Microsoft Intune でセキュリティ ベースライン プロファイルを管理する
ユーザーと Windows デバイスを保護するために、Microsoft Intune セキュリティ ベースライン プロファイルの個別のインスタンスを構成して、Windows デバイスとユーザーのさまざまなグループに展開できます。 製品ごとに異なるベースラインがあり、それぞれが、その製品のセキュリティ チームから推奨されるセキュリティ体制を表す構成済みの設定のグループです。 既定の (変更されていない) ベースラインまたはカスタマイズされたプロファイルを展開して、組織が必要とする設定でデバイスを構成できます。
使用可能なセキュリティ ベースラインの一覧については、「 セキュリティ ベースラインの概要」を参照してください。
この機能は、以下に適用されます。
- Windows 10 バージョン 1809 以降
- Windows 11
セキュリティ ベースラインの概要
Intune でセキュリティ ベースラインのプロファイルを作成する場合、複数の "デバイス構成" 設定で構成されたテンプレートを作成することになります。
セキュリティ ベースラインの複数のバージョンが存在する場合は、最新バージョンのみを使用して、そのベースラインの新しいインスタンスを作成できます。 以前に作成した古いベースラインのインスタンスを引き続き使用し、割り当てられているグループを編集できます。 ただし、古いバージョンでは、設定構成の変更はサポートされていません。 代わりに、最新のベースライン バージョンを使用する新しいベースラインを作成するか、設定の新しい構成を導入する必要がある場合は、古いベースラインをその最新バージョンに更新します。
古いベースライン バージョンは、実用的な場合は直ちに最新バージョンに更新することをお勧めします。 新しいバージョンでは、次のことができます。
- 以前のバージョンでは使用できない新しい設定を含めます。
- サポートされなくなった古い設定を廃止して削除します。
- 該当する製品の現在のセキュリティに関する推奨事項に合わせて、設定の既定の構成を変更します。
セキュリティ ベースラインを使用する場合の一般的なタスクは次のとおりです。
- 新しいプロファイル インスタンスを作成 する – 使用する設定を構成し、ベースラインをグループに割り当てます。
- 以前のバージョンのベースラインを最新のベースライン バージョンに更新 する – プロファイルで使用されているベースライン バージョンを変更します。
- ベースラインの割り当てを削除 - セキュリティ ベースラインで設定の管理を停止した場合の動作について説明します。
前提条件
セキュリティ ベースラインを展開するために Intune を使用するには、Microsoft Intune プラン 1 サブスクリプションが必要です。
ヒント
Intune では、使いやすいユーザー インターフェイスを使用してセキュリティ ベースラインを構成および展開できますが、セキュリティ ベースラインを作成したり定義したりすることはありません。 Intune 以外では、セキュリティ コンプライアンス ツールキットから入手できるオプションなど、セキュリティ ベースラインを展開するためのその他のオプションを使用できます。
Intune でベースラインを使用するには、該当する場合は、マネージド製品のアクティブなサブスクリプションが必要です。 たとえば、Microsoft Defender for Endpoint ベースラインを使用しても、Microsoft Defender を使用する権限は付与されません。 代わりに、ベースラインは、Microsoft Defender for Endpoint によってライセンスおよび管理されているデバイスに存在する設定を構成および管理する方法を提供します。
Intune でベースラインを管理するには、アカウントに [Policy and Profile Manager]\(ポリシーとプロファイル マネージャー\) 組み込みロールが必要です。
セキュリティ ベースラインのプロファイルを作成する
Microsoft Intune 管理センターにサインインします。
[エンドポイント セキュリティ]>[セキュリティ ベースライン] を選択し、利用可能なベースラインの一覧を表示します。
使用するベースラインを選択して、[プロファイルの作成] を選択します。
[基本] タブ上で、次のプロパティを指定します。
名前: セキュリティのベースライン プロファイルの名前を入力します。 たとえば、「Standard profile for Defender for Endpoint」(Defender for Endpoint 用の標準プロファイル) と入力します。
説明: このベースラインの実行内容を説明するテキストを入力します。 この説明には、任意のテキストを入力できます。 省略可能ですが、入力することをお勧めします。
[ 次へ ] を選択して、次のタブに移動します。新しいタブに進んだ後、タブ名を選択して、以前に表示したタブに戻ることができます。
[構成設定] タブで、選択したベースラインで使用できる [設定] の各グループを確認します。 グループを展開すれば、そのグループに含まれている設定と、そのベースラインでの各設定の規定値を確認できます。 特定の設定を探すには:
- グループを選択し、使用可能な設定を展開して確認します。
- 設定の分析情報は、電球アイコンの横にあります。 設定の分析情報は、類似の組織が正常に採用した分析情報を追加することで、構成に対する信頼を提供します。 Insights は一部の設定で使用でき、一部の設定では使用できません。 詳細については、「 設定の分析情報」を参照してください。
- "検索" バーを使い、ビューをフィルター処理するキーワードを指定して、使用する検索条件を含むグループのみを表示します。
ベースラインの各設定には、そのベースライン バージョンの既定の構成プリセットがあります。 一部は構成されませんが、デバイス上の特定の値または条件を構成するように設定されているものもあります。 ベースラインで見つかった既定のプリセットは、その製品セキュリティ チームから推奨されるセキュリティ体制を表します。 ベースラインを構成する場合:
- 各設定を確認し、必要に応じて、ビジネス ニーズに異なる構成が必要な場合に既定のプリセットを再構成してください。
- 異なるベースラインの種類とバージョンには、他のベースラインで見つかった設定を含めることができることに注意してください。また、設定にはそれぞれ異なる既定値が推奨される場合があることに注意してください。
[スコープ タグ] タブで [スコープ タグを選択] を選択し、[タグを選択する] ウィンドウを開いて、プロファイルにスコープ タグを割り当てます。
[ 割り当て ] タブで、[ 含めるグループの選択 ] を選択し、ベースラインを 1 つ以上のグループに割り当てます。 [含めないグループを選択] を使って割り当てを微調整します。
注:
セキュリティ ベースラインは、使用されている設定のスコープに基づいて、ユーザー グループまたはデバイス グループのいずれかに割り当てる必要があります。 このため、ユーザーベースとデバイスベースの設定の両方を割り当てるときに、複数のベースラインが必要になる場合があります。
ベースラインを展開する準備が整ったら、[確認および作成] タブに進んでベースラインの詳細を確認します。 [作成] を選択して、プロファイルを保存および展開します。
プロファイルを作成するとすぐに、Intune によって割り当てられたグループにプッシュされ、すぐに適用されます。
ヒント
最初にグループに割り当てることなくプロファイルを保存した場合は、そうするように後からそのプロファイルを編集できます。
プロファイルを作成した後は、[エンドポイント セキュリティ]>[セキュリティ ベースライン] の順に移動して編集を行い、構成したベースラインの種類を選択して、[プロファイル] を選択します。 使用可能なプロファイルの一覧からプロファイルを選択し、[プロパティ] を選択します。 使用できるすべての構成タブから設定を編集し、[レビューと保存] を選択して加えた変更をコミットできます。
プロファイルを最新バージョンに更新する
このセクションの情報は、 2023 年 5 月より前に作成されたベースライン インスタンスを、2023 年 5 月以降にリリースされたのと同じベースラインのバージョンに更新する場合に適用されます。
注:
2023 年 5 月、Intune は新しいベースライン リリースまたは更新プログラムごとに新しいセキュリティ ベースライン形式のロールアウトを開始しました。 Intune では、既存のセキュリティ ベースライン プロファイルを新しくリリースされたセキュリティ ベースラインに移行するための新しい更新プロセスも導入されました。 この新しい動作は、2023 年 5 月以降にリリースされたベースライン バージョン に移行 するときの既存の動作を置き換えます。
以前の動作は、新しい形式を使用する新しいバージョンをまだ受け取っていないベースラインを更新するときに使用できます。 ガイダンスについては、「 前の形式を使用するベースラインを更新する」を参照してください。
2023 年 5 月以降、ベースラインの新しいバージョンがリリースされたら、既存のプロファイルを新しいバージョンに更新する予定です。 古い形式から新しいベースライン形式 (2023 年 5 月より前にリリースされたバージョンから 2023 年 5 月以降にリリースされたもの) に移行する場合:
Microsoft Edge などのベースラインの種類のすべての新しいプロファイルでは、新しい形式が使用されます。 古いベースライン バージョンを使用する新しいベースラインの作成はサポートされていません。
