Microsoft Intuneは、organizationのゼロ トラスト体験をサポートするモバイル デバイス管理ソリューションです。
ゼロ トラストは製品またはサービスではありません。 代わりに、企業ネットワーク内でも暗黙的な信頼を前提とした最新のサイバーセキュリティ戦略です。 既定では、ユーザー、デバイス、またはアプリケーションを信頼する代わりに、ゼロ トラストアプローチでは、すべてのアクセス要求を明示的に検証し、リスクを継続的に評価し、デジタル資産全体に最小限の特権アクセスを適用します。
ゼロ トラストの主要な原則は次のとおりです。
| 明確に確認する | 最小限の特権アクセスを使用する | 侵害を想定する |
|---|---|---|
| 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。 | Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、およびデータ保護を使用して、ユーザー アクセスを制限します。 | 影響範囲とセグメント アクセスを最小限に抑えます。 エンドツーエンドの暗号化を確認し、分析を使用して可視性を高め、脅威検出を推進し、防御を強化します。 |
ゼロ トラストのエンドポイントを管理する理由
最新の企業では、組織のデータにアクセスするエンドポイントの多様性が驚くべきものになっています。 ユーザーは、任意のデバイスから、履歴のどの時点よりも多くの場所から作業します。 これにより、大規模な攻撃面が作成され、エンドポイントがゼロ トラストセキュリティ戦略で最も弱いリンクになる可能性があります。
組織は通常、PC を脆弱性や攻撃から保護することに積極的ですが、多くの場合、モバイル デバイスは監視されず、保護も受けられません。 企業リソースにアクセスするエンドポイントを可視化することは、ゼロ トラストデバイス戦略の最初のステップです。
データがリスクにさらされないようにするには、すべてのエンドポイントでリスクを監視し、きめ細かいアクセス制御を使用して、組織のポリシーに基づいて適切なレベルのアクセスを提供する必要があります。 たとえば、個人用デバイスが脱獄されている場合は、アクセスをブロックして、エンタープライズ アプリケーションが既知の脆弱性にさらされないようにすることができます。
Intuneがゼロ トラスト原則をサポートする方法 (明示的に確認し、最小限の特権アクセスを使用し、侵害を想定する) の概要については、「Microsoft Intuneを使用したゼロ トラスト」を参照してください。
7 層ゼロ トラストデプロイの進行状況
デバイスの包括的なゼロ トラストセキュリティ体制を構築するには、保護レイヤーを段階的に実装する必要があります。 各レイヤーは、基本的なデータ保護から始まり、高度な脅威検出とデータ損失防止に進む前のレイヤーに基づいています。
次の表は、ゼロ トラストデバイス セキュリティに推奨される展開の進行状況を示しています。
| Layer | 保護機能 | 達成する内容 | 前提条件 | ライセンス要件 |
|---|---|---|---|---|
| 1 | アプリ保護ポリシー | デバイス登録を必要とせずに、アプリ内の組織データを保護します。 Bring-your-own-device (BYOD) シナリオの基盤を作成します。 | サポートされているアプリ (Microsoft 365 アプリ、ポリシー対応アプリ) | Microsoft 365 E3、E5、F1、F3、F5 |
| 2 | デバイスを登録する | ユーザー、デバイス、Intune間の関係を確立します。 リソースにアクセスするエンドポイントのデバイス管理と可視性を有効にします。 | プラットフォーム固有の前提条件 (MDM 機関、証明書) | Microsoft 365 E3、E5、F1、F3、F5 |
| 3 | コンプライアンス ポリシー | デバイスが満たす必要がある最小要件 (パスワード保護、OS バージョン、暗号化) を定義します。 デバイスを準拠または非準拠としてマークします。 | レイヤー 2 に登録されているデバイス | Microsoft 365 E3、E5、F3、F5 |
| 4 | 正常で準拠したデバイスを要求する | エンタープライズ ゼロ トラスト ID とデバイス アクセス ポリシーを実装します。 ID チームと協力して、条件付きアクセスを通じてコンプライアンスを適用し、セキュリティ要件を満たしていないデバイスからのアクセスをブロックします。 | レイヤー 3 からのコンプライアンス ポリシー、ID 管理者との調整 | Microsoft 365 E3、E5、F3、F5 |
| 5 | 構成プロファイル | セキュリティを強化するためにデバイス設定を構成します。 セキュリティ ベースラインをデプロイします。 セキュリティ制御をグループ ポリシーからクラウド ポリシーに移動します。 | レイヤー 2 からの登録済みデバイス | Microsoft 365 E3、E5、F3、F5 |
