Intune テナントの保護は、ゼロ トラスト原則を適用し、安全で適切に管理された環境を維持するために不可欠です。 これらの推奨事項は、発破半径を制限し、セグメント化された管理制御、セキュリティで保護されたデバイス オンボード、ポリシー駆動型の保護を通じて最小特権アクセスを強制することで、Microsoft の Secure Future Initiative と一致します。 これらを組み合わせることで、リスクの軽減、テナントの検疫の維持、プラットフォーム全体のコンプライアンスの強化に役立ちます。
ゼロ トラストセキュリティに関する推奨事項
委任された管理と最小特権アクセスをサポートするためにスコープ タグの構成が適用されます
委任された管理Intuneスコープ タグが適切に構成されていない場合、IntuneまたはMicrosoft Entra IDへの特権アクセスを取得する攻撃者は、特権をエスカレートし、テナント全体で機密性の高いデバイス構成にアクセスできます。 詳細なスコープ タグがないと、管理の境界が明確でなく、攻撃者は横方向に移動したり、デバイス ポリシーを操作したり、構成データを流出させたり、すべてのユーザーとデバイスに悪意のある設定を展開したりできます。 1 つの侵害された管理者アカウントが環境全体に影響を与える可能性があります。 委任された管理が存在しない場合も、最小限の特権のアクセスが損なわれ、侵害を封じ込め、説明責任を強制することが困難になります。 攻撃者は、グローバル管理者ロールまたは正しく構成されていないロールベースのアクセス制御 (RBAC) 割り当てを悪用して、コンプライアンス ポリシーをバイパスし、デバイス管理を広範に制御する可能性があります。
スコープ タグを適用すると、管理アクセスがセグメント化され、組織の境界に合わせて調整されます。 これにより、侵害されたアカウントの爆発半径が制限され、最小特権アクセスがサポートされ、セグメント化、ロールベースの制御、包含のゼロ トラスト原則に合わせて調整されます。
修復アクション
Intuneスコープ タグと RBAC ロールを使用して、ロール、地域、または部署に基づいて管理者アクセスを制限します。
ユーザーの認識と安全なオンボードを確保するために、デバイス登録通知が適用されます
デバイス登録通知がないと、ユーザーは、特に未承認または予期しない登録の場合に、デバイスがIntuneに登録されていることに気付かない可能性があります。 この可視性の欠如により、疑わしいアクティビティのユーザーレポートが遅れ、管理されていないデバイスや侵害されたデバイスが企業リソースにアクセスするリスクが高まります。 ユーザー資格情報を取得したり、自己登録フローを悪用したりする攻撃者は、デバイスをサイレント オンボーディングし、ユーザーの調査をバイパスし、データの公開や横移動を有効にすることができます。
登録通知を使用すると、ユーザーはデバイスのオンボード アクティビティの可視性が向上します。 承認されていない登録の検出、セキュリティで保護されたプロビジョニングプラクティスの強化、可視性、検証、ユーザー エンゲージメントのゼロ トラスト原則のサポートに役立ちます。
修復アクション
Intune登録通知を構成して、デバイスが登録されたときにユーザーに警告し、安全なオンボード プラクティスを強化します。
管理されていないエンドポイントからのリスクを排除するために、Windows の自動デバイス登録が適用されます
Windows の自動登録が有効になっていない場合、アンマネージド デバイスが攻撃者のエントリ ポイントになる可能性があります。 脅威アクターは、これらのデバイスを使用して企業データにアクセスし、コンプライアンス ポリシーをバイパスし、環境に脆弱性を導入する可能性があります。 登録をIntuneせずにMicrosoft Entraに参加したデバイスは、可視性と制御にギャップを生み出します。 これらのアンマネージド エンドポイントは、オペレーティング システムの弱点や、攻撃者が悪用する可能性がある正しく構成されていないアプリケーションを公開する可能性があります。
自動登録を適用すると、Windows デバイスが最初から管理され、一貫性のあるポリシーの適用とコンプライアンスの可視性が可能になります。 これにより、すべてのデバイスがセキュリティ制御によって検証、監視、管理されていることを確認することで、ゼロ トラストがサポートされます。
修復アクション
IntuneとMicrosoft Entraを使用して Windows デバイスの自動登録を有効にして、ドメインに参加しているすべてのデバイスまたはEntra参加済みデバイスを確実に管理します。
詳細については、以下を参照してください:
コンプライアンス ポリシーによって Windows デバイスが保護される
Windows デバイスのコンプライアンス ポリシーが構成および割り当てられない場合、脅威アクターは、管理されていないエンドポイントまたは非準拠エンドポイントを悪用して、企業リソースへの未承認のアクセスを取得し、セキュリティ制御をバイパスし、環境内に保持することができます。 コンプライアンスが強制されていないと、デバイスには、BitLocker 暗号化、パスワード要件、ファイアウォール設定、OS バージョンコントロールなどの重要なセキュリティ構成が不足している可能性があります。 これらのギャップにより、データ漏洩、特権エスカレーション、横移動のリスクが高まります。 一貫性のないデバイス コンプライアンスにより、organizationのセキュリティ体制が弱まり、重大な損傷が発生する前に脅威を検出して修復することが困難になります。
コンプライアンス ポリシーを適用すると、Windows デバイスが主要なセキュリティ要件を満たし、デバイスの正常性を検証し、正しく構成されていないエンドポイントへの露出を減らすことで、ゼロ トラストがサポートされます。
修復アクション
Intuneコンプライアンス ポリシーを作成して Windows デバイスに割り当てて、セキュリティで保護されたアクセスと管理のために組織の標準を適用します。
コンプライアンス ポリシーで macOS デバイスを保護する
macOS デバイスのコンプライアンス ポリシーが構成および割り当てられない場合、脅威アクターは、管理されていないエンドポイントまたは非準拠エンドポイントを悪用して、企業リソースへの未承認のアクセスを取得し、セキュリティ制御をバイパスし、環境内に保持することができます。 コンプライアンスが強制されていない場合、macOS デバイスには、データ ストレージの暗号化、パスワード要件、OS バージョンコントロールなどの重要なセキュリティ構成が欠けている可能性があります。 これらのギャップにより、データ漏洩、特権エスカレーション、横移動のリスクが高まります。 一貫性のないデバイス コンプライアンスにより、organizationのセキュリティ体制が弱まり、重大な損傷が発生する前に脅威を検出して修復することが困難になります。
コンプライアンス ポリシーを適用すると、macOS デバイスが主要なセキュリティ要件を満たし、デバイスの正常性を検証し、正しく構成されていないエンドポイントへの露出を減らすことで、ゼロ トラストがサポートされます。
修復アクション
Intuneコンプライアンス ポリシーを作成して macOS デバイスに割り当てて、セキュリティで保護されたアクセスと管理のために組織の標準を適用します。
コンプライアンス ポリシーは、フル マネージドおよび企業所有の Android デバイスを保護します
コンプライアンス ポリシーがIntuneのフル マネージド Android Enterprise デバイスに割り当てられない場合、脅威アクターは非準拠エンドポイントを悪用して、企業リソースへの未承認のアクセスを取得し、セキュリティ制御をバイパスし、環境内に保持することができます。 コンプライアンスが強制されていないと、パスコードの要件、データ ストレージの暗号化、OS バージョンの制御などの重要なセキュリティ構成がデバイスに不足している可能性があります。 これらのギャップにより、データ漏洩、特権エスカレーション、横移動のリスクが高まります。 一貫性のないデバイス コンプライアンスにより、organizationのセキュリティ体制が弱まり、重大な損傷が発生する前に脅威を検出して修復することが困難になります。
コンプライアンス ポリシーを適用すると、Android Enterprise デバイスが主要なセキュリティ要件を満たし、デバイスの正常性を検証し、誤って構成されたエンドポイントまたはアンマネージド エンドポイントへの露出を減らすことで、ゼロ トラストがサポートされます。
修復アクション
フル マネージドおよび企業所有の Android Enterprise デバイスにIntuneコンプライアンス ポリシーを作成して割り当て、安全なアクセスと管理のために組織の標準を適用します。
コンプライアンス ポリシーは、個人所有の Android デバイスを保護します
Intuneの Android Enterprise 個人所有デバイスにコンプライアンス ポリシーが割り当てられない場合、脅威アクターは非準拠エンドポイントを悪用して、企業リソースへの不正アクセスを取得し、セキュリティ制御をバイパスし、脆弱性を導入することができます。 コンプライアンスが強制されていないと、デバイスはパスコード要件、データ ストレージ暗号化、OS バージョン制御などの重要なセキュリティ構成を欠く可能性があります。 これらのギャップにより、データ漏洩や不正アクセスのリスクが高まります。 一貫性のないデバイス コンプライアンスにより、organizationのセキュリティ体制が弱まり、重大な損傷が発生する前に脅威を検出して修復することが困難になります。
