Entra ID と Intune を使用してゼロトラスト モデルを適用する方法

Entra ID と Intune を使用してゼロトラスト モデルを適用する方法

2024 年 2 月 8 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Entra ID (旧称 Azure Active Directory) と Microsoft Intune の機能を使用してゼロ トラスト セキュリティ モデルを実装できるようにガイドすることを目的としています。ゼロ トラスト モデルは、「決して信頼せず、常に検証する」原則に基づいて構築されており、アクセス要求の発信元やアクセス試行するリソースに関係なく、アクセス要求は自動的に信頼されるべきではないと想定する最新のセキュリティ アプローチです [1]。

はじめに

リモートワークの拡大、個人用デバイスの急増、クラウドへの移行により、企業ネットワークの従来のセキュリティ境界は時代遅れになりました。ゼロ トラスト モデルは、この新しいシナリオへの対応として登場し、アクセス試行ごとに明示的な検証を要求し、最小限の権限でアクセスを許可し、常に違反を想定します。 Microsoft Entra ID と Microsoft Intune は、堅牢なゼロ トラスト アーキテクチャを構築し、それぞれ ID とエンドポイントを保護するための重要なコンポーネントです [2]。

この実践的なガイドでは、ゼロ トラストの原則について説明し、これらの原則を適用するために Microsoft Entra ID と Microsoft Intune を構成および統合する方法を説明します。読者がゼロ トラスト アプローチを使用して組織のセキュリティ体制を実装および強化できるように、段階的な手順、構成例、および検証方法が提供されます。

ゼロトラストの原則

ゼロ トラスト モデルは、次の 3 つの基本原則に基づいて構築されています [3]。

  1. 明示的に検証: ユーザー ID、場所、デバイスの健全性、リソースの機密性、異常など、利用可能なすべてのデータ ポイントに基づいて常に認証と承認を行います。
  2. 最小特権アクセスを使用: ユーザーのアクセスを必要なものだけに制限します。 Just-In-Time (JIT) と Just-Enough Access (JEA)、リスクベースの適応ポリシー、およびデータ保護を使用して、データと生産性を保護します。
  3. 侵害を想定: 爆発範囲とセグメントへのアクセスを最小限に抑えます。エンドツーエンドの暗号化を検証し、分析を使用して可視性を獲得し、脅威を検出し、防御を強化します。

前提条件

Microsoft Entra ID と Intune を使用してゼロ トラスト モデルを実装するには、次のものが必要です。

  1. ライセンス: Microsoft Entra ID Premium P1 または P2 (条件付きアクセス用) および Microsoft Intune (通常は Microsoft 365 E3/E5 または EMS E3/E5 パッケージの一部) に適したライセンス [4]。
  2. 管理アクセス: Microsoft Entra 管理センター (entra.microsoft.com) および Microsoft エンドポイント マネージャー管理センター (endpoint.microsoft.com) ポータルに対するグローバル管理者、セキュリティ管理者、または Intune 管理者のアクセス許可を持つアカウント。
  3. Intune 登録済みデバイス: Microsoft Intune によってすでに登録および管理されている Windows 10/11 デバイス。
  4. Microsoft Entra ID の ID: Microsoft Entra ID で同期または作成されたユーザーとグループ。

ステップバイステップ: ゼロトラストモデルの適用

ここでは、Microsoft Entra ID と Intune がどのように連携してゼロ トラスト原則、特に「明示的な検証」と「最小限の特権アクセスの使用」を適用するかに焦点を当てます。

1. Microsoft Entra ID によるアイデンティティの強化

Microsoft Entra ID は ID のゼロ トラストのバックボーンであり、認証されたユーザーのみがアクセスできるようにします。

1.1.多要素認証 (MFA) を実装する

MFA は、「明示的にチェックする」原則の基本的なコンポーネントです。

  1. 条件付きアクセスによる MFA の構成: 第 3 条で詳しく説明されているように、すべてのユーザー、特定のグループ、または企業ネットワークの外部からのアクセスに対して MFA を要求する条件付きアクセス ポリシーを作成します。
    • Microsoft ログイン管理センターで、保護 > 条件付きアクセス に移動します。
    • 次の設定で新しいポリシーを作成します。
      • 割り当て > ユーザーまたはワークロードの識別: すべてのユーザー (緊急アカウントを除く) を選択します。
      • クラウド リソースまたはアクション: すべてのクラウド アプリケーション
      • 許可: 多要素認証が必要をオンにします。
      • ポリシーを有効にする: 有効

1.2. Azure AD ID 保護を有効にする

Identity Protection は、組織の ID に影響を与える脆弱性を検出し、自動化されたリスクベースのポリシーを構成してこれらの ID を保護し、危険なアクティビティを調査します [5]。

  1. Microsoft ログイン管理センターで、保護 > Identity Protection に移動します。
  2. ユーザー リスク ポリシー: 中リスクまたは高リスクのユーザーに MFA またはパスワードのリセットを要求するようにこのポリシーを構成します。
    • 役割 > ユーザー: すべてのユーザーを選択します。
    • 条件 > ユーザーリスク: 中以上を選択します。
    • コントロール > アクセス: アクセスを許可パスワードのリセットが必要、または多要素認証が必要
    • ポリシーを有効にする: 有効
  3. 入力リスク ポリシー: リスクのある入力をブロックするか、MFA を要求するようにこのポリシーを構成します。
    • 役割 > ユーザー: すべてのユーザーを選択します。
    • 条件 > 参入リスク: 中以上を選択します。
    • コントロール > アクセス: アクセスを許可し、多要素認証を要求 (またはリスクが高い場合は アクセスをブロック)。
    • ポリシーを有効にする: 有効

2. Microsoft Intune によるエンドポイントの整合性の確保

Intune は、「明示的にチェック」原則をデバイスに適用することで、企業リソースにアクセスするデバイスが正常で互換性があることを確認します。

2.1.デバイスコンプライアンスポリシーの作成

コンプライアンス ポリシーは、デバイスが準拠しているとみなされるために満たす必要があるセキュリティ要件を定義します。非準拠デバイスでは、条件付きアクセスによってアクセスがブロックまたは制限される場合があります。

  1. Microsoft エンドポイント マネージャー管理センター (https://endpoint.microsoft.com) で、エンドポイント セキュリティ > デバイス コンプライアンス > ポリシー に移動します。
  2. [ポリシーの作成] をクリックします。
  3. プラットフォーム: Windows 10 以降
  4. コンプライアンス設定:
    • デバイスの整合性: BitLocker、セキュア ブートなどが必要です。
    • デバイス セキュリティ: ウイルス対策 (Microsoft Defender ウイルス対策など)、ファイアウォール、複雑なパスワードなどが必要です。
    • デバイスのプロパティ: 最小の OS バージョンが必要です。
  5. 非準拠のアクション: 直ちにまたは猶予期間後にデバイスを非準拠としてマークするなどのアクションを構成します。
  6. 割り当て: ポリシーを関連する Windows デバイス グループに割り当てます。

2.2.デバイス構成プロファイルの作成

構成プロファイルを使用すると、ファイアウォール設定、Microsoft Defender セキュリティ設定、デバイス制限などの特定のセキュリティ設定を展開できます。

  1. Microsoft エンドポイント マネージャー管理センターで、デバイス > Windows > 構成プロファイル に移動します。
  2. [プロファイルの作成] をクリックします。
  3. プラットフォーム: Windows 10 以降
  4. プロファイル タイプ: Microsoft Defender ウイルス対策とファイアウォールを構成するための「エンドポイント保護」や、特定の機能を無効にするための「デバイス制限」などのテンプレートを選択します。
  5. 組織のベスト プラクティスに従ってセキュリティ設定を構成します。
  6. 割り当て: プロファイルを関連する Windows デバイス グループに割り当てます。

3. Entra ID と Intune の条件付きアクセスとの統合

条件付きアクセスは、ID (Entra ID) とデバイス (Intune) ポリシーを統合してゼロ トラストを強制するエンジンです。

3.1.互換性のあるデバイスを要求する条件付きアクセス ポリシーを作成する

このポリシーにより、Intune のコンプライアンス標準を満たすデバイスのみがクラウド アプリにアクセスできるようになります。

  1. Microsoft ログイン管理センターで、保護 > 条件付きアクセス に移動します。
  2. [新しいポリシー] > [新しいポリシーの作成] をクリックします。
  3. 名前: 「アクセスするには互換性のあるデバイスが必要」。
  4. 割り当て > ユーザーまたはワークロードの識別: すべてのユーザー (緊急アカウントを除く) を選択します。
  5. クラウド リソースまたはアクション: すべてのクラウド アプリケーション
  6. 条件 (オプション): Windows の「デバイス プラットフォーム」などの条件を追加できます。
  7. 許可:
    • [アクセスを許可] を選択します。
    • デバイスをサポート対象としてマークする必要がある をオンにします。 クリック 選択など*。
  8. ポリシーを有効にする: 有効
  9. [作成] をクリックします。

検証とテスト

ゼロトラストの実装を検証することは、ポリシーが期待どおりに機能していることを確認するために重要です。

1. 互換性のあるデバイスからのアクセスをテストする

  1. Intune で管理されている準拠 Windows デバイスで、クラウド アプリケーション (例: 「portal.office.com」) にアクセスしてみます。
  2. ユーザー認証 (および構成されている場合は MFA) 後にアクセスを許可する必要があります。

2. 非準拠デバイスからのアクセスをテストする

  1. 準拠していない Windows デバイス上 (例: ファイアウォールを無効にする、OS バージョンを Intune コンプライアンス ポリシーで許可されていないバージョンに変更する、または管理対象外のデバイスを使用する)。
  2. クラウド アプリケーション (例: 「portal.office.com」) にアクセスしてみます。
  3. アクセスをブロックする必要があり、ユーザーはデバイスが準拠していないためリソースにアクセスできないことを示すメッセージを受信する必要があります。

3. 条件付きアクセス レポートの監視

  1. Microsoft ログイン管理センターで、保護 > 条件付きアクセス > レポート に移動します。
  2. 入力ログを確認して、適用された条件付きアクセス ポリシーと結果 (成功、失敗、レポートのみ) を確認します。

セキュリティのヒントとベスト プラクティス

  • 小規模から開始し、徐々に拡張: 中断を最小限に抑えるために、組織全体に拡張する前にテスト グループにゼロ トラスト ポリシーを実装します。
  • 教育とコミュニケーション: ユーザーに変更を明確に伝え、デバイスの互換性を維持する方法と MFA の使用方法に関するトレーニングを提供します。
  • 継続的な監視: Intune コンプライアンス レポートと条件付きアクセスと ID 保護のログを定期的に監視して、ギャップや異常を特定します。
  • 最小特権アクセス: 条件付きアクセス ポリシーと PIM (Privileged Identity Management) を組み合わせて、特権アクセスがジャストインタイムかつ十分であることを保証します。
  • 侵害を想定: 高度なエンドポイント脅威検出のために Microsoft Defender for Endpoint を構成し、セキュリティ オーケストレーションと自動応答のために Microsoft Sentinel を構成します。
  • 定期的なレビュー: 脅威環境やビジネス要件の変化に適応するために、ゼロ トラスト ポリシーを定期的に確認および調整します。

一般的なトラブルシューティング

  • アクセスが予期せずブロックされました: 条件付きアクセスのサインイン ログを確認して、アクセスをブロックしているポリシーを特定します。影響を受けるデバイスの Intune コンプライアンス ポリシーを確認します。
  • デバイスが準拠していません: Intune でデバイスの準拠状態を確認してください。デバイスがポリシーを受信して​​いないか、または何らかの構成がコンプライアンスを妨げている可能性があります (例: 無効なウイルス対策、古い OS バージョン)。
  • ポリシーの競合: すべての条件付きアクセス ポリシーとコンプライアンス ポリシーを確認し、予期しない動作を引き起こす可能性のある競合する除外または包含がないことを確認します。
  • 同期の問題: デバイスとユーザーがそれぞれ Intune および Azure AD と正しく同期していることを確認してください。

結論

ゼロ トラスト モデルの適用は、現在のデジタル環境で組織を保護するために不可欠なセキュリティ戦略です。 Microsoft Entra ID を利用して ID を管理し、Microsoft Intune を利用してエンドポイントの整合性を確保することで、企業はすべてのアクセス要求を明示的にチェックし、最小特権の原則に基づいて動作する堅牢なセキュリティ アプローチを実装できます。条件付きアクセスを通じてこれらのツールを統合すると、強力で適応的な防御が構築され、場所に関係なく、信頼できるユーザーとデバイスのみが企業リソースにアクセスできるようになります。ゼロトラストへの取り組みは進行中であり、継続的な監視と改良が必要ですが、リスクの軽減とセキュリティの強化という点でのメリットは非常に貴重です。

参考文献:

[1] Microsoft Learn。 ゼロトラストとは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft Learn。 Microsoft Intune によるゼロトラスト。で入手可能: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Learn。 ゼロトラスト指導原則。入手可能場所: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Learn。 Microsoft のライセンス ID を入力。入手可能場所: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft Learn。 個人情報保護とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection