デバイスを Microsoft Defender for Endpoint にオンボードする

  • 10 分

Intune で Microsoft Defender for Endpoint のサポートを有効にすると、Intune と Microsoft Defender for Endpoint の間にサービス間接続が確立されます。 接続が確立した後は、組織が Intune で管理するデバイスを Microsoft Defender for Endpoint にオンボードできます。 オンボードすると、デバイスのリスク レベルに関するデータを収集できるようになります。

前のユニットでは、Microsoft Defender for Endpoint を Intune と統合できるよう構成する方法について説明しました。 引き続いて、このユニットでは統合プロセスを取り上げます。 以下の手順に従ってデバイスをオンボードし、コンプライアンス ポリシーと条件付きアクセス ポリシーを構成する方法を説明します。

  • Android、iOS/iPadOS、Windows 10/11 を実行するデバイスをオンボードする。

  • コンプライアンス ポリシーを使用してデバイスのリスク レベルを設定する。

  • コンプライアンス アクセス ポリシーを使用して、想定されるリスク レベルを超えるデバイスをブロックします。

    注:

    Android および iOS/iPadOS デバイスでは、デバイスのリスク レベル を設定するアプリ保護ポリシー が使用されます。 アプリ保護ポリシーは、登録されているデバイスと登録されていないデバイスの両方で動作します。

次のセクションでは、これらの手順について説明します。

Windows デバイスのオンボード

Intune と Microsoft Defender for Endpoint を接続すると、Intune は Microsoft Defender for Endpoint からオンボード構成パッケージを受信します。 その後、組織は Microsoft Defender for Endpoint のデバイス構成プロファイルを使用して Windows デバイスにパッケージを展開します。

構成パッケージによってデバイスが構成され、Microsoft Defender for Endpoint サービスと通信を行ってファイルのスキャンや脅威の検出が実行されます。 また、デバイスはそれ自体のリスク レベルを Microsoft Defender for Endpoint に報告します。 リスク レベルは組織のコンプライアンス ポリシーに基づいて定義されます。

注:

構成パッケージを使用してデバイスをオンボードした後は、再度これを行う必要はありません。

デバイスをオンボードする際は以下の方法を使用することもできます。

  • エンドポイントでの検出と対応 (EDR) ポリシー。 Intune EDR ポリシーは、Intune でのエンドポイント セキュリティの一部です。 Intune 管理センターの Microsoft Defender for Endpoint ページには、Intune のエンドポイント セキュリティの一部である EDR ポリシー作成ワークフローを直接開くリンクが含まれています。 組織は、EDR ポリシーを使用して、デバイス構成プロファイルで見つかった設定の大きな本文のオーバーヘッドなしで、デバイスのセキュリティを構成できます。 また、テナントに接続されたデバイスで EDR ポリシーを使用することもできます。 組織は Configuration Manager を使用してこれらのデバイスを管理します。

    Intune と Microsoft Defender for Endpoint を接続した後、EDR ポリシーを構成すると、ポリシー設定 [Microsoft Defender for Endpoint クライアント構成パッケージの種類] に、[コネクタから自動取得] という新しいオプションが追加されます。 このオプションを使用すると、Intune は Defender for Endpoint の展開からオンボード パッケージ (BLOB) を自動的に取得し、[オンボード] パッケージを手動で構成する必要が置き換えられます。

  • デバイス構成プロファイル。 Windows デバイスをオンボードするためのデバイス構成ポリシーを作成する場合は、 Microsoft Defender for Endpoint テンプレートを選択します。 Intune を Defender に接続すると、Intune は Defender からオンボード構成パッケージを受け取ります。 このパッケージは、 Microsoft Defender for Endpoint サービス と通信し、ファイルをスキャンして脅威を検出するようにデバイスを構成するためにテンプレートによって使用されます。 オンボードされたデバイスでは、コンプライアンス ポリシーに基づいて、リスク レベルも Microsoft Defender for Endpoint に報告されます。 構成パッケージを使用してデバイスをオンボードした後は、再度これを行う必要はありません。

  • グループ ポリシーまたは Microsoft Endpoint Configuration Manager。 Microsoft Defender for Endpoint の設定の詳細については、「Microsoft Configuration Manager を使用した Windows マシンのオンボード」を参照してください。

ヒント

デバイス構成ポリシーやエンドポイント検出と応答ポリシーなどの複数のポリシーまたはポリシーの種類を使用して、同じデバイス設定 (Defender for Endpoint へのオンボードなど) を管理する場合、デバイスのポリシー競合を作成できます。 詳細については、セキュリティ ポリシーの管理に関する記事の「競合の管理」を参照してください。

デバイス構成プロファイルを作成して Windows デバイスをオンボードする

  1. はじめに、Microsoft Intune 管理センターに移動します。 そのために、Microsoft 365 管理センターのナビゲーション ウィンドウで、[すべて表示] を選択します。 [管理センター] グループで、[エンドポイント マネージャー] を選択します。

  2. Microsoft Intune 管理センターで、左側のナビゲーション ウィンドウにある [エンドポイント セキュリティ] を選択します。

  3. エンドポイント セキュリティ |[概要] ページの中央のウィンドウの [管理] セクションで、[エンドポイントの検出と応答] を選択します。

  4. エンドポイント セキュリティ |[エンドポイントの検出と応答] ページで、メニュー バーで [+ポリシーの作成] を選択します。

  5. 表示される [プロファイルの作成] ウィンドウで、[プラットフォーム] フィールドで [Windows 10 以降] を選択します。

  6. [プロファイル] フィールドで、[エンドポイントの検出と応答] を選択します。

  7. [作成] を選択します。 これにより、 プロファイルの作成 ウィザードが開始されます。

  8. [プロファイルの作成] ウィザードの [基本] タブで、プロファイルの [名前] と [説明] (省略可能) を入力し、[次へ] を選択します。

  9. [ 構成設定 ] タブで、[ エンドポイントの検出と応答 ] に次のオプションを構成し、[ 次へ] を選択します。

    • Microsoft Defender for Endpoint クライアント構成パッケージの種類。 Defender for Endpoint デプロイのオンボード パッケージ (BLOB) を使用するには、[ コネクタから自動 ] を選択します。 別の Defender for Endpoint デプロイにオンボードする場合は、[ オンボード ] を選択し、 WindowsDefenderATP.onboarding BLOB ファイルのテキストを [オンボード (デバイス)] フィールドに貼り付けます。
    • サンプル共有。 Microsoft Defender for Endpoint の、サンプル共有の構成パラメーターを取得または設定します。
    • [非推奨] テレメトリ レポートの頻度。 リスクの高いデバイスの場合は、この設定 を有効に して、テレメトリをより頻繁に Microsoft Defender for Endpoint サービスに報告します。

    Microsoft Defender for Endpoint の設定の詳細については、「Microsoft Endpoint Configuration Manager を使用した Windows マシンのオンボード」を参照してください。

    [プロファイルの作成] ページの、[エンドポイントでの検出と対応] 設定に関する構成オプションのスクリーンショット。

  10. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

  11. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 ユーザー グループに展開する場合、ユーザーはポリシーが適用される前にデバイスにサインインする必要があり、デバイスは Defender for Endpoint にオンボードできます。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  12. [確認および作成] ページで、完了したら、[作成] を選択します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。 [ OK] を選択し、[ 作成 ] を選択して変更を保存し、プロファイルを作成します。

macOS デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に macOS デバイスをオンボードできます。 オンボードによって Microsoft Defender Endpoint と通信するようにデバイスが構成され、その後、デバイスのリスク レベルに関するデータが収集されます。

追記。 Intune の構成ガイダンスの詳細については、「 Microsoft Defender for Endpoint for macOS」を参照してください。 macOS デバイスのオンボードの詳細については、「 Microsoft Defender for Endpoint for Mac」を参照してください。

Android デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に Android デバイスをオンボードできます。 オンボードによって Defender for Endpoint と通信するようにデバイスが構成され、その後、デバイスのリスク レベルに関するデータが収集されます。

Android を実行するデバイス用の構成パッケージはありません。 代わりに、Android の前提条件とオンボード手順については、「 Android 用 Microsoft Defender for Endpoint の概要 」を参照してください。 Android を実行するデバイスの場合、Intune ポリシーを使用して、Android に対する Microsoft Defender for Endpoint を変更することもできます。

追記。 詳細については、Microsoft Defender for Endpoint の Web 保護に関するページを参照してください。

iOS/iPadOS デバイスをオンボードする

Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立した後は、Microsoft Defender for Endpoint に iOS/iPadOS デバイスをオンボードできます。 オンボードすることで、Defender for Endpoint と通信できるようにデバイスが構成されます。 以後、デバイスのリスク レベルに関するデータが収集されます。

iOS および iPadOS を実行するデバイス用の構成パッケージはありません。 代わりに、iOS/iPadOS の前提条件とオンボード手順については、「 iOS 用 Microsoft Defender for Endpoint の概要 」を参照してください。

iOS/iPadOS (監視モード) を実行するデバイスでは、この種のデバイスのプラットフォームに用意されている高度な管理能力を使った特別な機能を利用できます。 それらの機能を利用するには、デバイスが監視モードで動作していることを Defender アプリが認識できる必要があります。 Intune を使用すると、アプリ構成ポリシー (マネージド デバイス用) を使用して Defender for iOS アプリを構成できます。 ベスト プラクティスとして、このポリシーはすべての iOS デバイスを対象とする必要があります。 詳細については、「 監視対象デバイスの完全な展開」を参照してください。

  1. 前に指示したように 、Microsoft Intune 管理センター に移動します。
  2. Microsoft Intune 管理センターで、左側のナビゲーション ウィンドウで [アプリ] を選択します。
  3. アプリ | [概要 ] ページの中央のウィンドウの [ ポリシー ] セクションで、[ アプリ構成ポリシー] を選択します。
  4. アプリ | [アプリ構成ポリシー] ページで 、メニュー バーの [+追加] を選択します。 表示されるドロップダウン メニューで、[ 管理対象デバイス] を選択します。 これにより、 アプリ構成ポリシーの作成 ウィザードが開始されます。
  5. アプリ構成ポリシー ウィザードの [基本] タブで、ポリシーの [名前] と [説明] (省略可能) を入力します。
  6. [プラットフォーム] フィールドで、[iOS/iPadOS] を選択します。
  7. [対象アプリ] の右側にある [アプリの選択] リンクを選択します。
  8. 表示された [ 関連付けられたアプリ ] ウィンドウで、[ Word ] を選択し、[ 次へ] を選択します。
  9. [次へ] をクリックします。
  10. [ 設定 ] タブで、[ 構成設定] の形式 を [ 構成デザイナーを使用する] に設定します。
  11. 表示される [構成キー ] フィールドに「 issupervised」と入力します。
  12. [ 値の種類 ] フィールドで、[文字列] を選択 します
  13. [ 構成値 ] フィールドに 「{{issupervised}}」と入力します。
  14. [設定] タブの [次へ] を選択します。
  15. [ 割り当て ] タブで、このプロファイルを受信するグループを選択します。 このシナリオでは、[含まれるグループ] の下のメニュー バーで [+すべてのデバイスを追加] を選択します。 すべてのデバイスをターゲットにすることをお勧めします。 管理者がユーザー グループにユーザーを展開する場合、ユーザーはポリシーを適用する前にデバイスにサインインする必要があります。
  16. [割り当て] タブで [次へ] を選択します。
  17. [ 確認と作成 ] ページで、詳細の確認と確認が完了したら、[ 作成 ] を選択します。 新しいポリシーは、アプリ構成ポリシーの一覧に表示されます。 すぐに表示されない場合は、メニュー バーの [最新の情報に更新] オプションを選択します。

追記。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

iOS/iPadOS を実行するデバイス (監視モード) の場合、Microsoft の Defender for iOS チームは custom.mobileconfig プロファイルを使用して iPad/iOS デバイスに展開できるようにしました。 このプロファイルは、Microsoft Defender for iOS の機能である安全な閲覧エクスペリエンスを確保するために、ネットワーク トラフィックを分析します。

  1. ".mobileconfig" プロファイルをダウンロードするには、このリンクを選択します。 https://aka.ms/mdatpiossupervisedprofile
  2. 前に指示したように 、Microsoft Intune 管理センター に移動します。
  3. Microsoft Intune 管理センターで、左側のナビゲーション ウィンドウで [デバイス] を選択します。
  4. デバイス | [概要 ] ページの中央のウィンドウの [ ポリシー ] セクションで、[ 構成プロファイル] を選択します。
  5. デバイス | [構成プロファイル] ページで、メニュー バーの [+プロファイルの作成 ] を選択します。
  6. 表示される [プロファイルの作成] ウィンドウで、[プラットフォーム] フィールドで [iOS/iPadOS] を選択します。 これにより、 アプリ構成ポリシーの作成 ウィザードが開始されます。
  7. アプリ構成ポリシー ウィザードの [基本] タブで、ポリシーの [名前] と [説明] (省略可能) を入力します。
  8. [プラットフォーム] フィールドで、[iOS/iPadOS] を選択します。
  9. [ プロファイルの種類 ] フィールドで、[テンプレート] を選択 します。 表示されるテンプレートの一覧で [ カスタム] を選択し、[ 作成] を選択します。 これにより、 カスタム ウィザードが開始されます。
  10. カスタム ウィザードの [基本] タブで、プロファイル説明 (省略可能) を入力し、[次へ] を選択します。
  11. [ 構成設定 ] タブで、 カスタム構成プロファイル名を入力します。
  12. [ 構成プロファイル ファイルの選択 ] フィールドで、フィールドの横にあるファイル アイコンを選択します。 表示された [エクスプローラー ] ウィンドウで、この演習の最初の手順でダウンロードした ".mobileconfig" ファイルを見つけて選択します。 ファイル名の下に表示されるテキスト ボックスに、このファイルのコードが表示されます。
  13. [構成設定] タブで [次へ] を選択します。
  14. [ 割り当て ] タブで、このプロファイルを受信するグループを選択します。 このシナリオでは、[含まれるグループ] の下のメニュー バーで [+すべてのデバイスを追加] を選択します。 すべてのデバイスをターゲットにすることをお勧めします。 管理者がユーザー グループにユーザーを展開する場合、ユーザーはポリシーを適用する前にデバイスにサインインする必要があります。
  15. [割り当て] タブで [次へ] を選択します。
  16. [ 確認と作成 ] ページで、詳細の確認と確認が完了したら、[ 作成 ] を選択します。 新しいポリシーは、アプリ構成ポリシーの一覧に表示されます。 すぐに表示されない場合は、メニュー バーの [最新の情報に更新] オプションを選択します。

デバイスのリスク レベルを設定するコンプライアンス ポリシーを作成して割り当てる

Android、iOS/iPadOS、Windows デバイスの場合、組織がデバイスに許容するリスク レベルはコンプライアンス ポリシーによって設定されます。 Microsoft Defender for Endpoint は、コンプライアンス ポリシーを評価要因の 1 つとして使用して、各デバイスの実際のリスク レベルの評価を実行します。

管理者が Microsoft Intune でコンプライアンス ポリシーを作成してデバイスのリスク レベルを設定する場合、組織のセキュリティ標準に準拠するためにデバイスが満たす必要がある条件を定義します。 コンプライアンス ポリシーは、デバイスの現在の状態をこれらの条件に照らして評価します。 その後、Microsoft Defender for Endpoint に送信されるコンプライアンス レポートが生成されます。

その後、Microsoft Defender for Endpoint は、コンプライアンス レポートと他のセキュリティ データと脅威インテリジェンスを分析して、デバイスの全体的なリスク レベルを判断します。 リスク レベルは、次のようなさまざまな要因に基づいています。

  • デバイスのコンプライアンス状態
  • デバイスのソフトウェアとハードウェアの構成
  • ネットワーク アクティビティ
  • 潜在的なセキュリティ脅威のその他の指標

まとめると、以下のようになります。

  • コンプライアンス ポリシーは、デバイスコンプライアンスの基準を定義します。
  • Microsoft Defender for Endpoint は、デバイスのリスク レベルの実際の評価を実行します。
  • Microsoft Intune は、デバイスにポリシーを展開して適用します。

コンプライアンス ポリシーの作成に慣れていない場合は、記事「Microsoft Intune でコンプライアンス ポリシーを作成する」の「ポリシーの作成」手順を参照してください。 以下に示す情報は、コンプライアンス ポリシー適用の一環として Microsoft Defender for Endpoint を構成する場合に特有なものです。

  1. 前に指示したように 、Microsoft Intune 管理センター に移動します。
  2. Microsoft Intune 管理センターで、左側のナビゲーション ウィンドウで [デバイス] を選択します。
  3. デバイス | [概要 ] ページの中央のウィンドウの [ ポリシー ] セクションで、[ コンプライアンス ポリシー] を選択します。
  4. コンプライアンス ポリシー |[ポリシー] ページで、メニュー バーの [+プロファイルの作成] を選択します。
  5. 表示される [ポリシーの作成] ウィンドウで、[プラットフォーム] フィールドを選択し、表示されるドロップダウン メニューからいずれかのプラットフォームを選択します。 [作成] を選択します。 これにより、[ 選択したプラットフォーム] コンプライアンス ポリシー ウィザードが開始されます。
  6. [選択したプラットフォーム] コンプライアンス ポリシー ウィザードの [基本] タブで、ポリシーの [名前] と [説明] (省略可能) を入力します。 [次へ] を選択します。
  7. [ コンプライアンス設定 ] タブで、[ Microsoft Defender for Endpoint ] グループを展開します。 [ コンピューター のリスク スコア] フィールドの下にある [デバイスを要求する ] を選択します。 表示されるドロップダウン メニューで、目的のレベルを選択します。 詳細については、「 Microsoft Defender for Endpoint による脅威レベルの分類の決定」を参照してください。
    • クリアにする。 このレベルはセキュリティ上最も安全です。 デバイスには既存のいかなる脅威も存在できず、引き続き会社のリソースにアクセスできます。 Microsoft Defender for Endpoint は、脅威を持つデバイスを非準拠として評価します。 (Microsoft Defender for Endpoint には値 [安全] が使用されます。)
    • 。 デバイスに低レベルの脅威のみが存在する場合、準拠していると判定されます。 Microsoft Defender for Endpoint は、脅威レベルが中または高のデバイスを非準拠として評価します。
    • 。 デバイスに低レベルまたは中レベルの脅威が存在する場合、準拠していると判定されます。 Microsoft Defender for Endpoint は、脅威レベルが高いデバイスを非準拠として評価します。
    • 。 すべての脅威レベルが許容される、最も安全性が低い設定です。 このポリシーは、脅威レベルが高、中、または低のデバイスを準拠として分類します。
  8. [コンプライアンス設定] タブで [次へ] を選択します。
  9. [非 準拠のアクション] タブで、非準拠デバイスで一連のアクションを追加します。 " デバイス非準拠のマーク" というタイトルの既定のアクションに注意してください。Microsoft Defender for Endpoint は、デバイスを非準拠として評価した直後に実行します。 アクションをすぐに実行したくない場合は、必要に応じてこのアクションの スケジュール を変更できます。 組織で必要に応じて、他の非準拠アクションを追加し、[ 次へ] を選択します。
  10. [ 割り当て ] タブで、このプロファイルを受信するグループを選択します。 このシナリオでは、[含まれるグループ] の下のメニュー バーで [+すべてのデバイスを追加] を選択します。 すべてのデバイスをターゲットにすることをお勧めします。 管理者がユーザー グループにユーザーを展開する場合、ユーザーはポリシーを適用する前にデバイスにサインインする必要があります。
  11. [割り当て] タブで [次へ] を選択します。
  12. [ 確認と作成 ] ページで、詳細の確認と確認が完了したら、[ 作成 ] を選択します。 ポリシーが作成されると、新しく作成されたポリシーのウィンドウが表示されます。

