Intune でのセキュリティ ベースラインを使用した Windows 10 デバイスの構成Use security baselines to configure Windows 10 devices in Intune

Intune のセキュリティ ベースラインを使うと、お客様のユーザーとデバイスをセキュリティで保護することができます。Use Intune's security baselines to help you secure and protect your users and devices. セキュリティ ベースラインは事前構成済みの Windows 設定のグループで、これを使うと、関連するセキュリティ チームが推奨する設定と規定値を含んだ既知のグループを適用することができます。Security baselines are pre-configured groups of Windows settings that help you apply a known group of settings and default values that are recommended by the relevant security teams. Intune でセキュリティ ベースラインのプロファイルを作成する場合、複数の "デバイス構成" プロファイルで構成されたテンプレートを作成することになります。When you create a security baseline profile in Intune, you're creating a template that consists of multiple device configuration profiles.

この機能は、以下に適用されます。This feature applies to:

  • Windows 10 バージョン 1809 以降Windows 10 version 1809 and later

Intune でユーザーやデバイスのグループに対してセキュリティ ベースラインを展開すると、Windows 10 以降を稼働しているデバイスにその設定が適用されます。You deploy security baselines to groups of users or devices in Intune, and the settings apply to devices that run Windows 10 or later. たとえば、"MDM セキュリティ ベースライン" を使うと、リムーバブル ドライブに対する BitLocker の自動的な有効化、デバイスのロック解除のための自動的なパスワード要求、基本認証の自動的な無効化などが実行されます。For example, the MDM Security Baseline automatically enables BitLocker for removable drives, automatically requires a password to unlock a device, automatically disables basic authentication, and more. 既定値がご利用の環境でうまく機能しない場合は、必要な設定が適用されるようベースラインをカスタマイズします。When a default value doesn't work for your environment, customize the baseline to apply the settings you need.

個別のベースラインの種類には、同じ設定が含まれていても、その設定に対して異なる既定値が使われていることがあります。Separate baseline types can include the same settings but use different default values for those settings. 使用することを選んだベースラインに含まれている規定値について理解し、その後ご自分の組織のニーズに合うように各ベースラインを変更することが重要です。It's important to understand the defaults in the baselines you choose to use, and to then modify each baseline to fit your organizational needs.

注意

Microsoft は、プレビュー バージョンのセキュリティ ベースラインを運用環境で使うことをお勧めしません。Microsoft doesn't recommend using preview versions of security baselines in a production environment. プレビュー版ベースラインの設定は、プレビューの過程で変更される可能性があります。The settings in a preview baseline might change over the course of the preview.

セキュリティ ベースラインは、Microsoft 365 を使用するときにエンドツーエンドのセキュリティで保護されたワークフローを用意するのに役立ちます。Security baselines can help you to have an end-to-end secure workflow when working with Microsoft 365. 次のような利点があります。Some of the benefits include:

  • セキュリティのベースラインには、セキュリティに影響を与える設定に関するベスト プラクティスと推奨事項が含まれています。A security baseline includes the best practices and recommendations on settings that impact security. Intune は、グループ ポリシーのセキュリティのベースラインを作成する場合と同じ Windows セキュリティ チームとパートナー関係を結んでいます。Intune partners with the same Windows security team that creates group policy security baselines. このような推奨事項はガイダンスと豊富な経験に基づいています。These recommendations are based on guidance and extensive experience.
  • Intune を使用したことがなく、どこから手を付けたらよいかわからない場合は、セキュリティ ベースラインを使用すると便利です。If you're new to Intune, and not sure where to start, then security baselines gives you an advantage. 組織のリソースとデータの保護に役立つことがわかっているので、セキュリティで保護されたプロファイルをすばやく作成して展開できます。You can quickly create and deploy a secure profile, knowing that you're helping protect your organization's resources and data.
  • 現在グループ ポリシーを使用している場合は、このようなベースラインを使用すると、管理のために Intune に移行する作業がはるかに簡単になります。If you currently use group policy, migrating to Intune for management is much easier with these baselines. このようなベースラインはネイティブで Intune に組み込まれており、最新の管理エクスペリエンスが含まれています。These baselines are natively built in to Intune, and include a modern management experience.

