Intune の概要でデバイスを管理する
エンタープライズ レベルのセキュリティのコア コンポーネントには、デバイスの管理と保護が含まれます。 ゼロトラスト セキュリティ アーキテクチャを構築する場合でも、ランサム ウェアに対する環境を強化する場合でも、リモート ワーカーをサポートするための保護を組み込む場合でも、デバイスの管理は戦略の一部です。 Microsoft 365 には、デバイスを管理および保護するためのツールと方法論がいくつか含まれていますが、このガイダンスでは、Microsoft Intune を使用した Microsoft の推奨事項について説明します。 これは、次の場合に適切なガイダンスです。
- Microsoft Entra参加 (ハイブリッド結合を含む) を使用してデバイスをIntuneに登録Microsoft Entra計画します。
- デバイスを手動で Intune に登録することを計画します。
- アプリとデータの保護を実装する計画のある BYOD デバイスを許可するか、これらのデバイスを Intune に登録します。
一方、環境にMicrosoft Configuration Managerを含む共同管理の計画が含まれている場合は、共同管理に関するドキュメントを参照して、organizationに最適なパスを開発してください。 ご使用の環境に Windows 365 Cloud PC の計画が含まれている場合は、Windows 365 エンタープライズのドキュメントを参照して、組織に最適なパスを開発してください。
このビデオでは、展開プロセスの概要について説明します。
エンドポイントを管理する理由
現代の企業には、データにアクセスするエンドポイントの驚くほどの多様性があります。 このセットアップにより、大規模な攻撃対象領域が作成され、その結果、エンドポイントがゼロ トラスト セキュリティ戦略の最も弱いリンクになる可能性があります。
世界がリモートまたはハイブリッドの作業モデルに移行するにつれ、主に必要性に駆り立てられて、ユーザーは、これまでのどの時代よりも、どこからでも、どのデバイスからでも作業を行っています。 攻撃者は、この変更を利用するために戦術をすばやく調整しています。 多くの組織は、これらの新しいビジネス上の課題に対処する際に、リソースの限界に直面しています。 事実上一夜にして、企業はデジタル変革を加速させています。 簡単に言うと、人々の働き方は変わりました。 私たちは、オフィスや会社所有のデバイスからのみ、無数の企業リソースにアクセスすることを期待しなくなりました。
企業リソースにアクセスするエンドポイントを可視化することは、ゼロ トラスト デバイス戦略の最初のステップです。 通常、企業は PC を脆弱性や攻撃から保護することに積極的ですが、モバイル デバイスは監視も保護もされていないことがよくあります。 データをリスクにさらさないようにするには、すべてのエンド ポイントでリスクを監視し、きめ細かいアクセス制御を採用して、組織のポリシーに基づいて適切なレベルのアクセスを提供する必要があります。 たとえば、個人用デバイスが脱獄されている場合は、アクセスをブロックして、エンタープライズ アプリケーションが既知の脆弱性にさらされないようにすることができます。
この一連の記事では、リソースにアクセスするデバイスを管理するための推奨プロセスについて説明します。 推奨される手順に従うと、組織はデバイスやデバイスがアクセスするリソースに対して非常に高度な保護を実現できます。
デバイス上およびデバイスの保護レイヤーの実装
デバイス上のデータとアプリ、およびデバイス自体を保護することは、多層プロセスです。 管理されていないデバイスで取得できる保護がいくつかあります。 デバイスを管理に登録した後、より高度なコントロールを実装できます。 脅威保護がエンドポイント全体に展開されると、さらに多くの分析情報が得られ、一部の攻撃を自動的に修正する機能が得られます。 最後に、organizationが機密データの識別、分類とラベルの適用、Microsoft Purview データ損失防止 ポリシーの構成に取り組んだ場合は、エンドポイント上のデータに対してさらに詳細な保護を得ることができます。
次の図は、この環境に導入する Microsoft 365 およびその他の SaaS アプリのゼロ トラスト セキュリティ ポスチャを実現するためのビルディング ブロックを示しています。 デバイスに関連する要素には、1 から 7 までの番号が付けられています。 デバイス管理者は、他の管理者と連携して、これらの保護レイヤーを実現します。
