次の操作を行う必要があります。

• Intune のライセンスを割り当てる。
• エンドポイント セキュリティ マネージャーの組み込み Intune ロールによって提供されるアクセス許可と同じロールベースのアクセス制御 (RBAC) アクセス許可を持ちます。 エンドポイント セキュリティ マネージャー ロールは、Microsoft Intune 管理センターへのアクセスを許可します。 このロールは、セキュリティ ベースライン、デバイス コンプライアンス、条件付きアクセス、Microsoft Defender for Endpoint など、セキュリティとコンプライアンスの機能を管理する個人が使用できます。

詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

Endpoint Security Manager ロールによって付与されるアクセス許可

Microsoft Intune 管理センターで次のアクセス許可の一覧を表示するには、[テナント管理>Roles>すべてのロール] に移動し、[エンドポイント セキュリティ マネージャー>プロパティ] を選択します。

アクセス許可

• Android FOTA
  • 読み取り
• Android for work
  • 読み取り
• 監査データ
  • 読み取り
• 証明書コネクタ
  • 読み取り
• 会社のデバイス識別子
  • 読み取り
• 派生資格情報
  • 読み取り
• デバイス コンプライアンス ポリシー
  • Assign
  • 作成
  • 削除
  • 読み取り
  • 更新
  • レポートの表示
• デバイス構成
  • 読み取り
  • レポートの表示
• デバイス登録マネージャー
  • 読み取り
• エンドポイント保護レポート
  • 読み取り
• 登録プログラム
  • デバイスの読み取り
  • プロファイルの読み取り
  • 読み取りトークン
• Filters
  • 読み取り
• Intune データ ウェアハウス
  • 読み取り
• マネージド アプリ
  • 読み取り
• 管理対象デバイス
  • 削除
  • 読み取り
  • プライマリ ユーザーを設定する
  • 更新
  • レポートの表示
• Microsoft Defender ATP
  • 読み取り
• ビジネス向け Microsoft Store
  • 読み取り
• モバイル脅威防御
  • 変更
  • 読み取り
• モバイル アプリ
  • 読み取り
• 組織
  • 読み取り
• パートナー デバイス管理
  • 読み取り
• PolicySets
  • 読み取り
• リモート アシスタンス コネクタ
  • 読み取り
  • レポートの表示
• リモート タスク
  • FileVault キーを取得する
  • 構成マネージャー アクションを開始する
  • 今すぐ再起動する
  • リモート ロック
  • BitLockerKeys のローテーション (プレビュー)
  • FileVault キーのローテーション
  • シャットダウン
  • デバイスの同期
  • Windows Defender
• 役割
  • 読み取り
• セキュリティ基本計画
  • Assign
  • 作成
  • 削除
  • 読み取り
  • Update
• セキュリティ タスク
  • 読み取り
  • 更新
• 使用条件
  • 読み取り
• Windows Enterprise 証明書
  • 読み取り

ポリシーの競合を回避する

デバイスに対して構成できる設定の多くは、Intune のさまざまな機能によって管理できます。 これらの機能には、次のものが含まれますが、これらに限定されません。

• エンドポイント セキュリティ ポリシー
• セキュリティ基本計画
• デバイス構成ポリシー
• Windows 登録ポリシー

たとえば、エンドポイント セキュリティ ポリシーに含まれる設定は、デバイス構成ポリシーの エンドポイント保護 プロファイルと デバイス制限 プロファイルにある設定のサブセットであり、さまざまなセキュリティ ベースラインを通じて管理されます。

競合を回避する 1 つの方法は、異なるベースライン、同じベースラインのインスタンス、または異なるポリシーの種類とインスタンスを使用して、デバイス上で同じ設定を管理しないことです。 これには、さまざまなデバイスに構成を展開するために使用する方法を計画する必要があります。 同じメソッドの複数のメソッドまたはインスタンスを使用して同じ設定を構成する場合は、異なるメソッドが同意しているか、同じデバイスに展開されていないことを確認します。

競合が発生した場合は、Intune の組み込みツールを使用して、それらの競合の原因を特定して解決できます。 詳細については、以下を参照してください:

• 「Intune のポリシーとプロファイルのトラブルシューティング」
• セキュリティ ベースラインの監視

次の手順

構成：

• セキュリティ基本計画
• コンプライアンス ポリシー
• 条件付きアクセス ポリシー
• Microsoft Defender for Endpoint を使用してメールを保護する