Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する

Mobile Threat Defense ソリューションとして、Microsoft Defender for Endpoint を Microsoft Intune と統合できます。 統合することで、セキュリティ侵害を防止し、組織内での侵害の影響を抑えることができます。

Microsoft Defender for Endpoint は、次を稼働しているデバイスで動作します。

• Android
• iOS/iPadOS
• Windows 10
• Windows 11
• macOS
• Windows Server 2008 R2
• Windows Server 2012 R2
• Windows Server 2016
• Windows サーバー半期エンタープライズ チャネル
• Windows Server 2019 以降
• Windows Server 2019 Core エディション
• Windows Server 2022

正しく設定するには、以下の構成を同時に使用します。

• Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立する。 この接続により、Microsoft Defender for Endpoint では、Intune で管理するサポート対象デバイスからコンピューターのリスクに関するデータを収集できるようになります。
• デバイス構成プロファイルを使用して、デバイスを Microsoft Defender for Endpoint にオンボードする。 デバイスをオンボードして、Microsoft Defender for Endpoint と通信を行い、そのリスク レベルを評価するのに役立つデータを提供するようにそれらを構成します。
• デバイス コンプライアンス ポリシーを使用して、許可するリスクのレベルを設定する。 リスク レベルは Microsoft Defender for Endpoint によって報告されます。 許可されたリスク レベルを超えるデバイスは、非準拠として識別されます。
• 条件付きアクセス ポリシーを使用して、ユーザーが非準拠のデバイスから企業リソースにアクセスできないようにする。

Intune を Microsoft Defender for Endpoint と統合する場合、Microsoft Defender for Endpoint の脅威と脆弱性の管理 (TVM) を利用し、Intune を使って TVM によって識別されたエンドポイントの脆弱性を修復できます。

Microsoft Defender for Endpoint と Intune の併用例

以下の例は、これらのソリューションを連携させて組織を保護するしくみを説明するのに役立ちます。 この例では、Microsoft Defender for Endpoint と Intune は既に統合されています。

誰かが、組織内のユーザーに、悪意のあるコードが埋め込まれた Word の添付ファイルを送信する、というイベントを考えてみましょう。

• そのユーザーは添付ファイルを開き、コンテンツを有効にします。
• 昇格された特権への攻撃が始まります。リモート コンピューターからの攻撃者は犠牲者のデバイスへの管理者権限を持ちます。
• その後、攻撃者はそのユーザーの他のデバイスにリモートでアクセスします。 このセキュリティ違反が組織全体に影響する可能性があります。

Microsoft Defender for Endpoint は、このシナリオのようなセキュリティ イベントを解決するのに役立ちます。

• この例では、Microsoft Defender for Endpoint によって、デバイスで異常なコードが実行され、プロセスの特権エスカレーションが発生し、悪意のあるコードが挿入され、不審なリモート シェルが発行されたことが検出されます。
• デバイスからのこのようなアクションに基づいて、Microsoft Defender for Endpoint によりそのデバイスは危険度が高いと分類され、Microsoft Defender セキュリティ センターのポータルに疑わしいアクティビティに関する詳細なレポートが追加されます。

Mobile Threat Defense ソリューションとして、Microsoft Defender for Endpoint を Microsoft Intune と統合できます。 統合することで、セキュリティ侵害を防止し、組織内での侵害の影響を抑えることができます。

リスク レベルが "中" または "高" であるデバイスを非準拠として分類する Intune デバイス コンプライアンス ポリシーを使用しているため、侵害されたデバイスは非準拠として分類されます。 この分類により、条件付きアクセス ポリシーが適用されて、そのデバイスから企業リソースへのアクセスがブロックされます。

Android を実行するデバイスの場合、Intune ポリシーを使用して、Android に対する Microsoft Defender for Endpoint の構成を変更することができます。 詳細については、Microsoft Defender for Endpoint の Web 保護に関するページを参照してください。

前提条件

サブスクリプション:
Intune で Microsoft Defender for Endpoint を使用するには、次のサブスクリプションが必要です。

• Microsoft Defender for Endpoint - このサブスクリプションを使用すると、Microsoft Defender セキュリティ センター (Microsoft Defender XDR) にアクセスできます。

  Defender for Endpoint ライセンス オプションについては、「エンドポイント用 Microsoft Defender の最小要件」の「ライセンスの要件」および Microsoft 365 E5 試用版サブスクリプションの設定方法に関する記事を参照してください。

• Microsoft Intune – Microsoft Intune プラン 1 サブスクリプションは、Intune とMicrosoft Intune管理センターへのアクセスを提供します。

  Intune のライセンス オプションについては、「Microsoft Intune ライセンス」を参照してください。

Intune で管理されるデバイス:
Intune と Microsoft Defender for Endpoint の組み合わせは、次のプラットフォームでサポートされています。

• Android
• iOS/iPadOS
• Windows 10/11 (Microsoft Entraハイブリッド参加済みまたはMicrosoft Entra参加済み)

Microsoft Defender for Endpointのシステム要件については、「Microsoft Defender for Endpointの最小要件」を参照してください。

次の手順

• Microsoft Defender for Endpoint を Intune に接続し、デバイスをオンボードして、条件付きアクセス ポリシーを構成するには、「Intune で Microsoft Defender for Endpoint を構成する」を参照してください。

Intune のドキュメントで詳細を確認します。

• Defender for Endpoints の脆弱性管理でセキュリティ タスクを使用してデバイスの問題を修復する
• デバイス コンプライアンス ポリシーの概要

詳細については、Defender for Endpoint のドキュメントを参照してください。

• Microsoft Defender for Endpoint の条件付きアクセス
• Microsoft Defender for Endpoint のリスク ダッシュボード