Microsoft 365 を使用したゼロ トラスト展開計画

この記事では、Microsoft 365 でゼロ トラストセキュリティを構築するための展開計画について説明します。 ゼロ トラストは、侵害を想定し、各要求が制御されていないネットワークから発生したかのように検証する新しいセキュリティ モデルです。 要求がどこから発生したか、アクセスするリソースに関係なく、ゼロ トラスト モデルでは"信頼しない、常に検証する" ことが教えられます。

この記事は、このポスターと共に使用してください。

アイテム 説明
Microsoft 365 ゼロ トラスト展開計画の図。
PDF | Visio
更新日: 2024 年 3 月
関連するソリューション ガイド

ゼロ トラスト セキュリティ アーキテクチャ

ゼロ トラストアプローチは、デジタル資産全体に及び、統合されたセキュリティ哲学とエンドツーエンド戦略として機能します。

この図は、ゼロ トラストに貢献する主要な要素の表現を示しています。

ゼロ トラスト セキュリティ アーキテクチャ

この図について:

  • セキュリティ ポリシーの適用は、ゼロ トラスト アーキテクチャの中心にあります。 これには、ユーザー アカウントのリスク、デバイスの状態、設定したその他の条件とポリシーを考慮した条件付きアクセスによる多要素認証が含まれます。
  • ID、デバイス、データ、アプリ、ネットワーク、その他のインフラストラクチャ コンポーネントはすべて、適切なセキュリティで構成されています。 これらのコンポーネントごとに構成されたポリシーは、全体的なゼロ トラスト戦略と調整されます。 たとえば、デバイス ポリシーは正常なデバイスの基準を決定し、条件付きアクセス ポリシーでは、特定のアプリとデータにアクセスするために正常なデバイスが必要です。
  • 脅威の保護とインテリジェンスは、環境を監視し、現在のリスクを表面化し、攻撃を修復するための自動アクションを実行します。

ゼロ トラストの詳細については、「Microsoft ゼロ トラスト ガイダンス センター」を参照してください。

Microsoft 365 のゼロ トラストの展開

Microsoft 365 は、環境にゼロ トラストを組み込むのに役立つ多くのセキュリティと情報保護機能を使用して意図的に構築されています。 多くの機能を拡張して、organizationが使用する他の SaaS アプリとこれらのアプリ内のデータへのアクセスを保護できます。

この図は、ゼロ トラスト機能をデプロイする作業を表しています。 この作業は、一緒に構成できる作業単位に分割され、下から上に作業して、前提条件の作業が完了したことを確認します。

Microsoft 365 ゼロ トラストデプロイ スタックを示す図。

この図について:

  • ゼロ トラストは、ID とデバイス保護の基礎から始まります。
  • 脅威保護機能は、セキュリティ上の脅威をリアルタイムで監視および修復するために、この基盤の上に構築されています。
  • 情報保護とガバナンスは、特定の種類のデータを対象とした高度な制御を提供し、最も重要な情報を保護し、個人情報の保護を含むコンプライアンス基準の遵守に役立ちます。

この記事では、クラウド ID を使用していることを前提としています。 この目的のガイダンスが必要な場合は、「 Microsoft 365 の ID インフラストラクチャをデプロイする」を参照してください。

ヒント

手順とエンド ツー エンドのデプロイ プロセスを理解したら、Microsoft 365 管理センターにサインインするときに、「Microsoft ゼロ トラスト セキュリティ モデルの高度なデプロイ ガイドを設定する」を使用できます。 このガイドでは、標準および高度なテクノロジの柱にゼロ トラスト原則を適用する手順について説明します。 サインインせずにガイドをステップ実行するには、 Microsoft 365 セットアップ ポータルにアクセスします。

手順 1: ゼロ トラスト ID とデバイス アクセス保護を構成する: 開始点ポリシー

最初の手順では、ID とデバイスのアクセス保護を構成して、ゼロ トラスト基盤を構築します。

ID とデバイスのアクセス保護ゼロ トラスト構成するプロセスを示す図。

詳細な規範的なガイダンスについては、「ID とデバイス アクセス保護ゼロ トラスト」を参照してください。 この一連の記事では、エンタープライズ クラウド アプリとサービス、その他の SaaS サービス、および Microsoft Entra アプリケーションで公開されているオンプレミス アプリケーションの Microsoft 365 へのアクセスをセキュリティで保護するために、一連の ID とデバイス アクセスの前提条件構成とMicrosoft Entra条件付きアクセス、Microsoft Intune、その他のポリシーについて説明します。プロキシ。

Includes 前提条件 を含まない
3 つのレベルの保護に対して推奨される ID とデバイス アクセス ポリシー:
  • 開始点
  • Enterprise (推奨)

次に関するその他の推奨事項:
  • 外部ユーザー (ゲスト)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 または E5

次のいずれかのモードでMicrosoft Entra IDします。
  • クラウド専用
  • パスワード ハッシュ同期 (PHS) 認証を使用したハイブリッド
  • パススルー認証を使用したハイブリッド (PTA)
  • フェデレーション
マネージド デバイスを必要とするポリシーのデバイス登録。 手順 2 を参照してください。Intuneを使用してエンドポイントを管理してデバイスを登録する

まず、開始点レベルを実装します。 これらのポリシーでは、デバイスを管理に登録する必要はありません。

開始点レベルのゼロ トラスト ID とアクセス ポリシーを示す図

手順 2: Intuneを使用してエンドポイントを管理する

次に、デバイスを管理に登録し、より高度なコントロールでデバイスの保護を開始します。

Intune要素を使用したエンドポイントの管理を示す図。

詳細な規範的ガイダンスについては、「Intuneを使用してデバイスを管理する」を参照してください。

Includes 前提条件 を含まない
Intuneを使用してデバイスを登録します。
  • 企業所有のデバイス。
  • Autopilot/automated
  • 在籍

ポリシーの構成:
  • App Protection ポリシー
  • コンプライアンス ポリシー
  • デバイス プロファイル ポリシー
エンドポイントをMicrosoft Entra IDに登録する 次のような情報保護機能の構成:
  • 機密情報の種類
  • ラベル
  • DLP ポリシー

これらの機能については、 手順 5 を参照してください。機密データの保護と管理 (この記事の後半)。

詳細については、「Microsoft Intuneのゼロ トラスト」を参照してください。

手順 3: ゼロ トラスト ID とデバイス アクセス保護を追加する: エンタープライズ ポリシー

デバイスを管理に登録すると、推奨されるゼロ トラスト ID とデバイス アクセス ポリシーの完全なセットを実装できるようになり、準拠しているデバイスが必要になります。

デバイス管理を使用したゼロ トラスト ID ポリシーとアクセス ポリシー

[共通 ID とデバイス アクセス ポリシー] に戻り、エンタープライズ層にポリシーを追加します。

Enterprise (推奨) 層のゼロ トラスト ID とアクセス ポリシーを示す図。

手順 4: Microsoft Defender XDRを評価、パイロット、デプロイする

Microsoft Defender XDRは、エンドポイント、電子メール、アプリケーション、ID など、Microsoft 365 環境全体からシグナル、脅威、アラート データを自動的に収集、関連付け、分析する拡張検出および応答 (XDR) ソリューションです。

ゼロ トラスト アーキテクチャにMicrosoft Defender XDRを追加するプロセス

Microsoft Defender XDR コンポーネントのパイロットとデプロイに関する方法的なガイドについては、「Microsoft Defender XDRの評価とパイロット」を参照してください。

Includes 前提条件 を含まない
すべてのコンポーネントの評価とパイロット環境を設定します。
  • Defender for Identity
  • Defender for Office 365
  • Defender for Endpoint
  • Microsoft Defender for Cloud Apps

脅威から保護する

脅威の調査と対応
Microsoft Defender XDRの各コンポーネントのアーキテクチャ要件については、ガイダンスを参照してください。 Microsoft Entra ID 保護は、このソリューション ガイドには含まれていません。 これは手順 1 に含まれています。ゼロ トラスト ID とデバイス アクセス保護を構成します。

詳細については、次の追加のゼロ トラスト記事を参照してください。

手順 5: 機密データを保護および管理する

Microsoft Purview 情報保護を実装して、どこにいても機密情報を検出、分類、保護するのに役立ちます。

Microsoft Purview 情報保護機能は Microsoft Purview に含まれており、データを把握し、データを保護し、データ損失を防ぐためのツールを提供します。

ポリシーの適用によるデータの保護に関する情報保護機能

この作業は、この記事で前に示したデプロイ スタックの上部に表示されますが、この作業はいつでも開始できます。

Microsoft Purview 情報保護には、特定のビジネス目標を達成するために使用できるフレームワーク、プロセス、および機能が用意されています。

Microsoft Purview 情報保護

情報保護を計画および展開する方法の詳細については、「Microsoft Purview 情報保護 ソリューションをデプロイする」を参照してください。

データ プライバシー規制の情報保護を展開する場合、このソリューション ガイドには、プロセス全体に推奨されるフレームワークが用意されています。 Microsoft 365 を使用してデータ プライバシー規制の情報保護を展開します。