モバイル アプリケーション管理を使用して iOS にMicrosoft Defender for Endpointをデプロイする

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

注:

iOS 上の Defender for Endpoint は、Web 保護機能を提供するために VPN を使用します。 これは通常の VPN ではなく、デバイスの外部でトラフィックを受け取らないローカル/セルフループ VPN です。

アプリ保護ポリシー (MAM) でMicrosoft Defender for Endpointリスクシグナルを構成する

モバイル デバイス管理 (MDM) シナリオでエンタープライズ ユーザーを既に保護している iOS 上のMicrosoft Defender for Endpoint、Intune モバイル デバイス管理 (MDM) を使用して登録されていないデバイスの Mobile App Management (MAM) へのサポートが拡張されるようになりました。 また、このサポートは、モバイル アプリケーション管理 (MAM) に Intune を引き続き使用しながら、他のエンタープライズ モビリティ管理ソリューションを使用する顧客にも拡張されます。この機能を使用すると、アプリケーション内のorganizationのデータを管理および保護できます。

iOS の脅威情報に関するMicrosoft Defender for Endpointは、Intune アプリ保護ポリシーによって利用され、これらのアプリを保護します。 アプリ保護ポリシー (APP) は、組織のデータが安全な状態にあるか、またはマネージド アプリ内に格納されることを保証するルールです。 マネージド アプリケーションにはアプリ保護ポリシーが適用されており、Intune で管理できます。

iOS 上のMicrosoft Defender for Endpointでは、MAM の両方の構成がサポートされています

  • Intune MDM + MAM: IT 管理者は、Intune モバイル デバイス管理 (MDM) に登録されているデバイスの App Protection ポリシーを使用してのみアプリを管理できます。
  • デバイス登録なしの MAM: デバイス登録のない MAM、または MAM-WE を使用すると、IT 管理者は Intune MDM に登録されていないデバイスで App Protection ポリシー を使用してアプリを管理できます。 つまり、サードパーティ EMM プロバイダーに登録されているデバイスで Intune によりアプリを管理できます。 上記の両方の構成で を使用してアプリを管理するには、Microsoft Intune管理センターで Intune を使用する必要があります

この機能を有効にするには、管理者がMicrosoft Defender for Endpointと Intune の間の接続を構成し、アプリ保護ポリシーを作成し、対象のデバイスとアプリケーションにポリシーを適用する必要があります。

エンド ユーザーは、デバイスにMicrosoft Defender for Endpointをインストールし、オンボード フローをアクティブ化する手順を実行する必要もあります。

前提条件

  1. セキュリティ ポータルで Intune コネクタが有効になっていることを確認します
    統合セキュリティ コンソールで、[設定エンドポイント>][高度な機能]> に移動し、Microsoft Intune接続が有効になっていることを確認します。

Defender for Endpoint - Intune コネクタ

  1. Intune ポータルで APP コネクタが有効になっていることを確認します
    Microsoft Intune管理センターで、[エンドポイント セキュリティ>] に移動しMicrosoft Defender for Endpoint接続の状態が有効になっていることを確認します。

アプリケーション設定

アプリ保護ポリシーを作成する

アプリ保護ポリシーを作成して、Microsoft Defender for Endpointリスクシグナルに基づいてマネージド アプリのアクセスまたはワイプ データをブロックします。 Microsoft Defender for Endpointは、アプリ保護ポリシー (APP、MAM とも呼ばれます) で使用される脅威シグナルを送信するように構成できます。 この機能を使用すると、Microsoft Defender for Endpointを使用してマネージド アプリを保護できます。

  1. ポリシーを作成する
    アプリ保護ポリシー (APP) は、組織のデータが安全な状態にあるか、またはマネージド アプリ内に格納されることを保証するルールです。 ポリシーの例としては、ユーザーが "企業" データへのアクセスまたは移動を試みた場合や、アプリ内で禁止または監視されている一連の操作を試みた場合に適用されるルールがあります。

[アプリ保護 ポリシー] メニュー項目の [ポリシーの作成] タブ

  1. アプリを追加する
    a. このポリシーをさまざまなデバイス上のアプリに適用する方法を選択します。 次に、少なくとも 1 つのアプリを追加します。
    このオプションを使用して、このポリシーが非管理対象デバイスに適用されるかどうかを指定します。 また、任意の管理状態のデバイス上のアプリをポリシーの対象にすることもできます。 モバイル アプリ管理にはデバイス管理が必要ないため、マネージド デバイスとアンマネージド デバイスの両方で会社データを保護することができます。 管理の中心がユーザー ID になり、デバイスを管理する必要がなくなります。 企業は、MDM の有無にかかわらず、アプリ保護ポリシーを同時に使用できます。 たとえば、会社で支給されたスマートフォンと自分のタブレットの両方を使用する社員がいるとします。 会社のスマートフォンは MDM に登録されたうえでアプリ保護ポリシーによって保護されますが、個人のデバイスはアプリ保護ポリシーのみで保護されます。

    b. [アプリ] を選択します
    管理対象アプリは、アプリ保護ポリシーが適用されたアプリであり、Intune で管理できます。 Intune SDK と統合されているか、Intune App Wrapping Toolによってラップされているアプリは、Intune アプリ保護ポリシーを使用して管理できます。 これらのツールを使用して構築されている一般使用が可能な Microsoft Intune による保護アプリの公式一覧を参照してください。

    例: マネージド アプリとしての Outlook

    左側のナビゲーション ウィンドウの Microsoft Outlook メニュー項目

    organizationでポリシーに必要なプラットフォーム、アプリ、データ保護、アクセス要件の設定を選択します。

3.保護ポリシーのサインイン セキュリティ要件を設定します。
[条件付き起動>デバイスの条件] で [許可されたデバイスの脅威レベルの最大値の設定>] を選択し、値を入力します。 これは、低、中、高、またはセキュリティ保護済みのいずれかに構成する必要があります。 使用できるアクションは、[アクセスの ブロック] または [データのワイプ] です。 [ アクション: "アクセスのブロック" を選択します。 iOS のMicrosoft Defender for Endpointは、このデバイス脅威レベルを共有します。

[デバイス条件] ウィンドウ

4.ポリシーを適用する必要があるユーザー グループを割り当てます。
[ 含まれるグループ] を選択します。 次に、関連するグループを追加します。

MAM またはアプリ保護ポリシーの詳細については、「 iOS アプリ保護ポリシーの設定」を参照してください。

MAM または登録されていないデバイスにMicrosoft Defender for Endpointを展開する

iOS でMicrosoft Defender for Endpointすると、アプリ保護ポリシーのシナリオが有効になり、Apple アプリ ストアで利用できます。

アプリの保護ポリシーが、Microsoft Defender for Endpointからのデバイス リスクシグナルを含むようにアプリ用に構成されている場合、ユーザーは、そのようなアプリを使用するときにMicrosoft Defender for Endpointをインストールするようにリダイレクトされます。 または、最新バージョンのアプリを Apple アプリ ストアから直接インストールすることもできます。

デバイスが、MAM 登録を成功させるために Defender でオンボードするために使用されているのと同じアカウントで Authenticator に登録されていることを確認します。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。