DoD Zero Trust戦略とロードマップでは、国防総省のコンポーネントと防衛産業基盤 (DIB) パートナーがZero Trust原則に基づいて新しいサイバーセキュリティ フレームワークを採用するための道筋が示されています。 Zero Trustは、従来の境界と信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。
このガイドには、DoD Zero Trust Capability Execution ロードマップの 152 Zero Trust アクティビティに関する推奨事項があります。 セクションは、DoD Zero Trust モデルの 7 つの柱に対応しています。
ガイドの各セクションに移動するには次のリンクを使用してください。
2 デバイス
このセクションには、デバイスの柱における DoD Zero Trust アクティビティに関する Microsoft のガイダンスと推奨事項が記載されています。 詳細については、
2.1 デバイス インベントリ
Microsoft IntuneとMicrosoft Defender for Endpoint、デバイスの正常性の構成、評価、ソフトウェアの脆弱性の検出を行います。 Microsoft Entra IDとMicrosoft Intuneの統合を使用して、リソース アクセスに準拠したデバイス ポリシーを適用します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
デバイスヘルスツールギャップ分析DoD 組織は、環境内のデバイスの手動インベントリを開発します。 インベントリで追跡するデバイス属性によって、ZTA のターゲット レベルに定められている機能を実現します。 結果: - 所有者が所属する組織ごとにデバイスの手動インベントリが作成される |
Microsoft Entra ID Microsoft Entra IDを使用してエンド ユーザー デバイスを登録し、Microsoft Entra 管理センターからデバイス ID を管理します。 [デバイスの概要] ページでは、デバイス資産、管理状態、オペレーティング システム、参加形式、所有者を追跡します。 - 登録デバイス - ハイブリッド参加済みデバイス - デバイス一覧 - デバイス ID を管理する Microsoft Entra Connect Sync Connect Sync を使用して、Active Directory 管理デバイスを Microsoft Entra ID と同期します。 - ハイブリッド参加済みデバイス Microsoft Intune 管理対象デバイスに関するデバイス情報を Microsoft Intune 管理センターから表示します。 Collect diagnostics リモート アクションを使用して、Windows デバイスから診断を取得します。 - デバイスの詳細 - Windows デバイス診断 Microsoft エンドポイント コンフィギュレーション マネージャー 共同管理を使用して、Configuration Manager の展開を Microsoft 365 クラウドに接続します。 - 共同管理 Microsoft Defender for Endpoint Microsoft Defender ポータルで Endpoint によって保護されるデバイスを表示します。 - デバイス インベントリ |
Target
2.1.2 NPE/PKI、管理下のデバイスDoD 組織は、DoD Enterprise PKI ソリューション/サービスを利用して、x509 証明書をサポートおよび管理されているすべてのデバイスに展開します。 PKI システムや IdP システムで x509 証明書をサポートするその他の非個人エンティティ (NPE) を追加で割り当てます。 結果: - 非個人エンティティは組織 PKI と組織 IDP を介して管理されます |
Microsoft Intune 証明書プロビジョニングのため、エンドポイントに Intune 証明書コネクタを追加します。 - 証明書コネクタ - 認証用の証明書 Intune のネットワーク プロファイルを使用して、管理対象デバイスがネットワークに認証できるように支援します。 シンプル証明書登録プロトコル (SCEP) 証明書を追加します。 - デバイスのWi-Fi設定 - Windowsデバイスの有線ネットワーク設定を追加します デバイスがオンプレミスのリソースにアクセスする際にデータを保護するために、ネットワークアクセス制御 (NAC) パートナーとIntuneを統合します。 - NAC統合 アプリケーション管理ポリシー エンタープライズPKIによって発行された証明書にアプリケーション資格情報を制限するようにテナントアプリ管理ポリシーを構成します。 Microsoftガイダンス1.9.1はユーザーをご覧ください。 Azure IoT Hub Azure IoT Hubを構成し、X.509認証を使用して強制します。 - 身元をx509証明書で認証します Microsoft Defender for Identity 組織がActive Directory証明書サービス (AD CS) でPKIをホストする場合、Defender for Identityセンサーを展開し、AD CSの監査を構成します。 - AD CSセンサー - AD CSの監査を構成します |
Target
2.1.3 Enterprise IDP Pt1DoD eterprise Identity Provider (IdP) は、一元化されたテクノロジまたはフェデレーション組織テクノロジを使用して、デバイスやサービス アカウントなどの非個人エンティティ (NPE) を統合します。 統合は、エンタープライズデバイス管理ソリューションにおいて、統合済みかどうかが追跡されます。 IdP と統合できない NPE は、廃止としてマークするか、リスクベースの系統的アプローチを使って除外します。 結果: - デバイスを含む NPEs が Enterprise IdP と統合される |
Microsoft Entra参加済みデバイスの登録 新規および再イメージ化されたWindowsクライアント デバイスにMicrosoft Entra参加済みデバイスを使用します。 Microsoft Entra参加済みデバイスでは、Microsoft 365などのクラウド アプリにサインインするためのユーザー エクスペリエンスが向上しています。 ユーザーは、Microsoft Entra に参加したデバイスを使用してオンプレミス リソースにアクセスします。参加済みデバイス上のオンプレミス リソースへの SSO。Microsoft Intune を使用して、Microsoft Entra テナントに参加した Windows 10 または 11 デバイスの自動登録を設定します。Active Directory を Microsoft Entra ID と Connect Sync に同期している場合、Microsoft Entra ID にデバイスを自動登録するには、ハイブリッド参加済みデバイスを構成します。Microsoft Entra にアプリケーションを登録し、サービス プリンシパルを使用して、Microsoft Graph などの保護された API へのプログラムによるアクセスを行います。 アプリケーションの資格情報の種類を制限するようにアプリ管理ポリシーを構成します。 |
Advanced
2.1.4 Enterprise IDP Pt2DoD エンタープライズ ID プロバイダー (IdP) は、一元化されたテクノロジまたはフェデレーション組織のテクノロジを使用して、場所、使用パターンなどの NPE に動的属性を追加 結果: - 条件付きデバイス属性は IdP プロファイルの一部です |
Microsoft Defender for Endpoint Defender for Endpoint をエンド ユーザーのデスクトップ デバイス、管理対象モバイル デバイス、サーバーに展開します。 - デバイスのオンボード - Intune を使用したデバイスでの Defender for Endpoint - Windows サーバーのオンボード Microsoft Intune Intune でエンド ユーザー デバイスを管理します。 マネージド デバイスの Intune コンプライアンス ポリシーを構成します。 Intune コンプライアンス ポリシーに Microsoft Defender for Endpoint のマシン リスク スコアを含める。 - コンプライアンス ポリシーを計画する - デバイス リスク レベルのコンプライアンス ポリシー - カスタム コンプライアンス ポリシー - Windows デバイスを Intune で構成する - Android Enterprise セキュリティ構成 - Intune で iOS と iPadOS デバイスを構成する 組織がサードパーティの Mobile Threat Defense (MTD) ソリューションを使用している場合は、Intune コネクタを構成します。 - MTD 構成 モバイル アプリ管理 登録されていないデバイス用に Intune MAM を使用して、Bring Your Own Devices (BYOD) のアプリを構成しセキュリティで保護します。 - アプリ管理 |
2.2 デバイスの検出とコンプライアンス
Microsoft Intuneコンプライアンス ポリシーにより、デバイスが組織の標準に準拠していることを確認します。 コンプライアンス ポリシーにより、デバイス構成をセキュリティ ベースラインに対して評価できます。 ポリシーでは、Microsoft Defender for Endpoint保護状態とマシン リスク スコアを使用してコンプライアンスを判断します。 条件付きアクセスでは、デバイスのコンプライアンス状態を使ってユーザーとデバイスのアクセスを動的に決定します (Bring Your Own Devices (BYOD) を含む)。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
2.2.1 C2C/コンプライアンスベースのネットワーク認可 Pt1 を実装DoD企業は、組織と協力して「Comply to Connect」のためのポリシー、標準、および要件を開発します。 合意に達したら、ソリューションの調達を開始し、ベンダーを選び、ZT のターゲット環境 (低リスク) で基本レベルの機能で実装を開始します。 新しい Comply to Connect ソリューションで基本レベルのチェックを実装し、ZTA のターゲット機能を満たす機能を実現します。 結果: - C2C は、低リスク環境とテスト環境に対してエンタープライズ レベルで適用されます - 基本的なデバイス チェックは C2C を使用して実装されます |
Microsoft Intune Intune でデバイスを管理し、デバイス コンプライアンス ポリシーを構成します。 Intune モバイル アプリケーション管理 (MAM) を使用して、登録されていない BYOD. でアプリをセキュリティで保護する2.1.4. の Microsoft ガイダンスを参照してください条件付きアクセス 条件付きアクセス ポリシーでは、Intune 準拠のデバイスシグナル、場所、サインイン リスクシグナルを使用します。 デバイス属性に基づいたデバイスフィルターを、条件付きアクセス ポリシーに使用します。 - 準拠するデバイスが必要です - 条件 - デバイスのフィルター - Intuneを使用した条件付きアクセス Microsoft Entra Workload ID リスクと場所の制御を使用してワークロードIDの条件付きアクセス ポリシーを作成します。 - ワークロード ID の条件付きアクセス - 安全なワークロード ID |
Advanced
2.2.2 C2C/Compliance Based Network Authorization Pt2 を実装するDoD 組織は、ZT の高度な機能を満たすために必要なすべてのサポートされている環境に対して、Comply to Connect の展開と使用を拡張します。 Comply to Connect チームは、ソリューションをエンタープライズ IdP および認可ゲートウェイと統合して、リソースへのアクセスと認可をより適切に管理します。 結果: - C2C は、サポートされているすべての環境で適用されます - 高度なデバイスチェックが完了し、動的アクセス、エンタープライズ IdP、ZTNA と統合されます。 |
Microsoft Entra アプリケーション アプリケーションを統合し、Microsoft Entra ID でユーザー アクセスを管理します。 ユーザに関する Microsoft ガイダンス 1.2.4 を参照してください。 Microsoft Intune や Microsoft Defender for Endpoint Intune でデバイスを管理し、Defender for Endpoint を展開し、Defender for Endpoint マシン リスク スコアを使用してデバイスコンプライアンス ポリシーを設定します。 このセクションの Microsoft ガイダンス 2.1.4 を参照してください。 条件付きアクセス アプリケーション アクセスのために準拠したデバイスを必要とする条件付きアクセス ポリシーを作成します。 2.2.1 の Microsoft ガイダンスを参照してください。 Microsoft Entra アプリケーション プロキシ アプリケーション プロキシまたはセキュア ハイブリッド アクセス (SHA) パートナー ソリューションをデプロイして、Zero Trust ネットワーク アクセス (ZTNA) を介してオンプレミスおよびレガシー アプリケーションの条件付きアクセスを有効にします。 - Microsoft Entra 統合による SHA Microsoft Tunnel Tunnel は Intune で管理されるデバイスと、Intune で管理されるアプリを使用する登録されていないデバイス用の仮想プライベート ネットワーク (VPN) ゲートウェイ ソリューションです。 Tunnel では、オンプレミスのアプリケーションへのモバイル デバイス アクセスにMicrosoft Entra IDと条件付きアクセス ポリシーを使用します。 - Tunnel for Intune |
2.3 リアルタイム検査によるデバイス認可
条件付きアクセスは、Microsoft クラウド製品とサービスのZero Trust ポリシー エンジンです。 IdP でZero Trust ポリシーを評価すると、リソース アクセスの前にアダプティブ制御を適用することで、接続への準拠 (C2C) モデルが進みます。 条件付きアクセス ポリシーでは、Microsoft Entra ID、Microsoft Defender XDR、およびMicrosoft Intuneからのセキュリティシグナルが使用されます。
Microsoft Defender XDRコンポーネントでは、機械学習 (ML) 検出を使用し、動的なリスクベースの決定を有効にして、データ、アプリケーション、資産、サービス (DAAS) へのアクセスを許可、ブロック、または制御することで、デバイスと ID のリスク レベルを評価します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Advanced
2.3.1 エンティティアクティビティ監視Pt1開発されたユーザーとデバイスのベースラインを使用して、DoD 組織は実装されたユーザーおよびエンティティ行動アクティビティ (UEBA) ソリューションを利用してベースラインを統合します。 UEBA デバイス属性とベースラインを使って、デバイス認可を検出できます。 結果: - UEBA 属性はデバイス ベースライン用に統合されています - UEBA 属性はデバイス アクセスで使用できます |
Microsoft IntuneおよびMicrosoft Defender for Endpoint Intune でデバイスを管理し、Defender for Endpoint を導入し、Defender for Endpoint マシン リスク スコアを使用してデバイス コンプライアンス ポリシーを構成します。 2.1.4 のMicrosoftガイダンスを参照してください。 Conditional Access アプリケーションのアクセスが可能な条件付きアクセス ポリシーを作成します。 2.2.1 の Microsoft ガイダンスを参照してください。 Microsoft Entra ID Protection のIDリスク レベルに基づいて条件付きアクセス ポリシーを構成します。 のMicrosoftガイダンス 1.6.1 を参照してください。 |
Advanced
2.3.2 エンティティアクティビティ監視Pt2DoD 組織は、ネットワーク アクセス ソリューションと共にユーザーおよびエンティティ行動アクティビティ (UEBA) ソリューションを利用して、環境やリソースにアクセスするための UEBA 属性 (デバイスの正常性、ログオン パターンなど) を義務付けます。 結果: - UEBA 属性はデバイス アクセスに必須です |
条件付きアクセス 条件付きアクセス ポリシーでは、Intune 準拠のデバイスの状態、場所、ID リスクシグナルを使用します。 デバイス フィルターを使用して、デバイス属性に基づいて条件付きアクセス ポリシーをターゲットにします。 2.2.1 および 2.3.1 の Microsoft ガイダンスを参照してください。 |
Target
2.3.3 アプリケーション制御およびファイル整合性監視 (FIM) ツールを実装するDoD 組織は、ファイル整合性監視 (FIM) およびアプリケーション制御ソリューションを調達して実装します。 FIM は、データの柱で監視の開発と拡張を続けます。 リスクの低い環境に監視のみモードでアプリケーション制御をデプロイし、ベースラインの許可を確立します。 エンタープライズおよび組織の PKI 環境と統合しているアプリケーション制御チームは、アプリケーションの許可に証明書を利用します。 NextGen AV は、すべての重要なサービス/アプリケーションに実装 Outcomes: - AppControl と FIM ツールがすべての重要なサービス/アプリケーションに実装されているすべてのサービスとアプリケーションを対象としています - EDR ツールは、サービス/アプリケーションの最大量をカバーします - AppControl と FIM のデータは必要に応じて C2C に送信されます |
Microsoft Defender for Endpoint Defender for Endpoint は、ファイル整合性監視 (FIM)、アプリケーション制御、次世代ウイルス対策 (NGAV)、およびその他の情報を収集してマシンのリスクスコアを算出します。 - 次世代保護 - マネージド デバイス用のアンチウイルス - 制御されたフォルダーアクセス Microsoft Intune Microsoft Intune でアプリコントロール エンドポイント セキュリティ ポリシーを設定します。 - ビジネス用アプリコントロールによるアプリの承認 - Microsoft Defender アプリコントロール ポリシーとファイルルール 条件付きアクセス コンプライアンス接続 (C2C) モデルを実現するには、アプリケーションを Microsoft Entra ID に統合し、条件付きアクセスで準拠したデバイス承認制御を必要とします。 Microsoft のガイダンスを2.2.2で参照してください。 |
Advanced
2.3.4 NextGen AV Tools C2C の統合DoD 組織は、必要に応じて次世代のウイルス対策およびマルウェア対策ソリューションを調達して実装します。 これらのソリューションは、署名やアップデートなどのベースラインステータスチェックを行うための「Comply to Connect」との初期展開に組み込まれています 結果: - 重要なNextGen AVデータがC2Cに送信され、チェックを受けています - NextGen AVツールは全ての重要なサービス/アプリケーションに実装されています |
Microsoft Intune ウイルス対策および Microsoft Defender for Endpoint のマシンリスクスコアに関するデバイスコンプライアンス ポリシーを作成します。 - エンドポイントのセキュリティのためのウイルス対策ポリシー 2.2.2を参照してください。 |
Advanced
2.3.5 必要に応じて、デバイス セキュリティ スタックと C2C を完全に統合しますDoD 組織は、すべての環境と防止モードへのアプリケーション制御の展開を継続します。 ファイルの整合性の監視 (FIM) とアプリケーション制御の分析を Comply to Connect に統合して、アクセスに関する意思決定を行うデータ ポイントを拡張します。 さらなるデバイス/エンドポイントのセキュリティ スタック データ ポイントのために Comply to Connect の分析を評価し (UEDM など)、必要に応じて統合します。 結果: - AppControl と FIM の展開は、必要なすべてのサービス/アプリケーションに拡張されます - Device Security ツールからの残りのデータは C2C で実装されます |
アクティビティ 2.3.4 を完了します。 Microsoft Defender for Cloud Apps Defender for Cloud Apps のポリシーを使用して、危険なクラウド アプリケーションを識別および制御します。 - ポリシーを使用してクラウド アプリを制御します。 |
Advanced
2.3.6 エンタープライズ PKI Pt1DoD Enterprise 公開キー 基盤 (PKI) が展開され、NPE 証明書とデバイス証明書の追加が含まれます。 PKI 証明書をサポートしていない NPE とデバイスは廃止としてマークし、使用停止処理を開始します。 結果: - 証明書を持つことができないデバイスは段階的に廃止され、最小限のアクセス環境に移動されます - すべてのデバイスと NPEs には、エンタープライズ PKI の認証用に証明書がインストールされています |
Microsoft Intune Microsoft Intuneを使用して、DoD PKI証明書をデバイスに展開します。 2.1.2でMicrosoftのガイダンスを参照してください。 アプリケーション管理ポリシー テナントアプリ管理ポリシーを構成して、企業PKIによって発行された証明書にアプリケーション資格情報を制限します。 User内のMicrosoftガイダンス1.5.3を参照してください。 Microsoft Defender for Cloud Apps アプリケーションアクセスにクライアント証明書が必要で、未承認デバイスのアクセスをブロックするアクセスポリシーを構成します。 - アクセスポリシー |
Advanced
2.3.7 エンタープライズ PKI Pt2DoD 組織は、デバイス認証とマシン間の通信に証明書を利用します。 サポートされないデバイスの廃止を完了し、リスクベースの系統的アプローチを使って例外を承認します。 結果: - デバイスは、他のサービスやデバイスと通信するために認証する必要があります |
Microsoft Intuneと条件付きアクセス Microsoft Entra IDを使用してアプリケーションを統合し、Intune でデバイスを管理し、Microsoft Defender for Endpointでデバイスを保護し、コンプライアンス ポリシーを構成します。 Defender for Endpoint のマシン リスク スコアに対するコンプライアンス ポリシーを含めます。 条件付きアクセス ポリシーで準拠した許可制御を要求する. 2.2.2 の Microsoft ガイダンスを参照してください。 |
2.4 リモート アクセス
Microsoft Entra IDは、既定で拒否される ID プロバイダー (IdP) です。 アプリケーションのサインインにMicrosoft Entraを使用する場合、ユーザーは認証され、条件付きアクセス ポリシー チェックに合格した後、Microsoft Entraがアクセスを承認します。 Microsoft Entra IDを使用して、クラウドまたはオンプレミスでホストされているアプリケーションを保護できます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
2.4.1 デフォルトでデバイスを拒否するDoD 組織は、リソースへの非管理対象のリモートおよびローカル デバイスのアクセスをすべてブロックします。 準拠しているマネージド デバイスには、ZTA のターゲット レベルの概念に従って、リスクベースの方法によるアクセス権を提供します。 結果: - コンポーネントは、既定でリソース (アプリ/データ) へのデバイス アクセスをブロックし、ポリシーごとに準拠しているデバイスを明示的に許可できます - "既定のポリシーでデバイスを拒否する" アプローチに従ってリモート アクセスが有効になります |
Microsoft Entra ID アプリケーション Microsoft Entra ID によって保護されているアプリケーションとリソースへのアクセスは、既定で拒否されます。 リソースへのアクセスには、条件付きアクセス ポリシーによって認証、アクティブな権利、認可を要求します。 2.2.1 の Microsoft ガイダンスを参照してください。 |
Target
2.4.2 Managed and Limited BYOD &IOT サポートDoD 組織は、統合エンドポイントおよびデバイス管理 (UEDM) と同様のソリューションを利用し、管理対象の Bring Your Own Device (BYOD) デバイスとモノのインターネット (IoT) デバイスが Enterprise IdP によるユーザーとデバイスベースの承認がサポートされるように、完全に統合します。 すべてのアプリケーションに対して、デバイス アクセスに動的アクセス ポリシーを要求します。 結果: - すべてのアプリケーションでデバイスの動的アクセス許可アクセスが必要です - BYOD と IOT デバイスのアクセス許可はベースライン化され、Enterprise IDP と統合されます |
- Defender for IoT - ゼロトラストを活用したIoTおよびOTのセキュリティ - US国家サイバーセキュリティ戦略によるIoTの保護 |
結果: - リソースへのアクセスが許可されている必須の構成標準を満たす BYOD デバイスと IOT デバイスのみ - 重要なサービスでは、デバイスに動的アクセスが必要です |
アクティビティ 2.4.2 を完了します。 Microsoft Defender for Cloud Apps アプリケーションへのアクセスにクライアント証明書を要求するアクセス ポリシーを構成します。 承認されていないデバイスからのアクセスをブロックする. 2.3.6 の Microsoft ガイダンスを参照してください。 |
結果: - 可能なすべてのサービスにデバイスの動的アクセスが必要です |
Azure Virtual Desktop アンマネージド デバイスからのリモート アクセスをサポートする Azure Virtual Desktop (AVD) をデプロイします。 AVD セッションホスト VM を Microsoft Entra に参加させ、Microsoft Intune でコンプライアンスを管理します。 管理されていないデバイスから、パスワードレスまたはフィッシング耐性パスワードレス認証を使用した AVD へのサインインを許可します。 - Microsoft Entra 連携の VM in AVD - 認証の強度 Microsoft Defender for Cloud Apps 管理されていないデバイスからの Web セッションを監視および制限するために、Defender for Cloud Apps セッション制御を使用します。 - セッション ポリシー |
2.5 資産、脆弱性、パッチの管理の部分的な自動化と完全な自動化
Microsoft Intuneでは、デバイス管理用のクラウドベースおよびハイブリッド (共同管理) ソリューションがサポートされています。 構成ポリシーとコンプライアンス ポリシーにより、デバイスが組織のパッチ レベルとセキュリティ構成の要件を満たしていることを保証します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
2.5.1 アセット、脆弱性、パッチ管理ツールを実装するDoD 組織は、資産/デバイスの構成、脆弱性、パッチを管理するためのソリューションを実装します。 チームは、最小限のコンプライアンス標準 (たとえば STIG など) を使って、マネージド デバイスのコンプライアンスを確認または拒否できます。 ソリューションを調達および実装するプロセスの一環として、将来の自動化と統合のレベルに向けて API やその他のプログラマティック インターフェイスをスコープに含めます。 結果: - コンポーネントは、デバイスが最小コンプライアンス標準を満たしているかどうかを確認できます コンポーネントには、システム間の統合を可能にする API を使用した資産管理、脆弱性、および修正プログラム適用システムがあります |
Microsoft Intune Intune でデバイスを管理します。 Microsoft のガイダンス 2.1.4 を参照してください。 レガシ エンドポイント デバイス向けに Microsoft Intune の共同管理を使用します。 - エンドポイント管理 - 共同管理 Intuneで管理されるデバイスプラットフォームのポリシーを設定し、更新します。 - iOS および iPadOS ソフトウェア更新ポリシー - macOS ソフトウェア更新ポリシー - Android FOTA 更新 - Windows 10 および 11 更新 Microsoft Defender for Endpoint Microsoft Intune と Microsoft Defender for Endpoint を統合します。 Microsoft Intune構成ポリシーを使用してエンドポイントの脆弱性を修復します。 - Microsoft Defender Vulnerability Management - で識別された脆弱性を使用してMicrosoft Defender for EndpointとMicrosoft Intuneを活用します |
2.6 統合エンドポイント管理とモバイル デバイス管理
Microsoft Intune構成ポリシーとコンプライアンス ポリシーにより、デバイスが組織のセキュリティ構成要件を満たしていることを確認できます。 Intune はコンプライアンス ポリシーを評価し、デバイスを準拠または非準拠としてマークします。 条件付きアクセス ポリシーでは、デバイスコンプライアンス状態を使用して、準拠していないデバイスを持つユーザーがMicrosoft Entra IDによって保護されたリソースにアクセスできないようにすることができます。
Microsoft Entra External IDテナント間アクセス設定には、ゲスト コラボレーションの信頼設定が含まれます。 これらの設定は、パートナー テナントごとにカスタマイズできます。 別のテナントからの準拠しているデバイスを信頼する場合、ホーム テナントで準拠しているデバイスを使用しているゲストは、テナント内の準拠デバイスを必要とする条件付きアクセス ポリシーを満たします。 外部ゲストをブロックしないように条件付きアクセス ポリシーの例外を作成する必要はありません。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
2.6.1 UEDM または同等のツールを実装しますDoD 組織は、調達、実装、統合エンドポイントとDevice Management (UEDM) ソリューションを調達および実装するための 「資産、脆弱性、パッチ管理ツールの実装」アクティビティと密接に連携し、要件を調達プロセスと統合します。 ソリューションを調達したら、UEDM チームは、最小限のコンプライアンス、資産管理、API サポートなどの重要な ZT のターゲット機能を確実に実装します。 結果: - コンポーネントは、デバイスが最小コンプライアンス標準を満たしているかどうかを確認できます コンポーネントには、IT コンプライアンスを維持するユーザー デバイス (電話、デスクトップ、ノート PC) の資産管理システムがあります。これは DoD 企業に報告されます - コンポーネント資産管理システムは、プログラムによって、つまり API を使用してデバイス コンプライアンスの状態を提供し、最小標準を満たしているかどうかを確認できます。 |
Complete アクティビティ 2.3.2. Microsoft Intune デバイスのコンプライアンス状態は、条件付きアクセスにおける Intune のコンプライアンス シグナルによって、ID プロバイダー (IdP) である Microsoft Entra ID に統合されます。 Microsoft Entra管理センターまたはMicrosoft Graph APIを使用して、デバイスコンプライアンスの状態を表示します。 - コンプライアンス ポリシー - Intune レポート Microsoft Entra外部ID 組織外のユーザーにデバイスコンプライアンスポリシーを拡張するには、信頼されたDoDのテナントからのMFAと準拠デバイスを信頼するように、テナント間アクセス設定を構成します。 - テナント間アクセス Microsoft Graph API Microsoft Graph APIでデバイスのコンプライアンス状態を問い合わせます。 - コンプライアンスおよびプライバシーAPI |
Target
2.6.2 Enterprise Device Management Pt1DoD 組織は、統合エンドポイントとDevice Management ソリューションを使用して、手動デバイス インベントリを自動化されたアプローチに移行します。 承認されたデバイスは、場所に関係なく管理対象にすることができます。 重要なサービスの一部であるデバイスは、自動化をサポートする統合エンドポイントとDevice Management ソリューションによって管理される必要があります。 Outcomes: - 手動インベントリは、重要なサービスの自動化された管理ソリューションと統合されています - ZT Device Management (リモート アクセスの有無にかかわらず) |
Microsoft Intuneと条件付きアクセス Microsoft Intuneを使用してデバイスを管理します。 デバイス コンプライアンス ポリシーを構成します。 準拠しているデバイスの条件付きアクセス ポリシーが必要です。 2.1.4 の Microsoft ガイダンスを参照してください。 |
Target
2.6.3 Enterprise Device Management Pt2DoD 組織は、残りのデバイスを Enterprise Device Management ソリューションに移行します。 EDM ソリューションは、必要に応じてリスクおよびコンプライアンス ソリューションと統合されます。 結果: - 手動インベントリは、すべてのサービスの自動化された管理ソリューションと統合されます |
Microsoft Intune と条件付きアクセス Intune でデバイスを管理します。 デバイス コンプライアンス ポリシーを構成します。 条件付きアクセス ポリシーで準拠デバイスを要求する. 2.1.4 の Microsoft ガイダンスを参照してください。 |
2.7 エンドポイントおよび拡張された検出と対応 (EDR と XDR)
Microsoft Defender XDR統合された防御スイートは、エンドポイント、ID、電子メール、アプリケーション全体の検出、防止、調査、応答を調整します。 Microsoft Defender XDRコンポーネントは、高度な攻撃を検出して防御します。
Microsoft Defender XDR コンポーネントの統合により、デバイスを超えた保護が拡張されます。 Microsoft Entra ID Protectionのユーザー リスク レベルに寄与する検出イベントの例を参照してください。
- Microsoft Defender for Office によって検出された疑わしい電子メール送信パターン
- Microsoft Defender for Cloud Appsでのあり得ない移動検出
- Microsoft Defender for Endpointによって検出されたプライマリ更新トークンへのアクセスを試みます
リスクベースの条件付きアクセス ポリシーにより、信頼されたネットワーク上で準拠しているデバイスを使っていても、危険なユーザーによるクラウド サービスへのアクセスをセキュリティで保護、制限、またはブロックできます。
詳細については、「Microsoft Defender XDR コンポーネントを有効にする」および「リスクとは何か」を参照してください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
2.7.1 エンドポイント検出および応答 (EDR) ツールを実装し、C2C と統合するDoD 組織は、環境内でエンドポイント検出と応答 (EDR) ソリューションを調達して実装します。 EDR によって、悪意のあるアクティビティや異常なアクティビティの保護、監視、対応を行い、ZT のターゲット機能を実現します。また、Comply to Connect ソリューションにデータを送信して、デバイスとユーザーのチェックを拡大します。 結果: - エンドポイント検出と応答ツールが実装されています - 重要な EDR データがチェックのために C2C に送信されます - NextGen AV ツールには、サービス/アプリケーションの最大量が含まれます |
Microsoft Defender for Endpoint エンド ユーザー デバイス用の Defender for Endpoint の展開. Microsoft ガイダンス 2.2 を参照してください。 このセクションの3.1. Microsoft Intune Intune デバイス コンプライアンス ポリシーの構成。 ポリシー コンプライアンスに Defender for Endpoint マシンのリスク スコアを含める。 Microsoft ガイダンス 2.1.4 を参照してください。 および 2.3.2. Microsoft Defender for Cloud Azure 内の仮想マシン (VM) を持つサブスクリプションに対する Server のMicrosoft Defenderを有効にします。 Server 用の Defender プランには、サーバー向けの Defender for Cloud が含まれています。Azure Arc 対応サーバーを使用して、Azure の外部にある Windows および Linux の物理サーバーと VM を管理および保護します。 Azureの外部でホストされているサーバーのAzure Arc エージェントを展開します。 Azure Arc 対応サーバーを Microsoft Defender で保護されているサブスクリプションにオンボードします。 - Azure Arc 対応サーバー - Azure Connected Machine エージェント |
Target
2.7.2 拡張検出/応答 (XDR) ツールを実装し、C2C Pt1 と統合するDoD 組織は、拡張検出および応答 (XDR) ソリューションを調達して実装します。 柱にまたがる機能を含む統合ポイントを特定し、リスクに基づいて優先順位を付けます。 これらの統合ポイントのうち最もリスクが高いものを処理し、統合を開始します。 EDR でエンドポイントのカバレッジを継続し、XDR 実装の一部として考えられるすべてのサービスとアプリケーションを含めます。 基本的な分析を、XDR ソリューション スタックから SIEM に送信します。 結果: - 機能ごとに統合ポイントが特定されました - 最もリスクの高い統合ポイントが XDR と統合されました - SIEM やその他のメカニズムに基本的なアラートが設定されています |
Microsoft Defender XDR Microsoft Defender XDR コンポーネントとサービスをパイロットし、デプロイします。 - Defender XDR - ゼロトラストのための Sentinel と Defender XDR デプロイされた Microsoft Defender XDR コンポーネントの統合を構成します。 - Defender for Endpoint と Defender for Cloud Apps - Defender for Identity と Defender for Cloud Apps - Purview 情報保護および Defender for Cloud Apps Microsoft Sentinel Microsoft Defender XDR 用の Sentinel データ コネクタを構成します。 分析ルールを有効にする. - Defender XDR をインストールします - Defender XDR データを Sentinel に接続する |
Advanced
2.7.3 拡張検出/応答 (XDR) ツールを実装し、C2C Pt2 と統合するXDR ソリューション スタックは、可能な限りカバー範囲を拡大する統合ポイントの識別を完了します。 リスクベースの系統的アプローチを使って例外の追跡と管理を行い、運用を継続します。 ZT の高度な機能を実現する拡張された分析を、SIEM およびその他の適切なソリューションに統合します。 結果: - 残りの統合ポイントは、必要に応じて統合されています - 拡張アラートと応答は、少なくとも SIEM を使用して他の Analytics ツールで有効になります |
Microsoft Defender XDR セキュリティ運用戦略でMicrosoft Defender XDRを使用します。 - セキュリティ操作への Defender XDR の統合 |
次のステップ
DoD Zero Trust戦略用に Microsoft クラウド サービスを構成します。