1.はじめに
本記事では、Microsoft Defender for Endpoint(MDE)にオンボード$^{*1}$しているデバイスに対してセキュリティ設定をポリシーとして配布・管理するエンドポイントセキュリティポリシーの構成方法と注意点について解説します。
ポリシーをどのように設計・作成し、どのように割り当て・確認するのかを、実際の構成をもとに整理しています。
MDE を使ったデバイスのセキュリティポリシー管理を検討している方の参考になれば幸いです。
$*1$ オンボード: デバイスをMDEの管理下に登録し、セキュリティ監視が有効な状態にすること。
2.エンドポイントセキュリティポリシーとは
エンドポイントセキュリティポリシーとは、 エンドポイント(PC・サーバー)に対して、ウイルス対策や攻撃防止などのセキュリティ設定を一元的に配布・管理するためのポリシーです。
エンドポイントセキュリティポリシーでは、OS やテンプレートを選択してポリシーを作成します。
選択できる内容は以下のとおりです。
-
対象 OS
- Windows
- Linux
- macOS -
テンプレート
- ウイルス対策
- ファイアウォール
- エンドポイントの検出と応答(EDR)
- 攻撃面の縮小(ASR) など
エンドポイントセキュリティポリシーは、元はIntuneの機能ですが、MDE と Intune を連携することで拡張利用できます。
Intune に登録(MDM 管理)されていないデバイスであっても、MDE にオンボードされていれば、Intune 管理センターまたは Defender ポータルからエンドポイントセキュリティポリシーを適用できます。
エンドポイントセキュリティポリシーを活用することで、従来のGPO(グループポリシー)では困難だったmacOSやLinuxに対しても、OSの垣根を越えた一元的なポリシー適用が可能になります。
OS によって使用できるテンプレートは異なります。
詳細は Microsoft Learn の公式ドキュメントをご確認ください。
https://learn.microsoft.com/ja-jp/intune/intune-service/protect/mde-security-integration#which-solution-should-i-use
3.全体構成
エンドポイントセキュリティポリシーを適用する場合、複数の Microsoft サービスが連携して動作します。
本構成で扱う主なサービスは次のとおりです。
Microsoft Defender for Endpoint(MDE)
エンドポイントの検知・防御を担うサービスです。
デバイス上では MDE のセンサーが動作し、脅威の検知やセキュリティ設定の適用を行います。
Microsoft Intune
エンドポイントセキュリティポリシーを作成・配布するために使用します。
本構成では、デバイスは通常の MDM 管理対象ではありませんが、
MDE と連携することで、定義したセキュリティ設定を配布できます。
Microsoft Entra ID
デバイスやグループを管理するための基盤サービスです。
MDE にオンボードされたデバイスは、Entra ID にデバイスのレコードが自動で登録され、Entra ID のデバイスグループによるポリシー割り当てに利用されます。
次の構成図では、これらのサービスがどのように連携し、 エンドポイントセキュリティポリシーがデバイスに適用されるかを示します。
https://learn.microsoft.com/ja-jp/intune/intune-service/protect/mde-security-integration#architecture
4.前提条件
本記事の内容を実施するにあたり、以下を前提としています。
・MDE、Intune、Entra IDの管理センターにアクセス可能な権限を所有していること
・MDE(P1/P2)のライセンスを所持していること
・MDEにデバイスがオンボード済みであること
Defender for Serversを使用している場合の注意事項
Defender for CloudのDefender for Servers ではサーバーを MDE にオンボードできますが、エンドポイントセキュリティポリシーを利用するには MDE(P1 / P2)のライセンスが別途必要です。
Defender for Serversに関する情報はMicrosoft Learn の公式ドキュメントをご確認ください。
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-servers-overview
5.設定手順
エンドポイントセキュリティポリシーの設定手順について、
「MDE・Intuneの連携設定」
「エンドポイントセキュリティポリシー作成」
の順に説明します。
5-1.MDE・Intuneの連携設定
MDE・Intuneの連携設定について、Defenderポータル、Intune管理センターでの設定手順を説明します。
Defenderポータルでの設定
1.Defenderポータルの左ペインより、[システム]>[設定]>[エンドポイント]>をクリックします。
2.構成管理の[強制範囲]をクリックします。
3.「MDEを使用してIntuneからセキュリティ構成設定を適用する」をオンにし、「構成管理を有効にする」でエンドポイントセキュリティポリシーを適用するOSにチェックをいれます。
Defender for Serversを使用している場合は「Microsoft Defender for Cloudにオンボードされたデバイスのセキュリティ設定管理」もオンにします。
4.「保存」をクリックします。
5.全般の[高度な機能]をクリックします。
6.「Microsoft Intune 接続」を[オン]にし、[ユーザー設定の保存]をクリックします。
Intuneでの設定
1.Intune管理センターの左ペインより、[エンドポイントセキュリティ]>[Microsoft Defender for Endpoint]をクリックします。
2.「Microsoft Defender for Endpointによるエンドポイントセキュリティの構成の実施を許可する(プレビュー)」を[オン]にし、「保存」をクリックします。
連携設定結果確認
IntuneとMDEの連携設定が完了すると、MDEにオンボードしたデバイス情報がEntra管理センター、Intune管理センターにも反映されます。
各ポータルでのオンボード確認方法を説明します。
Defenderポータル
Defenderポータルの左ペインより、[アセット]>[デバイス]をクリックします。
「管理者」列が「MDE」であることを確認します。
Intune管理センター
Intune管理センターの左ペインより、[デバイス]>[すべてのデバイス]をクリックします。
「管理者」列が「MDE」であることを確認します。
Entra管理センター
Entra管理センターの左ペインより、[デバイス]>[すべてのデバイス]をクリックします。
「参加の種類」列が空白、「セキュリティ設定の管理」列が「Microsoft Defender for Endpoint」であることを確認します。
5-2.エンドポイントセキュリティポリシー作成
エンドポイントセキュリティポリシーについて、ポリシー設計時のポイントとポリシーの作成方法について説明します。
■ポリシー設計時のポイント
エンドポイントセキュリティポリシーの構成を設計する際にポイントとなる点について、実際の構成例をもとに説明します。
本記事では、Windowsサーバーに対してウイルス対策ポリシーを割り当てる際の設計例を説明します。
①ポリシーはデバイスグループに割り当て
エンドポイントセキュリティポリシーは、ユーザーやデバイスに直接割り当てることができません。そのためEntraでグループを作成する必要があります。
また、サーバー環境ではユーザーとの紐づきが明確でないため、 ユーザーグループではなくデバイスグループに割り当てます。
②グループ割り当ての考え方
ポリシーから除外するサーバーがある場合、
ポリシーを割り当てるグループ、除外するグループをそれぞれ作成する必要があります。
ポリシーはOSごとに作成する仕様上、割り当てるグループもOSごとに必要であるため、動的グループを使用してOSごとのグループを作成します。
割り当てグループが動的グループの場合、除外するグループは静的グループとして作成します。
本構成では、OS単位の動的グループとサーバーの役割(AD、DBなど)単位の静的グループを作成しました。
【デバイスグループ設計例】
| グループ名 | グループの種類 | メンバーシップの種類 | メンバー |
|---|---|---|---|
| MDE Managed Servers (Windows) | セキュリティ | 動的デバイス | OSがWindows ServerかつMDEにオンボードしているデバイス |
| MDE Managed Servers (AD) | セキュリティ | 割り当て済み(静的グループ) | ADサーバー1号機、ADサーバー2号機 |
ポリシーの割り当てにはOS単位での動的グループ、除外には役割単位での静的グループを選択します。
【ウイルス対策ポリシーの設計例】
| OS | テンプレート | ポリシー名 | 構成設定 | 割り当て(Include) | 除外(Exclude) |
|---|---|---|---|---|---|
| Windows | Microsoft Defender Antivirus | Windows_Antivirus_01 | スケジュールスキャンの日時を設定など | MDE Managed Servers (Windows) | 本ポリシーの設定を除外する静的グループを選択 |
③拡張子、パス、プロセスの除外は別のポリシーで管理
ウイルス対策のスキャンから除外する拡張子、パス、プロセスは「Microsoft Defender Antivirus exclusions」ポリシーで管理できます。
「Microsoft Defender Antivirus」でも同様の設定が可能ですが、除外に関してはサーバーの役割によって要件が大きく異なるため、Windowsサーバー共通で設定したい内容は「Microsoft Defender Antivirus」でOS単位の動的グループに割り当て、拡張子、パス、プロセスの除外は「Microsoft Defender Antivirus exclusions」で役割単位の静的グループに割り当てました。
【ウイルス対策除外ポリシーの設計例】
| OS | テンプレート | ポリシー名 | 構成設定 | 割り当て(Include) | 除外(Exclude) |
|---|---|---|---|---|---|
| Windows | Microsoft Defender Antivirus exclusions | Windows_Antivirus_Exclusions_01 | 除外する拡張子、パス、プロセスを入力 | MDE Managed Servers (AD) | ー |
■Entraグループ作成
Entra IDにてポリシーを割り当てるデバイスグループを作成する方法について記載します。
1.Entra管理センターの左ペインより、[グループ]>[新しいグループ]をクリックします。
2.「デバイスグループの設計例」を参考に、グループ設定をし「作成」をクリックします。
参考:
「OSがWindows ServerかつMDEにオンボードしているデバイス」をグループに含める際の動的クエリです。
(device.deviceOSType -eq ""Windows Server"") and (device.managementType -eq ""MicrosoftSense"")
※筆者の環境での確認値です。
■エンドポイントセキュリティポリシー作成
エンドポイントセキュリティポリシーを作成する方法について、記載します。
1.Defenderポータルの左ペインより、[エンドポイント]>[構成管理]>[エンドポイントセキュリティポリシー]をクリックします。
2.「新しいポリシーの作成」をクリックします。
3.プラットフォームとテンプレートを選択し「ポリシーの作成」をクリックします。
4.任意の名前と説明を入力し「Next」をクリックします。
5.ポリシーで配布する内容について任意の設定を行い、「Next」をクリックします。
6.検索窓からグループを検索し、ポリシーを割り当てるグループは「Target type」を「Include」、除外するグループは「Exclude」を選択し、「Next」をクリックします。
7.作成内容を確認し、「Save」をクリックします。
■適用状況の確認
ポリシーが正常にサーバーに割り当てられているか確認する方法について記載します。
1.Defenderポータルの左ペインより、[エンドポイント]>[構成管理]>[エンドポイントセキュリティポリシー]をクリックします。
2.適用状況を確認するポリシー名をクリックします。
3.「適用済みデバイス」タブをクリックするとポリシーが割り当てられているデバイスを確認できます。
※Microsoft Learnでは最大90分でポリシーが適用されると記載されています。
https://learn.microsoft.com/ja-jp/defender-endpoint/manage-security-policies#verify-endpoint-security-policies
ポリシーが適用されない場合の確認事項
90分経っても「適用済みデバイス」に表示されない場合、以下を確認してください。
・デバイスの電源がオンになっているか
・デバイスで必要な通信要件が満たせているか
通信要件に関しては以下のサイトをご確認ください。
https://learn.microsoft.com/ja-jp/defender-endpoint/configure-environment#enable-access-to-microsof%E2%80%A6
6.注意事項
本構成で構築した際、Defender、Intune、Entra の各ポータルにおいて、同一のサーバーが「ワークグループ」と「ドメイン参加」として重複して登録される事象が発生しました。
原因として、サーバーがドメイン参加前の状態(ワークグループ状態)でMDE にオンボードした後、ドメイン参加させることで、同一のサーバーであるにもかかわらず、別のデバイスとして認識されることが確認されています。
Defender および Intune では、ワークグループ状態で登録されたデバイスは、数日経過すると非アクティブ状態になります。
この状態が一定期間続くと、デバイスが自動的に削除される挙動を確認しています。
一方、Entra ID 上のデバイス情報については自動削除されないため、管理者による手動削除が必要となります。
基本的には、Entra ID のデバイス情報から「最終更新日時が古いデバイス」をワークグループ時のデバイス情報と判断し、そちらを削除する運用となります。
なお、デバイス情報の判別が難しく、誤って有効なデバイスを削除してしまう可能性がある場合は、無理に削除せず、そのまま残しておく運用も選択肢の一つと考えられます。
本事象を防ぐため、可能であればドメイン参加後に MDE へオンボードすることを推奨します。
7.まとめ
本記事では、MDE にオンボードしたサーバーに対し、Intune と連携してエンドポイントセキュリティポリシーを適用する方法と、設計・運用時の注意点について紹介しました。
エンドポイントセキュリティポリシーを利用することで、サーバーごとの個別設定に依存せず、ウイルス対策や EDR などのセキュリティ設定を一元的に管理できる点は、組織としてのセキュリティレベル維持や運用負荷軽減の面で大きなメリットとなります。
サーバー環境におけるセキュリティ管理の効率化・標準化を検討している方は、
ぜひ本記事の内容を参考にしてみてください。
We Are Hiring!