Microsoft Defender for Endpointセキュリティ ベースラインへのコンプライアンスを強化する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft 365 Defender
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
セキュリティ ベースラインにより、セキュリティの専門家と専門家Windowsシステム管理者のガイダンスに従ってセキュリティ機能が確実に構成されます。 デプロイされると、Defender for Endpoint セキュリティ ベースラインによって Defender for Endpoint セキュリティ制御が設定され、最適な保護が提供されます。
セキュリティ ベースラインと、構成プロファイルを使用してIntuneに割り当てられる方法については、こちらの FAQ を参照してください。
セキュリティ ベースラインへのコンプライアンスをデプロイして追跡する前に、次の手順を実行します。
Microsoft Defender for EndpointとWindows Intuneセキュリティ ベースラインを比較する
Windows Intuneセキュリティ ベースラインには、ブラウザーの設定、PowerShell 設定、Microsoft Defender ウイルス対策などの一部のセキュリティ機能の設定など、Windowsを実行しているデバイスを安全に構成するために必要な包括的な推奨設定セットが用意されています。 これに対し、Defender for Endpoint ベースラインには、エンドポイントでの検出と対応 (EDR) の設定や、Windows Intuneセキュリティ ベースラインに含まれる設定など、Defender for Endpoint スタック内のすべてのセキュリティ制御を最適化する設定が用意されています。 各ベースラインの詳細については、次を参照してください。
理想的には、Defender for Endpoint にオンボーディングされたデバイスは、両方のベースラインで展開されます。最初に Windows を保護するための Windows Intune セキュリティ ベースラインと、次に Defender for Endpoint セキュリティ コントロールを最適に構成するために上に階層化された Defender for Endpoint セキュリティベースラインです。 リスクと脅威に関する最新のデータを活用し、ベースラインの進化に伴う競合を最小限に抑えるために、ベースラインの最新バージョンは、リリースされたらすぐにすべての製品に適用してください。
注意
Defender for Endpoint セキュリティ ベースラインは物理デバイス用に最適化されており、現在、仮想マシン (VM) または VDI エンドポイントでの使用はお勧めしません。 特定のベースライン設定が、仮想化された環境でのリモート対話型セッションに影響を与える可能性があります。
Defender for Endpoint セキュリティ ベースラインへのコンプライアンスを監視する
デバイス構成管理の セキュリティ ベースライン カードには、Defender for Endpoint セキュリティ ベースラインが割り当てられているWindows 10デバイスとWindows 11 デバイス全体のコンプライアンスの概要が表示されます。
Defender for Endpoint セキュリティ ベースラインへの準拠を示すカード
各デバイスには、次のいずれかの状態の種類が与えられます。
- ベースラインに一致 する: デバイス設定は、ベースライン内のすべての設定と一致します。
- ベースラインと一致しない: 少なくとも 1 つのデバイス設定がベースラインと一致しません。
- 正しく構成されていない: 少なくとも 1 つのベースライン設定がデバイスで正しく構成されておらず、競合、エラー、または保留中の状態です。
- 該当なし: デバイスでは、少なくとも 1 つのベースライン設定は適用されません。
特定のデバイスを確認するには、カードで [セキュリティ ベースラインの構成 ] を選択します。 これにより、デバイス管理のIntuneが行われます。 そこから、デバイスの名前と状態に [ デバイス の状態] を選択します。
注意
デバイス構成管理ページに表示される集計データと、Intuneの概要画面に表示される集計データに不一致が発生する場合があります。
Microsoft Defender for Endpointセキュリティ ベースラインを確認して割り当てる
デバイス構成管理では、Microsoft Defender for Endpointセキュリティ ベースラインが特に割り当てられているWindows 10デバイスとWindows 11 デバイスのベースライン コンプライアンスのみが監視されます。 ベースラインを簡単に確認し、Intuneデバイス管理上のデバイスに割り当てることができます。
[セキュリティ ベースライン] カードの [セキュリティ ベースライン の構成] を選択して、Intuneデバイス管理に移動します。 ベースライン コンプライアンスの同様の概要が表示されます。
ヒント
または、Microsoft Azure ポータルの Defender for Endpoint セキュリティ ベースラインに移動して、Microsoft Defender ATP ベースライン> Intune >デバイス セキュリティ>セキュリティ ベースライン> します。
新しいプロファイルを作成します。
![IntuneのMicrosoft Defender for Endpointセキュリティ ベースラインの概要の [プロファイルの作成] タブ](images/secconmgmt_baseline_intuneprofile1.png?view=o365-worldwide)
IntuneのMicrosoft Defender for Endpointセキュリティ ベースラインの概要プロファイルの作成中に、ベースラインの特定の設定を確認して調整できます。
Intuneでのプロファイルの作成中のセキュリティ ベースライン オプションプロファイルを適切なデバイス グループに割り当てます。
Intuneでのセキュリティ ベースライン プロファイルの割り当てプロファイルを作成して保存し、割り当てられたデバイス グループに展開します。
Intuneでのセキュリティ ベースライン プロファイルの作成
![IntuneのMicrosoft Defender for Endpointセキュリティ ベースラインの概要の [プロファイルの作成] タブ](images/secconmgmt_baseline_intuneprofile1.png?view=o365-worldwide#lightbox)
ヒント
Intuneのセキュリティ ベースラインは、デバイスを包括的にセキュリティで保護し、保護するための便利な方法を提供します。 Intuneのセキュリティ ベースラインの詳細について説明します。
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。