IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSIntune > 【Microsoft Intune】デバイス管理 | WindowsPC1
最終更新日

【Microsoft Intune】デバイス管理 | WindowsPC1

MSIntune インフラ

Microsoft Intune デバイス管理(WindowsPC)1

Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、WindowsPCデバイスの管理方法の例を紹介します。
これにより、セキュリティルールに準拠しないPCに組織のアプリを使用させないといった制約や、組織のPCの各種設定やアプリの導入を制御することができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)
  • 管理デバイス環境:Windows 11,10

 

 

WindowsPC デバイス管理の要件整理

この例では、以下のような要件でデバイス管理の設定を行います。
なお、この例の要件は大変シンプルなものであり、これが一般的な組織のベストプラクティスという訳ではありません。

  1. デバイス登録
    私物PCの業務利用は不可とし、組織が貸与したPCでMS365にサインインすることでデバイス登録済となり業務利用可とする
  2. デバイス構成ポリシー
    • Endpoint Protection:
      ユーザーによるアプリインストールをストアアプリからに制限、デバイス暗号化要求など
    • デバイス制御:
      電源とスリープ設定の制御、パスワードルールの規制、悪意あるサイトアクセスの規制、MS Defenderウィルス対策の有効化・各種設定
  3. コンプライアンスポリシー
    デバイス暗号化・セキュアブート必須、MS Defender機能必須など
  4. 条件付きアクセスポリシー
    項番3で準拠済となったデバイスのみ組織アプリ(MS365,Google)へのアクセスを許可し、非準拠デバイスの組織アプリへのアクセスは拒否する
  5. Windows更新プログラム
    更新プログラムの延期期間14日、Windows10⇒11アップグレード許可など
  6. アプリ展開
    Adobe Reader, Company Portal, Slack, MS 365, 7-Zipを導入
    (Slackと7-Zipは任意、他は必須)
*第1回(この記事)は項番2と3、第2回は項番4と5、第3回は項番6を紹介します

 

Intune管理C デバイスグループ作成

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[グループ]を選択し、サブメニューの[すべてのグループ]を選択し、[新しいグループ]を選択します。

図表2-1 Intune管理センターのWindowsPCデバイスグループ作成へ

図表2-1 Intune管理センターのWindowsPCデバイスグループ作成へ

 

以下の通り設定します。

  • グループの種類:セキュリティ
  • グループ名:(組織の全Windowsデバイスであることがわかるような名前)
  • メンバーシップの種類:動的デバイス
  • 所有者:システム管理者

さらに、[動的クエリの追加]を選択します。

図表2-2 WindowsPCデバイスグループ作成(基本)

図表2-2 WindowsPCデバイスグループ作成(基本)

 

この例ではWindows10か11のデバイスを対象にしますので、[ルールの構成]では以下の通り設定します。

  • および/または:または
  • プロパティ:deviceOSVersion
  • 演算子:Starts With(~で始まる)
  • 値:10、11

図表2-3 WindowsPCデバイスグループ作成(動的クエリ-構成ルール)

図表2-3 WindowsPCデバイスグループ作成(動的クエリ-構成ルール)

 

[ルールの検証]を選択し、意図したデバイスがグループ内に含まれるか確認します。問題なければ[保存]を選択します。
問題がある場合は、[ルールの構成]に戻って設定を見直します。

図表2-4 WindowsPCデバイスグループ作成(動的クエリ-ルール検証)

図表2-4 WindowsPCデバイスグループ作成(動的クエリ-ルール検証)

 

[作成]を選択します。
一覧画面に戻り、少し時間が経つと、作成したグループが表示されます。

図表2-5 WindowsPCデバイスグループ作成結果

図表2-5 WindowsPCデバイスグループ作成結果

 

Intune管理C デバイス構成ポリシー作成

この例では、以下2つのテンプレートを使ってデバイス構成ポリシー作成します。

  • Endpoint Protection
  • デバイス制御

Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>構成]を選択し、[作成>新しいポリシー]を選択します。

図表3-1 Intune管理センターのデバイス構成ポリシー作成へ

図表3-1 Intune管理センターのデバイス構成ポリシー作成へ

 

[プロファイルの作成]画面で以下の通り指定し、[作成]を選択します。

  • プラットフォーム:Windows10以降
  • プロファイルの種類:テンプレート
  • テンプレート名:Endpoint Protection

プロファイルの名前を適宜入力し、[次へ]を選択します。

図表3-2 デバイス構成ポリシー作成(EP-基本)

図表3-2 デバイス構成ポリシー作成(EP-基本)

 

