デバイス認証の構成
前章までの手順でデバイスの登録及び、エンドポイントセキュリティの有効化を実施しました。
ただ、これらの実装が出来ていない、デバイスから会社のデータにアクセス出来てしまっては意味がありません。
また、登録済みのデバイスであっても、マルウェアの感染が疑われる場合はデバイスが乗っ取られている可能性があり、
やはりこのようなデバイスから会社のデータにアクセスできることは望ましくありません。
そこで、この章ではこのようなデバイスからのアクセスをブロックするポリシーを設定します。
1. コンプライアンスポリシーの作成
2. 条件付アクセスポリシーの作成
1. コンプライアンスポリシーの作成
まず、会社の資産にアクセスできるデバイスの、最低限の基準(コンプライアンスポリシーと呼びます)を定義します。
OSごとに、以下の手順でポリシーを定義してください。
Windows10 コンプライアンスポリシーの作成
1) Microsoft Endpoint Manager admin center に全体管理者でサインインします
2) [エンドポイント セキュリティ] - [デバイスのポリシー準拠] の順にクリックします
4) 下記を入力して [作成] をクリックします
* プラットフォーム: Windows 10 以降
5) プロファイルの名前 (説明は任意) を入力して、 [次へ] をクリックします
6) 会社データにアクセスするデバイスが、満たしているべき項目「必要」に設定し、 [次へ] をクリックします
各項目の詳細な説明は以下のページをご覧ください。
Intune を使用してデバイスを準拠または非準拠としてマークするための Windows 10 以降の設定
最低限のラインとして、以下の項目は設定することを推奨します。
システム セキュリティ
* デバイス上のデータ ストレージの暗号化 = 「必須」
* ファイアウォール = 「必要」
* ウイルス対策 = 「必須」
* スパイウェア対策 = 「必須」
* Microsoft Defender マルウェア対策 = 「必要」
* 最新の Microsoft Defender マルウェア対策セキュリティ インテリジェンス = 「必要」
* リアルタイム保護 = 「必要」
Microsoft Defender ATP
* デバイスは、次のマシン リスク スコア以下であることが必要 = 「中」
8) "割り当て先" を [選択したグループ] に設定し、"含めるグループの選択" で POC グループを選択します
Mac OS コンプライアンスポリシーの作成
WIndows10と同様の手順で、Mac OSのコンプライアンスポリシーを作成します。
手順4で、プラットフォーム:Mac OSを選択してください。
最低限以下の項目は設定することを推奨します。
システム セキュリティ設定
* モバイル デバイスのロックを解除するパスワードを要求する = 「必須」
* 単純なパスワード = 「ブロック」
iOS コンプライアンスポリシーの作成
WIndows10と同様の手順で、iOSのコンプライアンスポリシーを作成します。
手順4で、プラットフォーム:iOS/iPad OSを選択してください。
最低限以下の項目は設定することを推奨します。
デバイスの正常性
* 脱獄されたデバイス = 「ブロック」
* デバイスは、デバイス脅威レベル以下であることが必要 = 「中」
システム セキュリティ
* モバイル デバイスのロックを解除するパスワードを要求する = 「必須」
* 単純なパスワード = 「ブロック」
2. 条件付アクセスポリシーの作成
次に、コンプライアンスポリシーを満たしていないデバイスからのアクセスをブロックするポリシーを作成します。
1) Microsoft Endpoint Manager admin center に全体管理者でサインインします
2) [エンドポイント セキュリティ] - [条件付きアクセス] の順にクリックします
5) [ユーザーとグループ] - [ユーザーとグループの選択] - [ユーザーとグループ] の順にクリックし、検証用グループを選択します
6) [クラウドアプリまたは操作] - [アプリを選択] の順にクリックし、アクセス制御を行うクラウドアプリを選択します
7) [条件] - [デバイス プラットフォーム] - [はい] - [デバイス プラットフォームの選択] の順にクリックし、[選択]をクリックします
8) [許可] - [アクセス権の付与] - [デバイスは準拠しているとしてマーク済みである必要があります] の順にクリックし、検証用対象のデバイスのOSを選択します
9) [ポリシーの有効化] で [オン] を選択し、ポリシーを作成します。
10) ポリシー作成後、Intune登録済みのデバイスと未登録のデバイスからportal.office.comにアクセスしてみてください。Intune登録済みのデバイスからはアクセスが出来、未登録デバイスからはアクセスできないことが確認できます。