2023 年 5 月より前にリリースされたベースライン バージョンは、新しい形式にアップグレードされません。 代わりに、新しい形式を使用する新しいプロファイルを作成し、その新しいベースライン形式で古いベースラインから設定を構成します。 プロファイルの再作成は、ベースラインを古い形式から新しいベースライン形式に移動するために必要な 1 回限りのプロセスです。
このプロセスで役立つ Intune は、新しいプロファイル バージョンに表示される設定の名前と構成に基づいて各設定を識別する CSV 形式に古いプロファイルをエクスポートできます。
古いベースライン バージョンを置き換えることができる新しいベースラインを作成した後、古いプロファイルは変更されず、引き続き使用できます。 引き続き、以前のベースライン形式で設定をデプロイ、再割り当て、編集できます。
ヒント
新しいバージョンに更新した後の古いベースライン バージョンの設定の編集のサポートは、過去の動作からの変更です。 この動作は、2023 年 5 月より前に作成されたベースライン バージョンから 2023 年 5 月以降に作成されたバージョンに移行する場合にのみ可能です。新しいベースライン形式は、置き換えるのではなく、古いベースライン形式と並べて存在するためです。 その後、2023 年 5 月以降に作成されたベースライン インスタンスを新しいバージョンに更新すると、以前のバージョンの設定を編集できない元の動作が返されます。
古い形式の使用を中止し、できるだけ早く最新バージョンに基づいてプロファイルをデプロイすることをお勧めします。 2023 年 5 月にリリースされた新しいバージョンでは、古いプロファイルは更新プログラムを受け取りません。
- Intune UI の新しい設定形式を使用して、各設定の構成サービス プロバイダー (CSP) ソースに直接合わせます。
- 関連するセキュリティ チームが推奨する既定の構成で事前構成されています。
ベースラインを新しい形式に更新する
2023 年 5 月より前に作成されたベースラインを新しい形式に更新するには、新しいベースライン インスタンスを作成する必要があります。 元のベースライン構成の再作成を支援するために、Intune で現在のベースライン構成を .CSV ファイルとしてエクスポートできます。 エクスポートには次のものが含まれます。
- 以前のベースラインの各設定は、新しいベースラインに表示される設定の名前を使用して識別されます。 設定の名前は .csv に逐語的に表示されませんが、設定のパスを見つけることができます。このパスには、設定名の一部が含まれています。
- 以前のベースラインの各設定の構成方法。
- 古いベースラインからの設定の構成が、新しいベースラインの既定の構成と一致する場合。
エクスポートからの情報を使用すると、古いベースライン インスタンスと同じ値を使用するように新しいベースラインを迅速に再構成できます。
Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>セキュリティ ベースライン] に移動し>ベースラインの種類を選択し、新しいベースライン形式でレプリケートするベースライン プロファイル (インスタンス) のチェック ボックスをオンにし、[バージョンの変更] を選択します。 Intune に [ バージョンの変更 ] ウィンドウが表示されます。
次のスクリーンショットでは、 Microsoft Edge のセキュリティ ベースラインにドリルインしました。 現時点では、2 つのプロファイルがあります。 1 つは Microsoft Edge v112 の新しいプロファイルで、もう 1 つは 2020 年 9 月の古いプロファイルです。 以前のプロファイルには、新しいバージョンが置き換えられることを示す矢印アイコンも表示されます。
[ バージョンの変更 ] ウィンドウには、構成の詳細を以前のベースラインから新しい形式を使用するプロファイルに移動する手順があります。 ペインには、選択したベースラインの名前とバージョン、および最新のベースライン バージョンも識別されます。
[ プロファイル設定のエクスポート] を選択して、選択したベースラインの設定と現在の構成が基準計画の既定値に設定されていない場合に一覧表示する .csv ファイルを作成します。 ベースラインの詳細をエクスポートするオプションを選択すると、Intune によってエクスポートが準備され、続行することに同意する必要があります。 [ はい] を 選択して、.CSV ファイルのエクスポートをダウンロードします。
ファイルをダウンロードした後、ファイルを開いて、以前のベースラインの現在の構成を表示できます。
[ バージョンの変更 ] ウィンドウには、[選択したベースラインの新しいプロファイルを 作成 する] ボタンも含まれています。このボタンは、新しいベースライン インスタンスの作成に使用される [ プロファイルの作成 ] オプションと同じ機能を持っています。
