環境準備
実際に PoC を始めるために必要な下記の準備をしていきましょう。
1. 管理者権限の用意
2. デバイスの用意
3. Azureサブスクリプションの用意
4. 試用版ライセンスの申し込み
5. Apple ID の作成・APNS証明書の登録(オプション)
1. 管理者権限の用意
PoC 用の各種設定を行うために "全体管理者(グローバル管理者)" 特権ロールをもつアカウントが必要です。少なくとも 1 名はこのロールのアカウントを準備しましょう。
2. デバイスの用意
PoC 参加メンバーが使用するデバイスを準備します。PoC 期間中はそのデバイスを利用して普段の業務を行っていただくことを想定しています。
本Pocでは以下のデバイスを利用可能です。
- Windows10(1903以上)
- Mac OS (High Sierra以降)
- iOS
- Android
新たにデバイスを用意することが難しい場合は、普段使用しているデバイスから既存のセキュリティ ソリューション (AV、NGAV、EDR、ディスク暗号化、グループ ポリシー、構成管理、MDM など) をアンインストールして、Microsoft Threat Protection の機能をフル活用したユーザビリティをテストします。恐らく新しいデバイスを準備する方が簡単です。
3. Azureサブスクリプションの用意
Azure Sentinel をテストする際に Azure サブスクリプションが必要です。組織で使用している既存のサブスクリプションを利用するか、Azure 無料アカウントをサインアップして22,500 円 (30 日間) のクレジットを利用しましょう。なお、Azure Sentinel をテストしない場合には Azure サブスクリプションは不要です。
4. 試用版ライセンスの申し込み
既存の Office 365 サブスクリプションが紐づけられているテナントに対して、検証で使用するライセンスの試用版を追加します。
試用版はテナントごとに 1 度きりの利用になりますのでご注意ください。
- Office 365 管理センター に全体管理者でサインインします
- [課金情報] - [サービスを購入する] の順にクリックします
- [Microsoft 365 E5] - [無料試用版を入手する] のクリックします
- (+81) 90xxxxxxxx の形式で正しく自分の携帯電話の番号を入力し、[自分にテキスト送信] をクリックします
- SMS で送信された認証コードを入力し、[無料試用版の開始] - [無料トライアル] の順にクリックします
Microsoft 365 E5 以外でも、下記のような個別ライセンスの試用版も利用できます。
- Enterprise Mobility + Security E5
- Azure Active Directory Premium P2
- Microsoft Intune
- Microsoft Cloud App Security
- Azure Advanced Threat Protection
- Office 365 E5
- Azure AD のダッシュボード に全体管理者でサインインします
- [ライセンス] - [すべての製品] の順にクリックします
- "Microsoft 365 E5" を選択して [割り当て] をクリックします
- 手順1で作成した全体管理者アカウントを検索し、選択した状態で [選択] をクリックします
- [割り当て] をクリックします
5. Apple ID の作成 APNS証明書の登録
iOS や macOS を管理するために企業の Apple ID ・APNS証明書の設定が必要です。既に iPhone を MDM で管理している場合は既にもっているはずですが、持っていない場合は作成しておきましょう。本手順ではメールが有効なセキュリティ グループを使用して Apple ID を作成しますが、企業で管理出来ればどのような方法でも構いません。
なお、iOS や macOS を管理しない場合は Apple ID の取得・APNS証明書の設定は不要です。
AppleIDの取得
- O365 管理センター に全体管理者でサインインします
- [グループ] を展開して [グループ] - [グループの追加] の順にクリックします
- 下記の情報を入力して [グループを作成] をクリックします。
- グループの種類:メールが有効なセキュリティ
- 名前:<任意の名前> (APPLE_ID など)
- メールアドレス:<任意のメールアドレス (apple_id@stripesecurity.co.jp など)>
- 組織外のユーザーがこの配布グループにメールを送信することを許可する:チェック
- しばらく (最大 1 時間程度) 時間をおくと作成したグループが表示されるので、該当のグループを選択します
- [メンバー] タブを選択し、[すべてのメンバーの表示と管理] から、Apple ID を管理するメンバーを追加します
- Apple ID を作成するページ にアクセスします
- ページ下の [Apple IDを作成] をクリックします
- 本手順で作成したグループのメールアドレスを含む必要情報を入力して [次に進む] をクリックします
- グループ (のメンバー) に送信された確認コードを入力して [続ける] をクリックします
APNS証明書の設定
デバイスをIntuneに登録する前に、AppleからAPNS証明書を取得し、Intuneに設定する必要があります。
これはiOS・MacOSをMDMで管理する際に必須となる設定となります。
-
Intune 管理ダッシュボード に全体管理者でサインインします
-
[Apple の登録] - [Apple MDM プッシュ通知証明書] をクリックします
-
[1. ユーザー情報とデバイス情報の両方を Apple に送信するためのアクセス許可を Microsoft に付与します。] の同意にチェックします
-
[2. Apple MDM プッシュ通知証明書を作成するうえで必要な Intune 証明書署名要求をダウンロードしてください。] の [CSR のダウンロード] リンクをクリックし、"IntuneCSR.csr" を任意の場所に保存します
-
[3. Apple MDM プッシュ通知証明書を作成してください。] の [MDM プッシュ証明書を作成する] リンクをクリックします。
-
遷移先の Apple Push Certificates Portal で [Create a Certificate] をクリックします
-
Terms of Use で [I have read and agree to these terms and conditions.] にチェックし、[Accept] をクリックします
-
[ファイルの選択] をクリックし、手順 4) でダウンロードした csr ファイルをアップロードし、[Upload] をクリックします
-
[Download] をクリックし、AppleID を入力して [→] をクリックします
- Apple ID のパスワードを入力して [→] をクリックします
- 下記の証明書の [Download] をクリックして証明書を任意の場所にダウンロードします
Service | Vendor | Expiration Date | Status | Action |
---|---|---|---|---|
Mobile Device Management | Microsoft Corporation | <1 年後> | Active | [Renew][Download][Revoke] |
Apple Push Certificates は 1 年で有効期限が切れるためこのページで更新する必要があります