Windows セキュリティ基本計画」は、この機能の詳細を学ぶ際に役立つリソースです。Windows security baselines is a great resource to learn more about this feature. Mobile device management (モバイル デバイス管理)」(MDM) は、MDM と、Windows デバイス上で実行できることに関する優れたリソースです。Mobile device management (MDM) is a great resource about MDM, and what you can do on Windows devices.

使用可能なセキュリティ ベースラインAvailable security baselines

Intune では、次のセキュリティ ベースラインのインスタンスを使用できます。The following security baseline instances are available for use with Intune. リンクを使用して、各ベースラインの最新インスタンスに関する設定を確認してください。Use the links to view the settings for the most recent instance of each baseline.

前にプレビュー テンプレートに基づいて作成したプロファイルは、そのプレビュー テンプレートが新しいプロファイルの作成にもう使えない場合であっても、引き続き使用および変更することができます。You can continue to use and edit profiles that you previously created based on a preview template, even when that preview template is no longer available for creating new profiles.

使用するベースラインの最新バージョンに移行する準備ができたら、この記事の「プロファイルのベースラインのバージョンを変更する」をご覧ください。When you're ready to move to a more recent version of a baseline you use, see Change the baseline version for a profile in this article.

ベースラインのバージョンとインスタンスについてAbout baseline versions and instances

ベースラインの新しいバージョンの各インスタンスでは、設定が追加または削除されたり、その他の変更が導入されたりする可能性があります。Each new version instance of a baseline can add or remove settings or introduce other changes. たとえば、新しいバージョンの Windows 10 に伴って新しい Windows 10 の設定が利用可能になると、MDM セキュリティ ベースラインには最新の設定を含む新しいバージョンのインスタンスが追加されるかもしれません。For example, as new Windows 10 settings become available with new versions of Windows 10, the MDM Security Baseline might receive a new version instance that includes the newest settings.

Microsoft Endpoint Manager admin center で、 [エンドポイント セキュリティ] > [セキュリティ ベースライン] の順に選択すると、利用可能なベースラインの一覧が表示されます。In the Microsoft Endpoint Manager admin center, under Endpoint security > Security baselines you'll see a list of the available baselines. この一覧には以下が含まれます。The list includes:

  • ベースライン テンプレート名。The baseline template name.
  • そのベースラインの種類を使用するプロファイルの所有数。How many profiles you have that use that baseline type.
  • ベースラインの種類の個別インスタンス (バージョン) のうち利用可能な数。How many separate instances (versions) of the baseline type are available.
  • 最新バージョンのベースライン テンプレートが利用可能になった日を特定する "最終発行日" の日付。A Last Published date that identifies when the latest version of the baseline template became available.

使用するベースラインのバージョンに関する詳細を表示するには、 [MDM セキュリティ ベースライン] など、ベースラインの種類を選択して、その [プロファイル] ウィンドウを開いたら、 [バージョン] を選択します。To view more information about the baseline versions you use, select a baseline type, like MDM Security Baseline to open its Profiles pane, and then select Versions. Intune によって、プロファイルで使用されているそのベースラインのバージョンに関する詳細が表示されます。Intune displays details about the versions of that baseline that are in use by your profiles. 詳細には、最新の現行ベースライン バージョンが含まれます。The details include the most recent and current baseline version. 1 つのバージョンを選択して、そのバージョンを使用している各プロファイルに関するより詳しい情報を確認できます。You can select a single version to view deeper details about the profiles that use that version.

指定したプロファイルで使用されているベースラインのバージョンを変更することもできます。You can choose to change of the version of a baseline that's in use with a given profile. バージョンを変更したとき、更新したバージョンを活用するために新しいベースラインのプロファイルを作成する必要はありません。When you change the version, you don't have to create a new baseline profile to take advantage of updated versions. 代わりに、ベースラインのプロファイルを選択して、そのプロファイルのインスタンスのバージョンを新しいものに変更する、組み込みのオプションを使うことができます。Instead you can select a baseline profile and use the built-in option to change the instance version for that profile to a new one.

ベースライン バージョンを比較するCompare baseline versions

セキュリティ ベースラインの [バージョン] ウィンドウには、展開したこのベースラインの各バージョンの一覧が表示されます。On the Versions pane for a security baseline is a list of each version of this baseline that you've deployed. この一覧には、ベースラインの最新のアクティブ バージョンも含まれています。This list also includes the most recent and active version of the baseline. 新しいセキュリティ ベースライン プロファイルを作成すると、プロファイルでは最新バージョンのセキュリティ ベースラインが使用されます。When you create a new security baseline profile, the profile uses that most recent version of the security baseline. お客様が前に作成した、以前のバージョンのベースラインが使われているプロファイルは、継続して使用および編集できます。これにはプレビュー バージョンを使って作成したベースラインも含まれます。You can continue to use and edit profiles that you previously created that use an earlier baseline version, including baselines created using a Preview version.

バージョン間の変更点を確認するには、2 つの異なるバージョンのチェックボックスをオンにし、 [ベースラインの比較] を選択します。To understand what's changed between versions, select the checkboxes for two different versions, and then select Compare baselines. 次に、これらの違いを詳しく説明している CSV ファイルをダウンロードするように求められます。You're then prompted to download a CSV file that details those differences.

このダウンロードでは、2 つのベースライン バージョンの各設定が識別され、この設定が変更された (notEqual) か、または同じままである (equal) かが確認されます。The download identifies each setting in the two baseline versions, and notes if this setting has changed (notEqual) or has remained the same (equal). 詳細には、バージョン別の設定の既定値のほか、設定が新しいバージョンに追加されたか、または新しいバージョンから削除されたかも含まれます。Details also include the default value for the setting by version, and if the setting was added to the more recent version, or removed from the more recent version.

ベースラインの比較

競合を回避するAvoid conflicts

お使いの Intune 環境で、1 つ以上の使用可能なベースラインを同時に使用することができます。You can use one or more of the available baselines in your Intune environment at the same time. また、同じセキュリティ ベースラインの、カスタマイズが異なる複数のインスタンスを使用することもできます。You can also use multiple instances of the same security baselines that have different customizations.

複数のセキュリティ ベースラインを使用するときは、それぞれの設定を確認し、異なるベースライン構成によって同じ設定に対して競合する値が発生する場合を特定してください。When you use multiple security baselines, review the settings in each one to identify when your different baseline configurations introduce conflicting values for the same setting. 異なる目的のために設計された複数のセキュリティ ベースラインを展開したり、同じベースラインのカスタマイズされた設定を含む複数のインスタンスを展開したりすることができます。そのため、調査して解決する必要のある、デバイスに対して競合した構成を作成する可能性があります。Because you can deploy security baselines that are designed for different intents, and deploy multiple instances of the same baseline that includes customized settings, you might create configuration conflicts for devices that must be investigated and resolved.

また、セキュリティ ベースラインでは、デバイス構成プロファイルまたはその他の種類のポリシーを使用して設定する場合がある同じ設定を管理することがよくあります。In addition, security baselines often manage the same settings you might set with device configuration profiles or other types of policy. したがって、競合を回避または解決する必要がある場合は、設定のための追加のポリシーおよびプロファイルに注意し、これを検討してください。Therefore, remain aware of and consider your additional policies and profiles for settings when seeking to avoid or resolve conflicts.

次のリンク先の情報を使用して、競合の特定と解決にお役立てください。Use the information at the following links to help identify and resolve conflicts:

ベースラインの管理Manage baselines

セキュリティのベースラインを使用する場合の一般的なタスクは次のとおりです。Common tasks when you work with security baselines include:

[前提条件]Prerequisites

  • Intune でベースラインを管理するには、アカウントに [Policy and Profile Manager](ポリシーとプロファイル マネージャー) 組み込みロールが必要です。To manage baselines in Intune, your account must have the Policy and Profile Manager built-in role.

  • 一部のベースラインを使うためには、Microsoft Defender ATP のように、その他のサービスに対するアクティブなサブスクリプションを持っていることが必要になる場合があります。Use of some baselines might require you to have an active subscription to additional services, like Microsoft Defender ATP.

プロファイルの作成Create the profile

  1. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.

  2. [エンドポイント セキュリティ] > [セキュリティ ベースライン] を選択し、利用可能なベースラインの一覧を表示します。Select Endpoint security > Security baselines to view the list of available baselines.

    構成するセキュリティ ベースラインを選択する

  3. 使用するベースラインを選択して、 [プロファイルの作成] を選択します。Select the baseline you'd like to use, and then select Create profile.

  4. [基本] タブ上で、次のプロパティを指定します。On the Basics tab, specify the following properties:

    • 名前:セキュリティのベースライン プロファイルの名前を入力します。Name: Enter a name for your security baselines profile. たとえば、「Standard profile for Defender ATP」(Defender ATP 用の標準プロファイル) と入力します。For example, enter Standard profile for Defender ATP.

    • 説明:このベースラインの実行内容を説明するテキストを入力します。Description: Enter some text that describes what this baseline does. この説明には、任意のテキストを入力できます。The description is for you to enter any text you want. 省略可能ですが、入力することをお勧めします。It's optional, but recommended.

    [次へ] を選択して次のタブに移動します。新しいタブに移動した後は、タブ名を選択すれば前に表示していたタブに戻れます。Select Next to go to the next tab. After you advanced to a new tab, you can select the tab name to return to a previously viewed tab.

  5. [構成設定] タブで、選択したベースラインで使用できる [設定] の各グループを確認します。On the Configuration settings tab, view the groups of Settings that are available in the baseline you selected. グループを展開すれば、そのグループに含まれている設定と、そのベースラインでの各設定の規定値を確認できます。You can expand a group to view the settings in that group, and the default values for those settings in the baseline. 特定の設定を探すには:To find specific settings:

    • グループを選択し、使用可能な設定を展開して確認します。Select a group to expand and review the available settings.
    • "検索" バーを使い、ビューをフィルター処理するキーワードを指定して、使用する検索条件を含むグループのみを表示します。Use the Search bar and specify keywords that filter the view to display only those groups that contain your search criteria.

    ベースラインの各設定には、そのベースラインのバージョンに対する既定の構成があります。Each setting in a baseline has a default configuration for that baseline version. ご自身のビジネス ニーズに合うように、既定の設定を再構成してください。Reconfigure the default settings to meet your business needs. 異なるベースラインに同じ設定が含まれている場合がありますが、各ベースラインの目的に応じて、その設定用に異なる規定値が使われています。Different baselines might contain the same setting, and use different default values for the setting, depending on the intent of the baseline.

    グループを展開してそのグループに対する設定を表示する

  6. [スコープ タグ] タブで [スコープ タグを選択] を選択し、 [タグを選択する] ウィンドウを開いて、プロファイルにスコープ タグを割り当てます。On the Scope tags tab, select Select scope tags to open the Select tags pane to assign scope tags to the profile.

  7. [割り当て] タブで [含めるグループを選択] を選択してから、1 つ以上のグループにベースラインを割り当てます。On the Assignments tab, select Select groups to include and then assign the baseline to one or more groups. [含めないグループを選択] を使って割り当てを微調整します。Use Select groups to exclude to fine-tune the assignment.

    プロファイルを割り当てる

  8. ベースラインを展開する準備が整ったら、 [確認および作成] タブに進んでベースラインの詳細を確認します。When you're ready to deploy the baseline, advance to the Review + create tab and review the details for the baseline. [作成] を選択して、プロファイルを保存および展開します。Select Create to save and deploy the profile.

    作成したプロファイルは、すぐに割り当てられたグループにプッシュされ、おそらく即座に適用されます。As soon as you create the profile, it's pushed to the assigned group and might apply immediately.

    ヒント

    最初にグループに割り当てることなくプロファイルを保存した場合は、そうするように後からそのプロファイルを編集できます。If you save a profile without first assigning it to groups, you can later edit the profile to do so.

    ベースラインを確認する

  9. プロファイルを作成した後は、 [エンドポイント セキュリティ] > [セキュリティ ベースライン] の順に移動して編集を行い、構成したベースラインの種類を選択して、 [プロファイル] を選択します。After you create a profile, edit it by going to Endpoint security > Security baselines, select the baseline type that you configured, and then select Profiles. 使用可能なプロファイルの一覧からプロファイルを選択し、 [プロパティ] を選択します。Select the profile from the list of available profiles, and then select Properties. 使用できるすべての構成タブから設定を編集し、 [レビューと保存] を選択して加えた変更をコミットできます。You can edit settings from all the available configuration tabs, and select Review + save to commit your changes.

プロファイルのベースラインのバージョンを変更するChange the baseline version for a profile

プロファイルで使用されているベースラインのインスタンスのバージョンを変更できます。You can change the version of the baseline instance that in use with a profile. バージョンを変更する場合は、同じベースラインの使用可能なインスタンスを選択します。When you change the version, you select an available instance of the same baseline. 2 つの異なるベースラインの種類間で変更することはできません。たとえば、Defender ATP のベースラインを使っているプロファイルを、MDM セキュリティ ベースラインを使うように変更することはできません。You can't change between two different baseline types, such as changing a profile from using a baseline for Defender ATP to using the MDM security baseline.

ベースラインのバージョン変更を構成するときに、関係する 2 つのベースラインのバージョン間の相違点をリストした CSV ファイルをダウンロードすることができます。While configuring a change of the baseline version, you can download a CSV file that lists the changes between the two baseline versions involved. また、元のベースラインのバージョンからすべてのカスタマイズを保持したり、または新しいバージョンをそのすべての既定値を使って実装したりすることもできます。You also have the choice to keep all your customizations from the original baseline version, or implement the new version using all of its default values. プロファイルのベースラインのバージョンを変更するときに、個々の設定を変更することはできません。You don't have the option to make changes to individual settings when you change the version of a baseline for a profile.

保存する際、変換が完了すると、ベースラインは割り当てられたグループにすぐに再展開されます。Upon saving, after the conversion is complete, the baseline is immediately redeployed to assigned groups.

変換中:During conversion:

  • 使用していた元のバージョンにはなかった新しい設定は、追加され、既定値を使用するよう設定されます。New settings that weren't in the original version you were using are added and set to use the default values.

  • 選択した新しいベースラインのバージョンには含まれない設定は、削除され、このセキュリティ ベースラインのプロファイルではもう適用されません。Settings that aren't in the new baseline version you select are removed and no longer enforced by this security baseline profile.

    ある設定がベースラインのプロファイルによってもう管理されない場合、その設定はデバイス上でリセットされません。When a setting is no longer managed by a baseline profile, that setting isn't reset on the device. 代わりに、デバイス上の設定は、他のなんらかのプロセスによりその設定が管理されて変更されるまで、その最後の構成に設定されたままとなります。Instead, the setting on the device remains set to its last configuration until some other process manages the setting to change it. 設定の管理をやめた後にそれを変更する可能性があるプロセスの例としては、別のベースラインのプロファイル、グループ ポリシーの設定、またはデバイス上で行われる手動の構成などがあります。Examples of processes that can change a setting after you stop managing it include a different baseline profile, a group policy setting, or manual configuration that's made on the device.

プロファイルのベースラインのバージョンを変更するにはTo change the baseline version for a profile

  1. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.

  2. [エンドポイント セキュリティ] > [セキュリティ ベースライン] を選択し、変更するプロファイルが含まれるベースラインの種類のタイルを選択します。Select Endpoint security > Security baselines, and then select the tile for the baseline type that has the profile you want to change.

  3. 次に、 [プロファイル] を選択した後、編集するプロファイルのチェック ボックスをオンにして、 [バージョンの変更] を選択します。Next, select Profiles, and then select the check box for the profile you want to edit, and then select Change Version.

    ベースラインの選択

  4. [バージョンの変更] ウィンドウで、 [Select a security baseline to update to](更新先のセキュリティ ベースラインを選択する) ドロップダウンを使い、使用するバージョンのインスタンスを選択します。On the Change Version pane, use the Select a security baseline to update to dropdown, and select the version instance you want to use.

    バージョンの選択

  5. [Review update](更新のレビュー) を選択し、プロファイルの現在のインスタンスのバージョンと選択した新しいバージョン間の違いを表示する CSV ファイルをダウンロードします。Select Review update to download a CSV file that displays the difference between the profiles current instance version and the new version you've selected. このファイルを確認して、どの設定が新規または削除されるのか、また更新されたプロファイルでのこれらの設定の規定値は何かを把握します。Review this file so that you understand which settings are new or removed, and what the default values for these settings are in the updated profile.

    準備ができたら、次の手順に進みます。When ready, continue to the next step.

  6. [Select a method to update the profile](プロファイルを更新する方法を選択する) の 2 つのオプションのいずれかを選択します。Choose one of the two options for Select a method to update the profile:

    • [Accept baseline changes but keep my existing setting customizations](ベースラインの変更は受け入れるが、既存の設定のカスタマイズは保持する) - このオプションでは、ベースラインのプロファイルに加えたカスタマイズが保持され、使うことを選択した新しいバージョンにそれらが適用されます。Accept baseline changes but keep my existing setting customizations - This option keeps the customizations you made to the baseline profile and applies them to the new version you've selected to use.
    • [Accept baseline changes and discard existing setting customizations](ベースラインの変更を受け入れ、既存の設定のカスタマイズを破棄する) - このオプションでは、元のプロファイルが完全に上書きされます。Accept baseline changes and discard existing setting customizations - This option overwrites your original profile completely. 更新されたプロファイルでは、すべての設定に対して既定値が使われます。The updated profile will use the default values for all settings.
  7. [送信] を選択します。Select Submit. プロファイルは選択したベースラインのバージョンに更新され、変換が完了すると、そのベースラインはすぐに割り当てられたグループに再展開されます。The profile updates to the selected baseline version and after the conversion is complete, the baseline immediately redeploys to assigned groups.

セキュリティ ベースラインの割り当てを削除するRemove a security baseline assignment

セキュリティ ベースラインの設定がデバイスに適用されなくなったとき、またはベースラインの設定が [未構成] に設定されているとき、デバイス上のこのような設定が管理前の構成に戻ることはありません。When a security baseline setting no longer applies to a device, or settings in a baseline are set to Not configured, those settings on a device don't revert to a pre-managed configuration. 代わりに、デバイス上の前に管理していた設定では、他のなんらかのプロセスによりデバイス上のそれらの設定が更新されるまで、ベースラインから受け取ったその最後の構成が保持されます。Instead, the previously managed settings on the device keep their last configurations as received from the baseline until some other process updates those settings on the device.

デバイス上の設定を後から変更する可能性があるその他のプロセスには、別の、または新しいセキュリティ ベースライン、デバイス構成プロファイル、グループ ポリシー構成、デバイス上での設定の手動編集などがあります。Other processes that might later change settings on the device include a different or new security baseline, device configuration profile, Group Policy configurations, or manual edit of the setting on the device.

セキュリティ ベースラインを複製するDuplicate a security baseline

セキュリティ ベースラインの複製を作成することができます。You can create duplicates of your security baselines. ベースラインの複製が役立つのは、類似しているが異なるベースラインをデバイスのサブセットに割り当てるシナリオです。A scenario when duplicating a baseline is useful is when you want to assign a similar but distinct baseline to a subset of devices. 複製を作成することによって、ベースライン全体を手動で再作成する必要がなくなります。By creating a duplicate, you won't need to manually recreate the entire baseline. 代わりに、現在のいずれかのベースラインを複製して、新しいインスタンスに必要な変更のみを取り入れることができます。Instead, you can duplicate any of your current baselines and then introduce only the changes the new instance requires. 特定の設定や、ベースラインの割り当て先のグループのみを変更することができます。You might only change a specific setting and the group the baseline is assigned to.

複製を作成する場合は、コピーに新しい名前を付けます。When you create a duplicate, you'll give the copy a new name. コピーはオリジナルと同じ設定構成とスコープ タグで作成されますが、割り当てはありません。The copy is made with the same setting configurations and scope tags as the original, but won't have any assignments. 割り当てを追加するには、新しいベースラインを編集する必要があります。You'll need to edit the new baseline to add assignments.

すべてのセキュリティ ベースラインで、複製の作成がサポートされています。All security baselines support creating a duplicate.

ベースラインを複製した後、新しいインスタンスを確認して編集し、構成を変更します。After you duplicate a baseline, review and edit the new instance to make changes to its configuration.

ベースラインを複製するにはTo duplicate a baseline

  1. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.
  2. [Endpoint security](エンドポイント セキュリティ) > [Security baselines](セキュリティ ベースライン) に移動して、複製するベースラインの種類を選択し、 [プロファイル] を選択します。Go to Endpoint security > Security baselines, select the type of baseline you want to duplicate, and then select Profiles.
  3. 複製するプロファイルを右クリックして [複製] を選択するか、ベースラインの右側にある省略記号 ( [...] ) を選択して [複製] を選択します。Right-click on the profile you want to duplicate and select Duplicate, or select the ellipsis () to the right of the baseline and select Duplicate.
  4. ベースラインの新しい名前を指定し、 [保存] を選択します。Provide a New name for the baseline, and then select Save.

更新すると、新しいベースライン プロファイルが管理センターに表示されます。After a Refresh, the new baseline profile appears in the admin center.