冒頭の要件に従い、[構成設定]画面で必要な項目を設定します。

*少々見づらいですが、紫色の項目が変更した項目です
  • Microsoft Defender SmartScreen>アプリとファイルのSmartScreen:有効にする
  • Windows暗号化>デバイスの暗号化:必要

図表3-3 デバイス構成ポリシー作成(EP-構成設定)

図表3-3 デバイス構成ポリシー作成(EP-構成設定)

 

以下は[Microsoft Defenderセキュリティセンターのアプリと通知]の設定です。 

  • ウィルスと脅威の防止:許可
  • ランサムウェア防止:許可
  • アカウント保護:許可
  • ファイアウォールとネットワーク保護:許可
  • デバイスのパフォーマンスと正常性:許可

[構成設定]画面の設定が一通り済んだら、[次へ]を選択します。
[割り当て]画面で[グループを追加]を選択し、工程2で作成したデバイスグループを選択し、[次へ]を選択します。

図表3-4 デバイス構成ポリシー作成(EP-構成設定,割り当て)

図表3-4 デバイス構成ポリシー作成(EP-構成設定,割り当て)

 

[適用性ルール]画面ではOSのエディションやバージョンでこのポリシーの適用対象をさらに絞り込むことができます。特に要件がなければ何もせずに[次へ]を選択します。この例では、選択肢の参考まで、OSのエディションがProの場合に絞り込んでいます。
[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。

図表3-5 デバイス構成ポリシー作成(EP-適用性ルール,確認と作成)

図表3-5 デバイス構成ポリシー作成(EP-適用性ルール,確認と作成)

 

同じ要領でもう1個ポリシーを作成します。

  • プラットフォーム:Windows10以降
  • プロファイルの種類:テンプレート
  • テンプレート名:デバイスの制限

プロファイルの名前を適宜入力し、[次へ]を選択します。

図表3-6 デバイス構成ポリシー作成(制御-基本)

図表3-6 デバイス構成ポリシー作成(制御-基本)

 

冒頭の要件に従い、[構成設定]画面で必要な項目を設定します。

  • コントロールパネルと設定>電源とスリープの設定変更:ブロック
  • パスワード>パスワード:必須
  • パスワード>必要なパスワードの種類:英数字
  • パスワード>パスワードの複雑さ:数字、小文字、大文字が必要
  • パスワード>パスワードの最小文字数:8

[構成設定]画面の設定が一通り済んだら、[次へ]を選択します。

図表3-7 デバイス構成ポリシー作成(制御-構成設定)

図表3-7 デバイス構成ポリシー作成(制御-構成設定)

 

  • Microsoft Defender SmartScreen>悪意のあるサイトへのアクセス:ブロック

以下は[Microsoft Defenderウィルス対策]の設定です。

  • リアルタイム監視:有効にする
  • 動作の監視::有効にする
  • すべてのダウンロードをスキャンする:有効にする
  • スケジュールされたスキャン用に低いCPU優先度を構成:有効
  • Microsoft Webブラウザーに読み込まれたスクリプトをスキャンする:有効にする
  • アーカイブファイルのスキャン:有効にする
  • 受信メールメッセージをスキャンする:有効にする
  • クラウドによる保護:有効にする

図表3-8 デバイス構成ポリシー作成(制御-構成設定の続き)

図表3-8 デバイス構成ポリシー作成(制御-構成設定の続き)

 

以下は[Microsoft Defenderウィルス対策]の設定です。

  • 検出されたマルウェアの脅威に対するアクション:有効にする
  • "中程度"の重大度:クリーン
  • 重要度レベル高:検疫
  • "重大"の重大度:削除

以下は[電源設定]です。

  • バッテリ>ハイブリッドスリープ:有効にする
  • プラグイン>カバーを閉じたとき:何もしない
  • プラグイン>ハイブリッドスリープ:有効にする

図表3-9 デバイス構成ポリシー作成(制御-構成設定の続き)

図表3-9 デバイス構成ポリシー作成(制御-構成設定の続き)

 

[割り当て]画面で[グループを追加]を選択し、工程2で作成したデバイスグループを選択し、[次へ]を選択します。

図表3-10 デバイス構成ポリシー作成(制御-割り当て)

図表3-10 デバイス構成ポリシー作成(制御-割り当て)

 

[適用性ルール]画面ではOSのエディションがProの場合に絞り込んでいますが、特に要件がなければ何もせずに[次へ]を選択します。
[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。

図表3-11 デバイス構成ポリシー作成(制御-適用性ルール,確認と作成)

図表3-11 デバイス構成ポリシー作成(制御-適用性ルール,確認と作成)

 

一覧画面に戻ると、作成したデバイス構成ポリシーが表示されます。
10分位経ってからポリシーを選択すると、対象デバイスへの適用状況を確認できるようになります。
試しに一行目のポリシーを選択します。

図表3-12 作成したデバイス構成ポリシーの確認(一覧)

図表3-12 作成したデバイス構成ポリシーの確認(一覧)

 

[レポートの表示]を選択します。
対象デバイスの一覧が表示されますので、どれかデバイスを選択します。

図表3-13 デバイス構成ポリシー適用状況確認(レポート表示)

図表3-13 デバイス構成ポリシー適用状況確認(レポート表示)

 

図表3-13で選択したデバイスの各項目の設定状態が表示されます。
この画面イメージのデバイスは、TPM未対応でありデバイスの暗号化を未実施ですが、状態は[成功]になっています。
公式記事でこのポリシーの仕様を確認したところ、暗号化の要求を出すだけで、自動で暗号化する訳ではありません

図表3-14 デバイス構成ポリシー適用状況確認(デバイス詳細)

図表3-14 デバイス構成ポリシー適用状況確認(デバイス詳細)

 

Intune管理C コンプライアンスポリシー作成

Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>コンプライアンス]を選択し、[ポリシーの作成]を選択します。

図表4-1 Intune管理センターのコンプライアンスポリシー作成へ

図表4-1 Intune管理センターのコンプライアンスポリシー作成へ

 

[ポリシーの作成]画面で以下の通り指定し、[作成]を選択します。

  • プラットフォーム:Windows10以降

ポリシーの名前を適宜入力し、[次へ]を選択します。

図表4-2 コンプライアンスポリシー作成(基本)

図表4-2 コンプライアンスポリシー作成(基本)

 

冒頭の要件に従い、[コンプライアンス設定]画面で必要な項目を設定します。

  • デバイスの正常性>Bitlocker:必要
  • デバイスの正常性>セキュアブート:必要

以下は[システムセキュリティ]の設定です。

  • ファイアウォール:必要
  • トラステッド プラットフォーム モジュール:必要
  • ウィルス対策:必要
  • スパイウェア対策:必要
  • Microsoft Defender マルウェア対策:必要
  • 最新のMicrosoft Defender マルウェア対策セキュリティインテリジェンス:必要
  • リアルタイム保護:必要

図表4-3 コンプライアンスポリシー作成(コンプライアンス設定)

図表4-3 コンプライアンスポリシー作成(コンプライアンス設定)

 

[コンプライアンス非対応に対するアクション]画面は、この例ではデフォルト設定(非準拠のマークをつける:即時)のままとします。
非準拠のマークをつけるスケジュールについて、猶予期間として3日程度設けた方が運用しやすいです。また、アクションの他の選択肢にあるメール送信はユーザーに対して優しいですが、デバイス削除はかなり厳格です。
[割り当て]画面で[グループを追加]を選択し、工程2で作成したデバイスグループを選択し、[次へ]を選択します。

図表4-4 コンプライアンスポリシー作成(非対応時アクション,割り当て)

図表4-4 コンプライアンスポリシー作成(非対応時アクション,割り当て)

 

[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。
一覧画面に戻ると、作成したコンプライアンスポリシーが表示されます。
10分位経ってからポリシーを選択すると、対象デバイスへの適用状況を確認できるようになります。
試しに選択してみます。

図表4-5 コンプライアンスポリシー作成(確認と作成,結果確認)

図表4-5 コンプライアンスポリシー作成(確認と作成,結果確認)

 

[レポートの表示]を選択します。
対象デバイスの一覧が表示されます。この例では、1台エラーが発生しています。

図表4-6 コンプライアンスポリシーの適用状況確認

図表4-6 コンプライアンスポリシーの適用状況確認

 

エラーの発生しているデバイスの詳細を確認してみます。Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[概要]を選択し、[非準拠デバイス]を選択します。

図表4-7 コンプライアンスポリシーの適用状況確認(非準拠デバイスへ)

図表4-7 コンプライアンスポリシーの適用状況確認(非準拠デバイスへ)

 

図表4-6でエラーの発生していたデバイスが表示されますので、これを選択します。
サブメニューの[Monitor>Device compliance]を選択し、作成したコンプライアンスポリシーを選択します。

図表4-8 コンプライアンスポリシーの適用状況確認(デバイスの対象ポリシー選択)

図表4-8 コンプライアンスポリシーの適用状況確認(デバイスの対象ポリシー選択)

 

コンプライアンスポリシーの各項目の状態が表示されます。
この例では、TPMが未対応のためエラーが発生していることが分かります。
これに付随して、BitLockerとセキュアブートの評価も行われていません。

図表4-9 コンプライアンスポリシーの適用状況確認(デバイス状況詳細)

図表4-9 コンプライアンスポリシーの適用状況確認(デバイス状況詳細)

 

次の記事に続きます。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com