Microsoft ゼロ トラスト セキュリティ モデルをサポートするために、この記事では、Android Enterprise フル マネージド モバイル ユーザーのデバイス コンプライアンス ポリシーとデバイス制限ポリシーの両方を構成するために Microsoft Intune で使用する構成の例を示します。 これらの例には、ゼロ トラスト原則に沿ったデバイス セキュリティ構成のレベルが含まれます。
これらの例を使用する場合は、セキュリティ チームと協力して、脅威環境、リスクアペタイト、およびさまざまなレベルと構成が使いやすさに与える影響を評価してください。 organizationのニーズに合わせて例を確認して調整した後、初期テスト用のリング展開アプローチを実装し、その後に運用環境で使用します。
各ポリシー設定の詳細については、次を参照してください。
- Intune を使用してデバイスを準拠または非準拠としてマークする Android Enterprise 設定
- Intune を使用して個人所有デバイスの機能を許可または制限する Android Enterprise デバイス設定
フル マネージド基本セキュリティ (レベル 1)
レベル 1 は、組織が所有するモバイル デバイスに対して推奨される最小限のセキュリティ構成です。
レベル 1 のポリシーでは、以下を実行することで、ユーザーへの影響を最小限に抑えながら、妥当なデータ アクセス レベルを適用します。
- パスワード ポリシーの適用
- OS システムの最小バージョンを要求する
- 特定のデバイス機能を無効にする (USB ファイル転送など)
次のセクションの表は、これらの例に含まれている設定のみを一覧表示します。 テーブルに一覧表示されていない設定は構成されていません。
デバイスコンプライアンス (レベル 1)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| デバイスの正常性 | Play Integrity Verdict | 基本的な整合性を確認する | この設定では、デバイスが Google の Play Integrity API の基本的な整合性チェックを渡す必要があります。 デバイスが適切にセキュリティで保護された状態にあることを確認します。つまり、デバイスがルート化されていないか、カスタム ROM が実行されていないことを意味します。 |
| デバイスのプロパティ | 最小 OS バージョン | 形式: メジャー.マイナー 例: 9.0 |
Microsoft では、Microsoft アプリでサポートされる Android のバージョンと一致するように、Android の最小のメジャー バージョンを構成することを推奨しています。 OEM と Android Enterprise Recommended の要件に準拠しているデバイスでは、現在出荷されているリリースと 1 つ後のアップグレードをサポートしている必要があります。 現在、Android では、ナレッジ ワーカーに対して Android 9.0 以降が推奨されています。 Android の最新の推奨事項については、「Android Enterprise Recommended の要件」を参照してください。 |
| デバイスのプロパティ | 最低限のセキュリティ パッチ レベル | 未構成 | Android デバイスでは、毎月のセキュリティ パッチを受け取ることができますが、そのリリースは OEM や通信事業者に依存します。 組織では、この設定を実装する前に、展開されている Android デバイスで確実にセキュリティ更新プログラムを受け取れるようにする必要があります。 最新のパッチ リリースについては、「Android のセキュリティに関する公開情報」を参照してください。 |
| システム セキュリティ | モバイル デバイスのロックを解除するパスワードを要求する | 必須 | |
| システム セキュリティ | パスワードの入力が必要 | 複雑な数字 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| システム セキュリティ | パスワードの最小文字数 | 6 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| システム セキュリティ | パスワードが要求されるまでの非アクティブの最長時間 (分) | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| システム セキュリティ | デバイス上のデータ ストレージの暗号化を要求する | 必須 | |
| システム セキュリティ | Intune アプリのランタイム整合性 | 必須 | |
| 非準拠のアクション | デバイスに非準拠のマークを付ける | 直ちに | 既定では、ポリシーはデバイスを非準拠としてマークするように構成されています。 追加のアクションを使用できます。 詳細については、「Intune で非準拠デバイスに対するアクションを構成する」を参照してください。 |
デバイスの制限 (レベル 1)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| 全般 | 既定のアクセス許可ポリシー (仕事用プロファイル レベル) | デバイスの既定値 | |
| 全般 | USB ファイルの転送 | ブロック | |
| 全般 | 外部メディア | ブロック | |
| 全般 | 工場出荷時のリセット | ブロック | |