| 6 | デバイス リスクの監視 | Microsoft Defender for Endpointと統合して、デバイスのリスクを監視し、脅威を検出し、リスク レベルに基づいてアクセスをブロックします。 セキュリティ ベースラインをデプロイします。 | Microsoft Defender for Endpointセットアップ、脅威保護チームとの調整 | Microsoft 365 E5、F5 |
| 7 | エンドポイント DLP | Microsoft Purview データ損失防止を使用してエンドポイント上の機密データを保護します。 秘密度ラベルに基づいてファイル操作を監視および制御します。 | Microsoft Purview の構成、レイヤー 6 のMDEにオンボードされているデバイス | Microsoft 365 E5、E5 コンプライアンス アドオン、F5 コンプライアンス アドオン |
7 つのデプロイ レイヤーについて
このセクションでは、ゼロ トラストデプロイの進行状況の各レイヤーについて説明します。 7 層のテーブルは各レイヤーが達成する内容を示していますが、これらの説明では、主要な概念のコンテキスト、例、説明を提供します。
登録なしのアプリ保護 (レイヤー 1)
アプリ保護 ポリシーは、アプリ内の組織データを保護し、ユーザーが作業データにアクセスして共有する方法を制御します。 レイヤー 1 では、登録を必要とせずに 管理されていない個人デバイス のデータを保護することに重点を置いていますが、アプリ保護ポリシーは、多層防御のために登録済みデバイスにも適用できます。
ユーザーは Outlook や Teams などのアプリをストアからインストールし、職場アカウントでサインインし、データ保護ポリシーが自動的に適用されます。 この方法は、一般に 、登録なし MAM または Bring-your-own-device (BYOD) と呼ばれます。
例: ユーザーの個人用 iPhone に Outlook がインストールされている。 アプリ保護ポリシーでは、仕事用メールにアクセスするための PIN が必要であり、個人用アプリへの作業データのコピーを防ぎ、個人用クラウド ストレージへの電子メールの添付ファイルの保存をブロックします。 組織のデータが保護されている間、ユーザーはデバイスの完全な制御を維持します。
ヒント
アプリ保護ポリシーは、登録されていないデバイス (レイヤー 1) と登録済みデバイス (レイヤー 2 以降) の両方に展開して、デバイス管理以外の追加のアプリ レベルの保護を行うことができます。
詳細については、「デプロイ ガイダンス: アプリ保護 ポリシー」を参照してください。
デバイス登録 (レイヤー 2)
登録は、デバイスをIntuneに登録し、包括的なデバイス管理を可能にします。 Intuneアプリの展開、設定の構成、コンプライアンス ポリシーの適用、デバイスの状態の完全な可視性を提供します。
例:会社のノート PC は、Windows Autopilot のセットアップ中にIntuneに登録されます。 Intuneは、Wi-Fi の構成、証明書の展開、セキュリティ ベースラインのインストール、BitLocker 暗号化の適用、パスワード ポリシーへの準拠の監視を行います。
詳細については、「 展開ガイダンス: デバイスの登録」を参照してください。
コンプライアンス ポリシー (レイヤー 3)
コンプライアンス ポリシーは、組織のリソースにアクセスするためにデバイスが満たす必要があるセキュリティ要件を定義します。 これらのポリシーは、デバイスの正常性を評価し、パスワード要件、OS バージョン、暗号化状態、脱獄検出など、構成した設定に基づいてデバイスを準拠または非準拠としてマークします。
例: コンプライアンス ポリシーでは、Windows デバイスで BitLocker を有効にし、最小 OS バージョンを実行し、少なくとも 8 文字のパスワードを使用する必要があります。 BitLocker が見つからないユーザーのノート PC は、非準拠としてマークされます。 ユーザーは要件に関する通知を受け取り、アクセスがブロックされる前に修復する時間があります (レイヤー 4 を適用する場合)。
ヒント
コンプライアンス ポリシーはデバイスの状態を評価しますが、アクセスを自動的にブロックしません。 条件付きアクセス (レイヤー 4) と連携して、コンプライアンス要件を適用します。
詳細については、「 展開ガイダンス: コンプライアンス ポリシー」を参照してください。
正常なデバイスと準拠しているデバイスを要求する (レイヤー 4)
このレイヤーは、組織のリソースへのアクセスを許可する前にデバイスを正常かつ準拠するように要求することで、エンタープライズ レベルの ゼロ トラスト ID とデバイス アクセス ポリシーを実装します。 ID チームと協力して、レイヤー 3 からのコンプライアンスの決定を適用する条件付きアクセス ポリシーをMicrosoft Entra IDで作成します。
このレイヤーは、評価から適用への移行を表します。 コンプライアンス ポリシーによってデバイスが準拠または非準拠としてマークされた後、条件付きアクセス ポリシーはそのシグナルを使用して、電子メール、SharePoint、Teams、およびその他の保護されたリソースへのアクセスを許可またはブロックします。
例: ID チームは、ユーザーが Microsoft 365 アプリにアクセスする前にデバイスを準拠としてマークする必要がある条件付きアクセス ポリシーを構成します。 ユーザーは、Intuneによって管理されている Windows デバイスから Outlook にアクセスしようとします。 デバイスは、Intuneコンプライアンス要件を満たしていないため、非準拠です。ディスク暗号化 (BitLocker) は有効になっていません。 デバイスは準拠としてマークされていないため、条件付きアクセスは Outlook へのアクセスをブロックし、ユーザーに問題の解決を求めます。 ユーザーが BitLocker を有効にした後、デバイスは更新されたコンプライアンス状態をIntuneに報告します。 デバイスが準拠として評価されると、条件付きアクセスによってサインインが再評価され、Outlook へのアクセスが復元されます。
注:
このレイヤーには、ID チームとの調整が必要です。 Intune管理センターはMicrosoft Entra IDから条件付きアクセス ノードを表示しますが、条件付きアクセス ポリシーはIntuneではなく、Entra ID で作成されます。 ワークフローについては、「 ID チームの調整」セクション を参照してください。
詳細については、「 条件付きアクセスでマネージド デバイスを要求する」を参照してください。
構成プロファイル (レイヤー 5)
構成プロファイルは、セキュリティを強化し、機能を有効にし、フリート全体で一貫した構成を作成するようにデバイス設定を構成します。 コンプライアンス ポリシー (レイヤー 3) では、デバイスが要件を満たしているかどうかを評価しますが、構成プロファイルは、デバイスが正しく構成されていることを確認するために、事前に設定を展開します。
デバイス構成プロファイルまたはエンドポイント セキュリティ ポリシーを使用して設定を展開できます。 デバイス構成プロファイルでは、Wi-Fi と VPN プロファイル、証明書の展開、パスワード ポリシー、ディスク暗号化設定、グループ ポリシー同等物など、広範なシナリオがサポートされます。 エンドポイント セキュリティ ポリシーは、ウイルス対策、ディスク暗号化、ファイアウォール、攻撃面の縮小、エンドポイントの検出と応答などのセキュリティ設定に重点を置いた合理化されたエクスペリエンスを提供します。
例: 会社のノート PC に Windows セキュリティ ベースラインをデプロイします。 ベースラインは、Windows ファイアウォールを有効にし、BitLocker 暗号化を構成し、レガシ プロトコルを無効にし、攻撃面の縮小規則を有効にし、その他の多数のセキュリティ設定を構成します。 ユーザーはこれらの設定を手動で構成する必要はありません。Intune自動的に適用されます。
ヒント
セキュリティ ベースラインは、Microsoft の推奨されるセキュリティ設定を含む事前構成済みのプロファイルです。 それらを出発点として使用し、organizationのニーズに基づいてカスタマイズします。
詳細については、「 構成プロファイルのデプロイ」を参照してください。
デバイス リスクの監視 (レイヤー 6)
デバイス リスク監視では、Microsoft Defender for EndpointとIntuneを統合して、継続的な脅威検出、デバイス リスク評価、リスクベースのアクセス制御を追加します。 このレイヤーは、静的なコンプライアンス チェックから、アクティブな脅威にリアルタイムで対応する動的なセキュリティ監視に移行します。
デバイスをMicrosoft Defender for Endpointにオンボードすると、セキュリティ テレメトリと脅威インテリジェンスのレポートが開始されます。 Defender は、検出された脅威、脆弱性、セキュリティ体制に基づいて、各デバイスにリスク レベル (セキュリティ保護、低、中、高、または使用不可) を割り当てます。 コンプライアンス ポリシーでこのリスク レベルを使用して、リスクの高いデバイスからのアクセスをブロックしたり、修復アクションをトリガーしたりできます。
例: ユーザーのノート PC がマルウェアに感染します。 Microsoft Defender for Endpointは脅威を検出し、デバイスを高リスクとしてマークします。 デバイス リスクを評価するコンプライアンス ポリシーにより、デバイスは直ちに非準拠としてマークされます。 条件付きアクセスは、脅威が修復され、デバイス リスクが許容レベルに戻るまで、組織のリソースへのユーザーのアクセスをブロックします。
ヒント
また、Defender for Endpoint と Intuneを統合すると、Microsoft Defender for Endpointセキュリティ ベースラインや、攻撃面の縮小ルール、制御されたフォルダー アクセス、ネットワーク保護などの高度な脅威保護設定など、より詳細なセキュリティ構成を展開することもできます。
詳細については、「Microsoft Defender for Endpoint統合」を参照してください。
エンドポイント データ損失防止 (レイヤー 7)
エンドポイント データ損失防止では、Microsoft Purview を使用して、機密データがコピー、印刷、アップロード、または転送操作を通じてマネージド エンドポイントから離れるのを防ぎます。 以前のレイヤーはリソースへのアクセスを保護しますが、このレイヤーは、ユーザーが機密ファイルと対話する方法を監視および制御することで、データ自体を保護します。
レイヤー 6 のMicrosoft Defender for Endpointにオンボードされたデバイスは、追加のIntune構成なしでエンドポイント DLP 用に自動的にオンボードされます。 コンプライアンス チームは、Microsoft Purview ポータルで DLP ポリシーを作成し、保護アクションをトリガーする秘密度ラベル、ファイルの種類、またはコンテンツ パターンを定義します。
例: コンプライアンス チームは、"Confidential" というラベルのファイルが USB ドライブにコピーされたり、個人用クラウド ストレージにアップロードされたりすることを防ぐ DLP ポリシーを作成します。 ユーザーが機密財務報告書を USB ドライブにコピーしようとします。 エンドポイント DLP は操作をブロックし、制限を説明する通知を表示します。 コンプライアンス チームがポリシーをどのように構成したかに応じて、ブロックが絶対的であるか、ユーザーがビジネス上の正当な理由を提供して続行できるようにする場合があります。 すべてのアクティビティは、コンプライアンス レポートのためにログに記録されます。
注:
Intune管理者として、エンドポイント DLP の役割は、デバイスが Microsoft Defender for Endpoint (レイヤー 6) にオンボードされるように制限されています。 すべての DLP ポリシーの作成と管理は、コンプライアンス チームが Microsoft Purview ポータルで行います。
詳細については、「 エンドポイント DLP について」と「エンドポイント DLPの概要」を参照してください。
登録とオンボード
これらのレイヤーを実装する際には、 登録 とオンボードという 2 つの関連する異なる概念 を使用します。 違いを理解すると、各レイヤーで何が起こるかを明確にするのに役立ちます。
登録 (レイヤー 2) は、包括的なデバイス管理のためにデバイスをIntuneに登録します。 オンボード (レイヤー 6 から 7) は、Microsoft Defender for Endpointや Microsoft Purview などの特定のサービスに情報を報告するようにデバイスを構成します。
| 登録 | オンボード | |
|---|---|---|
| 目的 | Intuneで管理するデバイスを登録します。 Intuneは、アプリ、設定、ポリシーなど、デバイス全体を管理します。 | 特定の Microsoft 365 サービス (現在は Microsoft Defender for Endpoint および Microsoft Purview) と情報を共有するようにデバイスを構成します。 |
| スコープ | 完全なデバイス管理 - 設定の構成、アプリの展開、コンプライアンスの適用、デバイスの正常性の監視。 | サービス固有の機能のみ。 たとえば、MDEへのオンボードでは脅威の検出が有効になります。Purview へのオンボードでは DLP が有効になります。 |
| このデプロイでは | レイヤー 2: デバイスをIntune管理に登録します。 | レイヤー 6: Intuneを使用してデバイスをMicrosoft Defender for Endpointするようにオンボードします。 レイヤー 7: MDEにオンボードされたデバイスは、Microsoft Purview エンドポイント DLP 用に自動的にオンボードされます。 |
| 方法 | プラットフォーム固有の登録方法: Microsoft Entra参加 (自動登録)、Windows Autopilot、Apple 自動デバイス登録、手動登録。 | Intuneを使用して、登録されているデバイスにオンボード構成を展開します。 デバイスを MDE または Purview にオンボードする前に、デバイスを Intune に登録する必要があります。 |
注:
Microsoft Defender for Endpointへのオンボードでは、エンドポイント DLP を含む Microsoft Purview 機能のデバイスが自動的にオンボードされます。 追加のIntune構成は必要ありません。
Microsoft 365 チームとの調整
ゼロ トラストデバイスのセキュリティを実装するには、organization内の複数のチーム間で調整する必要があります。 Intuneポリシーを管理しながら、他のチームは連携して保護を適用する補完的なサービスを管理します。
ID チーム (Microsoft Entra ID)
彼らの責任:条件付きアクセス ポリシーを管理し、認証要件を構成し、Microsoft Entra ID テナントを管理します。
