エンドポイントの Microsoft Defender で条件付きアクセスを構成するConfigure Conditional Access in Microsoft Defender for Endpoint

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

このセクションでは、条件付きアクセスを適切に実装するために必要なすべての手順について説明します。This section guides you through all the steps you need to take to properly implement Conditional Access.

始める前にBefore you begin

警告

このシナリオでは、Azure AD の登録済みデバイスはサポートされていないことに注意してください。It's important to note that Azure AD registered devices is not supported in this scenario.
Intune 登録済みデバイスのみがサポートされます。Only Intune enrolled devices are supported.

すべてのデバイスが Intune に登録されていることを確認する必要があります。You need to make sure that all your devices are enrolled in Intune. 次のいずれかのオプションを使用して、Intune にデバイスを登録することができます。You can use any of the following options to enroll devices in Intune:

Microsoft Defender セキュリティセンター、Intune ポータル、および Azure AD ポータルで実行する必要のある手順があります。There are steps you'll need to take in Microsoft Defender Security Center, the Intune portal, and Azure AD portal.

これらのポータルにアクセスし、条件付きアクセスを実装するには、必要な役割について注意することが重要です。It's important to note the required roles to access these portals and implement Conditional access:

  • Microsoft Defender セキュリティセンター -統合を有効にするには、グローバル管理者の役割を持つポータルにサインインする必要があります。Microsoft Defender Security Center - You'll need to sign into the portal with a global administrator role to turn on the integration.
  • Intune -管理権限を持つセキュリティ管理者権限でポータルにサインインする必要があります。Intune - You'll need to sign in to the portal with security administrator rights with management permissions.
  • AZURE AD ポータル -グローバル管理者、セキュリティ管理者、または条件付きアクセス管理者としてサインインする必要があります。Azure AD portal - You'll need to sign in as a global administrator, security administrator, or Conditional Access administrator.

注意

Intune managed と Azure AD が参加した Windows 10 デバイスでは、Microsoft Intune 環境が必要になります。You'll need a Microsoft Intune environment, with Intune managed and Azure AD joined Windows 10 devices.

条件付きアクセスを有効にするには、次の手順を実行します。Take the following steps to enable Conditional Access:

  • 手順 1: microsoft Defender セキュリティセンターから Microsoft Intune 接続を有効にするStep 1: Turn on the Microsoft Intune connection from Microsoft Defender Security Center
  • 手順 2: Intune でエンドポイントの統合のために Defender をオンにするStep 2: Turn on the Defender for Endpoint integration in Intune
  • 手順 3: Intune でコンプライアンスポリシーを作成するStep 3: Create the compliance policy in Intune
  • 手順 4: ポリシーを割り当てるStep 4: Assign the policy
  • 手順 5: Azure AD の条件付きアクセスポリシーを作成するStep 5: Create an Azure AD Conditional Access policy

手順 1: Microsoft Intune 接続を有効にするStep 1: Turn on the Microsoft Intune connection

  1. ナビゲーションウィンドウで、[設定] の > [高度な機能] を選択し > Microsoft Intune connectionます。In the navigation pane, select Settings > Advanced features > Microsoft Intune connection.
  2. [Microsoft Intune] の設定を [オン] に切り替えます。Toggle the Microsoft Intune setting to On.
  3. [ユーザー設定の保存] をクリックします。Click Save preferences.

手順 2: Intune でエンドポイントの統合のために Defender をオンにするStep 2: Turn on the Defender for Endpoint integration in Intune

  1. Azure portal にサインインします。Sign in to the Azure portal.
  2. [デバイスのコンプライアンス ( > Microsoft Defender ATP)] を選択します。Select Device compliance > Microsoft Defender ATP.
  3. [ Windows 10.0.15063 + デバイスを Microsoft Defender Advanced Threat Protection に接続 する] を [オン] に設定します。Set Connect Windows 10.0.15063+ devices to Microsoft Defender Advanced Threat Protection to On.
  4. [Save] (保存) をクリックします。Click Save.

手順 3: Intune でコンプライアンスポリシーを作成するStep 3: Create the compliance policy in Intune

  1. Azure ポータルで、[すべてのサービス]、[ Intuneでフィルター処理] のいずれかを選択し、[ Microsoft Intune] を選択します。In the Azure portal, select All services, filter on Intune, and select Microsoft Intune.

  2. [デバイスコンプライアンス > ポリシー > の作成ポリシー] を選択します。Select Device compliance > Policies > Create policy.

  3. 名前説明を入力します。Enter a Name and Description.

  4. [ プラットフォーム] で、[ Windows 10以降] を選びます。In Platform, select Windows 10 and later.

  5. デバイス 正常性 の設定で、デバイス の脅威レベルのデバイスを 優先レベルとして指定する必要があります。In the Device Health settings, set Require the device to be at or under the Device Threat Level to your preferred level:

    • セキュリティ保護: このレベルは最も安全です。Secured: This level is the most secure. デバイスは既存の脅威を持つことはできません。引き続き会社のリソースにアクセスできます。The device cannot have any existing threats and still access company resources. 脅威が検出された場合、デバイスは準拠していないと評価されます。If any threats are found, the device is evaluated as noncompliant.
    • : 低レベルの脅威のみが存在する場合、デバイスは準拠しています。Low: The device is compliant if only low-level threats exist. 脅威レベルが "中" または "高" のデバイスは、準拠していません。Devices with medium or high threat levels are not compliant.
    • Medium: デバイスで見つかった脅威が低または中である場合、デバイスは準拠しています。Medium: The device is compliant if the threats found on the device are low or medium. 高レベルの脅威が検出された場合、デバイスは準拠していないと判断されます。If high-level threats are detected, the device is determined as noncompliant.
    • : このレベルは最も安全性が高く、すべての脅威レベルを許可します。High: This level is the least secure, and allows all threat levels. 高、中、低の脅威レベルを持つデバイスは、準拠していると見なされます。So devices that with high, medium or low threat levels are considered compliant.
  6. [ OK] を選択して、変更を保存して (ポリシーを作成する)、[ 作成 ] をクリックします。Select OK, and Create to save your changes (and create the policy).

手順 4: ポリシーを割り当てるStep 4: Assign the policy

  1. Azure ポータルで、[すべてのサービス]、[ Intuneでフィルター処理] のいずれかを選択し、[ Microsoft Intune] を選択します。In the Azure portal, select All services, filter on Intune, and select Microsoft Intune.
  2. [デバイスコンプライアンス > ポリシー> 選択して、Microsoft Defender ATP のコンプライアンスポリシーを選択します。Select Device compliance > Policies> select your Microsoft Defender ATP compliance policy.
  3. [ 課題] を選択します。Select Assignments.
  4. Azure AD グループを含めたり除外したりして、ポリシーを割り当てます。Include or exclude your Azure AD groups to assign them the policy.
  5. グループにポリシーを展開するには、[ 保存] を選びます。To deploy the policy to the groups, select Save. ポリシーの対象となるユーザーデバイスは、コンプライアンスのために評価されます。The user devices targeted by the policy are evaluated for compliance.

手順 5: Azure AD の条件付きアクセスポリシーを作成するStep 5: Create an Azure AD Conditional Access policy

  1. Azure ポータルで、 azure Active Directoryの > 条件付きアクセスの > 新しいポリシーを開きます。In the Azure portal, open Azure Active Directory > Conditional Access > New policy.

  2. ポリシー を入力し、[ ユーザーとグループ] を選びます。Enter a policy Name, and select Users and groups. [包含] または [除外] オプションを使用して、ポリシーにグループを追加し、[ 完了] を選択します。Use the Include or Exclude options to add your groups for the policy, and select Done.

  3. [ クラウドアプリ] を選び、保護するアプリを選びます。Select Cloud apps, and choose which apps to protect. たとえば、[ アプリの選択] を選択し、[ Office 365 SharePoint online ] と [ office 365 Exchange Online] を選択します。For example, choose Select apps, and select Office 365 SharePoint Online and Office 365 Exchange Online. [ 完了 ] を選択して変更内容を保存します。Select Done to save your changes.

  4. [ Conditions > クライアントアプリの条件] を選択して、ポリシーをアプリとブラウザーに適用します。Select Conditions > Client apps to apply the policy to apps and browsers. たとえば、[ はい] を選択して、[ ブラウザーモバイルアプリとデスクトップクライアントを有効にします] を選びます。For example, select Yes, and then enable Browser and Mobile apps and desktop clients. [ 完了 ] を選択して変更内容を保存します。Select Done to save your changes.

  5. [ 許可 ] を選択して、デバイスのコンプライアンスに基づいた条件付きアクセスを適用します。Select Grant to apply Conditional Access based on device compliance. たとえば、[アクセスを許可する] を選択すると、 > デバイスが準拠している必要があります。For example, select Grant access > Require device to be marked as compliant. [選択] を選んで、変更内容を保存します。Choose Select to save your changes.

  6. [ ポリシーを有効にする] を選択し、[ 作成 ] をクリックして変更内容を保存します。Select Enable policy, and then Create to save your changes.

詳細については、「 Intune で条件付きアクセスを使用して Microsoft DEFENDER ATP を有効にする」を参照してください。For more information, see Enable Microsoft Defender ATP with Conditional Access in Intune.

エンドポイントの Defender を使用する場合Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.