tos-akibaのブログ

主に Microsoft 365 Security について

Intune と Defender for Endpoint による Windows クライアント強化

企業のアセットの脆弱性への対処について、パッチ適用の側面のみに焦点を当てている場合は、安全でない構成のままを見落としている可能性があります。
セキュリティも考慮した場合、アセットの設定ミスに自動的に対処し、一元化された方法でそれらを回避する方法を模索します。
Microsoft Intune や Defender for Endpoint(MDE)など複数の Microsoft 製品を使用して、エンドユーザーへの影響は軽減しつつ業界で認められたセキュリティベースラインを一貫して実装するソリューションを検討しましょう。
Hardening Windows Clients with Microsoft Intune and Defender for Endpoint - Microsoft Community Hub

 

Intune でクライアントを管理

アセットの一元管理は、セキュリティベースラインを一貫して展開するためのキーポイントです。
Windows クライアントの場合、Intune は管理画面を提供し、ベースラインはモバイルデバイス管理(MDM)のデバイスに適用されます。
スコープ内のデバイスは Azure AD に参加させ、エラーを最小限に抑えるよう自動登録の構成をお勧めします。
Azure AD 参加済みデバイスとは - Microsoft Entra | Microsoft Learn

Windows の MDM 自動登録を有効にする | Microsoft Learn

 

Defender for Endpoint の自動展開

Microsoft Defender for Endpoint(MDE)は、Microsoft Intune から受け取ったセキュリティ設定を実装するので、MDE と Intune 間の通信を確認します。
Microsoft 365 Defender ポータルで、「設定」>「エンドポイント」>「高度な機能」を選択し、Intune への接続をオンに切り替えます。
次に、Intune のアセットを MDE に自動的にオンボードするデバイス構成プロファイルを作成し、指定クライアントに割り当てます。

 

セキュリティベースラインをテストするグループを作成

予期しない変更の影響を軽減するため、展開前にエンドユーザーのテストグループでベースラインを数週間テンスとします。
Azure AD Joined デバイスの場合は、ユーザー情報によりデバイスを割り当てる動的グループを作成して、手作業をなくすこともできます。
動的グループを作成または編集し、状態を取得する - Microsoft Entra | Microsoft Learn

 

セキュリティベースラインを選択し、展開

セキュリティポリシーには、Microsoft、Center for Internet Security(CIS)、米国国防総省DOD)のセキュリティ技術実装ガイド(STIG)など様々なベースラインがあり、これらを適用するかカスタムで作成するかを選択できます。
新しいセキュリティベースライン適用の前に注意することは、
 ・ デバイスに古いポリシーを再割り当てし、デバイスをリセットしてから、新しいポリシーを適用する
 ・ ポリシー展開は、十分な時間をとって通知し、対象ユーザーへの影響をテストする

 

Intune マネージドデバイスの既定のセキュリティベースライン

Microsoft Intune 管理センターの「エンドポイント セキュリティ」>「セキュリティのベースライン」に、Microsoft が公開する複数のベースラインがあります。
Microsoft Intune で展開できる Windows セキュリティ ベースラインの詳細 | Microsoft Learn

 

Intune マネージドデバイスのカスタム セキュリティベースライン

カスタムのベースラインは、Microsoft提供のテンプレートを変更、カスタムプロファイルを最初から作成、グループポリシー分析ツールを使用した GPO のインポートなど、複数の方法があります。
Microsoft Intune でグループ ポリシー分析を使用して GPO をインポートおよび分析する | Microsoft Learn

STIGing Made Easy - Microsoft Endpoint Manager - Microsoft Community Hub

 

影響を監視し、コンプライアンス状況をレポート
Intune ポータルでは、ベースライン展開の成功を追跡できます。
セキュリティベースラインを選択し、エラーやプロファイルの競合などを確認します。
変更の結果がポータルに反映されるまでに 24時間かかる場合があります。
ポータル画面で最新情報を表示するか、csv ファイルにエクスポートできます。
Microsoft Intune でセキュリティ ベースラインの成功または失敗を確認する | Microsoft Learn

 

オプションの Attack Surface Reduction で強化をレベルアップ

通常、セキュリティベースラインは、セキュリティとユーザー影響のバランスを取ります。
攻撃表面の縮小(ASR)ルールは、最も一般的な攻撃ベクトルに基づく追加のセキュリティ構成です。
Intune 管理ポータルの「エンドポイント セキュリティ」>「攻撃面の減少」で、プロファイルを使用できます。
これらの設定の多くは、監査モードで 1か月間、影響を観察してから適用するのがお勧めです。
Microsoft Defender for Endpoint (MDE) 攻撃面の縮小 (ASR) ルールの展開の概要 | Microsoft Learn

攻撃面の減少 (ASR) ルールをテストする | Microsoft Learn

 

Microsoft Intune と Defender for Endpoint の活用は、組織のセキュリティ体制を維持しながら手間を軽減します。
また、実装とレポートが簡単なため、より積極的に対策を講じることができます。