| 全般 | 仕事用プロファイルと個人プロファイル間のデータ共有 | デバイスの既定値 | |
| システム セキュリティ | アプリの脅威のスキャン | 必須 | |
| デバイス エクスペリエンス | 登録プロファイルの種類 | フル マネージド | |
| デバイス エクスペリエンス | デバイス エクスペリエンスの種類 | 未構成 | 組織は、Microsoft Launcher を実装して、フル マネージド デバイスで一貫したホーム画面エクスペリエンスを確保することを選択できます。 詳細については、「Intune を使用 して Android Enterprise フル マネージド デバイスで Microsoft Launcher をセットアップする方法」を参照してください。 |
| デバイスのパスワード | パスワードの入力が必要 | 数値複素数 | |
| デバイスのパスワード | パスワードの最小文字数 | 6 | |
| デバイスのパスワード | デバイスがワイプされるまでのサインイン失敗回数 | 10 | |
| 電源設定 | 画面をロックする時間 (仕事用プロファイル レベル) | 5 分 | |
| ユーザーとアカウント | ユーザーは資格情報を構成できます (仕事用プロファイル レベル) | ブロック | |
| アプリケーション | アプリの自動更新 (仕事用プロファイル レベル) | Wi-Fi のみ | 組織は、携帯ネットワーク経由でアプリの更新が発生した場合にデータ プランの料金が発生する可能性があるため、必要に応じてこの設定を調整する必要があります。 |
| アプリケーション | Google Play ストア内のすべてのアプリへのアクセスを許可 | 未構成 | 既定では、ユーザーはフル マネージド デバイスに Google Play ストアから個人用アプリをインストールできません。 組織で、フル マネージド デバイスの個人使用を許可する場合は、この設定を変更することを検討してください。 |
| 仕事用プロファイルのパスワード | パスワードの入力が必要 | 数値複素数 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイルのパスワード | パスワードの最小文字数 | 6 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| 仕事用プロファイルのパスワード | デバイスがワイプされるまでのサインイン失敗回数 | 10 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
フル マネージド強化セキュリティ (レベル 2)
レベル 2 は、ユーザーがより機密性の高い情報にアクセスする会社所有デバイスに対して推奨される構成です。 これらのデバイスは、今日の企業では自然な対象です。 これらの設定では、高いスキルを持つセキュリティ担当者の大規模な配置は想定されていません。 そのため、ほとんどのエンタープライズ組織が利用しやすくなっています。 この構成では、より強力なパスワード ポリシーを設定し、ユーザー/アカウントの機能を無効にすることで、レベル 1 の構成が拡張されます。
レベル 2 の設定には、レベル 1 で推奨されるすべてのポリシー設定が含まれています。 ただし、次のセクションに示す設定には、追加または変更された設定のみが含まれます。 これらの設定は、ユーザーやアプリケーションへの影響が少し大きくなる可能性があります。 モバイル デバイスで機密情報にアクセスするユーザーが直面するリスクへの対応に適したレベルのセキュリティが提供されます。
デバイスコンプライアンス (レベル 2)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| システム セキュリティ | パスワードの有効期限が切れるまでの日数 | 365 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| システム セキュリティ | ユーザーがあるパスワードを再使用できるようになるまでに必要なパスワード数 | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| デバイスの正常性 | Play Integrity Verdict | デバイスの整合性 & 基本的な整合性を確認する | Play の基本的な整合性チェックとデバイスの整合性チェックを渡す必要があります。 |
| デバイスの正常性 | ハードウェアに基づくセキュリティ機能を使用して、強力な整合性を確認する | 厳密な整合性を確認する | Play の強力な整合性チェックをデバイスに渡す必要があります。 すべてのデバイスでこの種類のチェックがサポートされているわけではありません。 Intune は、非準拠などのデバイスをマークします。 |
デバイスの制限 (レベル 2)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| 全般 | 工場出荷時の設定へのリセット防止のためのメール アドレス | Google アカウントのメール アドレス | |
| 全般 | 電子メール アドレスの一覧 (Google アカウントの電子メール アドレス オプションのみ) | example@gmail.com | このポリシーを手動で更新して、デバイスのワイプ後にデバイスのロックを解除できるデバイス管理者の Google メール アドレスを指定します。 |
| デバイスのパスワード | パスワードの有効期限が切れるまでの日数 | 365 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| デバイスのパスワード | ユーザーがあるパスワードを再使用できるようになるまでに必要なパスワード数 | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
| デバイスのパスワード | デバイスがワイプされるまでのサインイン失敗回数 | 5 | |
| ユーザーとアカウント | 新規ユーザーを追加する | ブロック | |
| ユーザーとアカウント | ユーザーの削除 | ブロック | |
| ユーザーとアカウント | 個人用 Google アカウント | ブロック | |
| 仕事用プロファイルのパスワード | ユーザーがあるパスワードを再使用できるようになるまでに必要なパスワード数 | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |
フル マネージド高セキュリティ (レベル 3)
レベル 3 は、以下の両方に対して推奨される構成です。
- 大規模な洗練されたセキュリティ機構を持つ組織。
- 敵対者が一意にターゲットとする特定のユーザーとグループ。
このような組織は、通常は、潤沢な資金を持つ世故に長けた敵対者の標的になります。
この構成では、以下を実行することで、レベル 2 が拡張されます。
- 最も安全なMicrosoft Defender for Endpointまたはモバイル脅威防御レベルを適用することで、デバイスが準拠していることを確認します。
- オペレーティング システムの最小バージョンを上げる。
- 追加のデバイス制限を適用する (ロック画面で未処理の通知を無効にするなど)。
- アプリを常に最新の状態にする必要がある。
レベル 3 の設定には、レベル 2 で推奨されるすべてのポリシー設定が含まれています。 ただし、次のセクションに示す設定には、追加または変更された設定のみが含まれます。 これらの設定は、ユーザーまたはアプリケーションに大きな影響を与える可能性があります。 攻撃対象の組織が直面するリスクへの対応に適したレベルのセキュリティが提供されます。
デバイスコンプライアンス (レベル 3)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| Microsoft Defender for Endpoint | デバイスは、次のマシン リスク スコア以下であることが必要 | Clear | この設定には、Microsoft Defender for Endpoint が必要です。 詳細については、「Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する」を参照してください。 お客様は、Microsoft Defender for Endpoint またはモバイル脅威防御ソリューションの実装を検討する必要があります。 両方をデプロイする必要はありません。 |
| デバイスの正常性 | デバイスは、デバイス脅威レベル以下であることが必要 | セキュリティで保護 | この設定には、モバイル脅威防御製品が必要です。 詳細については、登録デバイスのモバイル脅威防御に関するページをご覧ください。 お客様は、Microsoft Defender for Endpoint またはモバイル脅威防御ソリューションの実装を検討する必要があります。 両方をデプロイする必要はありません。 |
| デバイスのプロパティ | 最小 OS バージョン | 形式: メジャー.マイナー 例: 11.0 |
Microsoft では、Microsoft アプリでサポートされる Android のバージョンと一致するように、Android の最小のメジャー バージョンを構成することを推奨しています。 OEM と Android Enterprise Recommended の要件に準拠しているデバイスでは、現在出荷されているリリースと 1 つ後のアップグレードをサポートしている必要があります。 現在、Android では、ナレッジ ワーカーに対して Android 9.0 以降が推奨されています。 Android の最新の推奨事項については、「Android Enterprise Recommended の要件」を参照してください。 |
デバイスの制限 (レベル 3)
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| 全般 | 日付と時刻の変更 | ブロック | |
| 全般 | テザリングおよびホットスポットへのアクセス | ブロック | |
| 全般 | NFC を使用したビーム データ (仕事用プロファイル レベル) | ブロック | |
| 全般 | 個人用プロファイルで仕事用連絡先を検索し、仕事用連絡先の発信者 ID を表示する | ブロック | |
| デバイスのパスワード | 無効になっているロック画面機能 | - 未達の通知 - トラスト エージェント (仕事用プロファイル レベル) |
|
| アプリケーション | アプリの自動更新 (仕事用プロファイル レベル) | 常時 | 組織は、携帯ネットワーク経由でアプリの更新が発生した場合にデータ プランの料金が発生する可能性があるため、必要に応じてこの設定を調整する必要があります。 |
| 仕事用プロファイルのパスワード | デバイスがワイプされるまでのサインイン失敗回数 | 5 | 組織では、パスワード ポリシーに合わせてこの設定を更新する必要がある場合があります。 |