Microsoft Intuneのエンドポイント セキュリティ ポリシーを使用してデバイス セキュリティを管理する

  • [アーティクル]

Intuneエンドポイント セキュリティ ポリシーを使用して、デバイスのセキュリティ設定を管理します。 各エンドポイント セキュリティ ポリシーは、1 つ以上のプロファイルをサポートします。 これらのプロファイルは、デバイス構成ポリシー テンプレート (関連する設定の論理グループ) と概念的に似ています。

デバイスのセキュリティに関するセキュリティ管理者は、これらのセキュリティに焦点を当てたプロファイルを使用して、デバイス構成プロファイルまたはセキュリティ ベースラインのオーバーヘッドを回避できます。 デバイス構成プロファイルとベースラインには、エンドポイントのセキュリティ保護の範囲外にあるさまざまな設定の大規模な本文が含まれます。 対照的に、各エンドポイント セキュリティ プロファイルは、デバイス セキュリティの 1 つの側面を構成することを目的としたデバイス設定の特定のサブセットに焦点を当てています。

デバイス構成ポリシーのセキュリティ ベースラインやエンドポイント保護テンプレートなどの他のポリシーの種類と共にエンドポイント セキュリティ ポリシーを使用する場合は、競合する設定のリスクを最小限に抑えるために、複数のポリシーの種類を使用する計画を作成することが重要です。 セキュリティ ベースライン、デバイス構成ポリシー、エンドポイント セキュリティ ポリシーはすべて、Intuneによってデバイス構成設定の等しいソースとして扱われます。 デバイスが複数のソースから設定に対して 2 つの異なる構成を受け取ると、設定の競合が発生します。 複数のソースには、異なるポリシーの種類と、同じポリシーの複数のインスタンスを含めることができます。

Intuneがデバイスのポリシーを評価し、設定の競合する構成を識別すると、関連する設定にエラーまたは競合のフラグが設定され、適用に失敗する可能性があります。 構成ポリシーの種類ごとに、競合が発生した場合の特定と解決がサポートされます。

エンドポイント セキュリティ ポリシーは、Microsoft Intune管理センター[エンドポイント セキュリティ] ノードの [管理] にあります。

Microsoft Intune 管理センターでのエンドポイント セキュリティ ポリシーの管理

各エンドポイント セキュリティ ポリシーの種類の簡単な説明を次に示します。 それぞれの使用可能なプロファイルなど、それらの詳細については、各ポリシーの種類専用のコンテンツへのリンクに従います。

  • アカウント保護 - アカウント保護ポリシーは、ユーザーの ID とアカウントを保護するのに役立ちます。 アカウント保護ポリシーは、Windows ID とアクセス管理の一部であるWindows Helloと Credential Guard の設定に重点を置いています。

  • ウイルス対策 - ウイルス対策ポリシーは、セキュリティ管理者が管理対象デバイスの個別のウイルス対策設定グループの管理に集中するのに役立ちます。

  • App Control for Business (プレビュー) - App Control for Business ポリシーとMicrosoft Intune用のマネージド インストーラーを使用して、Windows デバイスの承認済みアプリを管理します。 Intune App Control for Business ポリシーは、Windows Defender アプリケーションコントロール (WDAC) の実装です。

  • 攻撃面の縮小 - Windows 10/11 デバイスで Defender ウイルス対策が使用されている場合は、攻撃面の縮小にIntuneエンドポイント セキュリティ ポリシーを使用して、デバイスの設定を管理します。

  • ディスク暗号化 - エンドポイント セキュリティ ディスク暗号化プロファイルは、FileVault や BitLocker などのデバイスの組み込み暗号化方法に関連する設定のみに焦点を当てます。 この焦点により、セキュリティ管理者は、関連のない設定のホストを移動することなく、ディスク暗号化設定を簡単に管理できます。

  • エンドポイントの検出と応答 - Microsoft Defender for EndpointをIntuneと統合する場合は、エンドポイントの検出と応答 (EDR) のエンドポイント セキュリティ ポリシーを使用して EDR 設定を管理し、デバイスをMicrosoft Defender for Endpointにオンボードします。

  • ファイアウォール - Intuneのエンドポイント セキュリティ ファイアウォール ポリシーを使用して、macOS と Windows 10/11 を実行するデバイスの組み込みファイアウォールを構成します。

次のセクションは、すべてのエンドポイント セキュリティ ポリシーに適用されます。

エンドポイント セキュリティ ポリシーを作成する

  1. Microsoft Intune管理センターにサインインします。

  2. [ エンドポイント セキュリティ ] を選択し、構成するポリシーの種類を選択し、[ ポリシーの作成] を選択します。 次のポリシーの種類から選択します。

    • アカウントの保護
    • ウイルス対策
    • アプリケーション制御 (プレビュー)
    • 攻撃面の縮小
    • ディスク暗号化
    • エンドポイントの検出および応答
    • ファイアウォール

  3. 次のプロパティを入力します。

    • [プラットフォーム]: ポリシーを作成するプラットフォームを選択します。 使用可能なオプションは、選択したポリシーの種類によって異なります。
    • プロファイル: 選択したプラットフォームで使用可能なプロファイルから選択します。 プロファイルの詳細については、選択したポリシーの種類に関するこの記事の専用セクションを参照してください。

  4. [作成] を選択します。

  5. [基本] ページでプロファイルに名前と説明を入力し、[次へ] を選択します。

  6. [ 構成設定 ] ページで、設定の各グループを展開し、このプロファイルで管理する設定を構成します。

    設定の構成が完了したら、[次へ] を選択します。

  7. [ スコープ タグ ] ページで、[ スコープ タグの選択 ] を選択して [ タグの選択 ] ウィンドウを開き、スコープ タグをプロファイルに割り当てます。

    [次へ] を選んで続行します。

  8. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  9. [確認および作成] ページで、完了したら、[作成] を選択します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。

ポリシーを複製する

エンドポイント セキュリティ ポリシーでは、元のポリシーのコピーを作成するための重複がサポートされています。 ポリシーを複製すると便利なシナリオは、同様のポリシーを別のグループに割り当てる必要があるが、ポリシー全体を手動で再作成したくない場合です。 代わりに、元のポリシーを複製し、新しいポリシーに必要な変更のみを導入できます。 特定の設定と、ポリシーが割り当てられているグループのみを変更できます。

複製を作成するときに、コピーに新しい名前を付けます。 コピーはオリジナルと同じ設定構成とスコープ タグで作成されますが、割り当てはありません。 割り当てを作成するには、後で新しいポリシーを編集する必要があります。

次のポリシーの種類では、重複がサポートされています。

  • アカウントの保護
  • アプリケーションコントロール (プレビュー)
  • ウイルス対策
  • 攻撃面の縮小
  • ディスク暗号化
  • エンドポイントの検出および応答
  • ファイアウォール

新しいポリシーを作成したら、ポリシーを確認して編集し、その構成を変更します。

ポリシーを複製するには

  1. Microsoft Intune管理センターにサインインします。
  2. コピーするポリシーを選択します。 次に、[ 複製 ] を選択するか、ポリシーの右側にある省略記号 (...) を選択し、[複製] を選択 します
  3. ポリシーの [新しい名前 ] を指定し、[ 保存] を選択します。

ポリシーを編集するには

  1. 新しいポリシーを選択し、[プロパティ] を選択します。
  2. [設定] を選択して、ポリシーの構成設定の一覧を展開します。 このビューから設定を変更することはできませんが、構成方法を確認できます。
  3. ポリシーを変更するには、変更するカテゴリごとに [編集] を選択します。
    • 基本事項
    • 課題
    • スコープ タグ
    • 構成の設定
  4. 変更が完了したら、[保存] を選択して編集内容を保存します。 追加のカテゴリに編集を導入するには、1 つのカテゴリの編集を保存する必要があります。

競合を管理する

エンドポイント セキュリティ ポリシー (セキュリティ ポリシー) で管理できるデバイス設定の多くは、Intuneの他のポリシーの種類でも使用できます。 これらの他のポリシーの種類には、 デバイス構成 ポリシーと セキュリティ ベースラインが含まれます。 設定は、複数の異なるポリシーの種類または同じポリシーの種類の複数のインスタンスによって管理できるため、必要な構成に準拠していないデバイスのポリシー競合を特定して解決する準備をしてください。

  • セキュリティ ベースラインは、ベースラインが対処する推奨構成に準拠するように、設定の既定値以外の値を設定できます。
  • エンドポイント セキュリティ ポリシーを含む他のポリシーの種類では、[既定で 構成されていません ] の値を設定します。 これらの他の種類のポリシーでは、ポリシーの設定を明示的に構成する必要があります。

ポリシー方法に関係なく、複数のポリシーの種類または同じポリシーの種類の複数のインスタンスを使用して同じデバイスで同じ設定を管理すると、競合が回避される場合があります。

次のリンクの情報は、競合を特定して解決するのに役立ちます。

次の手順

Intuneでエンドポイント セキュリティを管理する