次のスクリーン キャプチャは、Microsoft Excel で表示される Microsoft Edge プロファイル バージョン 85 のエクスポートを示しています。 古いプロファイルで見つかった新しい Microsoft Edge ベースライン 17 の設定のうち、1 つの設定のみが変更されました。 [すべてのサイトのサイト分離を有効にする] が以前のベースラインで [無効] に設定されました。 新しいベースラインでは、設定の既定値は [有効] になりました。
前の図では、情報の列が 3 つあります。 この情報は、新しいプロファイルの設定と、古いプロファイルに含まれているそれぞれの構成を識別します。
DefinitionId – この列には、設定レジストリ名が表示されます。 アンダースコア ( _ ) の後の情報は、新しいベースライン プロファイルと形式で表示される設定名を識別しますが、名前にはスペースはありません。 この値は、このベースライン設定が管理する CSP 設定の名前でもあります。
たとえば、[ すべてのサイトのサイト分離を有効にする] の変更された設定は、このエクスポートに admx--microsoftedge_SitePerProcess として表示されます。 最後の部分 である SitePerProcess は、設定を識別するのに役立ちます。
defaultJson – この列は、新しいベースライン形式で見られるように、この設定の既定の構成を識別します。 SitePerProcess CSP のサンプル設定は、既定で 有効に設定されています。
customizedJson – 最後の列には、以前のプロファイル バージョンの各設定の構成が表示されます。 この情報は、古いプロファイルの構成に合わせて変更が必要な新しいプロファイルの設定を理解するのに役立ちます。 サンプル設定が 無効に設定されました。 他のすべての設定は、以前のベースライン バージョンの既定の構成から変更されていないため、"NotApplicable" と表示されます。
更新された Microsoft Edge ベースライン プロファイルには、以前のプロファイルで見つかった 17 個を超える設定があることに注意してください。 ベースライン エクスポートでは、これらの新しい設定は確認中の古いベースライン バージョンでは使用できないため、識別されません。
後で、新しいプロファイルを作成して構成するときに、CSV エクスポートの一覧を使用して、前のプロファイルの各設定が同じ構成で新しいプロファイルに設定されていることを確認できます。
前の形式を使用するベースラインを更新する
このセクションの情報は、2023 年 5 月より前に作成された既存のベースラインを、2023 年 5 月より前にもリリースされた同じベースラインのバージョンに更新する場合に適用されます。
注:
2023 年 5 月、Intune は新しいベースライン リリースまたは更新プログラムごとに新しいセキュリティ ベースライン形式のロールアウトを開始しました。 Intune では、既存のセキュリティ ベースライン プロファイルを新しくリリースされたセキュリティ ベースラインに移行するための新しい更新プロセスも導入されました。 この新しい動作は、2023 年 5 月以降にリリースされたベースライン バージョンに移行するときの既存の動作を置き換えます。
次のガイダンスは、ベースラインを 2023 年 5 月より前にリリースされた新しいバージョンに更新するときに使用します。 ベースラインを 2023 年 5 月以降にリリースされたバージョンに更新する場合は、「 プロファイルを最新バージョンに更新する」を参照してください。
ベースラインの新しいバージョンが使用可能になったら、既存のプロファイルを新しいバージョンに更新することを計画します。
- 既存のプロファイルは、自動的に新しいバージョンにアップグレードされません。
- 最新バージョンを使用していないベースライン プロファイルの設定は、読み取り専用になります。 名前、説明、割り当ての編集など、古いプロファイルを引き続き使用できますが、それらの設定を編集したり、古いバージョンに基づいて新しいプロファイルを作成したりすることはできません。
ライブ プロファイルを更新する前に、既存のプロファイルのコピーでバージョンの更新をテストすることをお勧めします。
プロファイルのバージョンを変更する際に、次のことを行います。
同じベースラインの最新のインスタンスを選択します。 2 つの異なるベースラインの種類間で変更することはできません。たとえば、Defender for Endpoint のベースラインを使っているプロファイルを、MDM セキュリティ ベースラインを使うように変更することはできません。
関連する 2 つのベースライン バージョン間の変更を一覧表示する CSV ファイルをエクスポートおよびダウンロードできます。
プロファイルを更新する方法を選択します。
- 元のベースライン バージョンからのすべてのカスタマイズを保持できます。
- ベースラインの新しいバージョンのすべての設定に既定値を使用するように選択できます。
更新中にプロファイルの一部の設定のみを変更することはできません。
変換中:
以前のバージョンで使用していなかった新しい設定が追加されます。 新しいバージョンの新しい設定では、既定値が使用されます。
選択した新しいベースラインのバージョンに含まれない設定は削除され、このセキュリティ ベースラインのプロファイルではもう適用されません。
ある設定がベースラインのプロファイルによってもう管理されない場合、その設定はデバイス上でリセットされません。 代わりに、デバイス上の設定は、他のなんらかのプロセスによりその設定が管理されて変更されるまで、その最後の構成に設定されたままとなります。 設定の管理をやめた後にそれを変更する可能性があるプロセスの例としては、別のベースラインのプロファイル、グループ ポリシーの設定、またはデバイス上で行われる手動の構成などがあります。
ベースラインの新しいバージョンへの変換が完了すると:
- ベースラインは、割り当てられたグループに直ちに再展開されます。
- ベースラインを編集して個々の設定を変更することができます。
変換および更新されたベースラインのテスト
ベースライン プロファイルを新しいバージョンに更新する前に、そのコピーを作成して、デバイス グループでプロファイルの新しいバージョンをテストできるようにします。 この記事で後述する「セキュリティ ベースラインを複製する」を参照してください。
- コピーを作成すると、グループの割り当ては含まれません。つまり、コピーを作成した時点または新しいバージョンに更新した時点で、ベースライン コピーはどのデバイスにも展開されません。
- プロファイルを最新バージョンに更新すると、その設定を編集できるようになります。 更新されたコピーをデバイスのグループに割り当て、それを編集して、プロファイル内の個々の設定に変更を加えることができます。
プロファイルのベースラインのバージョンを変更するには
グループに割り当てられているプロファイルのバージョンを更新する前に、プロファイルのコピーに対してバージョンの更新をテストして、デバイスのテスト グループで新しいベースライン設定を検証できるようにします。
Microsoft Intune 管理センターにサインインします。
[エンドポイント セキュリティ]>[セキュリティ ベースライン] の順に選択し、変更するプロファイルが含まれているベースラインの種類のタイルを選択します。
次に、[プロファイル] を選択した後、編集するプロファイルのチェック ボックスをオンにして、[バージョンの変更] を選択します。
[バージョンの変更] ウィンドウで、[Select a security baseline to update to]\(更新先のセキュリティ ベースラインを選択する\) ドロップダウンを使い、使用するバージョンのインスタンスを選択します。
[Review update]\(更新のレビュー\) を選択し、プロファイルの現在のインスタンスのバージョンと選択した新しいバージョン間の違いを表示する CSV ファイルをダウンロードします。 このファイルを確認し、どの設定が新規作成または削除されるのか、また更新されたプロファイルでのこれらの設定の規定値は何かを把握します。
準備ができたら、次の手順に進みます。
[Select a method to update the profile]\(プロファイルを更新する方法を選択する\) の 2 つのオプションのいずれかを選択します。
- [Accept baseline changes but keep my existing setting customizations]\(ベースラインの変更は受け入れるが、既存の設定のカスタマイズは保持する\) - このオプションでは、ベースラインのプロファイルに加えたカスタマイズが保持され、使うことを選択した新しいバージョンにそれらが適用されます。
- [Accept baseline changes and discard existing setting customizations]\(ベースラインの変更を受け入れ、既存の設定のカスタマイズを破棄する\) - このオプションでは、元のプロファイルが完全に上書きされます。 更新されたプロファイルでは、すべての設定に既定値が使用されます。
[送信] を選択します。 プロファイルは選択したベースラインのバージョンに更新され、変換が完了すると、そのベースラインはすぐに割り当てられたグループに再展開されます。
セキュリティ ベースラインの割り当てを削除する