デバイスの脅威レベルを設定するアプリ保護ポリシーを作成して割り当てる

保護されたアプリのアプリ保護ポリシーを作成すると、Microsoft Intune によってデバイスにポリシーが展開されます。 その後、Microsoft Intune App Protection サービスによってポリシーが適用されます。 ただし、Microsoft Defender for Endpoint は、デバイスの脅威レベルの評価を実行します。 これを行うために、デバイスで潜在的なセキュリティの脅威と脆弱性を継続的に監視します。

アプリ保護ポリシーは、デバイス上のアプリとそのデータを保護するのに役立ちますが、デバイスの脅威レベルの評価には直接影響しません。 代わりに、Microsoft Defender for Endpoint は、次のようなさまざまな要因に基づいてデバイスの脅威レベルを決定します。

  • 脅威インテリジェンス
  • 行動分析
  • Microsoft Defender for Endpoint サービスによって収集および分析されたその他のセキュリティ データ。

まとめると、以下のようになります。

  • Microsoft Intune は、アプリ保護ポリシーを展開して適用します。
  • Microsoft Defender for Endpoint は、デバイスの脅威レベルを評価します。

iOS/iPadOS または Android のアプリ保護ポリシーを作成する手順を確認します。 次に、以下に示す情報に従って [アプリ]、[条件付き起動]、[割り当て] ページを設定します。

  • [アプリ]。 アプリ保護ポリシーの対象にするアプリを選択します。 管理者は、選択した Mobile Threat Defense ベンダーからのデバイス リスク評価に基づいて、これらのアプリをブロックまたは選択的にワイプできます。
  • [条件付き起動]。 [ デバイスの状態] で、ドロップダウン ボックスを使用して [ 許可されたデバイスの脅威レベルの最大数] を選択します。 脅威レベルの [値] で、次のいずれかのオプションを選択します。
    • [セキュリティで保護]。 このレベルはセキュリティ上最も安全です。 デバイスにいかなる脅威も存在できず、デバイスからは引き続き会社のリソースにアクセスできます。 Microsoft Defender for Endpoint は、脅威を持つデバイスを非準拠として評価します。
    • 。 デバイスに低レベルの脅威のみが存在する場合、準拠していると判定されます。 Microsoft Defender for Endpoint は、脅威レベルが中または高のデバイスを非準拠として評価します。
    • 。 デバイスに低レベルまたは中レベルの脅威が存在する場合、準拠していると判定されます。 Microsoft Defender for Endpoint は、脅威レベルが高いデバイスを非準拠として評価します。
    • 。 このレベルは最も安全性が低く、レポート目的でのみ Mobile Threat Defense (MTD) を使用して、すべての脅威レベルを許可します。 デバイスには、この設定で MTD アプリがアクティブ化されている必要があります。管理者が脅威レベルのアクションに基づいて実行するために、次のいずれかの推奨オプションを選択 します
    • [アクセスのブロック]
    • [データのワイプ]
  • [割り当て]。 このポリシーをユーザーのグループに割り当てます。 Intune アプリ保護は、グループのメンバーが対象アプリの企業データにアクセスするために使用するデバイスを評価します。

重要

保護されたアプリのアプリ保護ポリシーを作成する場合、Microsoft Defender for Endpoint はデバイスの脅威レベルを評価します。 構成に応じて、Microsoft Intune は、許容レベルを満たしていないデバイスをブロックまたは選択的にワイプ (条件付き起動) します。 選択した MTD ベンダーがデバイスの脅威を解決し、Intune に報告するまで、ブロックされたデバイスは企業リソースにアクセスできません。

条件付きアクセス ポリシーを作成します

条件付きアクセス ポリシーでは、Microsoft Defender for Endpoint のデータを使用して、設定した脅威レベルを超えるデバイスのリソースへのアクセスをブロックできます。 デバイスから企業リソース (SharePoint や Exchange Online など) へのアクセスをブロックできます。 このサービスは、Microsoft 365 およびその他の Microsoft クラウド サービスに条件付きアクセス ポリシーを適用します。 Microsoft Defender for Endpoint によりデバイスが準拠していないと判断された場合、条件付きアクセス サービスは通知を受け、そのデバイスの企業リソースへのアクセスをブロックするアクションを実行できます。

まとめると、以下のようになります。

  • Microsoft Defender for Endpoint は、条件付きアクセス サービスがデバイスの準拠状況を判断するために使用する脅威インテリジェンスおよびリスク評価データを提供します。
  • Microsoft Intune は、コンプライアンス ポリシーをデバイスに展開し、必要なセキュリティ標準を満たしていることを確認します。
  • Microsoft Entra ID の条件付きアクセス サービスは、組織によって設定された脅威レベルを超えるデバイスをブロックします。

ヒント

条件付きアクセスは、Microsoft Entra テクノロジです。 Microsoft Intune 管理センターにある 条件付きアクセス ノードは、 Microsoft Entra のノードです。

デバイスのコンプライアンスに基づく条件付きアクセス ポリシーを作成するには、次の手順を実行します:

  1. 前に指示したように 、Microsoft Intune 管理センター に移動します。
  2. Microsoft Intune 管理センターで、左側のナビゲーション ウィンドウにある [エンドポイント セキュリティ] を選択します。
  3. [エンドポイント セキュリティ | 概要] ページの中央のウィンドウにある [管理] セクションで、[条件付きアクセス] を選択します。
  4. [条件付きアクセス | ポリシー] ページで、[+ 新規ポリシー] を選択します。
  5. [新規] ページで、ポリシーを入力します。 次に、ポリシーに関連付けられている割り当てアクセス制御を定義します。 以下に例を示します。
    • [ ユーザー ] セクションで、[ 含める ] タブまたは [除外] タブを使用して、このポリシーを受け取るグループを構成します。
    • [ターゲット リソース] で、[このポリシーがクラウド アプリに適用される内容を選択する] を設定し、保護するアプリを選択します。 たとえば、[アプリの 選択 ] を選択し、[ 選択] で Office 365 SharePoint Online と Office 365Exchange Online を検索して選択します。
    • [ 条件] で [ クライアント アプリ ] を選択し、[ 構成] を[はい] に設定します。 次に、[ ブラウザー ] と [ モバイル アプリ] と [デスクトップ クライアント] のチェック ボックスをオンにします。 次に、[ 完了 ] を選択してクライアント アプリの構成を保存します。
    • [ 許可] で、デバイスコンプライアンス規則に基づいて適用するようにこのポリシーを構成します。 例:
      1. [ アクセス権の付与] を選択します
      2. [ デバイスを準拠としてマークする必要がある] チェック ボックスをオンにします。
      3. [ 選択したすべてのコントロールを必須にする] を選択します。 [ 選択] を選択 して、構成の許可を保存します。
    • [ ポリシーを有効にする] で、[オン] を選択し、[ 作成 ] を選択して変更を保存します。

理解度チェック

次の各質問に最適な回答を選択します。 次に、「自分の回答を確認します」を選択します。

自分の知識をチェックする

1.

Fabrikam の Microsoft 365 Administrator として、Holly Spencer は、デバイス構成ポリシーとエンドポイント検出と応答ポリシーの両方を作成して同じデバイス設定を管理するかどうかを検討しています (この場合は、デバイスを Microsoft Defender for Endpoint にオンボードします)。 Holly がこれらのポリシーを作成すると、何が起きる可能性があるでしょうか。