共同管理を使用した条件付きアクセス

条件付きアクセスを使用すると、信頼できるアプリを使用して信頼できるデバイス上の組織のリソースにアクセスできるのは、信頼できるユーザーのみです。 クラウドで最初から構築されています。 Intune を使用してデバイスを管理する場合でも、Configuration Manager の展開を共同管理で拡張する場合でも、同じように動作します。

次のビデオでは、シニア プログラム マネージャーの Joey Glocke と製品マーケティング マネージャーの Locky Ainley が、共同管理と条件付きアクセスについて説明し、デモを行います。

共同管理により、Intune がネットワーク内のすべてのデバイスを評価して、そのデバイスの信頼性を判断します。 この評価は、次の 2 つの方法で行います。

  1. Intune では、デバイスまたはアプリが管理され、安全に構成されていることを確認します。 このチェックは、組織のコンプライアンス ポリシーの設定方法によって異なります。 たとえば、すべてのデバイスで暗号化が有効であり、脱獄されていないか確認します。

    • この評価は、セキュリティ侵害前および構成ベースです。

    • 共同管理デバイスの場合、Configuration Manager は構成ベースの評価も行います。 たとえば、必要な更新プログラムやアプリのコンプライアンスなどです。 Intune は、この評価と独自の評価を組み合わせたもの。

  2. Intune は、デバイス上のアクティブなセキュリティ インシデントを検出します。 Microsoft Defender for Endpoint および他のモバイル脅威防御プロバイダーのインテリジェント セキュリティを使用します。 これらのパートナーは、デバイスで継続的な動作分析を実行します。 この分析では、アクティブなインシデントを検出し、この情報を Intune に渡してリアルタイムのコンプライアンス評価を行います。

    • この評価は、セキュリティ侵害後およびインシデント ベースの評価です。

Microsoft のコーポレート バイスプレジデント Brad Anderson 氏は、Ignite 2018 の基調講演でライブ デモと条件付きアクセスについて詳細に説明します。

条件付きアクセスでは、すべてのネットワーク接続デバイスの正常性を確認する一元的な場所も提供されます。 クラウド スケールの利点は、Configuration Manager の実稼働インスタンスをテストする場合に特に重要です。

利点

すべての IT チームは、ネットワーク セキュリティに取り組む必要があります。 ネットワークにアクセスする前に、すべてのデバイスがセキュリティ要件とビジネス要件を満たしていることを確認する必要があります。 条件付きアクセスでは、次の要因を決定できます。

  • すべてのデバイスが暗号化されている場合
  • マルウェアがインストールされている場合
  • 設定が更新された場合
  • 脱獄または根ざしている場合

条件付きアクセスでは、組織のデータを細かく制御し、ユーザー エクスペリエンスを組み合わせ、任意の場所から任意のデバイスでワーカーの生産性を最大化します。

次のビデオは、Microsoft Defender for Endpoint (以前は Advanced Threat Protection と呼ばれる) が、定期的に発生する一般的なシナリオに統合される方法を示しています。

共同管理により、Intune は、必要な更新プログラムまたはアプリのセキュリティ標準準拠を評価するための Configuration Manager の責任を組み込む可能性があります。 この動作は、複雑なアプリとパッチ管理に Configuration Manager を引き続き使用する IT 組織にとって重要です。

条件付きアクセスは、ゼロトラスト ネットワーク アーキテクチャを開発する上 でも重要な部分 です。 条件付きアクセスでは、準拠したデバイス アクセス制御がゼロトラスト ネットワークの基礎レイヤーをカバーします。 この機能は、将来組織をセキュリティで保護する方法の大部分です。

詳細については、「Microsoft Defender for Endpoint のコンピューター リスク データを使用した条件付きアクセスの強化」の ブログ投稿を参照してください

ケース スタディ

IT コンサルティング会社 Wipro は条件付きアクセスを使用して、91,000 人の従業員全員が使用するデバイスを保護および管理します。 最近のケース スタディでは、Wipro の IT 担当バイスプレジデントは次の情報を紹介しました。

条件付きアクセスの実現は、Wipro にとって大きな勝利です。これで、すべての従業員がオンデマンドで情報にモバイル アクセスできます。 セキュリティの態勢と従業員の生産性を強化しました。現在、91,000 人の従業員が、任意のデバイスからどこからでも 100 以上のアプリに高度に安全にアクセスできます。

その他の例は次のとおりです。

  • 150,000 人を超える従業員にアプリベースの条件付きアクセスを使用するネスレ

  • オートメーション ソフトウェア会社の Cadence は、「管理されたデバイスだけが、Microsoft 365 Appsや会社のイントラネットTeamsアクセスできる」と確認できます。 また、従業員に「Workday や Salesforce などの他のクラウドベースのアプリへのより安全なアクセス」を提供することもできます。

Intune は、Cisco ISE、アルバ クリア パス、Citrix NetScaler のようなパートナーと完全に統合されています。 これらのパートナーを使用すると、Intune の登録と、これらの他のプラットフォームのデバイスコンプライアンス状態に基づいてアクセス制御を維持できます。

詳細については、次のビデオを参照してください。

価値提供

条件付きアクセスと ATP の統合により、すべての IT 組織の基本的なコンポーネントであるセキュリティで保護されたクラウド アクセスを強化できます。

すべてのデータ侵害の 63% 以上で、攻撃者は脆弱、既定、または盗まれたユーザー資格情報を通じて組織のネットワークにアクセスします。 条件付きアクセスはユーザー ID のセキュリティ保護に重点を当て、資格情報の盗難を制限します。 条件付きアクセスは、特権または非特権の ID を管理および保護します。 デバイスとデバイス上のデータを保護する優れた方法はありません。

条件付きアクセスは、Enterprise Mobility + Security (EMS) のコア コンポーネントですから、オンプレミスのセットアップやアーキテクチャは必要ありません。 Intune と Azure Active Directory (Azure AD) を使用すると、クラウドで条件付きアクセスをすばやく構成できます。 Configuration Manager を現在使用している場合は、共同管理を使用して環境をクラウドに簡単に拡張し、今すぐ使用を開始できます。

ATP 統合の詳細については、Microsoft Defender for Endpoint デバイスリスク スコアが新しいサイバー攻撃を公開し、条件付きアクセスをドライブしてネットワークを保護するブログ記事 を参照してください。 高度なハッカー グループが以前に見たツールを使ったことの詳細を示します。 対象ユーザーが条件付きアクセスを持っていたため、Microsoft クラウドはそれらを検出して停止しました。 侵入によって、デバイスのリスクベースの条件付きアクセス ポリシーがアクティブ化されました。 攻撃者は既にネットワークに足場を確立していたが、悪用されたコンピューターは自動的に組織のサービスへのアクセスや、ユーザーが管理するデータAzure AD。

Configure

条件付きアクセスは、共同管理を有効 にするときに使いやすいです。 コンプライアンス ポリシーワークロードを Intune に移動 する必要があります。 詳細については、「Configuration Manager ワークロードを Intune に切り替える方法 」を参照してください

条件付きアクセスの使用の詳細については、次の記事を参照してください。

注意

条件付きアクセス機能は、ハイブリッド デバイスとAzure ADすぐに利用できます。 これらの機能には、多要素認証とハイブリッド 認証Azure ADアクセス制御が含まれます。 この動作は、プロパティに基づいてAzure ADです。 Intune と Configuration Manager からの構成ベースの評価を活用するには、共同管理を有効にしてください。 この構成では、準拠しているデバイスに対して Intune から直接アクセス制御できます。 また、Intune のコンプライアンス ポリシー評価機能も提供します。