Microsoft Intuneを使用してセキュリティ体制を改善する

  • 6 分

organizationの全体的なセキュリティ レベルを向上させる方法を理解するには、セキュリティ体制の定義と、それを測定および改善するために使用できる方法を確認することが重要です。 既存のゼロ トラスト評価と Microsoft Secure Score を通じて、チップからクラウドへの進化するセキュリティ体制を測定できます。 このモジュールでは、Windows 11チップからクラウドへの階層化されたセキュリティ モデルに基づいて、サービスとセキュリティがどのように連携してゼロ トラストセキュリティ体制を継続的に進めるかに焦点を当てます。 特に、Microsoft Intuneを使用してこの進行中のプロセスを簡略化し、より少ない方法でより多くのことを行う方法について説明します。

ゼロ トラストのレビュー

ゼロ トラストセキュリティ体制は、明示的に検証し、最小限の特権アクセスを使用し、侵害を想定するという原則で構成されています。 これらの原則は、ID、エンドポイント、ネットワーク、アプリケーション、データ、インフラストラクチャ、ポリシーの最適化、ポリシーの適用、脅威の保護など、organizationの環境のすべての部分に反映されることを目的としています。 これらの環境コンポーネントは、ゼロ トラストを有効にする、チップからクラウドへの階層化されたセキュリティ モデルにほぼ対応します。

チップからクラウドへの階層化されたセキュリティ モデルのレビュー

チップ対クラウド モデルは、保護と生産性のためにハードウェアとソフトウェアのセキュリティがどのように連携するかを表します (「Windows 11 セキュリティ ブック」を参照してください)。 organizationを保護して生産性を維持することは、Windows の使命であり、電源投入後からクラウドにゼロ トラストを可能にするMicrosoft Intuneなどのツールを提供します。

ゼロ トラスト アーキテクチャは、次に示すようにレイヤーを介して表すことができます。

図は、(Windows 11 セキュリティ ブックに基づく) Windows 11チップからクラウドへのセキュリティ レイヤーを示しています。

このモジュールで使用しているWindows 11の階層化されたチップからクラウドへのセキュリティ モデルに加えて、オペレーティング システムとしての Windows は、セキュリティで保護された基盤によって支えられます。

  • 攻撃的な研究

    Microsoft は、セキュリティで保護されたプロセスを使用して開発ライフサイクルをセキュリティで保護し、Windows が初めから保護されるようにします。 セキュリティで保護された開発プロセスの重要な部分は、Microsoft Windows Insider Preview報奨金プログラムを通じて世界中の研究者とのコラボレーションです。

  • 証明

    Microsoft 製品は、 グローバルな規制製品のセキュリティ 基準と認定に対して外部から検証されています。

  • 安全なサプライ チェーン

    Windows は、開発者のチェックからチップなどのコンポーネント、ファームウェア、OS、Microsoft 以外のアプリ、工場の製造、セキュリティ更新プログラムまで、エンドツーエンドの Windows サプライ チェーンに依存しています。

最新のデバイス管理を実装する

最新のデバイス管理を使用して、ユーザーが安全に作業を行うために必要なすべてのアプリケーションと設定を使用して、organizationのデバイスを構成することをお勧めします。 Windows を使用すると、Microsoft および Microsoft 以外の最新のデバイス管理ソリューションを使用してデバイスを管理できます。これらのソリューションの多くは、Microsoft Intuneと互換性があります。 以前は Microsoft Endpoint Manager と呼ばれ、Microsoft Intune、Configuration Manager、Endpoint Analytics、Autopilot などの機能を組み合わせて、organizationのすべてのデバイスでアクセスのセキュリティ保護、データの保護、リスクへの対応を支援します。 セットアップを開始しましょう。

Microsoft Intune

Microsoft Intuneは、すべてのエンドポイントをセキュリティで保護し、セキュリティ体制を継続的に向上させるためにゼロ トラストに基づいて構築されたモバイル デバイス管理 (MDM) ソリューションです。 クラウド、オンプレミス、および複数の OS バージョンにまたがる統合エンドポイント デバイス管理プラットフォームを提供します。 このソリューションは、物理マシンと仮想マシンにまたがるハイブリッド ビジネス モデルを活用するあらゆる規模のビジネス環境に不可欠な戦略です。

Windows サービス更新プログラムは常にゼロ トラスト成熟度モデルの最適な方向に進むため、Microsoft Intuneはハイブリッド資産全体に展開して監視するのに役立ちます。

Microsoft Intuneを通じて最新のデバイス管理を実装するには、デバイスに参加してMicrosoft Entra IDし、Microsoft Intuneに設定または移動しましょう。 次に、デバイスの作成をセキュリティで保護して管理する方法について説明します。

デバイスをMicrosoft Entra IDに参加または登録する

Microsoft Entra IDはクラウドベースの ID サービスです。 ID、ディレクトリの管理、ユーザーがアクセスする必要があるリソースとアプリの保護に使用できます。

Windows には、organizationのユーザー アカウントを同期してMicrosoft Entra IDに追加するために使用できる設定が組み込まれています。 デプロイ ガイドを使用して、Microsoft Entra デバイス参加体験を計画します。 その後、詳細なセキュリティ制御を使用します。これについては、次のユニットで説明します。

  • シングル サインオン
  • 多要素認証
  • 条件付きアクセス ポリシー
  • Identity Protection
  • ID ガバナンス
  • Privileged Identity Management

これにより、ユーザーがどこから作業していても、セキュリティで保護されたアクセス、アプリとサービスのシングル サインオン、ID 管理を提供できます。

Microsoft Intuneを設定または移動する

Microsoft Intuneの計画と展開に関するガイドを使用します。 organizationがEnterprise Mobility + Security (EMS) または Microsoft 365 の Windows ライセンスを保持している場合、Intuneは自動的にサービスの一部になります。 それ以外の場合は、 を個別に追加できます。 アカウントが Service 管理 特権Intune委任されていることを確認します。

デバイスをIntuneに登録するには、次のようないくつかの方法があります。

  • Windows Autopilot を使用して、Microsoft Entra参加を自動化し、会社のセキュリティ ポリシーで事前構成された、簡素化されたすぐに使用できるエクスペリエンスを使用して、新しい企業所有のデバイスをIntuneに登録します。9 会社の PC をリモート従業員に展開します。 新しいデバイスの迅速なセットアップと事前構成、デバイスの再利用、デバイスの回復。
  • Microsoft Entra参加で自動登録を有効にするか、Microsoft Entraハイブリッド参加を使用してデバイスを自動的に登録します。
  • 多数の新しい企業所有デバイスをMicrosoft Entra IDおよびIntuneに一括登録します。
  • 既存のConfiguration Managerマネージド デバイスをConfiguration Manager共同管理に登録します。

このモジュールでは、organizationのセキュリティ態勢を向上させるために、Windows 11チップからクラウドへの階層化されたセキュリティ モデルから代表的な機能の選択を有効または構成します。 Microsoft Intune ツールは、セキュリティ ポリシー管理を効率化するために各セキュリティ レベルに適用されるため、セキュリティ体制を一度に 1 つの機能に進める方法について説明します。 このモジュールでは、Windows 11 Security Book で確立された使い慣れたチップからクラウドへの構造を参照しますが、このモジュールでは、クラウド サービスがすべてのゼロ トラストの柱にマップされ、そこで管理ソリューションが提供されることを考えると、逆の順序を使用します。

ワークフロー図は、進行状況を示しています。Microsoft Entra IDに参加し、Microsoft Intuneに登録しました。