調整:
- アプリ保護ポリシー (レイヤー 1) を作成したら、ID チームと協力して、承認されたアプリを必要とする条件付きアクセス ポリシーを作成します。
- コンプライアンス ポリシー (レイヤー 3) を作成した後、準拠しているデバイスを必要とする条件付きアクセス ポリシーを調整します。
- デバイス要件を定義するには、Intuneでコンプライアンス ポリシーを作成して割り当てます。
- ID チームは、Microsoft Entra 管理センターで条件付きアクセス ポリシーを作成します。
- 条件付きアクセス ポリシーでは、"デバイスを準拠としてマークする必要がある" 許可制御が使用されます。
- 両方のポリシーが同じユーザー グループを対象にしていることを確認します。
- 適用を有効にする前に、条件付きアクセス What If ツールを使用して一緒にテストします。
- 詳細なワークフローについては、「 条件付きアクセスを使用する一般的な方法」を参照してください。
- ポリシーの作成については、「 条件付きアクセスを使用してマネージド デバイスを要求する」を参照してください。
関連ガイダンス:Intuneを使用した条件付きアクセス
脅威保護チーム (Microsoft Defender)
彼らの責任:サービスMicrosoft Defender for Endpoint設定および管理し、脅威を調査し、セキュリティ オペレーション センター (SOC) ワークフローを管理します。
調整:
- Intuneを使用してデバイスをMicrosoft Defender for Endpointにオンボードする (レイヤー 6)
- Windows セキュリティ ベースラインと Defender for Endpoint セキュリティ ベースラインの両方をマネージド デバイスに展開する
- コンプライアンス ポリシーにフィードする Defender からデバイス リスクシグナルを受信する
- 検出された脆弱性と構成の誤りを修復するために Defender セキュリティ管理者によって作成されたIntuneセキュリティ タスクに対処する
- マネージド デバイスで脅威が検出されたときにインシデント対応を調整する
関連するガイダンス:
データ セキュリティとプライバシー チーム (Microsoft Purview)
彼らの責任: Microsoft Purview でデータ秘密度スキーマを定義し、DLP ポリシーを作成し、コンプライアンス要件を管理します。
調整:
- エンドポイント DLP をサポートするためにデバイスがオンボードされていることを確認する (レイヤー 6 のMDEオンボードを使用して自動)
- DLP ポリシーに含める/除外する必要があるユーザー グループを特定する
- Microsoft Purview ポータルでデバイスの可視性を確認する
- DLP ポリシーがデータ操作をブロックまたは警告する場合にユーザー教育をサポートする
注:
Intune管理者は、エンドポイント DLP の役割は、デバイスがMicrosoft Defender for Endpointにオンボードされるように制限されます。 MDEにオンボードされたデバイスは、追加のIntune構成なしで自動的に DLP 対応になります。 すべての DLP ポリシーの作成と管理は、コンプライアンス チームが Microsoft Purview ポータルで行います。
関連するガイダンス:
チーム間の調整に関するベスト プラクティス
- 各レイヤーの初期デプロイ中に定期的な調整会議を確立します。
- ドキュメントの所有権 - どのチームがどのポリシーを管理するかを明確にします。
- 一緒にテスト する - 適用前に監査モードと What If ツールを使用します。
- ユーザー グループに合わせる - サービス間で一貫したグループ割り当てを確保します。
- 通信の計画 - ポリシーがユーザー エクスペリエンスに影響を与える可能性がある場合にユーザー通知を調整します。
- 監視責任を共有する - 各チームはサービスを監視しますが、ユーザーの影響に関する分析情報を共有します。
次の手順
ゼロ トラストデバイス セキュリティの概要:
- デプロイ ガイダンス: アプリ保護 ポリシー - レイヤー 1
- デプロイ ガイダンス: デバイスを登録 する - レイヤー 2
- 展開ガイダンス: コンプライアンス ポリシー - レイヤー 3
- 条件付きアクセスを使用してマネージド デバイスを要求 する - レイヤー 4
ゼロ トラストの詳細については、以下をご覧ください。
- ゼロ トラスト ガイダンス センター - エンタープライズ規模の戦略とアーキテクチャ
- ゼロ トラストを使用してエンドポイントをセキュリティで保護する - デバイス中心のデプロイ目標
- Microsoft 365 を使用したゼロ トラスト展開計画 - サービス間展開ガイダンス
高度な保護レイヤーを調べる:
- 構成プロファイルの展開 - レイヤー 5
- Microsoft Defender for Endpoint統合 - レイヤー 6
- エンドポイント DLP の詳細 - レイヤー 7