Intune でのセキュリティ ベースラインを使用した Windows デバイスの構成

  • [アーティクル]

Intune を使用すると、Windows セキュリティ ベースラインを簡単に展開して、ユーザーとデバイスを保護することができます。

Windows と Windows Server は、すぐに使用できるように安全に設計されていますが、多くの組織は、セキュリティ構成をよりきめ細かく制御することを望んでいます。 多数のコントロールをナビゲートするために、組織はさまざまなセキュリティ機能の構成に関するガイダンスを求めることがよくあります。 Microsoft は、セキュリティ ベースラインの形式でこのガイダンスを提供しています。

セキュリティ ベースラインは、事前に構成された Windows 設定のグループであり、関連するセキュリティ チームが推奨するきめ細かいセキュリティ設定を適用および施行するのに役立ちます。 展開する各ベースラインをカスタマイズして、必要な設定と値のみを適用することもできます。 Intune でセキュリティ ベースラインのプロファイルを作成する場合、複数の "デバイス構成" プロファイルで構成されたテンプレートを作成することになります。

セキュリティ ベースラインを展開する理由と時期の詳細については、Windows セキュリティ ドキュメントの「Windows セキュリティ ベースライン」を参照してください。

この機能は、以下に適用されます。

  • Windows 10 バージョン 1809 以降
  • Windows 11

Intune でユーザーやデバイスのグループに対してセキュリティ ベースラインを展開すると、Windows 10 または 11 を稼働しているデバイスにその設定が適用されます。 たとえば、"MDM セキュリティ ベースライン" を使うと、リムーバブル ドライブに対する BitLocker の自動的な有効化、デバイスのロック解除のための自動的なパスワード要求、基本認証の自動的な無効化などが実行されます。 既定値がご利用の環境でうまく機能しない場合は、ベースラインをカスタマイズして必要な設定を適用してください。

個別のベースラインの種類には、同じ設定が含まれていても、その設定に対して異なる既定値が使われていることがあります。 使用することを選んだベースラインに含まれている規定値について理解し、その後ご自分の組織のニーズに合うように各ベースラインを変更することが重要です。

注意

Microsoft は、プレビュー バージョンのセキュリティ ベースラインを運用環境で使うことをお勧めしません。 プレビュー版ベースラインの設定は、プレビューの過程で変更される可能性があります。

セキュリティ ベースラインは、Microsoft 365 を使用するときにエンドツーエンドのセキュリティで保護されたワークフローを用意するのに役立ちます。 次のような利点があります。

  • セキュリティのベースラインには、セキュリティに影響を与える設定に関するベスト プラクティスと推奨事項が含まれています。 Intune は、グループ ポリシーのセキュリティのベースラインを作成する場合と同じ Windows セキュリティ チームとパートナー関係を結んでいます。 このような推奨事項はガイダンスと豊富な経験に基づいています。
  • Intune を使用したことがなく、どこから手を付けたらよいかわからない場合は、セキュリティ ベースラインを使用すると便利です。 組織のリソースとデータの保護に役立つことがわかっているので、セキュリティで保護されたプロファイルをすばやく作成して展開できます。
  • 現在グループ ポリシーを使用している場合は、このようなベースラインを使用すると、管理のために Intune に移行する作業がはるかに簡単になります。 このようなベースラインはネイティブで Intune に組み込まれており、最新の管理エクスペリエンスが含まれています。

使用可能なセキュリティ ベースライン

Intune では、次のセキュリティ ベースラインのインスタンスを使用できます。 リンクを使用して、各ベースラインの最新インスタンスに関する設定を確認してください。

新しいバージョンのプロファイルがリリースされた後は、以前のバージョンに基づくプロファイルの設定は読み取り専用になります。 名前、説明、割り当ての編集を含め、これらの古いプロファイルを引き続き使用することはできますが、それらの設定を編集したり、古いバージョンに基づいて新しいプロファイルを作成したりすることはできません。

より新しいバージョンのベースラインを使用する準備ができたら、新しいプロファイルを作成するか、既存のプロファイルを新しいバージョンに更新することができます。 セキュリティ ベースライン プロファイルの管理 に関する記事の「プロファイルのベースラインのバージョンを変更する」を参照してください。

ベースラインのバージョンとインスタンスについて

ベースラインの新しいバージョンの各インスタンスでは、設定が追加または削除されたり、その他の変更が導入されたりする可能性があります。 たとえば、新しいバージョンの Windows 10 または 11 に伴って新しい Windows の設定が利用可能になると、MDM セキュリティ ベースラインには最新の設定を含む新しいバージョンのインスタンスが追加されるかもしれません。

Microsoft Endpoint Manager admin center で、[エンドポイント セキュリティ] > [セキュリティ ベースライン] の順に選択すると、利用可能なベースラインの一覧が表示されます。 この一覧には以下が含まれます。

  • ベースライン テンプレート名。
  • そのベースラインの種類を使用するプロファイルの所有数。
  • ベースラインの種類の個別インスタンス (バージョン) のうち利用可能な数。
  • 最新バージョンのベースライン テンプレートが利用可能になった日を特定する "最終発行日" の日付。

使用するベースラインのバージョンに関する詳細を表示するには、[MDM セキュリティ ベースライン] など、ベースラインの種類を選択して、その [プロファイル] ウィンドウを開いたら、[バージョン] を選択します。 Intune によって、プロファイルで使用されているそのベースラインのバージョンに関する詳細が表示されます。 詳細には、最新の現行ベースライン バージョンが含まれます。 1 つのバージョンを選択して、そのバージョンを使用している各プロファイルに関するより詳しい情報を確認できます。

指定したプロファイルで使用されているベースラインのバージョンを変更することもできます。 バージョンを変更したとき、更新したバージョンを活用するために新しいベースラインのプロファイルを作成する必要はありません。 代わりに、ベースラインのプロファイルを選択して、そのプロファイルのインスタンスのバージョンを新しいものに変更する、組み込みのオプションを使うことができます。

ベースライン バージョンを比較する

セキュリティ ベースラインの [バージョン] ウィンドウには、展開したこのベースラインの各バージョンの一覧が表示されます。 この一覧には、ベースラインの最新のアクティブ バージョンも含まれています。 新しいセキュリティ ベースライン プロファイル を作成すると、プロファイルでは最新バージョンのセキュリティ ベースラインが使用されます。 名前、説明、割り当ての編集を含め、より古いバージョンに基づくプロファイルを引き続き使用できますが、より古いプロファイルのバージョンの設定を編集することはできません。

バージョン間の変更点を確認するには、2 つの異なるバージョンのチェックボックスをオンにし、[ベースラインの比較] を選択します。 次に、これらの違いを詳しく説明している CSV ファイルをダウンロードするように求められます。

このダウンロードでは、2 つのベースライン バージョンの各設定が識別され、この設定が変更された (notEqual) か、または同じままである (equal) かが確認されます。 詳細には、バージョン別の設定の既定値のほか、設定が新しいバージョンに 追加 されたか、または新しいバージョンから 削除 されたかも含まれます。

ベースラインの比較

競合を回避する

お使いの Intune 環境で、1 つ以上の使用可能なベースラインを同時に使用することができます。 また、同じセキュリティ ベースラインの、カスタマイズが異なる複数のインスタンスを使用することもできます。

複数のセキュリティ ベースラインを使用するときは、それぞれの設定を確認し、異なるベースライン構成によって同じ設定に対して競合する値が発生する場合を特定してください。 異なる目的のために設計された複数のセキュリティ ベースラインを展開したり、同じベースラインのカスタマイズされた設定を含む複数のインスタンスを展開したりすることができます。そのため、調査して解決する必要のある、デバイスに対して競合した構成を作成する可能性があります。

また、セキュリティ ベースラインでは、デバイス構成プロファイルまたはその他の種類のポリシーを使用して設定する場合がある同じ設定を管理することがよくあります。 したがって、競合を回避または解決する必要がある場合は、設定のための追加のポリシーおよびプロファイルに注意し、これを検討してください。

次のリンク先の情報を使用して、競合の特定と解決にお役立てください。

Q & A

これらの設定の理由を教えてください。

Microsoft セキュリティ チームは、これらの推奨事項を作成するために、Windows の開発者とセキュリティ コミュニティと長年にわたって直接協力してきました。 このベースラインの設定は、関連性の特に高いセキュリティ関連の構成オプションと考えられています。 Windows の新しいビルドごとに、チームは新しくリリースされた機能に基づいて推奨事項を調整しています。

グループ ポリシーと Intune のセキュリティ ベースラインの Windows への推奨事項に違いはありますか?

同じ Microsoft セキュリティ チームが、各ベースラインの設定を選択し、編成しています。 Intune には、Intune のセキュリティのベースラインに関連する設定がすべて含まれています。 グループ ポリシー ベースラインには、オンプレミス ドメイン コントローラーに固有の設定がいくつかあります。 このような設定は Intune の推奨事項から除外されています。 他の設定はすべて同じです。

Intune のセキュリティのベースラインは CIS または NIST に準拠していますか。

厳密に言えば、"いいえ" です。 Microsoft セキュリティ チームは、CIS などの組織に、その推奨事項をまとめるように依頼しています。 しかし、"CIS 準拠" と Microsoft のベースラインのマッピングは 1 対 1 ではありません。

Microsoft のセキュリティのベースラインにはどのような認定資格がありますか?

  • Microsoft は、グループ ポリシー (GPO) および Security Compliance Toolkit 用のセキュリティのベースラインを長年にわたって公開し続けています。 これらのベースラインは多くの組織で使用されています。 これらのベースラインの推奨事項は、Microsoft セキュリティ チームと、米国国防総省 (DoD)、National Institute of Standards and Technology (NIST) などの企業のお客様および外部機関との関わりから得られたものです。 Microsoft の推奨事項とベースラインは、これらの組織と共有しています。 また、これらの組織には、Microsoft の推奨事項を厳密に反映した独自の推奨事項もあります。 モバイル デバイス管理 (MDM) がクラウドへと成長を続けた過程で、Microsoft はこのようなグループ ポリシーのベースラインと同等の MDM の推奨事項を作成しました。 このような追加のベースラインは Microsoft Intune に組み込まれており、ベースラインに準拠している (または準拠していない) ユーザー、グループ、およびデバイスに関するコンプライアンス レポートが含まれています。

  • 多くのお客様は、Intune のベースラインの推奨事項を出発点として使用し、お客様の IT とセキュリティの要求を満たすようにカスタマイズしています。 Microsoft の Windows 10 RS5 MDM セキュリティ ベースライン が、最初にリリースされたベースラインです。 このベースラインは、CIS、NIST などの標準に基づいて、お客様が他のセキュリティのベースラインを最終的にインポートできるようにするための汎用のインフラストラクチャとして構築されています。 現在、これは Windows で利用できます。最終的には iOS/iPadOS および Android が含まれる予定です。

  • Microsoft Intune と共に Azure Active Directory (AD) を使用して、オンプレミスの Active Directory グループ ポリシーから純粋なクラウド ソリューションに移行することは、1 つの旅路のようなものです。 ヘルプが必要であれば、セキュリティ コンプライアンス ツールキットのさまざまなツールをご利用ください。これは、オンプレミス GPO 構成に置き換わることができるセキュリティ ベースラインからクラウドベースのオプションを見つけるのに役立ちます。

次の手順