この図について:
| 手順 | 説明 | ライセンスの要件 | |
|---|---|---|---|
| 1 | 開始点のゼロトラスト ID およびデバイス アクセス ポリシーを構成します | ID 管理者と協力して、レベル 2 のアプリ保護ポリシー (APP) データ保護を実装します。 これらのポリシーでは、デバイスを管理する必要はありません。 Intune で APP ポリシーを構成します。 ID 管理者は、承認されたアプリを要求するように条件付きアクセス ポリシーを構成します。 | E3、E5、F1、F3、F5 |
| 2 | デバイスを Intune に登録する | このタスクを実装するには、より多くの計画と時間が必要です。 このツールは最適な統合を提供するため、Microsoft は Intune を使用してデバイスを登録することをお勧めします。 プラットフォームに応じて、デバイスを登録するためのいくつかのオプションがあります。 たとえば、Windows デバイスは、Microsoft Entra参加を使用するか、Autopilot を使用して登録できます。 各プラットフォームのオプションを確認し、ご使用の環境に最適な登録オプションを決定する必要があります。 詳細については、「手順 2 — デバイスを Intune に登録する」を参照してください。 | E3、E5、F1、F3、F5 |
| 3 | コンプライアンス ポリシーの構成 | アプリやデータにアクセスしているデバイスが最小要件を満たしていることを確認する必要があります。たとえば、デバイスがパスワードまたは PIN で保護されており、オペレーティング システムが最新であることです。 コンプライアンス ポリシーは、デバイスが満たす必要のある要件を定義する方法です。 「手順 3. コンプライアンス ポリシーの設定」は、これらのポリシーを構成するのに役立ちます。 | E3、E5、F3、F5 |
| 4 | エンタープライズ (推奨) ゼロ トラスト ID およびデバイス アクセス ポリシーの構成 | デバイスが登録されたので、ID 管理者と協力して、条件付きアクセス ポリシーを微調整し、正常で準拠したデバイスを要求できます。 | E3、E5、F3、F5 |
| 5 | 構成プロファイルの展開 | 設定した基準に基づいてデバイスを準拠または非準拠としてマークするだけのデバイス コンプライアンス ポリシーとは対照的に、構成プロファイルは実際にデバイスの設定の構成を変更します。 構成ポリシーを使用して、サイバー脅威に対してデバイスを強化できます。 「手順 5. 構成プロファイルを展開する」を参照してください。 | E3、E5、F3、F5 |
| 6 | デバイスのリスクとセキュリティ ベースラインへのコンプライアンスを監視する | この手順では、Intune を Microsoft Defender for Endpoint に接続します。 この統合により、アクセスの条件としてデバイスのリスクを監視できます。 危険な状態にあると検出されたデバイスはブロックされます。 セキュリティ基準計画への準拠を監視することもできます。 「手順 6. デバイスのリスクとセキュリティ基準計画への準拠を監視する」を参照してください。 | E5、F5 |
| 7 | 情報保護機能を備えたデータ損失防止 (DLP) を実装する | 組織が機密データの識別とドキュメントのラベル付けに取り組んでいる場合は、情報保護管理者と協力して、デバイス上の機密情報とドキュメントを保護できます。 | E5、F5 コンプライアンス アドオン |
エンドポイント管理とゼロ トラスト IDおよびデバイス アクセス ポリシーの調整
このガイダンスは、推奨されるゼロ トラスト ID およびデバイス アクセス ポリシーと緊密に連携しています。 ID チームと連携して、Intuneで構成した保護をMicrosoft Entra IDの条件付きアクセス ポリシーに適用します。
Intuneで行う作業のステップコールアウトと、Microsoft Entra IDで調整するのに役立つ関連する条件付きアクセス ポリシーを含む推奨ポリシー セットの図を次に示します。
この図について:
- 手順 1、レベル 2 アプリ保護ポリシー (APP) の実装では、APP ポリシーを使用して推奨レベルのデータ保護を構成します。 次に、ID チームと協力して、この保護の使用を要求するように関連する条件付きアクセスルールを構成します。
- 手順 2、3、4 では、デバイスを Intune を使用して管理に登録し、デバイス コンプライアンス ポリシーを定義してから、ID チームと調整して、準拠デバイスへのアクセスのみを許可するように関連する条件付きアクセス ルールを構成します。
デバイスの登録とオンボーディング デバイス
このガイダンスに従うと、Intuneを使用してデバイスを管理に登録し、次の Microsoft 365 機能のデバイスをオンボードします。
- Microsoft Defender for Endpoint
- Microsoft Purview (エンドポイントのデータ損失防止 (DLP))
次の図は、Intune を使用してこれがどのように機能するかを示しています。
この図について:
- Intune を使用してデバイスを管理に登録します。
- Intune を使用して、デバイスを Defender for Endpoint にオンボードします。
- Defender for Endpoint にオンボードされているデバイスは、Endpoint DLP を含む Microsoft Purview 機能にもオンボードされています。
Intune のみがデバイスを管理していることに注意してください。 オンボーディングとは、デバイスが特定のサービスと情報を共有する機能を指します。 次の表は、特定のサービスの管理デバイスとオンボーディング デバイスへのデバイスの登録の違いをまとめたものです。
| 登録 | オンボード | |
|---|---|---|
| 説明 | 登録はデバイスの管理に適用されます。 デバイスは、Intune または Configuration Manager で管理するために登録されます。 | オンボーディングは、Microsoft 365 の特定の機能セットで動作するようにデバイスを構成します。 現在、オンボーディングは、Microsoft Defender for Endpoint および Microsoft コンプライアンス機能に適用されます。 Windows デバイスでは、オンボーディングには、Windows Defender の設定を切り替えて、Defender がオンライン サービスに接続し、デバイスに適用されるポリシーを受け入れることができるようにすることが含まれます。 |
| 範囲 | これらのデバイス管理ツールは、セキュリティなどの特定の目的を満たすようにデバイスを構成することを含め、デバイス全体を管理します。 | オンボーディングは、適用されるサービスにのみ影響します。 |
| 推奨される方法 | Microsoft Entra参加すると、デバイスがIntuneに自動的に登録されます。 | Intune は、Windows Defender for Endpoint にデバイスをオンボーディングするための推奨される方法であり、その結果、Microsoft Purview 機能になります。 他の方法を使用して Microsoft Purview 機能にオンボードされているデバイスは、Defender for Endpoint に自動的に登録されません。 |
| その他の方法 | その他の登録方法は、デバイスのプラットフォームと、デバイスが BYOD であるか、organizationによって管理されているかによって異なります。 | デバイスをオンボーディングする他の方法には、推奨される順序が含まれます。 |
管理者向けの学習
次のリソースは、管理者がIntuneの使用に関する概念を学習するのに役立ちます。
Microsoft Intune トレーニング モジュールを使用してデバイス管理を簡素化する
Microsoft 365 を通じたビジネス管理ソリューションが、ユーザーに安全でパーソナライズされたデスクトップ エクスペリエンスを提供し、組織が簡略化された管理者エクスペリエンスを使用してすべてのデバイスの更新プログラムを簡単に管理できるようにする方法について説明します。
-
Microsoft Intuneは、organizationのユーザーが生産性を高めるために使用するデバイス、アプリ、データを保護するのに役立ちます。 この記事では、Microsoft Intuneを設定する方法について説明します。 セットアップには、サポートされている構成の確認、Intuneへのサインアップ、ユーザーとグループの追加、ユーザーへのライセンスの割り当て、管理者権限の付与、Mobile デバイス管理 (MDM) 機関の設定が含まれます。
次の手順
手順 1 に進みます 。App Protection ポリシーを実装する。