Intuneのエンドポイント セキュリティに関するアカウント保護ポリシー
アカウント保護Intuneエンドポイント セキュリティ ポリシーを使用して、ユーザーの ID とアカウントを保護し、デバイス上の組み込みのグループ メンバーシップを管理します。
アカウント保護のエンドポイント セキュリティ ポリシーは、Microsoft Intune管理センターの [エンドポイント セキュリティ] ノードの [管理] の下にあります。
アカウント保護プロファイルの前提条件
- アカウント保護 (プレビュー) プロファイルをサポートするには、デバイスでWindows 10またはWindows 11を実行する必要があります。
- ローカル ユーザー グループ メンバーシップ (プレビュー) プロファイルをサポートするには、デバイスが 20H2 以降またはWindows 11 Windows 10実行する必要があります。
アカウント保護プロファイル
アカウント保護プロファイルはプレビュー段階です。
Windows 10/11 プロファイル:
アカウント保護 (プレビュー) – アカウント保護ポリシーの設定は、ユーザーの資格情報を保護するのに役立ちます。
アカウント保護ポリシーは、Windows ID とアクセス管理の一部であるWindows Helloと Credential Guard の設定に重点を置いています。
- Windows Hello for Businessは、パスワードを PC とモバイル デバイスの強力な 2 要素認証に置き換えます。
- Credential Guard は 、デバイスで使用する資格情報とシークレットを保護するのに役立ちます。
詳細については、Windows ID とアクセス管理 に関するドキュメントの ID とアクセス管理に関するドキュメントを参照してください。
ローカル管理者パスワード ソリューション (Windows LAPS) - このプロファイルを使用して、デバイスで Windows LAPS を構成します。 Windows LAPS を使用すると、デバイスごとに 1 つのローカル管理者アカウントを管理できます。 Intuneポリシーでは、ポリシー設定 [管理者アカウント名] を使用して、適用するローカル管理者アカウントを指定できます。
Intuneを使用して Windows LAPS を管理する方法の詳細については、次を参照してください。
- Windows LAPS のIntuneサポートについて説明します。
- LAPS ポリシーを管理する
ローカル ユーザー グループ メンバーシップ – このプロファイルを使用して、Windows デバイス上の組み込みローカル グループのメンバーを追加、削除、または置き換えます。 たとえば、Administrators ローカル グループには広範な権限があります。 このポリシーを使用して、管理 グループのメンバーシップを編集して、排他的に定義されたメンバーのセットにロックダウンできます。
このプロファイルの使用方法については、「 Windows デバイスでローカル グループを管理する」セクションで詳しく説明します。
Windows デバイスでローカル グループを管理する
ローカル ユーザー グループ メンバーシップ プロファイルを使用して、Windows 10 20H2 以降を実行するデバイス上の組み込みローカル グループのメンバーであるユーザーと、Windows 11 デバイスを管理します。
ヒント
Microsoft Entra グループを使用した管理者特権の管理のサポートの詳細については、Microsoft Entra ドキュメントの「Microsoft Entra グループを使用して管理者特権を管理する」を参照してください。
プロファイルを構成する
このプロファイルは、 ポリシー CSP - LocalUsersAndGroups を使用して、デバイスのローカル グループ メンバーシップを管理します。 CSP ドキュメントには、構成の適用方法の詳細と、CSP の使用に関する FAQ が含まれています。
このプロファイルを構成する場合、[ 構成設定 ] ページで、変更する組み込みのローカル グループ、実行するグループ アクション、ユーザーを選択する方法を管理する複数のルールを作成できます。
![プロファイルを構成するための [構成設定] ページのスクリーン ショット。](media/endpoint-security-account-protection-policy/create-profile.png)
実行できる構成を次に示します。
- [ローカル グループ]: ドロップダウンから 1 つ以上のグループを選択します。 これらのグループはすべて、割り当てたユーザーに同じ [グループ] アクションと [ユーザー] アクションを適用します。 1 つのプロファイルに複数のローカル グループのグループを作成し、ローカル グループの各グループに異なるアクションとユーザー のグループを割り当てることができます。