コンプライアンス ポリシーを適用すると、個人所有の Android デバイスが主要なセキュリティ要件を満たし、デバイスの正常性を検証し、正しく構成されていないエンドポイントまたは管理されていないエンドポイントへの露出を減らすことで、ゼロ トラストがサポートされます。
修復アクション
Intuneコンプライアンス ポリシーを作成して Android Enterprise 個人所有のデバイスに割り当てて、セキュリティで保護されたアクセスと管理のために組織の標準を適用します。
コンプライアンス ポリシーによる iOS/iPadOS デバイスの保護
Intuneの iOS/iPadOS デバイスにコンプライアンス ポリシーが割り当てられない場合、脅威アクターは非準拠エンドポイントを悪用して、企業リソースへの未承認のアクセスを取得し、セキュリティ制御をバイパスし、環境に保持することができます。 コンプライアンスが強制されていないと、デバイスにはパスコード要件や OS バージョンコントロールなどの重要なセキュリティ構成が欠けている可能性があります。 これらのギャップにより、データ漏洩、特権エスカレーション、横移動のリスクが高まります。 一貫性のないデバイス コンプライアンスにより、organizationのセキュリティ体制が弱まり、重大な損傷が発生する前に脅威を検出して修復することが困難になります。
コンプライアンス ポリシーを適用すると、iOS/iPadOS デバイスが主要なセキュリティ要件を満たすことができます。また、デバイスの正常性を検証し、誤って構成されたエンドポイントまたはアンマネージド エンドポイントへの露出を減らすことで、ゼロ トラストをサポートします。
修復アクション
Intuneコンプライアンス ポリシーを作成して iOS/iPadOS デバイスに割り当てて、安全なアクセスと管理のために組織の標準を適用します。
プラットフォーム SSO は、macOS デバイスでの認証を強化するように構成されています
プラットフォーム SSO ポリシーが macOS デバイスに適用されていない場合、エンドポイントは安全でない認証メカニズムまたは一貫性のない認証メカニズムに依存し、攻撃者が条件付きアクセスとコンプライアンス ポリシーをバイパスできる可能性があります。 これにより、特にフェデレーション ID が使用されている場合に、クラウド サービスとオンプレミス リソース間の横移動への扉が開きます。 脅威アクターは、盗まれたトークンまたはキャッシュされた資格情報を利用して永続化し、アンマネージド アプリまたはブラウザー セッションを通じて機密データを流出させることができます。 SSO の適用がないため、アプリ保護ポリシーとデバイスの態勢評価も損なわれ、侵害の検出と封じ込めが困難になります。 最終的に、macOS プラットフォーム SSO ポリシーの構成と割り当てに失敗すると、ID のセキュリティが侵害され、organizationのゼロ トラストの姿勢が低下します。
macOS デバイスにプラットフォーム SSO ポリシーを適用すると、アプリとサービス間で一貫性のある安全な認証が保証されます。 これにより、ID 保護が強化され、条件付きアクセスの適用がサポートされ、ローカル資格情報への依存を減らし、ポスチャ評価を改善することで、ゼロ トラストに合わせて調整されます。
修復アクション
Intuneを使用して、macOS デバイスのプラットフォーム SSO ポリシーを構成して割り当てて、セキュリティで保護された認証を適用し、ID 保護を強化します。次を参照してください。
- Intuneで macOS 用のプラットフォーム SSO を構成する – macOS デバイスでプラットフォーム SSO を有効にする手順に関するガイダンス。
- Microsoft Intuneでの Apple デバイスのシングル サインオン (SSO) の概要とオプション – Apple プラットフォームで使用できる SSO オプションの概要。
Defender for Endpoint の自動登録は、管理されていない Android の脅威からのリスクを軽減するために適用されます
Microsoft Defender for Endpointへの自動登録がIntuneの Android デバイス用に構成されていない場合、マネージド エンドポイントはモバイルの脅威に対して保護されていない状態のままである可能性があります。 Defender オンボードがないと、デバイスには高度な脅威検出と対応機能がないため、マルウェア、フィッシング、その他のモバイル ベースの攻撃のリスクが高まります。 保護されていないデバイスは、セキュリティ ポリシーをバイパスし、企業リソースにアクセスし、機密データを侵害にさらすことができます。 モバイル脅威防御のこのギャップは、organizationのゼロ トラスト姿勢を弱め、エンドポイントの正常性に対する可視性を低下させます。
