エンドポイントの統合

エンドポイントとは、組織のリソースとアプリケーションにアクセスするデバイスです。 現代の職場では、さまざなデバイスが、企業ネットワーク内外からアクセスを要求しています。

エンドポイントのゼロ トラストソリューションは、デバイスで実行されているアプリケーションを含め、作業データにアクセスするデバイスのセキュリティを検証することです。 パートナーは、Microsoft のエンドポイント ソリューションと統合して、デバイスとアプリのセキュリティを確認し、最小限の特権ポリシーを適用し、侵害に備えることができます。

このガイダンスは、Microsoft 製品との統合によりエンドポイント セキュリティ ソリューションの強化を図るソフトウェア プロバイダーとテクノロジ パートナーを対象にしています。

エンドポイントのゼロ トラスト統合ガイド

この統合ガイドには、以下の製品の統合手順が記載されています。

• Microsoft Defender for Endpoint: 高度な脅威に対する企業ネットワークによる防御、検出、調査、対応を支援します。
• Microsoft エンドポイント マネージャー: 従業員が使用するデバイスと、これらのデバイスで実行されるアプリケーションの保護とセキュリティを提供します。
• Microsoft Defender for IoT。運用テクノロジ (OT) ネットワーク全体のセキュリティを提供します。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint は、企業ネットワークによる高度な脅威に対する防御、検出、調査、対応を支援するように、設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 エンドポイントの動作センサー、クラウド セキュリティ分析、および脅威インテリジェンスを組み合わせて使用します。

Defender for Endpoint では、プラットフォームの検出、調査、および脅威インテリジェンス機能を強化するためにサードパーティのアプリケーションがサポートされています。 また、パートナーは、オープン フレームワークと豊富で完全な一連の API に加えて既存のセキュリティ オファリングを拡張し、Defender for Endpoint との拡張機能と統合を構築できます。

「Microsoft Defender For Endpoint パートナーの機会とシナリオ」のページでは、サポートされているいくつかの統合カテゴリについて説明しています。 また、統合シナリオに関するアイデアには次のものがあります。

• 脅威の修復の合理化: Microsoft Defender for Endpoint では、アラートに対処するために、即時またはオペレーター支援型の対応を受けることができます。 パートナーは、マシンの分離やファイルの検疫などのエンドポイント対応アクションを利用して、管理対象のエンドポイント全体で IoC をブロックできます。
• ネットワーク アクセス制御とデバイス セキュリティの組み合わせ: リスクまたは露出スコアを使用して、ネットワークとアプリケーションへのアクセスに対するポリシーを実装および適用できます。

Defender for Endpoint ソリューション パートナーになるには、「Microsoft Defender for Endpoint パートナーになる」の手順に従って完了する必要があります。

Microsoft Endpoint Manager

Microsoft エンドポイント マネージャーには Microsoft Intune と Microsoft Configuration Manager が含まれており、従業員が使用するデバイスとそれらのデバイスで実行されるアプリケーションの保護とセキュリティが提供されます。 エンドポイント マネージャーにはデバイス コンプライアンス ポリシーが含まれており、これにより、従業員が会社のセキュリティ ポリシーに準拠したデバイスからアプリケーションやデータにアクセスしていることを確実にできます。 また、完全に管理されたデバイスと従業員所有のデバイスの両方に対してアプリケーション ベースのセキュリティ制御を提供する、アプリケーション保護ポリシーも含まれています。

Microsoft エンドポイント マネージャーと統合するために、ISV は Microsoft Graph と Microsoft エンドポイント マネージャー アプリケーション管理 SDK を使用します。 エンドポイント マネージャーと Graph API の統合により、エンドポイント マネージャー (Intune) の管理者コンソールで提供される機能と同じ機能を使用できます。 デバイスのコンプライアンスの状態、コンプライアンス ポリシーの構成、アプリケーション保護ポリシーの設定などの情報については、Graph API を参照してください。 さらに、エンドポイント マネージャーではタスクを自動化できます。これにより、顧客のゼロ トラスト事例をさらに強化できます。 Microsoft Graph での Intune の操作に関する一般的なガイダンスについては、Microsoft Graph ドキュメント リポジトリを参照してください。 ここでは、ゼロ トラストのシナリオを中心に説明します。

セキュリティとコンプライアンスの基準にデバイスが準拠していることを確認する

ISV ソリューションでは、ゼロ トラストの原則である「明示的に検証する」に対応するため、エンドポイント マネージャーのデバイス コンプライアンスとポリシー情報を利用できます。 エンドポイント マネージャーからのユーザーとデバイスに関するコンプライアンス データによって、ISV のアプリケーションはアプリケーションの使用に関するデバイスのリスクの状態を判断できます。 ISV はこれらの検証を実施することで、サービスを使用するデバイスが顧客のセキュリティとコンプライアンスの標準およびポリシーに準拠していることを保証します。

Microsoft Graph API により、ISV は一連の RESTful API を使用してエンドポイント マネージャー (Intune) と統合できます。 これらの API は、Intune ですべてのアクション、データ、アクティビティを表示、作成、管理、展開、および報告するためにエンドポイント マネージャー コンソールで使用されるものと同じです。 ゼロ トラスト イニシアチブに対応している ISV にとって特に関心が高いものは、デバイスのコンプライアンスの状態を表示し、コンプライアンス ルールとポリシーを構成する機能です。 ゼロ トラストの構成とコンプライアンスについては、「Azure AD とエンドポイント マネージャーを使用するための Microsoft の推奨事項: ゼロ トラストを使用してエンドポイントをセキュリティで保護する」を参照してください。 エンドポイント マネージャーのコンプライアンス ルールは、Azure Active Directory によってデバイス ベースの条件付きアクセスをサポートするための基盤となります。 また、ISV は、条件付きアクセス機能と API を参照して、ユーザーとデバイスのコンプライアンスと条件付きアクセスのシナリオを完了する方法を把握しておく必要があります。

ISV にとっては、アプリケーションがクラウド アプリケーションとして Microsoft Graph API に接続し、サービス間接続を確立することが理想的です。 マルチテナント アプリケーションでは、ISV はアプリケーションの定義と制御を一元化でき、顧客は ISV アプリケーションがテナント データを処理することに個別に同意できます。 シングルまたはマルチテナントの Azure AD アプリケーションの登録と作成については、Azure Active Directory のテナントに関する情報を参照してください。 アプリケーションの認証では、シングル サインオンに Azure AD を利用できます。

アプリケーションの作成後に、Microsoft Graph API を使用して、デバイスとコンプライアンスに関する情報にアクセスする必要があります。 Microsoft Graph の使用に関するドキュメントは、Microsoft Graph デベロッパー センターにあります。 Graph API は、データ アクセスとクエリに関する ODATA 標準に準拠した RESTful API のセットです。

デバイスのコンプライアンスの状態を取得する

この図は、デバイスから ISV ソリューションへのデバイス コンプライアンス情報の流れを示しています。 エンド ユーザーのデバイスは、Intune、Mobile Threat Defense (MTD) パートナー、またはモバイルデバイス管理 (MDM) コンプライアンス パートナーからポリシーを受信します。 デバイスからコンプライアンス情報が収集されると、Intune により各デバイスの総合的なコンプライアンスの状態が計算され、Azure AD に格納されます。 Microsoft Graph API を使用することによって、ソリューションはデバイスのコンプライアンスの状態を読み取って応答し、ゼロ トラストの原則を適用できます。

Intune に登録すると、デバイスのコンプライアンスの状態などのデバイス詳細情報を含むデバイス レコードが Intune に作成されます。 Intune によりデバイスのコンプライアンスの状態が Azure AD に転送され、Azure AD で各デバイスのコンプライアンス状態が格納されます。 https://graph.microsoft.com/v1.0/deviceManagement/managedDevices に対して GET を実行すると、テナントのすべての登録済みデバイスとそのコンプライアンスの状態を確認できます。 あるいは https://graph.microsoft.com/v1.0/devices に対してクエリを実行して、Azure AD 登録済みおよび登録済みデバイスとそのコンプライアンスの状態の一覧を取得できます。

たとえば、次の要求があります。

GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId} 

次の値が返されます。

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095

{
 "value": {
  "@odata.type": "#microsoft.graph.managedDevice",
  "id": "705c034c-034c-705c-4c03-5c704c035c70",
  "userId": "User Id value",
  "deviceName": "Device Name value",
  "managedDeviceOwnerType": "company",
  "enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
  "lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
  "complianceState": "compliant",
...
}

コンプライアンス ポリシー、その展開、コンプライアンス ポリシーに対するユーザーとデバイスの状態の一覧を取得することもできます。 コンプライアンス ポリシーの情報を取得するために Graph を呼び出す方法については、Get deviceCompliancePolicy - Microsoft Graph v1.0に関する記事を参照してください。 デバイス コンプライアンス ポリシーの詳しい背景情報と使用方法については、Microsoft Intune のデバイス コンプライアンス ポリシー - Azureに関する記事を参照してください。