セキュリティ ベースライン設定がデバイスに適用されなくなった場合、またはベースラインの設定が [未構成] に設定されている場合、セキュリティ ベースラインの設定によっては、デバイス上の設定が管理済みの構成に戻らない可能性があります。 設定は CSP に基づいており、各 CSP は変更の削除を異なる方法で処理できます。
デバイスの設定を後から変更する可能性があるその他のプロセスには、別の、または新しいセキュリティ ベースライン、デバイス構成プロファイル、グループ ポリシー構成、デバイス上での設定の手動編集などがあります。
セキュリティ ベースラインを複製する
セキュリティ ベースラインの複製を作成することができます。 ベースラインを複製すると、類似しているが異なるベースラインをデバイスのサブセットに割り当てる場合に役立ちます。 複製を作成することで、ベースライン全体を手動で再作成する必要はありません。 代わりに、現在のいずれかのベースラインを複製して、新しいインスタンスに必要な変更のみを取り入れることができます。 特定の設定や、ベースラインの割り当て先のグループのみを変更することができます。
複製を作成するときは、コピーに新しい名前を付けます。 コピーは、元のと同じ設定構成とスコープ タグで作成されますが、割り当ては行われません。 割り当てを追加するには、新しいベースラインを編集する必要があります。
すべてのセキュリティ ベースラインで、複製の作成がサポートされています。
ベースラインを複製した後、新しいインスタンスを確認して編集し、構成を変更します。
ベースラインを複製するには
- Microsoft Intune 管理センターにサインインします。
- [Endpoint security]\(エンドポイント セキュリティ\)>[Security baselines]\(セキュリティ ベースライン\) に移動して、複製するベースラインの種類を選択し、[プロファイル] を選択します。
- 複製するプロファイルを右クリックして [複製] を選択するか、ベースラインの右側にある省略記号 ([...]) を選択して [複製] を選択します。
- ベースラインの新しい名前を指定し、[保存] を選択します。
更新すると、新しいベースライン プロファイルが管理センターに表示されます。
ベースラインを編集するには
新しいベースラインを選択し、[プロパティ] を選択します。
このビューで、次のカテゴリに対して [編集] を選択して、プロファイルを変更できます。
- 基本事項
- 課題
- スコープ タグ
- 構成の設定
プロファイル "構成設定" を "編集" できるのは、そのプロファイルで最新バージョンのセキュリティ ベースラインが使用されている場合だけです。 以前のバージョンを使用しているプロファイルの場合は、[設定] を展開すると、プロファイルの設定の構成を表示できますが、変更することはできません。 プロファイルが最新バージョンのベースラインに更新されると、プロファイルの設定を編集できるようになります。
変更が完了したら、[保存] を選択して編集内容を保存します。 他のカテゴリに編集を加える前に、カテゴリの編集内容を保存します。
古いベースライン バージョン
Microsoft Intune は、一般的な組織のニーズの変化に応じて、組み込みのセキュリティ ベースラインのバージョンを更新します。 新しいリリースごとに、特定のベースラインのバージョンが更新されます。 期待は、お客様がデバイス構成プロファイルの出発点として最新のベースライン バージョンを使用することです。
テナントに古いベースラインを使用するプロファイルが存在しなくなった場合、Microsoft Intune には使用可能な最新のベースライン バージョンが一覧表示されます。
以前のベースラインに関連付けられているプロファイルがある場合、その古いベースラインは引き続き一覧表示されます。
共同管理デバイス
Intune 管理デバイスのセキュリティ ベースラインは、Configuration Manager を使用した共同管理デバイスに似ています。 共同管理デバイスでは、Configuration Manager と Microsoft Intune を同時に使用して Windows 10/11 デバイスを管理します。 これにより、既存の Configuration Manager への投資を Intune のメリットへとクラウドで結び付けることができます。 Configuration Manager を使用していて、クラウドのメリットも必要な場合、共同管理の概要に関するページは優れたリソースです。
共同マネージド デバイスを使用する場合は、[デバイス構成] ワークロード (その設定) を Intune に切り替える必要があります。 詳細については、「デバイス構成ワークロード」セクションを参照してください。
次の手順
状態を確認し、ベースラインとプロファイルを監視します
利用可能なベースラインの最新バージョンの設定を確認します。