モバイル アプリとネットワーク全体で機密データを保護することは、ゼロ トラスト戦略の重要な部分です。 次のIntune推奨事項は、セキュリティで保護されたアクセスを強制し、情報を保護し、プラットフォーム間でリスクを軽減することで、Microsoft のセキュア 未来イニシアチブを反映しています。 これらのチェックは、アプリ保護を適用し、デバイスのコンプライアンスを確保し、企業ネットワークへの接続をセキュリティで保護することで、ビジネス データを安全に保つために役立ちます。
ゼロ トラストセキュリティに関する推奨事項
Android 上のデータは、アプリ保護ポリシーによって保護されます
アプリ保護ポリシーがないと、Android デバイスでアクセスされる企業データは、管理されていないアプリや悪意のあるアプリによる漏洩に対して脆弱です。 ユーザーは、意図せずに機密情報を個人用アプリにコピーしたり、安全でないデータを保存したり、認証制御をバイパスしたりできます。 このリスクは、企業と個人のコンテキストが共存する完全に管理されていないデバイスで増幅され、データ流出や不正アクセスの可能性が高まります。
アプリ保護ポリシーを適用すると、企業データは信頼できるアプリを介してのみアクセスでき、個人または BYOD Android デバイスでも保護されたままになります。
これらのポリシーは、暗号化を適用し、データ共有を制限し、認証を必要とします。これにより、データ漏洩のリスクが軽減され、データ保護と条件付きアクセスのゼロ トラスト原則に合わせて調整されます。
修復アクション
承認された Android アプリIntuneデータを暗号化し、共有を制限し、認証を要求するアプリ保護ポリシーをデプロイします。
詳細については、以下を参照してください:
iOS/iPadOS 上のデータは、アプリ保護ポリシーによって保護されます
アプリ保護ポリシーがないと、iOS/iPadOS デバイスでアクセスされる企業データは、管理されていないアプリまたは個人用アプリによる漏洩に対して脆弱です。 ユーザーは意図せずに機密情報をセキュリティで保護されていないアプリにコピーしたり、企業の境界外にデータを格納したり、認証制御をバイパスしたりできます。 このリスクは、個人と仕事のコンテキストが共存する BYOD デバイスでは特に高く、データ流出や不正アクセスの可能性が高くなります。
アプリ保護ポリシーにより、個人のデバイスでも、承認されたアプリ内で企業データが安全に保たれるようにします。 これらのポリシーは、暗号化を適用し、データ共有を制限し、認証を必要とします。これにより、データ漏洩のリスクが軽減され、データ保護と条件付きアクセスのゼロ トラスト原則に合わせて調整されます。
修復アクション
承認された iOS/iPadOS アプリで、企業データを暗号化し、共有を制限し、認証を要求するアプリ保護ポリシー Intune展開します。
詳細については、以下を参照してください:
非管理対象アプリからのアクセスをブロックする条件付きアクセス ポリシー
Microsoft Entra条件付きアクセス ポリシーがアプリ保護制御と組み合わされていない場合、ユーザーはアンマネージド アプリケーションまたはセキュリティで保護されていないアプリケーションを通じて企業リソースに接続できます。 これにより、機密データが、データ漏洩、不正アクセス、規制違反などのリスクにさらされます。 アプリレベルのデータ保護、アクセス制限、データ損失防止などのセーフガードがなければ、脅威アクターは保護されていないアプリを悪用してセキュリティ制御をバイパスし、組織のデータを侵害することができます。
条件付きアクセス内Intuneアプリ保護ポリシーを適用すると、信頼されたアプリのみが企業データにアクセスできるようになります。 これにより、アプリの信頼、データの包含、および使用制限に基づいてアクセスの決定を強制することで、ゼロ トラストがサポートされます。
修復アクション
Microsoft EntraとIntuneでアプリベースの条件付きアクセス ポリシーを構成し、企業リソースへのアクセスにアプリ保護を要求します。
詳細については、以下を参照してください:
条件付きアクセス ポリシーは、非準拠デバイスからのアクセスをブロックします
条件付きアクセス ポリシー Microsoft Entraデバイスコンプライアンスが適用されない場合、ユーザーはセキュリティ標準を満たしていないデバイスから企業リソースに接続できます。 これにより、マルウェア、不正アクセス、規制違反などのリスクに機密データが公開されます。 暗号化の適用、デバイスの正常性チェック、アクセス制限などの制御がないと、脅威アクターは非準拠デバイスを悪用してセキュリティ対策をバイパスし、永続化を維持できます。
条件付きアクセス ポリシーでデバイスコンプライアンスを要求すると、信頼されたセキュリティで保護されたデバイスのみが企業リソースにアクセスできるようになります。 これにより、デバイスの正常性とコンプライアンス体制に基づいてアクセスの決定を強制することで、ゼロ トラストがサポートされます。
修復アクション
企業リソースへのアクセスを許可する前に、デバイスコンプライアンスを要求するようにMicrosoft Entraで条件付きアクセス ポリシーを構成します。
詳細については、以下を参照してください:
セキュリティで保護された Wi-Fi プロファイルは、承認されていないネットワーク アクセスから iOS デバイスを保護します
Wi-Fi プロファイルが適切に構成および割り当てられない場合、ユーザーは安全でない接続や信頼されたネットワークへの接続に失敗し、企業データを傍受または未承認のアクセスに公開できます。 一元管理を行わないと、デバイスは手動構成に依存し、構成の誤り、弱い認証、不正なネットワークへの接続のリスクが高まります。
Intuneで iOS デバイスの Wi-Fi プロファイルを一元的に管理することで、エンタープライズ ネットワークへの安全で一貫性のある接続が保証されます。 これにより、認証と暗号化の標準が適用され、オンボードが簡略化され、信頼されていないネットワークへの露出を減らすことでゼロ トラストがサポートされます。
修復アクション
Intuneを使用して、iOS/iPadOS デバイスのセキュリティで保護された Wi-Fi プロファイルを構成して割り当てて、認証と暗号化の標準を適用します。
詳細については、以下を参照してください:
セキュリティで保護された Wi-Fi プロファイルにより、macOS デバイスが未承認のネットワーク アクセスから保護される
Wi-Fi プロファイルが適切に構成および割り当てられない場合、macOS デバイスはセキュリティで保護されたネットワークへの接続に失敗したり、安全でない接続に失敗したり、企業データを傍受または未承認のアクセスに公開したりする可能性があります。 一元管理を行わないと、デバイスは手動構成に依存し、構成の誤り、弱い認証、不正なネットワークへの接続のリスクが高まります。 これらのギャップにより、データの傍受、未承認のネットワーク アクセス、コンプライアンス違反が発生する可能性があります。
Intuneで macOS デバイスの Wi-Fi プロファイルを一元的に管理することで、エンタープライズ ネットワークへの安全で一貫性のある接続が確保されます。 これにより、認証と暗号化の標準が適用され、オンボードが簡略化され、信頼されていないネットワークへの露出を減らすことでゼロ トラストがサポートされます。
修復アクション
Intuneを使用して、macOS デバイスのセキュリティで保護された Wi-Fi プロファイルを構成して割り当てて、認証と暗号化の標準を適用します。
詳細については、以下を参照してください:
Wi-Fi プロファイルをセキュリティで保護し、Android デバイスを未承認のネットワーク アクセスから保護する
Wi-Fi プロファイルが適切に構成および割り当てられない場合、Android デバイスはセキュリティで保護されたネットワークへの接続に失敗したり、安全でない接続に失敗したりして、企業データを傍受または未承認のアクセスに公開する可能性があります。 一元管理を行わないと、デバイスは手動構成に依存し、構成の誤り、弱い認証、不正なネットワークへの接続のリスクが高まります。
Intuneで Android デバイスの Wi-Fi プロファイルを一元的に管理することで、エンタープライズ ネットワークへの安全で一貫性のある接続が保証されます。 これにより、認証と暗号化の標準が適用され、オンボードが簡略化され、信頼されていないネットワークへの露出を減らすことでゼロ トラストがサポートされます。
Intuneを使用して、認証と暗号化の標準を適用するセキュリティで保護された Wi-Fi プロファイルを構成します。
修復アクション
Intuneを使用して、Android デバイスのセキュリティで保護された Wi-Fi プロファイルを構成して割り当てて、認証と暗号化の標準を適用します。
詳細については、以下を参照してください: