Microsoft Intune とのゼロ トラスト
ゼロ トラスト は、次のセキュリティ原則のセットを設計および実装するためのセキュリティ戦略です。
| 明確に確認する | 最小限の特権アクセスを使用する | 侵害を想定する |
|---|---|---|
| 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。 | Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、およびデータ保護を使用して、ユーザー アクセスを制限します。 | ブラスト半径とセグメントアクセスを最小限に抑えます。 エンドツーエンドの暗号化を確認し、分析を使用して可視性を高め、脅威検出を推進し、防御を強化します。 |
ゼロ トラストのデバイスとアプリケーションの認証、承認、保護
Intune を使用して、組織所有およびユーザーの個人デバイス上のアクセスとデータを保護し、ゼロ トラストをサポートするコンプライアンスとレポート機能を備えることができます。
| ゼロ トラスト原則 | Intune がどのように役立つか |
|---|---|
| 明確に確認する | Intune では、アプリ、セキュリティ設定、デバイス構成、コンプライアンス、Microsoft Entra 条件付きアクセスなどのポリシーを構成できます。 これらのポリシーは、リソースへのアクセスの認証と承認プロセスの一部になります。 |
| 最小限の特権アクセスを使用する | Intune では、アプリの展開、更新、削除など、組み込みのアプリ エクスペリエンスを使用してアプリ管理を簡略化します。 プライベート アプリ ストアに接続してアプリを配布したり、Microsoft 365 アプリを有効にしたり、Win32 アプリを展開したり、アプリ保護ポリシーを作成したり、アプリとそのデータへのアクセスを管理したりできます。
Endpoint Privilege Management (EPM) を使用すると、組織のユーザーを標準ユーザー (管理者権限なし) として実行しながら、それらの同じユーザーが管理者特権を必要とするタスクを完了できるようにします。 Windows ローカル管理者パスワード ソリューション (LAPS) の Intune ポリシーは、Windows デバイスでローカル管理者アカウントをセキュリティで保護するのに役立ちます。 ローカル管理者アカウントは削除できず、デバイスに対する完全なアクセス許可を持っているため、組み込みの Windows 管理者アカウントを管理できることは、組織をセキュリティで保護するための重要な手順です。 |
| 侵害を想定する | Intune は、Microsoft Defender for Endpoint やサード パーティのパートナー サービスなど、モバイル脅威防御サービスと統合されます。 これらのサービスを使用すると、脅威に対応するエンドポイント保護のポリシーを作成し、リアルタイムのリスク分析を行い、修復を自動化できます。 |
次の手順
ゼロ トラストの詳細と、 ゼロ トラスト ガイダンス センターを使用してエンタープライズ規模の戦略とアーキテクチャを構築する方法について説明します。
デバイス中心の概念と展開の目的については、「 ゼロ トラストによるエンドポイントのセキュリティ保護」を参照してください。
Microsoft 365 の Intune については、「Intune を 使用したデバイスの管理の概要」を参照してください。
Microsoft 365 でのゼロ トラスト展開計画を使用した強力なゼロ トラスト戦略とアーキテクチャに貢献するその他 の Microsoft 365 機能について詳しく説明します。