ベースラインを編集するにはTo edit a baseline

  1. 新しいベースラインを選択し、 [プロパティ] を選択します。Select the baseline, and then select Properties.
  2. [設定] を選択して、ベースラインの設定カテゴリの一覧を展開します。Select Settings to expand the list of settings categories in the baseline. このビューから設定を変更することはできませんが、構成内容を確認することはできます。You can’t modify the settings from this view, but you can review how they're configured.
  3. 設定を変更するには、変更する各カテゴリの [編集] を選択します。To modify the settings, select Edit for each category where you want to make a change:
    • 基本Basics
    • [割り当て]Assignments
    • スコープのタグScope tags
    • 構成設定Configuration settings
  4. 変更が完了したら、 [保存] を選択して編集内容を保存します。After you’ve made changes, select Save to save your edits. 他のカテゴリに編集を加える前に、カテゴリの編集内容を保存する必要があります。You must save edits to one category before you can introduce edits to additional categories.

古いベースライン バージョンOlder baseline versions

Microsoft Endpoint Manager では、一般的な組織のニーズの変化に応じて、組み込みのセキュリティ ベースラインのバージョンが更新されます。Microsoft Endpoint Manager updates the versions of built-in Security Baselines depending on the changing needs of a typical organization. 新しいリリースごとに、特定のベースラインのバージョンが更新されます。Each new release results in a version update to a particular baseline. 顧客は、デバイス構成プロファイルの出発点として、最新のベースライン バージョンを使用することが想定されています。The expectation is that customers will be using the latest baseline version as a starting point to their Device Configuration profiles.

テナントに表示されている古いベースラインを使用するプロファイルがなくなった場合、Microsoft Endpoint Manager には、使用可能な最新のベースライン バージョンのみが表示されます。When there are no longer any profiles that use an older baseline listed in your tenant, Microsoft Endpoint Manager will only list the latest baseline version available.

古いベースラインに関連付けられているプロファイルがある場合は、その古いベースラインが引き続き表示されます。If you have a profile associated with an older baseline, that older baseline will continue to be listed.

共同管理デバイスCo-managed devices

Intune マネージド デバイスに関するセキュリティのベースラインは、Configuration Manager との共同マネージド デバイスと似ています。Security baselines on Intune-managed devices are similar to co-managed devices with Configuration Manager. 共同マネージド デバイスでは、Configuration Manager と Microsoft Intune を使用して Windows 10 デバイスが同時に管理されます。Co-managed devices use Configuration Manager and Microsoft Intune to manage the Windows 10 devices simultaneously. これにより、既存の Configuration Manager への投資を Intune のメリットへとクラウドで結び付けることができます。It lets you cloud-attach your existing Configuration Manager investment to the benefits of Intune. Configuration Manager を使用していて、クラウドのメリットも必要な場合、共同管理の概要に関するページは優れたリソースです。Co-management overview is a great resource if you use Configuration Manager, and also want the benefits of the cloud.

共同マネージド デバイスを使用する場合は、 [デバイス構成] ワークロード (その設定) を Intune に切り替える必要があります。When using co-managed devices, you must switch the Device configuration workload (its settings) to Intune. 詳細については、デバイス構成ワークロードに関するセクションを参照してください。Device configuration workloads provides more information.

Q & AQ & A

これらの設定の理由を教えてください。Why these settings?

Microsoft セキュリティ チームは、これらの推奨事項を作成するために、Windows の開発者とセキュリティ コミュニティと長年にわたって直接協力してきました。The Microsoft security team has years of experience working directly with Windows developers and the security community to create these recommendations. このベースラインの設定は、関連性の特に高いセキュリティ関連の構成オプションと考えられています。The settings in this baseline are considered the most relevant security-related configuration options. Windows の新しいビルドごとに、チームは新しくリリースされた機能に基づいて推奨事項を調整しています。In each new build of Windows, the team adjusts its recommendations based on newly released features.

Windows セキュリティのベースラインの推奨事項には、グループ ポリシーとIntune とで違いはありますか。Is there a difference in the recommendations for Windows security baselines for group policy vs. Intune?

同じ Microsoft セキュリティ チームが、各ベースラインの設定を選択し、編成しています。The same Microsoft security team chose and organized the settings for each baseline. Intune には、Intune のセキュリティのベースラインに関連する設定がすべて含まれています。Intune includes all the relevant settings in the Intune security baseline. グループ ポリシー ベースラインには、オンプレミス ドメイン コントローラーに固有の設定がいくつかあります。There are some settings in the group policy baseline that are specific to an on-premises domain controller. このような設定は Intune の推奨事項から除外されています。These settings are excluded from Intune's recommendations. 他の設定はすべて同じです。All the other settings are the same.

Intune のセキュリティのベースラインは CIS または NSIT に準拠していますか。Are the Intune security baselines CIS or NSIT compliant?

厳密に言えば、"いいえ" です。Strictly speaking, no. Microsoft セキュリティ チームは、CIS などの組織に、その推奨事項をまとめるように依頼しています。The Microsoft security team consults organizations, such as CIS, to compile its recommendations. しかし、"CIS 準拠" と Microsoft のベースラインのマッピングは 1 対 1 ではありません。But, there isn't a one-to-one mapping between "CIS-compliant" and Microsoft baselines.

Microsoft のセキュリティのベースラインにはどのような認定資格がありますか?What certifications does Microsoft's security baselines have?

  • Microsoft は、グループ ポリシー (GPO) および Security Compliance Toolkit 用のセキュリティのベースラインを長年にわたって公開し続けています。Microsoft continues to publish security baselines for group policies (GPOs) and the Security Compliance Toolkit, as it has for many years. これらのベースラインは多くの組織で使用されています。These baselines are used by many organizations. これらのベースラインの推奨事項は、Microsoft セキュリティ チームと、米国国防総省 (DoD)、National Institute of Standards and Technology (NIST) などの企業のお客様および外部機関との関わりから得られたものです。The recommendations in these baselines are from the Microsoft security team's engagement with enterprise customers and external agencies, including the Department of Defense (DoD), National Institute of Standards and Technology (NIST), and more. Microsoft の推奨事項とベースラインは、これらの組織と共有しています。We share our recommendations and baselines with these organizations. また、これらの組織には、Microsoft の推奨事項を厳密に反映した独自の推奨事項もあります。These organizations also have their own recommendations that closely mirror Microsoft's recommendations. モバイル デバイス管理 (MDM) がクラウドへと成長を続けた過程で、Microsoft はこのようなグループ ポリシーのベースラインと同等の MDM の推奨事項を作成しました。As mobile device management (MDM) continues to grow into the cloud, Microsoft created equivalent MDM recommendations of these group policy baselines. このような追加のベースラインは Microsoft Intune に組み込まれており、ベースラインに準拠している (または準拠していない) ユーザー、グループ、およびデバイスに関するコンプライアンス レポートが含まれています。These additional baselines are built in to Microsoft Intune, and include compliance reports on users, groups, and devices that follow (or don't follow) the baseline.

  • 多くのお客様は、Intune のベースラインの推奨事項を出発点として使用し、お客様の IT とセキュリティの要求を満たすようにカスタマイズしています。Many customers are using the Intune baseline recommendations as a starting point, and then customizing it to meet their IT and security demands. Microsoft の Windows 10 RS5 MDM セキュリティ ベースラインが、最初にリリースされたベースラインです。Microsoft's Windows 10 RS5 MDM Security Baseline is the first baseline to release. このベースラインは、CIS、NIST などの標準に基づいて、お客様が他のセキュリティのベースラインを最終的にインポートできるようにするための汎用のインフラストラクチャとして構築されています。This baseline is built as a generic infrastructure that allows customers to eventually import other security baselines based on CIS, NIST, and other standards. 現在、これは Windows で利用できます。最終的には iOS/iPadOS および Android が含まれる予定です。Currently, it's available for Windows and will eventually include iOS/iPadOS and Android.

  • Microsoft Intune と共に Azure Active Directory (AD) を使用して、オンプレミスの Active Directory グループ ポリシーから純粋なクラウド ソリューションに移行することは、1 つの旅です。Migrating from on-premises Active Directory group policies to a pure cloud solution using Azure Active Directory (AD) with Microsoft Intune is a journey. サポートのために、Security Compliance Toolkit にはグループ ポリシー テンプレートが含まれています。これは、ハイブリッド AD と Azure AD 参加済みデバイスの管理に役立ちます。To help, there are group policy templates included in the Security Compliance Toolkit that can help manage hybrid AD and Azure AD-joined devices. このようなデバイスは、必要に応じてクラウド (Intune) から MDM 設定を取得し、オンプレミス ドメイン コントローラーからグループ ポリシー設定を取得できます。These devices can get MDM settings from the cloud (Intune) and group policy settings from on-premises domain controllers as needed.

次のステップNext steps