注:
ローカル グループの一覧は、参加済みデバイスのローカル管理者グループを管理する方法に関するドキュメントで参照されているように、ログオン時に評価することが保証されている 6 つの組み込みローカル グループMicrosoft Entra制限されています。
グループとユーザーのアクション: 選択したグループに適用するアクションを構成します。 このアクションは、同じアクションとローカル アカウントのグループ化に対して選択したユーザーに適用されます。 選択できるアクションは次のとおりです。
- 追加 (更新): 選択したグループにメンバーを追加します。 ポリシーで指定されていないユーザーのグループ メンバーシップは変更されません。
- 削除 (更新): 選択したグループからメンバーを削除します。 ポリシーで指定されていないユーザーのグループ メンバーシップは変更されません。
- 追加 (置換): 選択したグループのメンバーを、このアクションに指定した新しいメンバーに置き換えます。 このオプションは、制限付きグループと同じように機能し、ポリシーで指定されていないグループ メンバーはすべて削除されます。
注意
[置換] アクションと [更新] アクションの両方で同じグループが構成されている場合、[置換] アクションが優先されます。 これは競合とは見なされません。 このような構成は、複数のポリシーを同じデバイスに展開するとき、またはこの CSP も Microsoft Graph を使用して構成されている場合に発生する可能性があります。
ユーザー選択の種類: ユーザーを選択する方法を選択します。 オプションは以下のとおりです。
- [ユーザー]: Microsoft Entra IDからユーザーとユーザー グループを選択します。 (Microsoft Entra参加済みデバイスでのみサポートされます)。
- 手動: ユーザーとグループMicrosoft Entraユーザー名、ドメイン\ユーザー名、またはグループ セキュリティ識別子 (SID) で手動で指定します。 (Microsoft Entra参加済みデバイスとハイブリッド参加済みデバイスMicrosoft Entraでサポートされます)。
選択したユーザー: [ ユーザーの選択の種類] の選択に応じて、次のいずれかのオプションを使用します。
[ユーザーの選択]: Microsoft Entraからユーザーとユーザー グループを選択します。
ユーザーの追加: [ ユーザーの追加 ] ウィンドウが開き、デバイスに表示される 1 つ以上のユーザー識別子を指定できます。 ユーザーは、 セキュリティ識別子 (SID)、 Domain\username、または Username で指定 できます。
![[ユーザーの追加] ページのスクリーン ショット。](media/endpoint-security-account-protection-policy/add-user.png)
[手動] オプションを選択すると、オンプレミスの Active Directory ユーザーを Active Directory から Microsoft Entra ハイブリッド参加済みデバイスのローカル グループに管理するシナリオで役立ちます。 最も優先される順にユーザー選択を識別するためのサポートされている形式は、SID、domain\username、またはメンバーのユーザー名を使用することです。 Active Directory からの値はハイブリッド参加済みデバイスに使用する必要があり、Microsoft Entra IDからの値はMicrosoft Entra結合に使用する必要があります。 Microsoft Entraグループ SID は、グループのGraph APIを使用して取得できます。
競合
ポリシーでグループ メンバーシップの競合が発生した場合、各ポリシーの競合する設定はデバイスに送信されません。 代わりに、Microsoft Intune管理センターでこれらのポリシーの競合が報告されます。 競合を解決するには、1 つ以上のポリシーを再構成します。
Reporting
デバイスがチェックしてポリシーを適用すると、管理センターにデバイスとユーザーの状態が正常またはエラーとして表示されます。
ポリシーには複数のルールを含めることができるので、次の点を考慮してください。
- デバイスのポリシーを処理する場合、設定ごとの状態ビューには、1 つの設定であるかのようにルールのグループの状態が表示されます。
- エラーが発生するポリシー内の各ルールはスキップされ、デバイスには送信されません。
- 成功した各ルールは、適用するデバイスに送信されます。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示