Windows デバイスを保護するための Intune でのセキュリティ ポリシーの作成

Windows デバイスを保護するための Intune でのセキュリティ ポリシーの作成

2024 年 1 月 8 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Windows デバイスを保護するために Microsoft Intune で堅牢なセキュリティ ポリシーを作成および実装できるようにガイドすることを目的としています。 Microsoft Endpoint Manager の一部である Microsoft Intune は、統合エンドポイント管理のための包括的なソリューションを提供し、組織がデバイスの管理、データの保護、デバイスの配置場所に関係なくセキュリティ ポリシーへの準拠を確保できるようにします [1]。

はじめに

デバイスが会社所有または個人 (BYOD) でどこからでも企業リソースにアクセスできる現代の職場では、エンドポイントのセキュリティがこれまで以上に重要になっています。 Microsoft Intune は、Windows デバイスでのセキュリティ ポリシーの管理と適用を簡素化し、機密データにアクセスする前に企業標準を確実に満たすようにします [2]。

この実用的なガイドでは、コンプライアンス ポリシーやデバイス構成プロファイルなど、Intune でのさまざまな種類のセキュリティ ポリシーの作成について説明し、実際のシナリオに焦点を当て、段階的な手順、構成例、検証方法を示します。目標は、読者がこれらのポリシーを効果的に実装し、組織のセキュリティ体制を改善できるようにすることです。

セキュリティ ポリシーに Intune を使用する理由は何ですか?

Intune には、Windows デバイスのセキュリティ管理に関するいくつかの利点があります。

  • 統合管理: Windows、macOS、iOS/iPadOS、Android デバイスを単一のコンソールから管理します。
  • 継続的なコンプライアンス: 企業リソースにアクセスする前に、デバイスがセキュリティ要件を満たしていることを確認します。
  • 自動化: セキュリティ設定、更新、アプリケーションの展開を自動化します。
  • 統合: 条件付きアクセスの Azure AD (Microsoft Entra ID) や高度な脅威保護のためのエンドポイントの Microsoft Defender など、他の Microsoft ソリューションと統合します。
  • 柔軟性: フルマネージドの企業デバイスから BYOD まで、多様なシナリオをサポートします。

前提条件

このチュートリアルに従うには、次のアイテムが必要です。

  1. ライセンス: Microsoft Intune の有効なライセンス。多くの場合、Microsoft 365 E3、E5、F1、F3、Enterprise Mobility + Security (EMS) スタンドアロン ライセンスなどのパッケージに含まれています [3]。
  2. 管理アクセス: Microsoft エンドポイント マネージャー管理センター (https://endpoint.microsoft.com) の全体管理者または Intune 管理者のアクセス許可を持つアカウント。
  3. 登録された Windows デバイス: Windows 10/11 デバイスはすでに Microsoft Intune に登録されています。登録は、Azure AD 参加、ハイブリッド Azure AD 参加、または BYOD の手動登録を介して行うことができます。
  4. ユーザー グループとデバイス グループ: 組織的な方法でポリシーを割り当てるための Azure AD のセキュリティ グループ。

ステップバイステップ: Intune でセキュリティ ポリシーを作成する

Intune の包括性を示すために、さまざまな種類のポリシーを作成します。

1. デバイスコンプライアンスポリシーの作成

コンプライアンス ポリシーは、デバイスが「準拠」しているとみなされるために満たさなければならない要件を定義します。条件付きアクセス ポリシーを通じて、非準拠デバイスによる企業リソースへのアクセスをブロックできます。

手順:

  1. Microsoft エンドポイント マネージャー管理センター に移動します。
  2. [デバイス] > [コンプライアンス ポリシー] に移動します。
  3. [ポリシーの作成] をクリックします。
  4. プラットフォーム Windows 10 以降を選択し、作成 をクリックします。
  5. 基本: ポリシーに名前 (例: 「Windows - デフォルトのコンプライアンス ポリシー」) と説明を付けます。 [次へ] をクリックします。
  6. コンプライアンスの設定: ここでルールを定義します。重要な設定の例:
    • デバイスの完全性:
      • BitLocker が必要: 必須。システムドライブが暗号化されていることを確認します。
      • デバイス上でセキュア ブートを有効にする必要があります: Require。ブートプロセスでルートキットから保護します。
    • デバイスのプロパティ:
      • 最小 OS バージョン: Windows の最小バージョンを gara に設定します。サポートされている最新のオペレーティング システムのみが使用されていることを確認してください。
    • システムセキュリティ:
      • モバイル デバイスのロックを解除するにはパスワードが必要: Require
      • ファイアウォール:「必須」。 Microsoft Defender ファイアウォールがアクティブであることを確認します。
      • ウイルス対策: 「必須」。 Windows セキュリティ センターに登録されているウイルス対策ソリューションがアクティブであることを確認します。
  7. 非準拠のアクション: デバイスが準拠していない場合に何が起こるかを定義します。デフォルトのアクションでは、すぐに デバイスをサポート対象外としてマークします。ユーザーに電子メールを送信するなど、他のアクションを追加することもできます。
  8. 割り当て: Azure AD デバイスまたはユーザーのグループにポリシーを割り当てます。
  9. 確認+作成: 設定を確認し、作成をクリックします。

2. デバイス構成プロファイルの作成

構成プロファイルは、より詳細なセキュリティ設定をデバイスに適用するために使用されます。

手順:

  1. Microsoft エンドポイント マネージャー 管理センター で、デバイス > 構成プロファイル に移動します。
  2. [プロファイルの作成] をクリックします。
  3. プラットフォームとして Windows 10 以降、プロファイル タイプとして 設定カタログ を選択します。 [作成] をクリックします。
  4. 基本: プロファイルに名前 (例: 「Windows - Defender セキュリティ設定」) と説明を付けます。
  5. 構成設定: [設定の追加] をクリックします。設定セレクターを使用して、必要なポリシーを見つけて設定します。たとえば、Microsoft Defender を構成するには、次のようにします。 ※「Microsoft Defender」で検索してください。
    • 「Microsoft Defender ウイルス対策」や「リアルタイム保護」などのカテゴリを選択します。
    • 次のような設定を有効にします。
      • リアルタイム保護を有効にする: 有効
      • クラウド提供の保護を有効にする: 「有効」。
      • クラウドで提供される保護レベル: 高ブロック レベル
  6. 割り当て: プロファイルをデバイスのグループに割り当てます。
  7. 確認と作成: プロファイルを確認して作成します。

3. セキュリティベースラインの適用

ベースラインは、Microsoft が推奨する事前構成されたセキュリティ設定のセットです。これは、堅牢なセキュリティ体制を強制する最速の方法です。

手順:

  1. [エンドポイント セキュリティ] > [セキュリティ ベースライン] に移動します。
  2. 使用するベースラインを選択します (例: Windows 10 以降のセキュリティ ベースライン)。
  3. [プロファイルの作成] をクリックします。
  4. 名前と説明を入力します。
  5. 構成設定: デフォルト設定を確認します。必要に応じてカスタマイズできますが、理想的には Microsoft の推奨事項に従うことをお勧めします。
  6. 割り当て: ベースラインをデバイスのグループに割り当てます。
  7. 確認+作成: プロファイルを作成します。

検証と監視

ポリシーを作成して割り当てた後は、ポリシーの適用とデバイスのコンプライアンスを監視することが重要です。

  • コンプライアンス ポリシーの場合: [デバイス] > [コンプライアンス ポリシー] に移動し、ポリシーを選択し、デバイスのステータス構成別のステータスを確認して、どのデバイスが準拠しているかどうか、およびその理由を確認します。
  • 構成プロファイルの場合: [デバイス] > [構成プロファイル] に移動し、プロファイルを選択し、ステータス レポートをチェックして、設定が正常に適用されたかどうかを確認します。

結論

Microsoft Intune は、企業環境における Windows デバイスのセキュリティを強化するための強力なツールです。コンプライアンス ポリシー、構成プロファイル、セキュリティ ベースラインを組み合わせることで、管理者はデバイスが高水準のセキュリティを満たしていることを確認し、組織のデータを脅威から保護できます。これらのポリシーを正しく実装することは、ゼロ トラスト セキュリティ アーキテクチャへの移行における基本的なステップです。

参考文献

[1] マイクロソフト。 (2023年)。 Microsoft Intune とは何ですか? [2] マイクロソフト。 (2023年)。 Microsoft Intune でデータとデバイスを保護します。 [3] マイクロソフト。 (2023年)。 Microsoft Intune で利用可能なライセンス