Intune でのエンドポイント セキュリティのアカウント保護ポリシー

アカウント保護には Intune エンドポイント セキュリティ ポリシーを使用して、ユーザーの ID とアカウントを保護し、デバイス上の組み込みのグループ メンバーシップを管理します。

重要

2024 年 7 月、ID 保護とアカウント保護の次の Intune プロファイルは非推奨となり、 アカウント保護という名前の新しい統合プロファイルに置き換えられました。 この新しいプロファイルは、エンドポイント セキュリティのアカウント保護ポリシー ノードにあり、ID とアカウント保護の新しいポリシー インスタンスを作成するために引き続き使用できる唯一のプロファイル テンプレートです。 この新しいプロファイルの設定は、設定カタログからも使用できます。

作成した次の古いプロファイルのインスタンスは、引き続き使用および編集できます。

  • ID 保護 – 以前は Devices>Configuration>Create>New Policy>Windows 10 以降>Templates>Identity Protection から入手できます。
  • アカウント保護 (プレビュー)以前はエンドポイント セキュリティ>Account 保護>Windows 10 以降>Account 保護 (プレビュー) から入手できます

Microsoft Intune 管理センターの [エンドポイント セキュリティ] ノードの [管理] で、アカウント保護のエンドポイント セキュリティ ポリシーを見つけます。

アカウント保護プロファイルの前提条件

  • アカウント保護プロファイルをサポートするには、デバイスで Windows 10 または Windows 11 を実行する必要があります。
  • ローカル ユーザー グループ メンバーシップ プロファイルをサポートするには、デバイスで Windows 10 20H2 以降、または Windows 11 を実行する必要があります。
  • *ローカル管理者パスワード ソリューション (Windows LAPS) をサポートするには、「Windows LAPS の Microsoft Intune サポート前提条件」を参照してください。

役割ベースのアクセス制御 (RBAC)

Intune アカウント保護プロファイルを管理するための適切なレベルのアクセス許可と権限の割り当てに関するガイダンスについては、「 Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。

アカウント保護プロファイル

プラットフォーム: Windows:

プロファイル:

  • アカウント保護 – アカウント 保護ポリシーの設定は、ユーザーの資格情報を保護するのに役立ちます。 アカウント保護ポリシーは、 デバイススコープ 設定と ユーザー スコープ 設定の両方を含む Windows Hello for Business の設定と、Windows ID とアクセス管理の一部である Credential Guard に焦点を当てています。

    • Windows Hello for Business では、パスワードが PC とモバイル デバイスで強力な 2 要素認証に置き換えられます。
    • Credential Guard は 、デバイスで使用する資格情報とシークレットを保護するのに役立ちます。

    詳細については、Windows ID とアクセス管理 に関するドキュメントの ID とアクセス管理に関するドキュメントを参照してください。

    このプロファイルの設定は、[ 設定] カタログでも使用できます。

  • ローカル管理者パスワード ソリューション (Windows LAPS) - このプロファイルを使用して、デバイスで Windows LAPS を構成します。 Windows LAPS を使用すると、デバイスごとに 1 つのローカル管理者アカウントを管理できます。 Intune ポリシーでは、ポリシー設定 [管理者アカウント名] を使用して、適用するローカル 管理者アカウントを指定できます。

    Intune を使用して Windows LAPS を管理する方法の詳細については、次を参照してください。

  • ローカル ユーザー グループ メンバーシップ – このプロファイルを使用して、Windows デバイス上の組み込みローカル グループのメンバーを追加、削除、または置き換えます。 たとえば、Administrators ローカル グループには広範な権限があります。 このポリシーを使用して、管理グループのメンバーシップを編集して、排他的に定義されたメンバーのセットにロックダウンできます。

    このプロファイルの使用方法については、「 Windows デバイスでローカル グループを管理する」セクションで詳しく説明します。

Windows デバイスでローカル グループを管理する

ローカル ユーザー グループ メンバーシップ プロファイルを使用して、Windows 10 20H2 以降を実行するデバイスおよび Windows 11 デバイス上の組み込みローカル グループのメンバーであるユーザーを管理します。

ヒント

Microsoft Entra グループを使用した管理者特権の管理のサポートの詳細については、Microsoft Entra ドキュメントの 「Microsoft Entra グループを使用して管理者特権を管理 する」を参照してください。

プロファイルを構成する

このプロファイルは、 ポリシー CSP - LocalUsersAndGroups を使用して、デバイスのローカル グループ メンバーシップを管理します。 CSP ドキュメントには、構成の適用方法の詳細と、CSP の使用に関する FAQ が含まれています。

このプロファイルを構成する場合、[ 構成設定 ] ページで、変更する組み込みのローカル グループ、実行するグループ アクション、ユーザーを選択する方法を管理する複数のルールを作成できます。

プロファイルを構成するための [構成設定] ページのスクリーン ショット。

実行できる構成を次に示します。

  • [ローカル グループ]: ドロップダウンから 1 つ以上のグループを選択します。 これらのグループはすべて、割り当てたユーザーに同じ [グループ] アクションと [ユーザー] アクション を適用します。 1 つのプロファイルに複数のローカル グループのグループを作成し、ローカル グループの各グループに異なるアクションとユーザー のグループを割り当てることができます。

注:

ローカル グループの一覧は、 Microsoft Entra 参加済みデバイスのローカル管理者グループを管理する方法 に関するドキュメントで参照されているように、ログオン時に評価することが保証されている 6 つの組み込みローカル グループに制限されています。

  • グループとユーザーのアクション: 選択したグループに適用するアクションを構成します。 このアクションは、同じアクションとローカル アカウントのグループ化に対して選択したユーザーに適用されます。 選択できるアクションは次のとおりです。

    • 追加 (更新): 選択したグループにメンバーを追加します。 ポリシーで指定されていないユーザーのグループ メンバーシップは変更されません。
    • 削除 (更新): 選択したグループからメンバーを削除します。 ポリシーで指定されていないユーザーのグループ メンバーシップは変更されません。
    • 追加 (置換): 選択したグループのメンバーを、このアクションに指定した新しいメンバーに置き換えます。 このオプションは、制限付きグループと同じように機能し、ポリシーで指定されていないグループ メンバーはすべて削除されます。

    注意

    [置換] アクションと [更新] アクションの両方で同じグループが構成されている場合、[置換] アクションが優先されます。 これは競合とは見なされません。 このような構成は、複数のポリシーを同じデバイスに展開するとき、またはこの CSP も Microsoft Graph を使用して構成されている場合に発生する可能性があります。

  • ユーザー選択の種類: ユーザーを選択する方法を選択します。 オプションは以下のとおりです。

    • [ユーザー]: Microsoft Entra ID からユーザーとユーザー グループを選択します。 (Microsoft Entra 参加済みデバイスでのみサポートされます)。
    • 手動: ユーザー名、ドメイン\ユーザー名、またはグループ セキュリティ識別子 (SID) で、Microsoft Entra のユーザーとグループを手動で指定します。 (Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスでサポートされます)。
  • 選択したユーザー: [ ユーザーの選択の種類] の選択に応じて、次のいずれかのオプションを使用します。

    • ユーザーの選択: Microsoft Entra からユーザーとユーザー グループを選択します。

    • ユーザーの追加: このオプションを選択すると、[ ユーザーの追加] ウィンドウが開き、デバイスに表示される 1 つ以上のユーザー識別子を指定できます。 ユーザーは、 セキュリティ識別子 (SID)Domain\username、または Username で指定 できます

      Intune 管理センターの [ユーザーの追加] ページのスクリーンショット。

[手動] オプションを選択すると、オンプレミスの Active Directory ユーザーを Active Directory から Microsoft Entra ハイブリッド参加済みデバイスのローカル グループに管理するシナリオで役立ちます。 最も優先される順にユーザー選択を識別するためのサポートされている形式は、SID、domain\username、またはメンバーのユーザー名を使用することです。 Active Directory からの値はハイブリッド参加済みデバイスに使用する必要があります。一方、Microsoft Entra 参加には Microsoft Entra ID の値を使用する必要があります。 Microsoft Entra グループ SID は、 Graph API for Groups を使用して取得できます。

競合

ポリシーによってグループ メンバーシップの競合が発生した場合、各ポリシーの競合する設定はデバイスに送信されません。 代わりに、Microsoft Intune 管理センターでこれらのポリシーの競合が報告されます。 競合を解決するには、1 つ以上のポリシーを再構成します。

Reporting

デバイスがチェックインしてポリシーを適用すると、管理センターにデバイスとユーザーの状態が正常またはエラーとして表示されます。

ポリシーには複数のルールを含めることができるので、次の点を考慮してください。

  • デバイスのポリシーを処理する場合、設定ごとの状態ビューには、1 つの設定であるかのようにルールのグループの状態が表示されます。
  • エラーが発生するポリシー内の各ルールはスキップされ、デバイスには送信されません。
  • 成功した各ルールは、適用するデバイスに送信されます。

次の手順

エンドポイント セキュリティ ポリシーを構成する