次の方法で共有

Microsoft Intuneのエンドポイント セキュリティ ポリシーを使用してデバイス セキュリティを管理する

セキュリティ管理者は、Intune エンドポイント セキュリティ ポリシーを使用して、マネージド デバイスのセキュリティ設定を構成および管理します。 エンドポイント セキュリティ ポリシーは、特定のデバイス セキュリティ シナリオに焦点を当てた専用のセキュリティ プロファイルであり、organization全体でセキュリティ制御を実装および管理するための合理化されたアプローチを提供します。

デバイス構成ポリシーを使用してセキュリティ設定を管理する場合と比較して、エンドポイント セキュリティ ポリシーにはいくつかの主な利点があります。

  • 重点的なセキュリティ管理: 各ポリシーの種類は、広範なデバイス構成プロファイルの複雑さなしに、特定のセキュリティ領域 (ウイルス対策、ファイアウォール、ディスク暗号化など) を対象とします。
  • セキュリティ優先のアプローチ: 一般的なデバイス管理ではなく、セキュリティ シナリオ専用に設計された専用のポリシー。
  • セキュリティ機能別に編成: 一般的なデバイス管理設定と混在するのではなく、セキュリティ ワークロード (ウイルス対策、ファイアウォールなど) によってグループ化されます。
  • 包括的な監視: セキュリティ ポリシーが正常にデプロイされるようにするための組み込みのレポートと競合検出。

エンドポイント セキュリティ ポリシーの統合について

エンドポイント セキュリティ ポリシーを他のIntuneポリシーの種類と共に実装する場合は、構成の競合を最小限に抑えるためのアプローチを計画します。 すべてのIntuneポリシーの種類は、デバイス構成設定の同じソースとして扱われます。つまり、デバイスが複数のポリシーから同じ設定に対して異なる構成を受け取ると競合が発生します。

一般的な競合シナリオ:

  • セキュリティ ベースライン では、推奨される構成に準拠するように設定の既定値以外を設定できます。一方、エンドポイント セキュリティとデバイス構成ポリシーは通常、既定で [未構成] に設定 されます。これらの方法を組み合わせて競合を発生させる (競合を解決する) 場合があります。
  • エンドポイント セキュリティ ポリシーと同じ設定を管理するデバイス構成ポリシー (競合を解決します)。
  • 同じ設定に対して異なる値を設定する複数のエンドポイント セキュリティ ポリシー (競合の管理)。

競合が発生すると、影響を受ける設定が正しく適用されない可能性があります。 ポリシー アーキテクチャを計画し、リンクされたガイダンスを使用して競合を特定して解決します。

使用可能なエンドポイント セキュリティ ポリシーの種類

Microsoft Intune管理センターエンドポイント セキュリティ>Manage からエンドポイント セキュリティ ポリシーにアクセスします。

Microsoft Intune 管理センターでのエンドポイント セキュリティ ポリシーの管理

アカウントの保護

  • 目的: 最新の認証方法を使用してユーザー ID とアカウントを保護する
  • プラットフォームのサポート: Windows
  • 使用可能なプロファイル: アカウント保護、ローカル管理者パスワード ソリューション (Windows LAPS)、ローカル ユーザー グループ メンバーシップ
  • ユース ケース: パスワードレス認証と資格情報保護を実装する

ウイルス対策

  • 目的: ウイルス対策保護の設定を構成および管理する
  • プラットフォームのサポート: Windows、macOS、Linux
  • 使用可能なプロファイル: Defender Update コントロール、Microsoft Defender ウイルス対策、Microsoft Defender ウイルス対策の除外、Windows セキュリティ エクスペリエンス、macOS エンドポイント セキュリティ ウイルス対策
  • ユース ケース: Windows デバイスでMicrosoft Defenderウイルス対策ポリシーを一元的に管理する

ビジネス向けアプリ コントロール

  • 目的: Windows Defender アプリケーション制御 (WDAC) を使用して Windows デバイスで実行できるアプリケーションを制御する
  • プラットフォームのサポート: Windows
  • 使用可能なプロファイル: Windows Defender アプリケーション制御 (WDAC)
  • ユース ケース: アプリケーションの許可リストを実装し、ソフトウェアの実行を制御する

攻撃面の減少

  • 目的: 潜在的な攻撃ベクトルとシステムの脆弱性を減らす
  • プラットフォームのサポート: Windows
  • 使用可能なプロファイル: アプリとブラウザーの分離、攻撃面の縮小ルール、デバイス制御、エクスプロイト保護、アプリケーション制御
  • ユース ケース: 一般的な攻撃方法と手法に対してデバイスを強化する
  • 要件: Microsoft Defenderウイルス対策はプライマリ ウイルス対策ソリューションである必要があります

ディスク暗号化

  • 目的: データ保護のために組み込みの暗号化方法を管理する
  • プラットフォームのサポート: Windows、macOS
  • 使用可能なプロファイル: BitLocker、Personal Data Encryption (PDE)、macOS FileVault
  • ユース ケース: ネイティブ暗号化テクノロジを使用して保存データの保護を確保する

エンドポイントでの検出と対応

  • 目的: 統合とオンボードMicrosoft Defender for Endpoint構成する
  • プラットフォームのサポート: Windows、macOS、Linux
  • 使用可能なプロファイル: エンドポイントの検出と応答 (オンボードと構成用)
  • ユース ケース: 高度な脅威検出と対応機能を有効にする
  • 要件: Microsoft Defender for Endpoint ライセンスとテナント接続

ファイアウォール

  • 目的: 組み込みのファイアウォール保護を構成する
  • プラットフォームのサポート: Windows、macOS
  • 使用可能なプロファイル: Windows ファイアウォール、Windows ファイアウォール規則、macOS ファイアウォール
  • ユース ケース: ネットワーク アクセスを制御し、ネットワーク セグメント化を実装する

管理機能の強化

エンドポイント セキュリティ ポリシーには、基本的なポリシーの展開以外に次の管理機能が含まれます。

再利用可能な設定グループ: 複数のポリシー間で共有できる標準化された構成を作成し、管理オーバーヘッドを削減し、一貫性を確保します。 サポート対象:

  • ファイアウォール>Windows ファイアウォール規則 プロファイル (Windows プラットフォーム)
  • 攻撃面の縮小>デバイス制御 プロファイル (Windows プラットフォーム)

Microsoft Defender ポータルを使用したセキュリティ設定の管理: デバイスにMicrosoft Defender for Endpointがあるが、Intuneに登録されていない場合は、Defender ポータルから選択したエンドポイント セキュリティ ポリシー (ウイルス対策、攻撃面の縮小、EDR) を直接使用できます。 これにより、次の機能が提供されます。

  • 環境内のIntuneに登録されていないデバイスに対するセキュリティ管理を拡張しました。
  • Defender ポータルを使用した統合ポリシー管理エクスペリエンス。
  • 登録済みデバイスと登録されていないデバイス間で一貫したセキュリティ制御。

エンドポイント セキュリティのためのロールベースのアクセス制御

エンドポイント セキュリティ ポリシーを管理するには、ロールベースのアクセス制御 (RBAC) の適切なアクセス許可Intune必要があります。 適切なロールの割り当てとポリシー管理アクセスには、現在の RBAC アクセス許可モデルを理解することが不可欠です。

注:

Intuneは、すべてのエンドポイント セキュリティ ワークロードに対する統合セキュリティ ベースラインアクセス許可の使用から、個々のポリシーの種類に対する詳細なアクセス許可に移行しています。 この移行により、より正確なアクセス制御が提供されますが、ポリシーの種類によって異なるアクセス許可要件が得られます。

必要な RBAC アクセス許可

エンドポイント セキュリティ ポリシーでは、特定のワークロードに対して詳細なアクセス許可または セキュリティ ベースライン アクセス許可が使用されます。 必要なアクセス許可は、ポリシーの種類によって異なります。

きめ細かいアクセス許可 (ポリシー固有のアクセス):

  • ビジネスのアプリケーション制御 - アプリケーション制御ポリシーとレポート
  • 攻撃面の縮小 - ほとんどの攻撃面の縮小ポリシー。 (次の重要な注意事項を参照してください)
  • エンドポイントの検出と応答 - EDR ポリシーとレポート

セキュリティ ベースラインのアクセス許可 (統合アクセス):

  • ウイルス対策 ポリシー (すべてのプロファイル)
  • アカウント保護 ポリシー
  • ディスク暗号化 ポリシー
  • ファイアウォール ポリシー
  • 攻撃 面の縮小 プロファイルの一部: アプリとブラウザーの分離Web 保護エクスプロイト保護フォルダー アクセスの制御

重要

攻撃面の縮小ポリシーの場合は、特定のプロファイル要件をチェックします。 一部のプロファイルでは、詳細な 攻撃面の縮小 アクセス許可を使用し、他のプロファイルでは セキュリティ ベースライン のアクセス許可が必要です。

プロファイル固有の要件の詳細については、「 カスタム ロールに関する考慮事項」を参照してください。

重要

エンドポイント セキュリティ ポリシーに対する ウイルス対策 の詳細なアクセス許可は、一部のテナントで一時的に表示される場合があります。 このアクセス許可はリリースされておらず、使用はサポートされていません。 ウイルス対策アクセス許可の構成は、Intuneによって無視されます。 ウイルス対策が詳細なアクセス許可として使用できるようになると、その可用性については、Microsoft Intune記事の新機能に関する記事を参照してください。

組み込みの RBAC ロール

次のIntune組み込みロールは、エンドポイント セキュリティ ワークロードへのアクセスを提供します。

  • エンドポイント セキュリティ マネージャー - すべてのエンドポイント セキュリティ ポリシーにわたるフル管理機能。
  • ヘルプ デスク オペレーター - 操作タスクと読み取りアクセスが制限されています。
  • 読み取り専用オペレーター - ポリシーとレポートへの表示専用アクセス。

カスタム ロールに関する考慮事項

レポート へのアクセス: デバイス構成の [レポートの表示] 権限は、エンドポイント セキュリティ ポリシー レポートへのアクセスも提供します。

Defender ポータルの統合: Defender ポータルを使用したセキュリティ設定管理では、同じIntune RBAC アクセス許可が使用されます。

複数管理の承認: ロールの変更には、organizationのガバナンス設定によっては、二重管理者の承認が必要になる場合があります。

エンドポイント セキュリティ ポリシーを作成する

エンドポイント セキュリティ ポリシーを作成するには、次の一般的なワークフローに従います。

  1. ポリシーの作成に移動します

    • Microsoft Intune 管理センターにサインインします。
    • [エンドポイント セキュリティ] に移動し>目的のポリシーの種類> [ポリシーの作成] を選択します。

  2. ポリシーの基本を構成する:

    • プラットフォーム: ターゲット デバイス プラットフォームを選択します (オプションはポリシーの種類によって異なります)。
    • プロファイル: 選択したプラットフォームで使用可能なプロファイルから選択します。
    • [ 作成] を 選択して続行します。

  3. ポリシーの構成を完了します。

    • 基本: プロファイルのわかりやすい名前と省略可能な説明を指定します。
    • 構成設定: 設定の各グループを展開し、このプロファイルで管理する設定を構成します。 設定の構成が完了したら、[ 次へ] を選択します。
    • スコープ タグ: [ スコープ タグの選択] を 選択して、[ タグの選択 ] ウィンドウを開き、スコープ タグをプロファイルに割り当てます (省略可能)。
    • 割り当て: このプロファイルを受信するグループを選択します。 「 ユーザー プロファイルとデバイス プロファイルを割り当てる」を参照してください。
    • 確認と作成: 構成を確認し、準備ができたら [作成 ] を選択します。 その後、新しいプロファイルがポリシーの一覧に表示されます。

高度なポリシー管理

重複するポリシー

ポリシーの重複により、複雑なポリシーをゼロから再作成するのではなく、既存の構成をコピーしてさまざまなシナリオで変更できるため、デプロイが効率化されます。

ポリシーの重複に関する一般的なユース ケース:

  • 環境のデプロイ: 運用環境ポリシーをステージング環境またはテスト環境にコピーします。
  • グループのバリエーション: さまざまなユーザー グループに対して同様のポリシーを作成します (たとえば、エグゼクティブと、セキュリティ要件が若干異なる一般ユーザーなど)。
  • リージョンのカスタマイズ: コンプライアンス要件が異なる地理的な場所ごとにポリシーを適用します。
  • 増分ロールアウト: 段階的な展開に同じポリシーの複数のバージョンを作成します。

重複ワークフロー:

  1. ポリシーの一覧でソース ポリシーを見つけます。
  2. 省略記号 (...) >を選択します複製
  3. 新しいわかりやすい名前を指定して保存します。
  4. 重複したポリシーを編集して、特定のユース ケースの設定をカスタマイズします。
  5. ターゲット シナリオの新しいグループ割り当てを構成します。

注:

重複したポリシーは、元のポリシーのすべての構成設定とスコープ タグを保持しますが、割り当てを継承しません。 新しい割り当てを構成し、通常、ターゲット シナリオに合わせて一部の設定を変更する必要があります。

既存のポリシーを変更する

[プロパティ] ビューを使用してポリシーを更新します。

  1. 変更するポリシーを選択します。
  2. 変更が必要なセクション (基本割り当てスコープ タグ構成設定) ごとに [編集] を選択します。
  3. セクションを編集した後、次に進む前に変更を保存します。

ポリシーの競合を管理する

戦略的な計画と監視を通じてポリシーの競合を防ぎ、解決します。

予防戦略:

  • 実装前にポリシー アーキテクチャを計画し、特定の設定を管理するポリシーの種類を文書化します。
  • ポリシーの種類間で一貫した構成アプローチを使用します。
  • 必要に応じて、セキュリティ ベースラインをプライマリ構成ソースとして適用します。

ポリシーの境界について:

  • 重複の設定: エンドポイント セキュリティ ポリシーによって管理される多くの設定は、デバイス構成ポリシーとセキュリティ ベースラインでも使用できます。
  • 優先度が等しい: Intuneがデバイス構成を評価する場合、すべてのポリシーの種類の優先順位が等しくなります。
  • 競合の動作: 複数のポリシーが異なる値で同じ設定を構成すると、設定の適用に失敗し、競合としてフラグが設定される可能性があります。

競合のトラブルシューティング ワークフロー:

  1. 競合を特定する: ポリシー展開レポートでエラーまたは競合状態フラグを監視します。
  2. [設定の確認]: 複数のポリシーで同じ設定を対象とするポリシーの種類を確認します。
  3. 設定ごとの状態を確認する: デバイス レベルのレポートを使用して、適用するポリシーを特定します。
  4. ベースラインの確認: セキュリティ ベースラインが、他のポリシーと競合する既定値以外の値を設定しているかどうかを判断します。
  5. 解決を適用する: ポリシー固有のガイダンスを使用して、競合を体系的に解決します。

解決リソース: Intuneのポリシーとプロファイルのトラブルシューティングセキュリティ ベースラインの監視

Microsoft Defender for Endpoint を使用してメールを保護する

多くのエンドポイント セキュリティ ポリシーは、オプションの強化から基本的な統合まで、Microsoft Defender for Endpointと深く統合されています。 これらの関係を理解することは、実装を成功させるために不可欠です。

ポリシー固有の Defender の依存関係

エンドポイントの検出と応答 (EDR):

  • 統合が必要: Intuneとの Defender for Endpoint テナント接続。
  • オンボード パッケージ: プラットフォームごとに Defender 固有のオンボード構成を使用します。
  • コア機能: リアルタイムの攻撃検出と応答機能を提供します。

ウイルス対策:

  • クロスプラットフォーム管理: Windows デバイスでは組み込みのMicrosoft Defender ウイルス対策が使用され、macOS デバイスではMicrosoft Defender for Endpointが使用されます。
  • 改ざん防止: Defender for Endpoint P1 以上のライセンスを持つ Windows および macOS で使用できます。

攻撃面の縮小:

  • 要件: Microsoft Defenderウイルス対策はプライマリ ウイルス対策ソリューションである必要があります。
  • ASR ルール: 攻撃面の縮小ルールは、Defender for Endpoint と統合されるネイティブ Microsoft Defenderウイルス対策機能です。
  • デバイス制御: 高度なデバイス制御ポリシーでは、Defender の周辺機器監視機能が使用されます。

アプリケーションコントロール:

  • マネージド インストーラー: Defender のアプリケーションのタグ付けと信頼メカニズムとの統合。
  • ポリシーの適用: Defender インフラストラクチャを使用して、アプリケーション制御の決定を行います。

Defender 統合の利点

  • 統合されたセキュリティ体制: エンドポイント セキュリティ ポリシーと脅威検出全体の一元化された可視性。
  • 高度なレポート: デバイス コンプライアンスと脅威インテリジェンス データを組み合わせたものです。
  • クロスプラットフォーム管理: Defender エージェントを介した Windows、macOS、Linux 間での一貫したセキュリティ ポリシーの展開。
  • セキュリティ設定の管理: Defender ポータルを使用して、登録されていないデバイス上の選択したエンドポイント セキュリティ ポリシー (ウイルス対策、攻撃面の縮小、EDR) を管理します。 「セキュリティ設定の管理Microsoft Defender for Endpoint」を参照してください。

Defender 統合の前提条件

  • ライセンス: P1 以上のライセンスMicrosoft Defender for Endpoint。
  • テナント接続: Intuneと Defender for Endpoint テナント間のサービス間接続。
  • エージェントの展開: ターゲット デバイスにインストールされている Defender for Endpoint エージェント (一部のポリシーの種類に必要)。
  • ネットワーク接続: Defender セキュリティ設定の管理とポリシー通信の *.dm.microsoft.com エンドポイントへのデバイス アクセス。

次の手順

  • Last updated on