ゼロ トラストを使用してエンドポイントをセキュリティで保護する

背景

現代の企業には、データにアクセスするエンドポイントが非常に多様です。 すべてのエンドポイントが組織によって管理または所有されているわけではないので、デバイスの構成やソフトウェアのパッチ レベルが異なります。 これにより大規模な攻撃領域が作成され、未解決のままの場合、信頼されていないエンドポイントから作業データにアクセスすることは、ゼロ トラストセキュリティ戦略の中で最も弱いリンクになる可能性があります。

ゼロ トラストは、「信頼しない、常に確認する」という原則に従います。エンドポイントに関しては、すべてのエンドポイントを常に検証することを意味します。 これには、契約社員、パートナー、ゲスト デバイスだけでなく、デバイスの所有権に関係なく、従業員が仕事用データにアクセスするために使用する アプリ やデバイスも含まれます。

ゼロ トラストアプローチでは、デバイスが会社所有であるか個人所有であるか (BYOD)、デバイスが IT によって完全に管理されているか、アプリとデータのみがセキュリティで保護されているかに関係なく、同じセキュリティ ポリシーが適用されます。 このポリシーは、PC、Mac、スマートフォン、タブレット、ウェアラブル、IoT デバイスが接続されている場所に関係なく、セキュリティで保護された企業 ネットワーク、ホーム ブロードバンド、パブリック インターネットなど、すべてのエンドポイントに適用されます。

最も重要なのは、これらのエンドポイントで実行されるアプリの正常性と信頼性が、セキュリティ体制に影響を与えるということです。 企業データが信頼されていない、または不明なアプリまたはサービスに漏えいしないようにする必要があります。誤って、または悪意を持って漏えいする可能性があります。

ゼロ トラスト モデルでデバイスとエンドポイントをセキュリティで保護するための重要なルールがいくつかあります。

  • ゼロ トラストセキュリティ ポリシーは、クラウドを通じて一元的に適用され、エンドポイントのセキュリティ、デバイス構成、アプリ保護、デバイス コンプライアンス、およびリスク体制をカバーします。

  • プラットフォームとデバイスで実行されるアプリは、安全にプロビジョニングされ、適切に構成され、最新の状態に保たれます。

  • セキュリティ侵害が発生した場合にアプリ内の企業データへのアクセスを含めるために、自動化された迅速な対応が行われます。

  • アクセス制御システムにより、データにアクセスする前にすべてのポリシー制御が確実に有効になります。

エンドポイントゼロ トラストデプロイの目標

ほとんどの組織がゼロ トラスト体験を開始するに、エンドポイントのセキュリティは次のように設定されます。

  • エンドポイントはドメインに参加し、グループ ポリシー オブジェクトやConfiguration Managerなどのソリューションで管理されます。 これらは優れたオプションですが、最新のWindows 10 CSP を利用したり、クラウド ベースのデバイスにサービスを提供するために別のクラウド管理ゲートウェイ アプライアンスを必要としたりすることはありません。

  • エンドポイントは、データにアクセスするために企業ネットワーク上に存在する必要があります。 これは、デバイスが企業ネットワークにアクセスするために物理的にオンサイトである必要がある、または VPN アクセスが必要であることを意味し、侵害されたデバイスが機密性の高い企業リソースにアクセスするリスクを高める可能性があります。

エンドポイントをセキュリティで保護するためのエンド ツー エンドのゼロ トラスト フレームワークを実装する場合は、最初に、次の初期デプロイ目標に重点を置く必要があります。

List icon with one checkmark.