具体的なポリシーを特定したら、クエリを実行して、特定のコンプライアンス ポリシー設定に対するデバイスの状態を取得できます。 たとえば、ロックする際にパスコードを必須とするためにコンプライアンス ポリシーを展開している場合、その設定の特定の状態を取得するため、Get deviceComplianceSettingState に対してクエリを実行します。 これにより、デバイスがパスコード ロックの設定に準拠しているかどうかが示されます。 この方法は、顧客が展開した他のデバイス コンプライアンス ポリシーにも使用できます。

コンプライアンス情報は、Azure AD の条件付きアクセス機能の基礎となります。 Intune ではコンプライアンス ポリシーに基づいてデバイスのコンプライアンスが判断され、コンプライアンスの状態が Azure AD に書き込まれます。 次に、顧客が条件付きアクセス ポリシーを使用して、非準拠デバイスから企業データへのユーザー アクセスのブロックなど、非準拠状態に対して何らかのアクションを実行するかどうかを判断します。

デバイス コンプライアンスと条件付きアクセスの統合の詳細については、Microsoft Intune のデバイス コンプライアンス ポリシーに関する記事を参照してください。

最小特権アクセスの原則に従う

エンドポイント マネージャーと統合する ISV では、アプリケーションで最小特権アクセスの適用に関するゼロ トラスト原則が確実にサポートされるようにする必要もあります。 エンドポイント マネージャー統合では、委任されたアクセス許可とアプリケーションのアクセス許可という、2 つの重要なアクセス制御方法がサポートされています。 ISV のアプリケーションでは、いずれかのアクセス許可モデルを使用する必要があります。 委任されたアクセス許可を使用すると、アプリケーションがアクセスできるエンドポイント マネージャー内の特定のオブジェクトをきめ細かく制御できますが、管理者が資格情報を使用してログインする必要があります。 これに対し、アプリケーションのアクセス許可を使用すると、ISV のアプリケーションで、個々のオブジェクトではなくデータとオブジェクトのクラスをアクセスまたは制御できますが、ユーザーがログインする必要はありません。

アプリケーションをシングルテナントまたはマルチテナント (推奨) アプリケーションとして作成するだけでなく、アプリケーションがエンドポイント マネージャー情報にアクセスし、エンドポイント マネージャーに対してアクションを実行するために必要なアクセス許可として、委任されたアクセス許可とアプリケーションのアクセス許可のいずれかを宣言する必要があります。 アクセス許可の概要については、クイック スタート: Web API にアクセスするようにアプリケーションを構成することに関する記事を参照してください。

Microsoft Defender for IoT

運用テクノロジ (OT) ネットワーク アーキテクチャは、多くの場合、独自のプロトコルを使用した独自のテクノロジを使用して、従来の IT インフラストラクチャとは異なります。 OT デバイスには、接続と電力が限られた老朽化したプラットフォームや、特定の安全要件、物理的な攻撃に対する固有の露出がある場合もあります。

IoT のMicrosoft Defenderをデプロイして、OT ネットワークにゼロ トラスト原則を適用し、トラフィックがサイトとゾーンを越える際に異常または未承認の動作のトラフィックを監視します。 OT デバイスに固有の脅威と脆弱性を監視し、検出されたリスクを軽減します。

セキュリティ オペレーション センター (SOC) とorganizationの他の部分で Defender for IoT データを共有することで、操作を高速化します。 Microsoft Sentinel や Defender for Endpoint などの Microsoft サービス、または SIEM とチケット システムの両方を含む他のパートナー サービスと統合します。 次に例を示します。

• オンプレミスのアラート データを Splunk、IBM QRadar などの SIEM に直接転送します。 Splunk と IBM QRadar では、Event Hub インジェストもサポートされています。これを使用して 、Defender for IoT からクラウド アラートを転送できます。

• ServiceNow の Operational Technology Manager と統合 して、Defender for IoT データを ServiceNow にインポートし、運用プロセス コンテキストを使用してリスクベースのアクションをインポートします。

詳細については、次を参照してください。

• OT セキュリティの監視を始める
• ゼロ トラストと OT ネットワーク
• ゼロ トラストを使用した監視
• Defender for IoT 統合カタログ

次のステップ

• Microsoft Defender for Endpoint
• Microsoft Endpoint Manager
• Microsoft Defender for IoT