Defender の自動登録を有効にすると、高度な脅威検出と対応機能によって Android デバイスが確実に保護されます。 これにより、モバイル脅威保護を適用し、可視性を向上させ、管理されていないエンドポイントまたは侵害されたエンドポイントへの露出を減らすことで、ゼロ トラストがサポートされます。
修復アクション
Intuneを使用して、Android デバイスのMicrosoft Defender for Endpointへの自動登録を構成して、モバイル脅威保護を適用します。
デバイスクリーンアップルールは、非アクティブなデバイスを非表示にすることでテナントの衛生状態を維持します
デバイスクリーンアップルールがIntuneで構成されていない場合、古いデバイスまたは非アクティブなデバイスがテナントに無期限に表示されたままになる可能性があります。 これにより、デバイスリストが散らかり、レポートが不正確になり、アクティブなデバイスランドスケープの可視性が低下します。 未使用のデバイスでは、アクセス資格情報またはトークンが保持され、不正なアクセスや不適切なポリシー決定のリスクが高まる可能性があります。
デバイス クリーンアップ ルールでは、管理者ビューやレポートから非アクティブなデバイスが自動的に非表示になり、テナントの衛生状態が向上し、管理上の負担が軽減されます。 これにより、監査または調査のために履歴データを保持しながら、正確で信頼できるデバイス インベントリを維持することで、ゼロ トラストがサポートされます。
修復アクション
Intuneデバイス クリーンアップ ルールを構成して、非アクティブなデバイスをテナントから自動的に非表示にします。
詳細については、以下を参照してください:
契約条件ポリシーは機密データへのアクセスを保護します
使用条件ポリシーが構成されておらず、Intuneで割り当てられていない場合、ユーザーは、必要な法的、セキュリティ、または使用条件に同意することなく、企業リソースにアクセスできます。 この省略は、コンプライアンス リスク、法的責任、およびリソースの誤用の可能性にorganizationを公開します。
使用条件の適用により、機密データまたはシステムにアクセスする前にユーザーが会社のポリシーを確認し、同意し、規制コンプライアンスと責任あるリソースの使用をサポートします。
修復アクション
Intuneで使用条件ポリシーを作成して割り当てて、企業リソースへのアクセスを許可する前にユーザーの同意を要求します。
ポータル サイトブランド化とサポート設定により、ユーザー エクスペリエンスと信頼が向上します
organizationの詳細を表すIntune ポータル サイトブランド化が構成されていない場合、ユーザーは汎用インターフェイスに遭遇し、直接サポート情報が不足する可能性があります。 これにより、ユーザーの信頼が減り、サポートのオーバーヘッドが増加し、問題の解決に混乱や遅延が生じる可能性があります。
organizationのブランド化とサポート連絡先の詳細を使用してポータル サイトをカスタマイズすると、ユーザーの信頼が向上し、サポートが合理化され、デバイス管理通信の正当性が強化されます。
修復アクション
organizationのブランド化とサポート連絡先情報を使用してIntune ポータル サイトを構成して、ユーザー エクスペリエンスを強化し、サポートオーバーヘッドを削減します。
Endpoint Analytics が有効になっており、Windows デバイスのリスクを特定するのに役立ちます
エンドポイント分析が有効になっていない場合、脅威アクターはデバイスの正常性、パフォーマンス、およびセキュリティ体制のギャップを悪用する可能性があります。 可視性エンドポイント分析がないと、異常なデバイス動作、遅延パッチ適用、構成ドリフトなどのインジケーターをorganizationで検出することが困難になる可能性があります。 これらのギャップにより、攻撃者は永続化を確立し、特権をエスカレートし、環境内を横方向に移動できます。 分析データが存在しない場合、迅速な検出と対応が妨げられ、攻撃者は監視されていないエンドポイントを悪用して、コマンドと制御、データ流出、またはさらなる侵害を行うことができます。
エンドポイント分析を有効にすると、デバイスの正常性と動作が可視化され、組織がリスクを検出し、脅威に迅速に対応し、強力なゼロ トラスト体制を維持できます。
修復アクション
Intuneで Windows デバイスをエンドポイント分析に登録して、デバイスの正常性を監視し、リスクを特定します。
詳細については、以下を参照してください: