セキュリティ ベースラインを使用して、Microsoft Intune で管理する Windows デバイスをセキュリティで保護する

Microsoft Intune のセキュリティ ベースラインを使用すると、Windows セキュリティ ベースラインの管理対象 Windows デバイスに推奨されるセキュリティ体制を迅速に展開して、ユーザーとデバイスのセキュリティを保護し、保護することができます。

Windows と Windows Server は、すぐに使用できるように安全に設計されていますが、多くの組織は、セキュリティ構成をよりきめ細かく制御することを望んでいます。 多数のコントロールをナビゲートするために、組織はさまざまなセキュリティ機能の構成に関するガイダンスを求めることがよくあります。 Microsoft は、セキュリティ ベースラインの形式でこのガイダンスを提供しています。

この機能は、以下に適用されます。

  • Windows 10 バージョン 1809 以降
  • Windows 11

Intune セキュリティ ベースラインの概要

各セキュリティ ベースラインは、関連するセキュリティ チームが推奨する詳細なセキュリティ設定を適用および適用するのに役立つ、構成済みの Windows 設定のグループです。 展開する各ベースラインをカスタマイズして、必要な設定と値のみを適用することもできます。 Intune でセキュリティ ベースラインのプロファイルを作成する場合、複数の "デバイス構成" プロファイルで構成されたテンプレートを作成することになります。

各ベースラインの設定は、さまざまな Intune ポリシーにあるようなデバイス構成設定です。 ベースラインの各設定は、マネージド Windows デバイスに存在する関連製品の構成サービス プロバイダーと連携します。

セキュリティ ベースラインを展開する理由と時期の詳細については、Windows セキュリティ ドキュメントの「Windows セキュリティ ベースライン」を参照してください。

セキュリティ ベースラインは Intune のユーザーまたはデバイスのグループに展開し、設定は Windows 10 または 11 を実行するデバイスに適用されます。 たとえば、 Windows 10 以降のセキュリティ ベースライン の既定の構成では、リムーバブル ドライブの BitLocker が自動的に有効になり、デバイスのロックを解除するためのパスワードが自動的に必要になり、基本認証が自動的に無効になります。 既定値がご利用の環境でうまく機能しない場合は、ベースラインをカスタマイズして必要な設定を適用してください。

注:

2023 年 5 月、Intune は新しいベースライン リリースまたはバージョン更新プログラムごとに新しいセキュリティ ベースライン形式のロールアウトを開始しました。 新しい形式では、ベースライン設定が管理する構成サービス プロバイダー (CSP) から名前と構成オプションを直接取得するようにベースライン設定が更新されます。

Intune では、既存のセキュリティ ベースライン プロファイルを新しいベースライン バージョンに移行するのに役立つ新しいプロセスも導入されました。 この新しい動作は、古いプロファイルの最新バージョンから 2023 年 5 月以降に利用可能になった新しいバージョンに移行するときの通常の更新動作を置き換える 1 回限りのプロセスです。

ベースラインを使用する利点:
セキュリティ ベースラインは、Microsoft 365 を使用するときにエンドツーエンドのセキュリティで保護されたワークフローを用意するのに役立ちます。 次のような利点があります。

  • 既定では、各セキュリティ ベースラインは、セキュリティに影響を与える設定のベスト プラクティスと推奨事項を満たすように構成されます。 Intune は、グループ ポリシーのセキュリティのベースラインを作成する場合と同じ Windows セキュリティ チームとパートナー関係を結んでいます。 このような推奨事項はガイダンスと豊富な経験に基づいています。
  • Intune を初めて使用していて、どこから開始すればいかわからない場合は、セキュリティ ベースラインがメリットを得られます。 組織のリソースとデータの保護に役立つことがわかっているので、セキュリティで保護されたプロファイルをすばやく作成して展開できます。
  • 現在グループ ポリシーを使用している場合は、これらのベースラインを使用して管理のために Intune に移行する方が簡単です。 これらのベースラインは Intune にネイティブに組み込まれており、最新の管理エクスペリエンスが含まれています。

複数のベースラインにわたる既定の設定:
Windows の MDM セキュリティ ベースラインや Microsoft Defender のベースラインなどの個別のベースラインの種類には、同じ設定が含まれており、それらの設定に異なる既定値が使用される場合があります。 Intune では、最適な構成、または別の基準の既定の推奨事項を使用する環境やシナリオを特定できません。

  • 使用するベースラインの既定値を理解し、組織のニーズに合わせて各ベースラインを変更することが重要です。
  • 既定では、各ベースラインは、適用される製品に固有の推奨事項を使用して事前構成されます。
  • 場合によっては、Microsoft Defender が推奨する構成が、Windows で推奨されている場合、同様の設定の既定の構成ではない可能性があります。 このような状況では、構成サービス プロバイダーの詳細と 2 つの製品のより大きな範囲に基づいて意図を理解できるように、各設定を確認することが重要です。

ほぼすべてのシナリオで、セキュリティ ベースラインの既定の設定が最も制限されています。 これらの設定が環境内の他のポリシー設定や機能と競合しないことを確認する必要があります。

たとえば、ファイアウォール構成の既定の設定では、接続セキュリティ規則とローカル ポリシー規則が MDM 規則とマージされない場合があります。 そのため、配信の最適化を使用している場合は、セキュリティ ベースラインを割り当てる前に、これらの構成を検証する必要があります。

注:

Microsoft は、プレビュー バージョンのセキュリティ ベースラインを運用環境で使うことをお勧めしません。 プレビュー版ベースラインの設定は、プレビューの過程で変更される可能性があります。

使用可能なセキュリティ ベースライン

Intune では、次のセキュリティ ベースラインのインスタンスを使用できます。 リンクを使用して、各ベースラインの最新インスタンスに関する設定を確認してください。

プロファイルの新しいバージョンが使用可能になると、以前のバージョンに基づくプロファイルの設定が読み取り専用になります。 これらの古いプロファイルは引き続き使用できます。 プロファイル名、説明、割り当てを編集することもできますが、設定構成の変更はサポートされておらず、以前のバージョンに基づいて新しいプロファイルを作成することはできません。

より新しいベースライン バージョンを使用する準備ができたら、新しいプロファイルを作成するか、既存のプロファイルを新しいバージョンに更新できます。 セキュリティ ベースライン プロファイルの管理に関する記事の「プロファイルのベースラインのバージョンを変更する」を参照してください。

ベースラインのバージョンとインスタンスについて

ベースラインの新しいバージョンの各インスタンスでは、設定が追加または削除されたり、その他の変更が導入されたりする可能性があります。 たとえば、新しいバージョンの Windows 10/11 で新しい Windows 設定を使用できるようになると、 Windows 10 以降のセキュリティ ベースライン は、最新の設定を含む新しいバージョン インスタンスを受け取る場合があります。

使用可能なベースラインの一覧は、 Microsoft Intune 管理センター[エンドポイント セキュリティ>セキュリティ ベースライン] で確認できます。 この一覧には次のものが含まれます。

  • 各セキュリティ ベースライン テンプレートの名前。
  • そのベースラインの種類を使用するプロファイルの所有数。
  • ベースラインの種類の個別インスタンス (バージョン) のうち利用可能な数。
  • 最新バージョンのベースライン テンプレートが利用可能になった日を特定する "最終発行日" の日付。

使用するベースライン バージョンの詳細を表示するには、 Windows 10 以降のセキュリティ ベースラインなど、ベースラインの 種類を選択して [ プロファイル ] ウィンドウを開き、[ バージョン] を選択します。 Intune によって、プロファイルで使用されているそのベースラインのバージョンに関する詳細が表示されます。 詳細には、最新の現行ベースライン バージョンが含まれます。 1 つのバージョンを選択して、そのバージョンを使用している各プロファイルに関するより詳しい情報を確認できます。

指定したプロファイルで使用されているベースラインのバージョンを変更することもできます。 バージョンを変更したとき、更新したバージョンを活用するために新しいベースラインのプロファイルを作成する必要はありません。 代わりに、ベースラインのプロファイルを選択して、そのプロファイルのインスタンスのバージョンを新しいものに変更する、組み込みのオプションを使うことができます。

競合を回避する

お使いの Intune 環境で、1 つ以上の使用可能なベースラインを同時に使用することができます。 また、同じセキュリティ ベースラインの、カスタマイズが異なる複数のインスタンスを使用することもできます。

複数のセキュリティ ベースラインを使用するときは、それぞれの設定を確認し、異なるベースライン構成によって同じ設定に対して競合する値が発生する場合を特定してください。 異なる目的のために設計された複数のセキュリティ ベースラインを展開したり、同じベースラインのカスタマイズされた設定を含む複数のインスタンスを展開したりすることができます。そのため、調査して解決する必要のある、デバイスに対して競合した構成を作成する可能性があります。

また、セキュリティ ベースラインでは、デバイス構成プロファイルまたはその他の種類のポリシーを使用して設定する場合がある同じ設定を管理することがよくあります。 したがって、競合を回避または解決する場合は、設定に関する他のポリシーとプロファイルを認識し、検討してください。

競合の特定と解決に役立つ情報については、次を参照してください。

Q & A

これらの設定の理由を教えてください。

Microsoft セキュリティ チームは、これらの推奨事項を作成するために、Windows の開発者とセキュリティ コミュニティと長年にわたって直接協力してきました。 このベースラインの設定は、関連性の特に高いセキュリティ関連の構成オプションと考えられています。 Windows の新しいビルドごとに、チームは新しくリリースされた機能に基づいて推奨事項を調整しています。

グループ ポリシーと Intune のセキュリティ ベースラインの Windows への推奨事項に違いはありますか?

同じ Microsoft セキュリティ チームが、各ベースラインの設定を選択し、編成しています。 Intune には、Intune のセキュリティのベースラインに関連する設定がすべて含まれています。 グループ ポリシー ベースラインには、オンプレミス ドメイン コントローラーに固有の設定がいくつかあります。 このような設定は Intune の推奨事項から除外されています。 他の設定はすべて同じです。

Intune のセキュリティのベースラインは CIS または NIST に準拠していますか。

厳密に言えば、"いいえ" です。 Microsoft セキュリティ チームは、CIS などの組織に、その推奨事項をまとめるように依頼しています。 ただし、"CIS 準拠" と Microsoft ベースラインの間には 1 対 1 のマッピングはありません。

Microsoft のセキュリティ ベースラインにはどのような認定資格がありますか?

Microsoft は、グループ ポリシー (GPO) および Security Compliance Toolkit 用のセキュリティのベースラインを長年にわたって公開し続けています。 これらのベースラインは多くの組織で使用されています。 これらのベースラインの推奨事項は、Microsoft セキュリティ チームと、米国国防総省 (DoD)、National Institute of Standards and Technology (NIST) などの企業のお客様および外部機関との関わりから得られたものです。 Microsoft の推奨事項とベースラインは、これらの組織と共有しています。 また、これらの組織には、Microsoft の推奨事項を厳密に反映した独自の推奨事項もあります。 モバイル デバイス管理 (MDM) がクラウドへと成長を続けた過程で、Microsoft はこのようなグループ ポリシーのベースラインと同等の MDM の推奨事項を作成しました。 これらのベースラインの多くは Microsoft Intune に組み込まれており、ベースラインに従う (または従わない) ユーザー、グループ、デバイスに関するコンプライアンス レポートが含まれています。

多くのお客様は、出発点として Intune ベースラインの推奨事項を使用し、IT とセキュリティの要求を満たすようにカスタマイズします。 Microsoft の Windows 10 以降のベースライン テンプレートは、リリースする最初のベースラインでした。 このベースラインは、CIS、NIST などの標準に基づいて、お客様が他のセキュリティのベースラインを最終的にインポートできるようにするための汎用のインフラストラクチャとして構築されています。

Microsoft Intune で Microsoft Entra ID を使用して、オンプレミスの Active Directory グループ ポリシーから純粋なクラウド ソリューションに移行することは、体験です。 ヘルプが必要であれば、セキュリティ コンプライアンス ツールキットのさまざまなツールをご利用ください。これは、オンプレミス GPO 構成に置き換わることができるセキュリティ ベースラインからクラウドベースのオプションを見つけるのに役立ちます。

セキュリティ ベースラインで使用できる設定の使用または構成の詳細はどこで確認できますか?

各セキュリティ ベースラインは、デバイス上の構成サービス プロバイダーにあるオプションを適用することで、デバイスの構成を管理します。 たとえば、Microsoft Defender に適用される設定は、Microsoft Defender CSP から取得されます。 Intune は、これらのオプションの構成手段であり、その機能やスコープを決定しないため、CSP ドキュメントは各オプションを構成する方法のコンテンツを所有しています。

Intune セキュリティ ベースライン ポリシー UI 内で、Intune はソース CSP から取得された情報テキストを提供し、その CSP へのリンクを提供します。 場合によっては、CSP が大規模なコンテンツ セットの一部であり、Intune の範囲を超えてコンテンツに含めたり複製したりするプロアクティブ なガイダンスが含まれている場合があります。 ただし、Intune では、各セキュリティ ベースライン バージョンとその既定の構成の設定の一覧が文書化されます。

次の手順