次の方法で共有

Microsoft Intune での保護と構成のレベル

  • [アーティクル]

Microsoft Intune を使用すると、管理者 はユーザー、デバイス、アプリに適用されるポリシーを作成できます。 これらのポリシーの範囲は、最小セットから、より安全または制御されたポリシーまでです。 これらのポリシーは、組織のニーズ、使用されるデバイス、およびデバイスの実行内容によって異なります。

ポリシーを作成する準備ができたら、さまざまなレベルの保護と構成を使用できます。

環境とビジネス ニーズには、異なるレベルを定義できます。 これらのレベルを出発点として使用し、ニーズに合わせてカスタマイズできます。 たとえば、レベル 1 のデバイス構成ポリシーと、レベル 3 のアプリ ポリシーを使用できます。

組織に適したレベルを選択します。 間違った選択はありません。

レベル 1 - 最小限の保護と構成

このレベルには、少なくとも、すべての組織に必要なポリシーが含まれます。 このレベルのポリシーは、セキュリティ機能の最小ベースラインを作成し、ユーザーがジョブを実行するために必要なリソースにアクセスできるようにします。

アプリ (レベル 1)

このレベルでは、妥当な量のデータ保護とアクセスの要件が適用され、エンド ユーザーの中断が最小限に抑えられます。 このレベルでは、基本的な暗号化 & PIN でアプリが保護され、選択的ワイプ操作が実行されます。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 このレベルは、Exchange Online メールボックス ポリシーで同様のデータ保護制御を提供するエントリ レベルの構成です。 また、IT ユーザーとエンド ユーザーにアプリ保護ポリシーも導入します。

このレベルでは、アプリの次の保護とアクセスを構成することをお勧めします。

  • 基本的なデータ保護要件を有効にする

    • アプリの基本的なデータ転送を許可する
    • 基本的なアプリの暗号化を適用する
    • 基本的なアクセス機能を許可する

  • 基本的なアクセス要件を有効にする

    • PIN、顔 ID、生体認証アクセスが必要
    • 基本的なアクセス設定のサポートを適用する

  • 基本的な条件付きアプリケーションの起動を有効にする

    • アプリの基本的なアクセス試行を構成する
    • 脱獄/ルート化されたデバイスに基づいてアプリアクセスをブロックする
    • デバイスの基本的な整合性に基づいてアプリのアクセスを制限する

詳細については、 レベル 1 の基本的なアプリ保護に関するページを参照してください。

コンプライアンス (レベル 1)

このレベルでは、デバイス コンプライアンスによって、すべてのデバイスに適用されるテナント全体の設定が構成されます。 また、コンプライアンス要件のコア セットを適用するために、すべてのデバイスに最小限のコンプライアンス ポリシーを展開します。

Microsoft では、デバイスが組織のリソースにアクセスできるようにする前に、これらの構成を実施することをお勧めします。 レベル 1 のデバイス コンプライアンスには、次のものが含まれます。

  • コンプライアンス ポリシー設定 は、Intune コンプライアンス サービスがデバイスとどのように連携するかに影響を与える、テナント全体の設定です。

  • プラットフォーム固有のコンプライアンス ポリシーには、 プラットフォーム間で共通のテーマの設定が含まれます。 実際の設定名と実装は、プラットフォームによって異なる場合があります。

    • ウイルス対策、スパイウェア対策、マルウェア対策が必要 (Windows のみ)
    • オペレーティング システムのバージョン
      • 最大 OS
      • 最小 OS
      • マイナー ビルド バージョンとメジャー ビルド バージョン
      • OS パッチ レベル
    • パスワード構成
      • 非アクティブな期間が経過した後にロック画面を適用し、ロックを解除するためにパスワードまたはピンを要求する
      • 文字、数字、記号の組み合わせで複雑なパスワードを要求する
      • デバイスのロックを解除するためにパスワードまたは PIN を要求する
      • パスワードの最小長が必要

  • 非準拠に対するアクション は、各プラットフォーム固有のポリシーに自動的に含まれます。 これらのアクションは、構成する 1 つ以上の時間順アクションです。 ポリシーのコンプライアンス要件を満たできないデバイスに適用されます。 既定では、デバイスを非準拠としてマークすることは、各ポリシーに付属する即時アクションです。

詳細については、「 レベル 1 - 最小限のデバイス コンプライアンス」を参照してください。

デバイス構成 (レベル 1)

このレベルでは、プロファイルには、セキュリティとリソース アクセスに焦点を当てた設定が含まれます。 具体的には、このレベルでは、次の機能を構成することをお勧めします。

  • 次のような基本的なセキュリティを有効にします。

    • ウイルス対策とスキャン
    • 脅威の検出と対応
    • ファイアウォール
    • ソフトウェア更新プログラム
    • 強力な PIN とパスワード ポリシー

  • ユーザーにネットワークへのアクセス権を付与します。

    • 電子メール
    • リモート アクセス用の VPN
    • オンプレミス アクセスの Wi-Fi

詳細については、「 手順 4 - デバイス構成プロファイルを作成してデバイスをセキュリティで保護し、組織のリソースへの接続を作成する」を参照してください。

レベル 2 - 強化された保護と構成

このレベルは、より多くのセキュリティを含め、モバイル デバイス管理を拡張するために、ポリシーの最小セットで拡張されます。 このレベルのポリシーは、より多くの機能をセキュリティで保護し、ID 保護を提供し、より多くのデバイス設定を管理します。

このレベルの設定を使用して、レベル 1 で構成した内容を追加します。

アプリ (レベル 2)

このレベルでは、ユーザーがより機密性の高い情報にアクセスするデバイスに対して、標準的なレベルのアプリケーション保護が推奨されます。 このレベルでは、アプリ保護ポリシーのデータ漏洩防止メカニズムと最小 OS 要件が導入されています。 このレベルは、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用される構成です。

レベル 1 の設定に加えて、アプリの次の保護とアクセスを構成することをお勧めします。

  • 拡張データ保護の要件を有効にする

    • 組織に関連するデータを転送する
    • 選択したアプリのデータ転送要件を除外する (iOS/iPadOS)
    • 通信データの転送
    • アプリ間での切り取り、コピー、貼り付けを制限する
    • 画面キャプチャをブロックする (Android)

  • 拡張条件付きアプリケーションの起動を有効にする

    • アプリケーション アカウントの無効化をブロックする
    • デバイス OS の最小要件を適用する
    • 最小パッチ バージョンが必要 (Android)
    • Play 整合性判定評価の種類を要求する (Android)
    • デバイス ロックが必要 (Android)
    • デバイスの整合性の向上に基づいてアプリへのアクセスを許可する

詳細については、 レベル 2 の強化されたアプリ保護に関するページを参照してください。

コンプライアンス (レベル 2)

このレベルでは、コンプライアンス ポリシーにより詳細なオプションを追加することをお勧めします。 このレベルの設定の多くは、プラットフォーム固有の名前を持ち、すべて同様の結果を提供します。 Microsoft が使用できる場合に使用することをお勧めする設定のカテゴリまたは種類を次に示します。

  • アプリケーション

    • Google Play for Android など、デバイスがアプリを取得する場所を管理する
    • 特定の場所からのアプリを許可する
    • 提供元不明のアプリをブロックする

  • ファイアウォールの設定

    • ファイアウォール設定 (macOS、Windows)

  • 暗号化

    • データ ストレージの暗号化を要求する
    • BitLocker (Windows)
    • FileVault (macOS)

  • パスワード

    • パスワードの有効期限と再利用

  • システム レベルのファイルとブート保護

    • USB デバッグをブロックする (Android)
    • ルート化されたデバイスまたは脱獄されたデバイスをブロックする (Android、iOS)
    • システム整合性保護を要求する (macOS)
    • コードの整合性を要求する (Windows)
    • セキュア ブートを有効にする必要がある (Windows)
    • トラステッド プラットフォーム モジュール (Windows)

詳細については、「 レベル 2 - 拡張デバイス コンプライアンス設定」を参照してください。

デバイス構成 (レベル 2)

このレベルでは、レベル 1 で構成した設定と機能を拡張します。 Microsoft では、次のポリシーを作成することをお勧めします。

  • デバイスでディスク暗号化、セキュア ブート、トラステッド プラットフォーム モジュール (TPM) を有効にして、別のセキュリティレイヤーを追加します。
  • パスワードの有効期限が切れ、パスワードを再利用できる場合とタイミングを管理するように、PIN & パスワードを構成します。
  • より詳細なデバイス機能、設定、動作を構成します。
  • Intune でオンプレミスのグループ ポリシー オブジェクト (GPO) を使用できるかどうかを判断します。

このレベルのデバイス構成ポリシーの詳細については、「 レベル 2 - 強化された保護と構成」を参照してください。

レベル 3 - 高い保護と構成

このレベルにはエンタープライズ レベルのポリシーが含まれており、組織内のさまざまな管理者が関与する場合があります。 これらのポリシーは、引き続きパスワードレス認証に移行し、セキュリティを強化し、特殊なデバイスを構成します。

このレベルの設定を使用して、レベル 1 とレベル 2 で構成した内容を追加します。

アプリ (レベル 3)

このレベルでは、ユーザーがより機密性の高い情報にアクセスするデバイスに対して、標準的なレベルのアプリケーション保護が推奨されます。 このレベルでは、Mobile Threat Defense を使用した高度なデータ保護、強化された PIN 構成、アプリ保護ポリシーが導入されています。 この構成は、リスクの高いデータにアクセスするユーザーを対象とします。

レベル 1 と 2 の設定に加えて、アプリの次の保護とアクセスを構成することをお勧めします。

  • 高いデータ保護要件を有効にする

    • 通信データ転送時の高い保護
    • ポリシーマネージド アプリからのデータの受信
    • 組織のドキュメントへのデータの開き方をブロックする
    • 選択したサービスからデータを開くことをユーザーに許可する
    • 不要なパートナーまたは Microsoft 以外のキーボードをブロックする
    • 承認済みのキーボードを要求または選択する (Android)
    • 組織データの印刷をブロックする

  • 高アクセス要件を有効にする

    • 単純な PIN をブロックし、特定の最小 PIN 長を必要とする
    • 日数が経過した後に PIN リセットを要求する
    • クラス 3 の生体認証が必要 (Android 9.0 以降)
    • 生体認証の更新後に PIN による生体認証のオーバーライドを要求する (Android)

  • 高条件付きアプリケーションの起動を有効にする

    • デバイス ロックが必要 (Android)
    • 許可された最大脅威レベルを要求する
    • 最大 OS バージョンが必要

詳細については、 レベル 3 の高いアプリ保護に関するページを参照してください。

コンプライアンス (レベル 3)

このレベルでは、次の機能を使用して、Intune の組み込みのコンプライアンス機能を拡張できます。

  • Mobile Threat Defense (MTD) パートナーからのデータを統合する

    • MTD パートナーの場合、コンプライアンス ポリシーでは、そのパートナーによって決定された デバイスの脅威レベル または マシン リスク スコアの下にあるデバイスが必要になる場合があります。

  • Intune で Microsoft 以外のコンプライアンス パートナーを使用します。

  • スクリプトを使用して、Intune UI 内から使用できない設定のカスタム コンプライアンス設定をポリシーに追加します。 (Windows、Linux)

  • 条件付きアクセス ポリシーでコンプライアンス ポリシー データを使用して、組織のリソースへのアクセスをゲートします。

詳細については、「 レベル 3 - 高度なデバイス コンプライアンス構成」を参照してください。

デバイス構成 (レベル 3)

このレベルでは、エンタープライズ レベルのサービスと機能に焦点を当て、インフラストラクチャへの投資が必要になる場合があります。 このレベルでは、次のポリシーを作成できます。

  • 証明書ベースの認証、アプリのシングル サインオン、多要素認証 (MFA)、Microsoft Tunnel VPN ゲートウェイなど、組織内の他のサービスにパスワードレス認証を展開します。

  • Microsoft Tunnel for Mobile Application Management (TUNNEL for MAM) を展開して Microsoft Tunnel を展開します。これにより、Intune に登録されていない iOS および Android デバイスに Tunnel のサポートが拡張されます。 MAM のトンネルは、Intune アドオンとして使用できます。

    詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

  • Windows ファームウェアレイヤーに適用されるデバイス機能を構成します。 Android 共通条件モードを使用します。

  • マネージド Windows デバイスで組み込みのローカル管理者アカウントをセキュリティで保護するには、Windows ローカル管理者パスワード ソリューション (LAPS) の Intune ポリシーを使用します。

    詳細については、 Windows LAPS の Intune サポートに関するページを参照してください。

  • エンドポイント特権管理 (EPM) を使用して Windows デバイスを保護します。 EPM は、組織のユーザーを標準ユーザー (管理者権限なし) として実行するのに役立ち、それらの同じユーザーが昇格された特権を必要とするタスクを完了できるようにします。

    EPM は Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

  • キオスクや共有デバイスなどの特殊なデバイスを構成します。

  • 必要に応じてスクリプトをデプロイします。

このレベルのデバイス構成ポリシーの詳細については、「 レベル 3 - 高い保護と構成」を参照してください。

関連記事

作成できるすべてのデバイス構成プロファイルの完全な一覧については、「 Microsoft Intune のデバイス プロファイルを使用してデバイスに機能と設定を適用する」を参照してください