Microsoft Defender for Endpointで条件付きアクセスを構成する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

このセクションでは、条件付きアクセスを適切に実装するために必要なすべての手順について説明します。

はじめに

警告

登録されたデバイスMicrosoft Entraこのシナリオではサポートされていないことに注意してください。
登録されているデバイスIntuneのみがサポートされます。

すべてのデバイスがIntuneに登録されていることを確認する必要があります。 次のいずれかのオプションを使用して、Intuneにデバイスを登録できます。

• IT 管理: 自動登録を有効にする方法の詳細については、「Windows 登録」を参照してください。
• エンド ユーザー: IntuneにWindows 10デバイスとWindows 11 デバイスを登録する方法の詳細については、「Windows 10 デバイスを Intune に登録する」を参照してください。
• エンド ユーザーの代替手段: Microsoft Entra ドメインへの参加の詳細については、「方法: Microsoft Entra参加実装を計画する」を参照してください。

Microsoft Defender XDR、Intune ポータル、Microsoft Entra 管理センターで実行する必要がある手順があります。

これらのポータルにアクセスし、条件付きアクセスを実装するために必要なロールに注意することが重要です。

• Microsoft Defender XDR - 統合を有効にするには、グローバル管理者ロールを使用してポータルにサインインする必要があります。
• Intune - 管理アクセス許可を持つセキュリティ管理者権限でポータルにサインインする必要があります。
• Microsoft Entra 管理センター - グローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインする必要があります。

注:

Microsoft Intune環境が必要です。Intune管理され、Microsoft Entra参加済みのWindows 10デバイスとWindows 11デバイスがあります。

条件付きアクセスを有効にするには、次の手順を実行します。

• 手順 1: Microsoft Defender XDRからMicrosoft Intune接続を有効にする
• 手順 2: Intuneで Defender for Endpoint 統合を有効にする
• 手順 3: Intuneのコンプライアンス ポリシーをCreateする
• 手順 4: ポリシーを割り当てる
• 手順 5: Microsoft Entra条件付きアクセス ポリシーをCreateする

手順 1: Microsoft Intune接続を有効にする

1. ナビゲーション ウィンドウで、[設定>エンドポイント>] [全般>] [高度な機能>Microsoft Intune接続] の順に選択します。
2. Microsoft Intune設定を [オン] に切り替えます。
3. [ Save preferences]\(設定の保存\) をクリックします。

手順 2: Intuneで Defender for Endpoint 統合を有効にする

1. Intune ポータルにサインインする
2. [エンドポイント セキュリティ>Microsoft Defender for Endpoint] を選択します。
3. [Connect Windows 10.0.15063+ デバイス] を [Advanced Threat Protection] を [オン] にMicrosoft Defenderします。
4. [保存] をクリックします。

手順 3: Intuneのコンプライアンス ポリシーをCreateする

1. Azure portalで、[すべてのサービス] を選択し、Intuneでフィルター処理し、[Microsoft Intune] を選択します。

2. [デバイス コンプライアンス>ポリシー>Create ポリシー] を選択します。

3. [名前] と [説明] を入力します。

4. [プラットフォーム] で、[Windows 10 以降] を選択します。

5. [Device Health]\( デバイスの正常性\) 設定 で、[デバイスをデバイスの脅威レベルまたはデバイス脅威レベルの下 に置く] を好みのレベルに設定します。

   • [セキュリティ保護]: このレベルはセキュリティ上最も安全です。 デバイスは既存の脅威を持つことができず、会社のリソースに引き続きアクセスできます。 いずれかの脅威が見つかった場合、デバイスは非準拠と評価されます。
   • [低]: 低レベルの脅威が存在する場合にのみ、デバイスは準拠しています。 中または高の脅威レベルを持つデバイスは準拠していません。
   • [中]: デバイスに存在する脅威が低または中の場合、デバイスは準拠しています。 高レベルの脅威が検出された場合は、デバイスは非準拠と判定されます。
   • 高: このレベルは最も安全性が低く、すべての脅威レベルを許可します。 そのため、脅威レベルが高、中、または低のデバイスは準拠していると見なされます。

6. [OK] を選択し、Createして変更を保存します (ポリシーを作成します)。

手順 4: ポリシーを割り当てる

1. Azure portalで、[すべてのサービス] を選択し、Intuneでフィルター処理し、[Microsoft Intune] を選択します。
2. [デバイス コンプライアンス>ポリシー] を選択して、>Microsoft Defender for Endpointコンプライアンス ポリシーを選択します。
3. [割り当て] を選択します。
4. Microsoft Entra グループを含めるか除外して、ポリシーを割り当てます。
5. グループにポリシーを展開するには、[保存] を選択 します。 ポリシーの対象となるユーザー デバイスは、コンプライアンスについて評価されます。

手順 5: Microsoft Entra条件付きアクセス ポリシーをCreateする

1. Azure portalで、[Microsoft Entra ID>Conditional Access>New policy] を開きます。

2. ポリシー 名を入力し、[ ユーザーとグループ] を選択します。 含めるオプションまたは除外するオプションを使用して、ポリシーのグループを追加し、[完了] を選択します。

3. [ クラウド アプリ] を選択し、保護するアプリを選択します。 たとえば、[アプリを選択] を選び、[Office 365 SharePoint Online] と [Office 365 Exchange Online] を選択します。 [完了] を選んで変更内容を保存します。

4. [条件]>[クライアント アプリ] の順に選択して、アプリとブラウザーにポリシーを適用します。 たとえば、[はい] を選択し、[ブラウザー] と [モバイル アプリとデスクトップ クライアント] を有効にします。 [完了] を選んで変更内容を保存します。

5. [許可] を選択し、デバイスのコンプライアンスに基づいて条件付きアクセスを適用します。 たとえば、[アクセスの許可]>[デバイスは準拠しているとしてマーク済みである必要があります] の順に選択します。 [選択] を選んで変更を保存します。

6. [ポリシーを有効にする]、[作成] の順に選択して変更を保存します。

注:

Microsoft Defender for Endpoint アプリは、承認済みクライアント アプリ、App Protection ポリシー、および準拠デバイス (デバイスを準拠としてマークする必要があります) コントロールと共にMicrosoft Entra条件付きアクセス ポリシーで使用できます。 条件付きアクセスの設定中に、Microsoft Defender for Endpoint アプリに除外は必要ありません。 Android & iOS 上のMicrosoft Defender for Endpoint (アプリ ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) は承認されたアプリではありませんが、3 つの付与アクセス許可すべてでデバイスのセキュリティ体制を報告できます。

ただし、内部的に Defender は MSGraph/User.read スコープと Intune Tunnel スコープを要求します (Defender+Tunnel シナリオの場合)。 そのため、これらのスコープは除外する必要があります*。 MSGraph/User.read スコープを除外するには、任意のクラウド アプリを除外できます。 Tunnel スコープを除外するには、"Microsoft Tunnel Gateway" を除外する必要があります。これらのアクセス許可と除外により、条件付きアクセスに対するコンプライアンス情報のフローが有効になります。

*条件付きアクセス ポリシーをすべての Cloud Apps に適用すると、場合によってはユーザー アクセスが誤ってブロックされる可能性があるため、推奨されません。 Cloud Apps での条件付きアクセス ポリシーの詳細

詳細については、「Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する」を参照してください。

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。