- 操作環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft 365 Business Premium(試用版)
*Defender for Endpointは、365 Business Premium に含まれる Defender for Businessを使用
Defender for Endpoint について
Defender for Endpointは、Microsoft社が提供するエンドポイント(ユーザーが使用するPCやスマートフォン等のデバイス側)に対するクラウド型のセキュリティサービスで、EDR(Endpoint Detection and Response)と呼ばれるソリューションです。WindowsPCに標準インストールされているウィルス対策ソフトのDefenderとは別のものです。
年々詐欺メール・詐欺サイトが巧妙化していますし、ランサムウェアによる被害も話題になっています。PC等のデバイスにウィルス対策ソフトが入っていれば安全という訳ではなく、セキュリティ対策は何重にも施す必要があります。
古くからの対策として、組織内ネットワークの入口にファイアウォール機器を設置するケースが多かったです。しかし、リモートワークやクラウドサービスの活用が進んだ近年においては、組織内ネットワークの入口にこれを設置するだけでは不十分です。
このような背景があり、今回のようなクラウド型のセキュリティサービスを検討されている組織が増えています。
Defender for Endpoint⇔Intune接続設定
IntuneにはDefender for Endpointと連動し、Defender for Endpointのリスクスコアによりセキュリティリスクの高いデバイスを組織アプリに接続させないといった制御を行うことができます。
以前の記事で紹介したWindowsPCのデバイス管理の設定に追加する形で、今回の設定例を紹介します。
WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[エンドポイントセキュリティ]を選択し、サブメニューの[セットアップ<Microsoft Defender for Endpoint]を選択し、[Microsoft Defender for EndpointをMicrosoft Intuneに接続する]のリンクを選択します。
Microsoft Defender管理センターの画面が開きます。
左メニューの一番下の方にある[設定]を選択し、[エンドポイント]を選択します。
初期設定画面が表示されたら、[開始する]を選択します。
必要に応じてセキュリティ管理者・閲覧者を設定し、[続ける]を選択します。
必要に応じてメール通知を設定し、[続ける]を選択します。
[すべてのデバイス]が選択されていることを確認し、[続ける]を選択します。
設定内容を確認し、問題なければ、[送信]を選択します。
[完了]を選択します。
冒頭のMicrosoft Intuneの画面に戻り、[最新の情報に更新]を選択すると、接続の状態が[有効]に変わります。
画面下部のオプション選択を適宜調整し、[保存]を選択します。
さらに、画面上部の水色の注記部分を選択し、コンプライアンスポリシーの設定画面に移動します。
WindowsPC用のコンプライアンスポリシーを選択し、[コンプライアンス設定]の[編集]を選択します。
[Microsoft Defender for Endpoint]のカテゴリを展開し、判定基準とするリスクスコアを適宜選択し、[レビューと保存]を選択します。
[保存]を選択します。
今編集したコンプライアンスポリシーのチェックにより準拠済/非準拠の判定が行われ、さらに条件付きアクセスポリシーで組織アプリ利用等の制御が行われます(画面は以前の記事の条件付きアクセスポリシーの設定箇所抜粋)。
一点補足します。
Intune管理画面の左メニューの[エンドポイントセキュリティ]を選択し、サブメニューの[管理する>エンドポイントの検出と応答]を選択すると、[Default EDR policy for all devices]をいうポリシーが自動作成されています。
デバイス構成ポリシーの作成メニューからも同じポリシーを作成できるのですが、上記と競合してしまいますので、デバイス構成ポリシーからの作成は不要です。
こちらは参考情報です。
各デバイスのリスクスコアは、Microsoft Defender管理センターの左メニューの[デバイス]を選択すると、確認できます。
この例ではリスクなしとなっています。
エンドポイント分析の初期設定
ここからは、管理下デバイスの性能等を可視化する、エンドポイント分析の開始方法を紹介します。ブルースクリーンエラーやアプリのクラッシュ等、調子の悪いPCを確認できるので便利です。使用にあたり、管理デバイスが5台以上必要となります。
Microsoft Intune管理センターの左メニューの[レポート]を選択し、サブメニューの[分析>エンドポイント分析]を選択します。
[開始]を選択します。
サブメニューの[設定]を選択すると、[Intuneデータ収集ポリシー]が[接続済み]と表示されていれば、エンドポイント分析のデータ収集が開始されています。さらにこのリンクを選択します。
Intuneデータ収集ポリシーが設定されています。
サブメニューの[デバイスの状態]を選択します。
管理下デバイスの展開状態が[成功]になれば、分析データの収集が行われます。
分析結果のレポートは、Microsoft Intune管理センターの左メニューの[レポート]を選択し、サブメニューの[概要]または[レポート]下から確認できます。
この環境の管理デバイスが5台に届かず、実際のレポート画面を紹介できず残念です。意外と便利で設定も簡単ですので、未使用でしたら是非お試しください。
おわりに
これまでMicrosoft Intuneのデバイス管理に関して、代表的な機能を集中的に紹介してきました。他にももっと色々な機能がありますので、今後も個別に紹介していきたいと思います。
当ブログ内の関連記事