I.Endpoints はクラウド ID プロバイダーに登録されます。1 人のユーザーが使用する複数のエンドポイント間でセキュリティとリスクを監視するには、リソースにアクセスしているすべてのデバイスとアクセス ポイントで可視性が必要です。

II。アクセスは、クラウドで管理され、準拠しているエンドポイントとアプリにのみ付与されます。 アクセスが許可される前に、デバイスが最小限のセキュリティ要件を満たしていることを確認するためのコンプライアンス規則を設定します。 また、非準拠デバイスの修復ルールを設定して、問題を解決する方法を知るようにします。

III。データ損失防止 (DLP) ポリシーは、企業のデバイスと BYOD に適用されます。 ユーザーがアクセス権を持った後にデータで実行できる操作を制御します。 たとえば、ファイルの保存を信頼されていない場所 (ローカル ディスクなど) に制限したり、コンシューマー通信アプリやチャット アプリとのコピー アンド ペースト共有を制限してデータを保護したりします。

これらが完了したら、次の 追加のデプロイ目標に焦点を当てます。

List icon with two checkmarks.

IV。エンドポイントの脅威の検出は、デバイス のリスクを監視するために使用されます。 すべてのエンドポイントを一貫した方法で管理するには、1 つのウィンドウを使用し、SIEM を使用してエンドポイント ログとトランザクションをルーティングし、アラートの数を減らしますが、実行可能なアラートは少なくなります。

V.Access制御は、企業デバイスと BYOD の両方のエンドポイント リスクに基づいて行われます。デバイス コンプライアンス ポリシーとデバイス条件付きアクセス規則の情報ソースとして、Microsoft Defender for Endpoint、または他の Mobile Threat Defense (MTD) ベンダーからのデータを統合します。 その後、デバイスのリスクは、そのデバイスのユーザーがアクセスできるリソースに直接影響します。

エンドポイントゼロ トラストデプロイ ガイド

このガイドでは、ゼロ トラスト セキュリティ フレームワークの原則に従ってデバイスをセキュリティで保護するために必要な手順について説明します。




Checklist icon with one checkmark.

初期デプロイの目標

私。 エンドポイントがクラウド ID プロバイダーに登録されている

リスクにさらされる可能性を制限するには、すべてのエンドポイントを監視して、それぞれが信頼できる ID を持ち、セキュリティ ポリシーが適用され、マルウェアやデータ流出などのリスク レベルが測定、修復、または許容可能と見なされていることを確認する必要があります。

デバイスが登録されると、ユーザーは会社のユーザー名とパスワードを使用して組織の制限付きリソースにアクセスしてサインイン (またはWindows Hello for Business) できます。

Diagram of the steps within phase 1 of the initial deployment objectives.

Azure Active Directory (AD) で企業デバイスを登録する

次の手順に従います。

新しいWindows 10 デバイス

  1. 新しいデバイスを起動し、OOBE (既定のエクスペリエンス) プロセスを開始します。

  2. [ Microsoft でサインイン ] 画面で、職場または学校のメール アドレスを入力します。

  3. [ パスワードの入力 ] 画面で、パスワードを入力します。

  4. モバイル デバイスで、アカウントにアクセスできるようにデバイスを承認します。

  5. プライバシー設定の設定やWindows Helloの設定 (必要な場合) など、OOBE プロセスを完了します。

  6. これで、デバイスが組織のネットワークに参加するようになりました。

既存のWindows 10 デバイス

  1. 設定を開き、[アカウント] を選択します。

  2. [職場または学校へのアクセス] を選択し、Connectを選択します。

    Access work or school in Settings.

  3. [職場または学校アカウントのセットアップ] 画面で、[このデバイスに参加してAzure AD] を選択します。

    Set up a work or school account in Settings.

  4. [サインインしましょう] 画面で、メール アドレス (たとえば) を入力し、[alain@contoso.com次へ] を選択します。

  5. [ パスワードの入力 ] 画面でパスワードを入力し、[ サインイン] を選択します。

  6. モバイル デバイスで、アカウントにアクセスできるようにデバイスを承認します。

  7. [ これが組織であることを確認 する] 画面で、情報が正しいことを確認し、[ 参加] を選択します。

  8. [ すべての設定 ] 画面で、[完了] をクリック します

個人用Windows デバイスをAzure ADに登録する

次の手順に従います。

  1. 設定を開き、[アカウント] を選択します。

  2. [職場または学校へのアクセス] を選択し、[職場または学校へのアクセス] 画面でConnectを選択します。

    Access work or school in Settings.

  3. [ 職場または学校アカウントの追加] 画面で、職場または学校アカウントのメール アドレスを入力し、[ 次へ] を選択します。 たとえば、 alain@contoso.com.

  4. 職場または学校のアカウントにサインインし、[ サインイン] を選択します。

  5. (2 段階認証を使用する場合) ID 確認要求を承認し、(必要に応じて) Windows Helloを設定するなど、登録プロセスの残りの部分を完了します。

Windows Hello for Businessを有効にして構成する

PIN、生体認証、指紋リーダーなどのパスワードを置き換える別のサインイン方法をユーザーに許可するには、ユーザーのWindows 10 デバイスでWindows Hello for Businessを有効にします

Microsoft エンドポイント マネージャー管理センターでは、次のMicrosoft IntuneアクションとAzure ADアクションが完了します。

まず、Microsoft IntuneでWindows Hello for Business登録ポリシーを作成します。

  1. [デバイス>登録デバイスの登録>] > Windows登録>Windows Hello for Businessに移動します。

    Windows Hello for Business in Microsoft Intune.

  2. [Windows Hello for Businessの構成] で、次のオプションから選択します。

    1. 無効。 Windows Hello for Businessを使用しない場合は、この設定を選択します。 無効にした場合、ユーザーは、プロビジョニングが必要なAzure AD参加している携帯電話を除き、Windows Hello for Businessをプロビジョニングできません。

    2. 有効。 Windows Hello for Business設定を構成する場合は、この設定を選択します。 [有効] を選択すると、Windows Helloの追加設定が表示されます。

    3. 未構成。 Intuneを使用してWindows Hello for Business設定を制御しない場合は、この設定を選択します。 Windows 10 デバイスの既存のWindows Hello for Business設定は変更されません。 ウィンドウの他のすべての設定は使用できません。

[有効] を選択した場合は、すべての登録済みWindows 10 デバイスとWindows 10モバイル デバイスに適用される必要な設定を構成します。

  1. トラステッド プラットフォーム モジュール (TPM) を使用します。 TPM チップは、データ セキュリティの追加レイヤーを提供します。 次のいずれかの値を選択します。

    1. 必須。 アクセス可能な TPM を持つデバイスのみが、Windows Hello for Businessをプロビジョニングできます。

    2. 優先されます。 デバイスは、まず TPM の使用を試みます。 このオプションを使用できない場合は、ソフトウェア暗号化を使用できます。

  2. PIN の最小長と最大 PIN 長を設定します。 これにより、セキュリティで保護されたサインインを確実に行うために、指定した最小および最大の PIN 長を使用するようにデバイスが構成されます。 既定の PIN の長さは 6 文字ですが、4 文字以上の長さを適用できます。 PIN の最大長は 127 文字です。

  3. PIN の有効期限 (日数) を設定します。 PIN の有効期限を指定することをお勧めします。その後、ユーザーは PIN を変更する必要があります。 既定値は 41 日です。

  4. PIN 履歴を記憶します。 以前に使用した PIN の再利用を制限します。 既定では、最後の 5 つの PIN は再利用できません。

  5. 使用可能な場合は、強化されたスプーフィング対策を使用します。 これにより、Windows Helloのスプーフィング対策機能が、それをサポートするデバイスで使用されるタイミングが構成されます。 たとえば、実際の顔ではなく顔の写真を検出します。

  6. 電話でのサインインを許可します。 このオプションが [はい] に設定されている場合、ユーザーはリモート パスポートを使用して、デスクトップ コンピューター認証用のポータブル コンパニオン デバイスとして機能できます。 デスクトップ コンピューターはAzure AD参加している必要があり、コンパニオン デバイスはWindows Hello for Business PIN で構成する必要があります。

これらの設定を構成したら、[保存] を選択 します。

登録されているすべてのWindows 10 デバイスとWindows 10モバイル デバイスに適用される設定を構成したら、Windows Hello for Business Identity Protection プロファイルを設定して、特定のエンド ユーザー デバイスのセキュリティ設定Windows Hello for Businessカスタマイズします。

  1. [デバイス>構成プロファイル>] [プロファイル>の作成Windows 10とそれ以降>の ID 保護] を選択します。

    Screenshot of Create a profile with platform set to Windows 10 and profile set to Identity protection.

  2. Windows Hello for Businessを構成します。 Windows Hello for Businessを構成する方法を選択します。

    Screenshot of Configuration settings under Identity protection in Configuration profiles.

    1. PIN の最小長。

    2. PIN の小文字。

    3. PIN の大文字。

    4. PIN の特殊文字。

    5. PIN の有効期限 (日数)。

    6. PIN 履歴を記憶します。

    7. PIN 回復を有効にします。 ユーザーが Windows Hello for Business PIN 復旧サービスを使用できるようにします。

    8. トラステッド プラットフォーム モジュール (TPM) を使用します。 TPM チップは、データ セキュリティの追加レイヤーを提供します。

    9. 生体認証を許可します。 Windows Hello for Business用の PIN の代わりに、顔認識や指紋などの生体認証を有効にします。 生体認証に失敗した場合でも、ユーザーは PIN を構成する必要があります。

    10. 使用可能な場合は、強化されたスプーフィング対策を使用します。 Windows Helloのスプーフィング対策機能が、それをサポートするデバイスで使用されるタイミングを構成します (たとえば、実際の顔ではなく顔の写真を検出する)。

    11. サインインにはセキュリティ キーを使用します。 この設定は、Windows 10 バージョン 1903 以降を実行するデバイスで使用できます。 サインインにWindows Helloセキュリティ キーを使用するためのサポートを管理するために使用します。

最後に、企業所有のデバイスをさらにロックダウンするための追加のデバイス制限ポリシーを作成できます。

II。 アクセスは、クラウドで管理され、準拠しているエンドポイントとアプリにのみ付与されます

企業リソースにアクセスするすべてのエンドポイントの ID を取得し、アクセスが許可される前に、組織によって設定された 最小限のセキュリティ要件 を満たしていることを確認する必要があります。

信頼できるエンドポイントやモバイルおよびデスクトップ アプリケーションへの企業リソースへのアクセスをゲートするためのコンプライアンス ポリシーを確立した後、すべてのユーザーはモバイル デバイス上の組織データにアクセスでき、オペレーティング システムの最小バージョンまたは最大バージョンがすべてのデバイスにインストールされます。 デバイスは、脱獄またはルート化されていません。

また、非準拠デバイスのブロックや、準拠を取得するための猶予期間をユーザーに提供するなど、非準拠デバイスの 修復規則を設定 します。

Diagram of the steps within phase 2 of the initial deployment objectives.

Microsoft Intune (すべてのプラットフォーム) でコンプライアンス ポリシーを作成する

コンプライアンス ポリシーを作成するには、次の手順に従います。

  1. [デバイス > コンプライアンス ポリシー ポリシー > ポリシー > の作成ポリシー] を選択します。

  2. このポリシーのプラットフォームを選択します (次のように使用Windows 10)。

  3. 目的のデバイス正常性構成を選択します。

    Screenshot of Device Health in Windows 10 compliance policy settings.

  4. 最小または最大のデバイス プロパティを構成します。

    Screenshot of Device Properties in Windows 10 compliance policy settings.

  5. Configuration Managerコンプライアンスを構成します。 これには、Configuration Managerのすべてのコンプライアンス評価が準拠している必要があり、共同管理Windows 10デバイスにのみ適用されます。 すべてのIntune専用デバイスは N/A を返します。

  6. System Security 設定を構成します。

    Screenshot of System Security in Windows 10 compliance policy settings.

  7. Microsoft Defender マルウェア対策を構成します。

    Screenshot of Microsoft Defender for Cloud in Windows 10 compliance policy settings.

  8. 必要なMicrosoft Defender for Endpointマシン リスク スコアを構成します。

    Screenshot of Defender for Endpoint in Windows 10 compliance policy settings.

  9. [非準拠のアクション] タブで、このコンプライアンス ポリシーを満たしていないデバイスに自動的に適用する一連のアクションを指定します。

    Screenshot of Actions for noncompliance in compliance policy settings.

通知メールを自動化し、Intune (すべてのプラットフォーム) 内の非準拠デバイスに対して追加の修復アクションを追加する

エンドポイントまたはアプリが非準拠になると、ユーザーは自己修復に関するガイドを受け取ります。 アラートは、特定のしきい値に設定された追加のアラームと自動アクションで自動的に生成されます。 コンプライアンス以外の修復アクションを設定できます。

次の手順を実行します。

  1. [ デバイス > コンプライアンス ポリシー > 通知の作成] 通知 > を選択します。

  2. 通知メッセージ テンプレートを作成します。

    Screenshot of Create notification in compliance policy settings.

  3. [ デバイス > コンプライアンス ポリシー > ポリシー] を選択し、ポリシーのいずれかを選択して、[ プロパティ] を選択します。

  4. 非準拠>の追加のアクションを選択します

  5. 非準拠のアクションを追加します。

    Screenshot of Actions for noncompliance in compliance policy settings.

    1. 非準拠デバイスを持つユーザーに自動メールを設定します。

    2. 非準拠デバイスをリモートでロックするアクションを設定します。

    3. 一定の日数が経過すると、非準拠デバイスを自動的に廃止するアクションを設定します。

III。 データ損失防止 (DLP) ポリシーは、企業のデバイスと BYOD に適用されます

データ アクセスが許可されたら、ユーザーがデータに対して実行できる操作を制御する必要があります。 たとえば、ユーザーが会社の ID を持つドキュメントにアクセスする場合、そのドキュメントが保護されていないコンシューマー ストレージの場所に保存されたり、コンシューマー通信アプリやチャット アプリと共有されたりするのを防ぐ必要があります。

Diagram of the steps within phase 3 of the initial deployment objectives.

まず、Microsoft が推奨するセキュリティ設定をWindows 10デバイスに適用して企業データを保護します (Windows 10 1809 以降が必要)。

Intuneセキュリティ ベースラインを使用して、ユーザーとデバイスをセキュリティで保護します。 セキュリティ ベースラインは、関連するセキュリティ チームによって推奨される既知の設定と既定値のグループを適用するのに役立つ、Windows設定の事前構成済みグループです。

次の手順に従います。

  1. [エンドポイント セキュリティ の > ベースライン] を選択して、使用可能なベースラインの一覧を表示します。

  2. 使用するベースラインを選択し、[プロファイルの作成] を選択 します

  3. [構成設定] タブで、選択したベースラインで使用できる設定のグループを表示します。 グループを展開して、そのグループの設定とベースライン内のそれらの設定の既定値を表示できます。 特定の設定を検索するには:

    1. グループを選択して、使用可能な設定を展開して確認します。

    2. 検索バーを使用し、検索条件を含むグループのみを表示するためにビューをフィルター処理するキーワードを指定します。

    3. ビジネス ニーズに合わせて既定の設定を再構成します。

      Screenshot of Application Management settings in Create Profile.

  4. [割り当て] タブで、含めるグループを選択し、ベースラインを 1 つ以上のグループに割り当てます。 割り当てを微調整するには、除外するグループの選択を使用します。

更新プログラムがエンドポイントに自動的にデプロイされることを確認する

Windows 10 デバイスを構成する

Windows Updates for Business を構成して、ユーザーの更新管理エクスペリエンスを簡略化し、必要なコンプライアンス レベルを満たすようにデバイスが自動的に更新されるようにします。

次の手順に従います。

  1. 更新プログラムリングを作成し、更新プログラムのインストール時に構成する設定のコレクションを有効にすることで、IntuneでWindows 10ソフトウェア更新プログラムWindows 10管理します。

    1. [更新リング>Windows > 作成Windows 10デバイス>] を選択します。

    2. [ リング設定の更新] で、ビジネス ニーズに合わせて設定を構成します。

      Screenshot of Update settings and User experience settings.

    3. [ 割り当て] で、[+ 含めるグループの選択] を選択し、更新リングを 1 つ以上のグループに割り当てます。 割り当てを微調整するには、+ グループを選択して除外します。

  2. IntuneでWindows 10機能更新プログラムを管理し、指定したWindows バージョン (1803 または 1809) にデバイスを取り込み、後のWindows バージョンに更新するまでデバイスの機能セットを固定します。

    1. [デバイス > Windows Windows 10 > 機能更新プログラムの>作成] を選択します。

    2. [基本] で、名前、説明 (省略可能) を指定し、機能更新プログラムを展開するには、目的の機能セットを含むWindowsのバージョンを選択し、[次へ] を選択します。

    3. [ 割り当て] で、含めるグループを選択して選択し、機能更新プログラムの展開を 1 つ以上のグループに割り当てます。

iOS デバイスを構成する

企業に登録されているデバイスの場合は、iOS 更新プログラムを構成して、ユーザーの更新管理エクスペリエンスを簡略化し、必要なコンプライアンス レベルを満たすようにデバイスが自動的に更新されるようにします。 iOS 更新ポリシーを構成します。

次の手順に従います。

  1. [iOS/iPadOS > 作成プロファイルのデバイス>更新ポリシー] を選択します。

  2. [基本] タブで、このポリシーの名前を指定し、説明 (省略可能) を指定して、[ 次へ] を選択します。

  3. [ポリシー設定の更新] タブで、次を構成します。

    1. インストールするバージョンを選択します。 次の中から選択できます。

      1. 最新の更新プログラム: これにより、iOS/iPadOS 用に最近リリースされた更新プログラムがデプロイされます。

      2. ドロップダウン ボックスで使用できる以前のバージョン。 以前のバージョンを選択した場合は、ソフトウェア更新プログラムの可視性を遅らせるために、デバイス構成ポリシーも展開する必要があります。

    2. スケジュールの種類: このポリシーのスケジュールを構成します。

      1. 次回のチェックイン時に更新します。 この更新プログラムは、次回Intuneでチェックインする際にデバイスにインストールされます。 これは最も簡単なオプションであり、追加の構成はありません。

      2. スケジュールされた時間に更新します。 チェックイン時に更新プログラムがインストールされる 1 つ以上の期間を構成します。

      3. スケジュールされた時間外に更新します。 チェックイン時に更新プログラムがインストールされない 1 つ以上の期間を構成します。

    3. 毎週のスケジュール: 次回のチェックイン時に更新プログラム以外のスケジュールの種類を選択する場合は、次のオプションを構成します。

      Screenshot of Update policy settings in Create profile.

  4. タイム ゾーンを選択します。

  5. 時間枠を定義します。 更新プログラムのインストール時に制限する 1 つ以上の時間ブロックを定義します。 オプションには、開始日、開始時刻、終了日、終了時刻が含まれます。 開始日と終了日を使用すると、夜間ブロックがサポートされます。 開始または終了する時間を構成しない場合、構成は制限されず、更新プログラムはいつでもインストールできます。

デバイスが暗号化されていることを確認する

Windows 10 デバイスを暗号化するように Bitlocker を構成する

  1. [ デバイス > 構成プロファイル] [プロファイルの > 作成] を選択します

  2. 次のオプションを設定します。

    1. プラットフォーム: Windows 10以降

    2. プロファイルの種類: エンドポイント保護

      Screenshot of Create a profile in Devices Configuration profiles for Windows 10.

  3. Windows暗号化設定>選択します。

    Screenshot of Endpoint protection in Create profile.

  4. BitLocker の設定をビジネス ニーズに合わせて構成し、[OK] を選択 します

macOS デバイスで FileVault 暗号化を構成する

  1. [ デバイス > 構成プロファイル] [プロファイルの > 作成] を選択します

  2. 次のオプションを設定します。

    1. プラットフォーム: macOS。

    2. プロファイルの種類: エンドポイント保護。

      Screenshot of Create a profile in Devices Configuration profiles for mac OS.

  3. FileVault 設定>選択します

    Screenshot of File Vault under Endpoint protection in Create profile.

  4. FileVault の場合は、[ 有効] を選択します。

  5. Recovery キーの種類では、個人用キーのみがサポートされます。

  6. ビジネス ニーズに合わせて残りの FileVault 設定を構成し、[OK] を選択 します

アプリ レベルで企業データを保護するためのアプリケーション保護ポリシーを作成する

データが安全であるか、マネージド アプリに含まれるようにするには、 アプリ保護ポリシー (APP) を作成します。 ポリシーは、ユーザーが "企業" データにアクセスまたは移動しようとしたときに適用されるルール、またはユーザーがアプリ内にいるときに禁止または監視される一連のアクションを指定できます。

APP データ保護フレームワークは、3 つの異なる構成レベルに編成され、各レベルは前のレベルから構築されます。

  • 基本的なデータ保護 (レベル 1) をEnterpriseすると、アプリが PIN で保護され、暗号化され、選択的ワイプ操作が実行されます。 Android デバイスの場合、このレベルは Android デバイス構成証明を検証します。 これは、Exchange Online メールボックス ポリシーで同様のデータ保護制御を提供し、IT とユーザーの作成を APP に導入するエントリ レベルの構成です。

  • Enterprise強化されたデータ保護 (レベル 2) では、APP データ漏えい防止メカニズムと最小 OS 要件が導入されています。 これは、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用される構成です。

  • 高データ保護 (レベル 3) Enterprise、高度なデータ保護メカニズム、強化された PIN 構成、APP Mobile Threat Defense が導入されています。 この構成は、リスクの高いデータにアクセスしているユーザーに適しています。

次の手順に従います。

  1. Intune ポータルで、[アプリ>アプリ保護 ポリシー] を選択します。 この選択により、アプリ保護 ポリシーの詳細が開きます。ここで、新しいポリシーを作成し、既存のポリシーを編集します。

  2. [ ポリシーの作成 ] を選択し、 iOS/iPadOS または Android のいずれかを選択します。 [ ポリシーの作成 ] ウィンドウが表示されます。

  3. App Protection ポリシーを適用するアプリを選択します。

  4. Data Protection 設定を構成する:

    1. iOS/iPadOS データ保護。 詳細については、「 iOS/iPadOS アプリ保護ポリシー設定 - データ保護」を参照してください。

    2. Android データ保護。 詳細については、「 Android アプリ保護ポリシー設定 - データ保護」を参照してください。

  5. アクセス要件設定を構成します。

    1. iOS/iPadOS のアクセス要件。 詳細については、「 iOS/iPadOS アプリ保護ポリシー設定 - アクセス要件」を参照してください。

    2. Android のアクセス要件。 詳細については、「 Android アプリ保護ポリシー設定 - アクセス要件」を参照してください。

  6. 条件付き起動設定を構成します。

    1. iOS/iPadOS の条件付き起動。 詳細については、「 iOS/iPadOS アプリ保護ポリシー設定 - 条件付き起動」を参照してください。

    2. Android の条件付き起動。 詳細については、「 Android アプリ保護ポリシー設定 - 条件付き起動」を参照してください。

  7. [ 次へ ] をクリックして 、[割り当て] ページを 表示します。

  8. 完了したら、[作成] をクリックして、Intuneでアプリ保護ポリシーを作成します。




Checklist icon with two checkmarks.

追加のデプロイ目標

IV。 エンドポイントの脅威の検出は、デバイス のリスクを監視するために使用されます

最初の 3 つの目標を達成したら、次の手順では、高度な保護がプロビジョニング、アクティブ化、および監視されるようにエンドポイント セキュリティを構成します。 すべてのエンドポイントを一貫して一緒に管理するために、1 つのガラスペインが使用されます。

エンドポイント ログとトランザクションを SIEM またはPower BIにルーティングする

Intune データ ウェアハウスを使用して、デバイスとアプリの管理データをレポートツールまたは SIEM ツールに送信し、アラートをインテリジェントにフィルター処理してノイズを軽減します。

次の手順に従います。

  1. [レポート>] Intune [データ ウェアハウス] データ ウェアハウス>を選択します

  2. カスタム フィード URL をコピーします。 例えば: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Power BI Desktopまたは SIEM ソリューションを開きます。

SIEM ソリューションから

Odata フィードからデータをインポートまたは取得するオプションを選択します。

PowerBI から

  1. メニューの [ ファイル > のデータ > の取得] OData フィードを選択します。

  2. 前の手順からコピーしたカスタム フィード URL を、OData フィード ウィンドウの [URL] ボックスに貼り付けます。

  3. [ 基本] を選択します。

  4. [ OK] を選択します

  5. [組織アカウント] を選択し、Intune資格情報でサインインします。

    Screenshot of OData feed setting in Organizational account.

  6. Connectを選択します。 ナビゲーターが開き、Intune Data Warehouse内のテーブルの一覧が表示されます。

  7. デバイスと ownerTypes テーブルを選択します。 [ 読み込み] を選択します。 Power BIモデルにデータを読み込みます。

  8. リレーションシップを作成します。 複数のテーブルをインポートして、1 つのテーブル内のデータだけでなく、テーブル間の関連データも分析できます。 Power BIには、自動的にリレーションシップを検索して作成しようとする autodetect という機能があります。 Data Warehouse内のテーブルは、Power BIの自動検出機能を使用するように構築されています。 ただし、Power BIが自動的にリレーションシップを見つけられない場合でも、リレーションシップを管理できます。

  9. リレーションシップの管理を選択します。

  10. Power BIがリレーションシップをまだ検出していない場合は、[自動検出] を選択します。

  11. PowerBI 視覚化を設定する高度な方法について説明します。

V。 アクセス制御は、企業デバイスと BYOD の両方のエンドポイント リスクに対してゲート化されます

企業デバイスは、DEP、Android Enterprise、Windows AutoPilot などのクラウド登録サービスに登録されます

カスタマイズされたオペレーティング システム イメージの構築と保守は時間のかかるプロセスであり、新しいデバイスにカスタム オペレーティング システム イメージを適用して使用する準備に時間を費やすことが含まれる場合があります。

  • Microsoft Intuneクラウド登録サービスを使用すると、カスタム オペレーティング システム イメージを作成、保守、およびデバイスに適用することなく、新しいデバイスをユーザーに提供できます。

  • Windows Autopilot は、新しいデバイスのセットアップと構成に使用されるテクノロジのコレクションであり、生産性の高い使用に備えています。 Windows Autopilot を使用して、デバイスのリセット、再利用、および回復を行うこともできます。

  • Windows Autopilot を構成して、Azure AD参加を自動化し、新しい企業所有のデバイスをIntuneに登録します。

  • iOS デバイスと iPadOS デバイスを自動的に登録するように Apple DEP を構成します。

このガイドで取り上げる製品

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft エンドポイント マネージャー (Microsoft IntuneとConfiguration Managerを含む)

Microsoft Defender for Endpoint

Bitlocker

結論

ゼロ トラストアプローチでは、デバイスとエンドポイントのセキュリティ体制を大幅に強化できます。 実装に関する詳細またはヘルプについては、カスタマー サクセス チームにお問い合わせください。または、すべてのゼロ トラストの柱にまたがるこのガイドの他の章を引き続き参照してください。



ゼロ トラストデプロイ ガイド シリーズ

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration