テナントのアタッチ: 管理センターから攻撃面の縮小ポリシーを作成して展開する
Configuration Manager (現在のブランチ) に適用
Microsoft Intune 管理センターで攻撃面の縮小ポリシーを作成し、Configuration Manager コレクションに展開します。
前提条件
- Microsoft Intune 管理センターへのアクセス。
- アップロードされたデバイスにアタッチされたテナントである環境。
- サポート対象の Configuration Manager と、インストールされている対応バージョンのコンソール。
- 対象のデバイスを、構成マネージャー クライアントの最新バージョンにアップグレードします。
- エンドポイント セキュリティ ポリシーの割り当てに使用できる構成マネージャー コレクションが少なくとも 1 つあること
- テナントに接続されたデバイスに対してこのプロファイルをサポートする Windows デバイス
攻撃面の縮小ポリシーをコレクションに割り当てる
ブラウザーで、 Microsoft Intune 管理センターに移動します。
[エンドポイント セキュリティ] > [接続サーフェスの縮小] の順に選択し、[ポリシーの作成] を選択します。
次の設定を使用してプロファイルを作成します。
- プラットフォーム: Windows 10 以降 (ConfigMgr)
-
プロファイル: 次のいずれかのプロファイルを選択します。
- 攻撃面の縮小ルール (ConfigMgr)
- Exploit Protection (ConfigMgr)
- Web Protection (ConfigMgr)
注:
現在、Microsoft Edge インストーラー、テナントアタッチ用の攻撃面縮小ルール エンジン、 CMPivot は 、Microsoft Code Signing PCA 2011 証明書で署名されています。 PowerShell 実行ポリシーを AllSigned に設定した場合は、デバイスがこの署名証明書を信頼していることを確認する必要があります。 Configuration Manager コンソールをインストールしたコンピューターから証明書をエクスポートできます。
"C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe"
で証明書を表示し、証明書パスからコード署名証明書をエクスポートします。 次に、マネージド デバイス上の マシンの 信頼された発行元 ストアにインポートします。 このプロセスは次のブログで使用できますが、証明書パスから コード署名証明書 をエクスポートしてください。 Intune を使用した信頼された発行元への証明書の追加
- [基本] ページ上に.名前を割り当てて、任意で 説明を追加します。
- [構成設定] ページで、このプロフィールで管理する設定を構成します。 設定の構成が完了したら、[次へ] を選択します。 両方のプロファイルで使用可能な設定の詳細については、「 テナントに接続されたデバイスの攻撃面の縮小ポリシー設定」を参照してください。
- [割り当て] ページのConfiguration Manager コレクションにポリシーを割り当てます。
デバイスの状態
テナントに接続されたデバイスのエンドポイント セキュリティ ポリシーの状態を確認できます。 [デバイスの状態] ページには、テナントに接続されているクライアントのすべてのエンドポイント セキュリティ ポリシーの種類がアクセスできます。 デバイスの状態ページを表示するには:
- ConfigMgr デバイスを対象とするポリシーを選択して、ポリシーの [概要] ページを表示します。
- [デバイスの状態] を選択して、ポリシーの対象となるデバイスの一覧を表示します。
- [デバイスの状態] ページには、各デバイスの [デバイス名]、[コンプライアンス状態]、および [SMS ID] が表示されます。