次の方法で共有

Microsoft Defender for Endpoint で条件付きアクセスを構成する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

このセクションでは、条件付きアクセスを適切に実装するために必要なすべての手順について説明します。

開始する前に

警告

このシナリオでは、Microsoft Entra 登録済みデバイスはサポートされていないことに注意してください。
Intune に登録されているデバイスのみがサポートされます。

すべてのデバイスが Intune に登録されていることを確認する必要があります。 次のいずれかのオプションを使用して、Intune にデバイスを登録できます。

  • IT 管理者: 自動登録を有効にする方法の詳細については、「Windows 登録」を参照してください。
  • エンド ユーザー: Intune で Windows 10 および Windows 11 デバイスを登録する方法の詳細については、「Intune で Windows 10 デバイスを登録する」を参照してください。
  • エンド ユーザーの代替手段: Microsoft Entra ドメインへの参加の詳細については、「 方法: Microsoft Entra 参加の実装を計画する」を参照してください。

Microsoft Defender ポータル、Intune ポータル、Microsoft Entra 管理センターで実行する必要がある手順があります。

これらのポータルにアクセスし、条件付きアクセスを実装するために必要なロールに注意することが重要です。

  • Microsoft Defender ポータル - 統合を有効にするには、グローバル管理者ロールを使用してポータルにサインインする必要があります。
  • Intune - 管理アクセス許可を持つセキュリティ管理者権限でポータルにサインインする必要があります。
  • Microsoft Entra 管理センター - グローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインする必要があります。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

注:

Intune で管理され、Microsoft Entra が Windows 10 および Windows 11 デバイスに参加している Microsoft Intune 環境が必要です。

条件付きアクセスを有効にするには、次の手順を実行します。

  • 手順 1: Microsoft Defender XDR から Microsoft Intune 接続を有効にする
  • 手順 2: Intune で Defender for Endpoint 統合を有効にする
  • 手順 3: Intune でコンプライアンス ポリシーを作成する
  • 手順 4: ポリシーを割り当てる
  • 手順 5: Microsoft Entra 条件付きアクセス ポリシーを作成する

手順 1: Microsoft Intune 接続を有効にする

  1. ナビゲーション ウィンドウで、 設定>Endpoints>General>Advanced features>Microsoft Intune 接続を選択します。

  2. Microsoft Intune の設定を [オン] に切り替えます。

  3. [ Save preferences]\(設定の保存\) をクリックします

手順 2: Intune で Defender for Endpoint 統合を有効にする

  1. Intune ポータルにサインインする

  2. [ エンドポイント セキュリティ>Microsoft Defender for Endpoint] を選択します

  3. [Windows 10.0.15063+ デバイスの接続] を [Microsoft Defender Advanced Threat Protection] を[オン] に設定します。

  4. [保存] をクリックします。

手順 3: Intune でコンプライアンス ポリシーを作成する

  1. Azure portal で、[すべてのサービス] を選択し、Intune でフィルター処理し、[Microsoft Intune] を選択します。

  2. [ デバイスコンプライアンス>ポリシー>ポリシーの作成] を選択します。

  3. [名前] と [説明] を入力します。

  4. [プラットフォーム] で、[Windows 10 以降] を選択します。

  5. [Device Health]\( デバイスの正常性\) 設定 で、[デバイスをデバイスの脅威レベルまたはデバイス脅威レベルの下 に置く] を好みのレベルに設定します。

    • [セキュリティ保護]: このレベルはセキュリティ上最も安全です。 デバイスは既存の脅威を持つことができず、会社のリソースに引き続きアクセスできます。 いずれかの脅威が見つかった場合、デバイスは非準拠と評価されます。
    • [低]: 低レベルの脅威が存在する場合にのみ、デバイスは準拠しています。 中または高の脅威レベルを持つデバイスは準拠していません。
    • [中]: デバイスに存在する脅威が低または中の場合、デバイスは準拠しています。 高レベルの脅威が検出された場合は、デバイスは非準拠と判定されます。
    • : このレベルは最も安全性が低く、すべての脅威レベルを許可します。 そのため、脅威レベルが高、中、または低のデバイスは準拠していると見なされます。

  6. [ OK] を選択し、[ 作成] を選択 して変更を保存します (ポリシーを作成します)。

手順 4: ポリシーを割り当てる

  1. Azure portal で、[すべてのサービス] を選択し、Intune でフィルター処理し、[Microsoft Intune] を選択します。

  2. [デバイス のコンプライアンス>ポリシー] を選択> Microsoft Defender for Endpoint コンプライアンス ポリシーを選択します。

  3. [割り当て] を選択します。

  4. Microsoft Entra グループを含めるか除外して、ポリシーを割り当てます。

  5. グループにポリシーを展開するには、[保存] を選択 します。 ポリシーの対象となるユーザー デバイスは、コンプライアンスについて評価されます。

手順 5: Microsoft Entra 条件付きアクセス ポリシーを作成する

  1. Azure portal で、Microsoft Entra ID>Conditional Access>New policy を開きます。

  2. ポリシー を入力し、[ ユーザーとグループ] を選択します。 含めるオプションまたは除外するオプションを使用して、ポリシーのグループを追加し、[完了] を選択します。

  3. [ クラウド アプリ] を選択し、保護するアプリを選択します。 たとえば、[アプリを選択] を選び、[Office 365 SharePoint Online][Office 365 Exchange Online] を選択します。 [完了] を選んで変更内容を保存します。

  4. [条件]>[クライアント アプリ] の順に選択して、アプリとブラウザーにポリシーを適用します。 たとえば、[はい] を選択し、[ブラウザー][モバイル アプリとデスクトップ クライアント] を有効にします。 [完了] を選んで変更内容を保存します。

  5. [許可] を選択し、デバイスのコンプライアンスに基づいて条件付きアクセスを適用します。 たとえば、[アクセスの許可]>[デバイスは準拠しているとしてマーク済みである必要があります] の順に選択します。 [選択] を選んで変更を保存します。

  6. [ポリシーを有効にする][作成] の順に選択して変更を保存します。

注:

Microsoft Entra 条件付きアクセス ポリシーでは、Microsoft Defender for Endpoint アプリを承認済みクライアント アプリApp Protection ポリシー 、および 準拠デバイス (デバイスを準拠としてマークする必要があります) コントロールと共に使用できます。 条件付きアクセスを設定するときに、Microsoft Defender for Endpoint アプリに除外は必要ありません。 Android & iOS 上の Microsoft Defender for Endpoint (アプリ ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) は承認されたアプリではありませんが、3 つの付与アクセス許可すべてでデバイスのセキュリティ体制を報告できます。

ただし、内部的に Defender は MSGraph/User.read スコープと Intune Tunnel スコープを要求します (Defender+Tunnel シナリオの場合)。 そのため、これらのスコープは除外する必要があります*。 MSGraph/User.read スコープを除外するには、任意のクラウド アプリを除外できます。 Tunnel スコープを除外するには、"Microsoft Tunnel Gateway" を除外する必要があります。これらのアクセス許可と除外により、条件付きアクセスに対するコンプライアンス情報のフローが有効になります。

すべての Cloud Apps に条件付きアクセス ポリシーを適用すると、場合によってはユーザー アクセスが誤ってブロックされる可能性があるため、推奨されません。 Cloud Apps での条件付きアクセス ポリシーの詳細

詳細については、「Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する」を参照してください。

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。