条件付きアクセスを有効にして、ユーザー、デバイス、データをより適切に保護する

適用対象:

Defender for Endpoint を試す場合は、無料試用版にサインアップしてください。

条件付きアクセスは、セキュリティで保護されたデバイスのみがアプリケーションにアクセスできるようにすることで、ユーザーと企業情報をより適切に保護するのに役立つ機能です。

条件付きアクセスを使用すると、デバイスのリスクレベルに基づいてエンタープライズ情報へのアクセスを制御できます。これにより、信頼されたアプリケーションを使用して信頼できるデバイスで信頼されたユーザーを維持できます。

デバイスとアプリケーションを実行し、デバイスが準拠状態に戻るまでアプリケーションの実行を停止するポリシーを適用することで、ネットワークから情報にアクセスできるセキュリティ条件を定義できます。

Defender for Endpoint での条件付きアクセスの実装は、Microsoft Intune (Intune) デバイスコンプライアンスポリシーとAzure Active Directory (Azure AD) 条件付きアクセスポリシーに基づいています。

コンプライアンスポリシーは条件付きアクセスと共に使用され、1 つ以上のデバイスコンプライアンスポリシー規則を満たすデバイスのみがアプリケーションにアクセスできるようにします。

条件付きアクセスフローを理解する

条件付きアクセスは、デバイスで脅威が見られると、脅威が修復されるまで機密コンテンツへのアクセスがブロックされるように配置されます。

フローは、デバイスのリスクが低、中、または高と見なされることから始まります。これらのリスク決定は、Intuneに送信されます。

Intuneでポリシーを構成する方法に応じて、特定の条件が満たされたときにポリシーが適用されるように条件付きアクセスを設定できます。

たとえば、リスクの高いデバイスに条件付きアクセスを適用するようにIntuneを構成できます。

Intuneでは、デバイスコンプライアンスポリシーがAzure AD条件付きアクセスと組み合わせて使用され、アプリケーションへのアクセスがブロックされます。並行して、自動調査と修復プロセスが開始されます。

自動調査と修復が行われている間、ユーザーはデバイスを引き続き使用できますが、脅威が完全に修復されるまで、エンタープライズデータへのアクセスはブロックされます。

デバイスで見つかったリスクを解決するには、デバイスを準拠状態に戻す必要があります。デバイスにリスクが見つからない場合、デバイスは準拠状態に戻ります。

リスクに対処するには、次の 3 つの方法があります。

手動修復では、secops 管理者がアラートを調査し、デバイスで見られるリスクに対処する必要があります。自動修復は、次のセクション「条件付きアクセスの構成」で提供される構成設定を使用して構成されます。

手動または自動修復によってリスクが削除されると、デバイスは準拠状態に戻り、アプリケーションへのアクセスが許可されます。

次の一連のイベントの例では、条件付きアクセスの動作について説明します。

ユーザーが悪意のあるファイルを開き、Defender for Endpoint によってデバイスに高リスクのフラグが設定されます。
リスクの高い評価はIntuneに渡されます。同時に、特定された脅威を修復するために自動調査が開始されます。手動修復を実行して、特定された脅威を修復することもできます。
Intuneで作成されたポリシーに基づいて、デバイスは非準拠としてマークされます。その後、評価はIntune条件付きアクセスポリシーによってAzure ADに伝達されます。 Azure ADでは、アプリケーションへのアクセスをブロックするために、対応するポリシーが適用されます。
手動または自動の調査と修復が完了し、脅威が削除されます。 Defender for Endpoint は、デバイスにリスクがないことを確認し、Intuneデバイスが準拠状態であることを評価します。 Azure ADアプリケーションへのアクセスを許可するポリシーを適用します。
ユーザーはアプリケーションにアクセスできるようになりました。