Microsoft Intune を使用したゼロ トラスト
ゼロ トラストは、次のセキュリティ原則のセットを設計および実装するためのセキュリティ戦略です。
| 明確に確認する | 最小限の特権アクセスを使用する | 侵害を想定する |
|---|---|---|
| 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。 | Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、およびデータ保護を使用して、ユーザー アクセスを制限します。 | ブラスト半径とセグメントアクセスを最小限に抑えます。 エンドツーエンドの暗号化を確認し、分析を使用して可視性を高め、脅威検出を推進し、防御を強化します。 |
ゼロ トラストのデバイスとアプリケーションの認証、承認、保護
Intuneを使用して、organization所有デバイスとユーザーの個人デバイス上のアクセスとデータを保護し、ゼロ トラストをサポートするコンプライアンス機能とレポート機能を備えることができます。
| ゼロ トラスト原則 | Intuneがどのように役立つか |
|---|---|
| 明確に確認する | Intuneでは、アプリ、セキュリティ設定、デバイス構成、コンプライアンス、Microsoft Entra条件付きアクセスなどのポリシーを構成できます。 これらのポリシーは、リソースへのアクセスの認証と承認プロセスの一部になります。 |
| 最小限の特権アクセスを使用する | Intuneは、アプリのデプロイ、更新、削除など、組み込みのアプリ エクスペリエンスを使用してアプリ管理を簡略化します。 プライベート アプリ ストアに接続してアプリを配布したり、Microsoft 365 アプリを有効にしたり、Win32 アプリを展開したり、アプリ保護ポリシーを作成したり、アプリとそのデータへのアクセスを管理したりできます。
Endpoint Privilege Management (EPM) を使用すると、organizationのユーザーを標準ユーザー (管理者権限なし) として実行しながら、それらの同じユーザーが昇格された特権を必要とするタスクを完了できるようにします。 Windows ローカル管理者パスワード ソリューション (LAPS) のIntuneポリシーは、Windows デバイスでローカル管理者アカウントをセキュリティで保護するのに役立ちます。 ローカル管理者アカウントは削除できず、デバイスに対する完全なアクセス許可を持っているため、組み込みの Windows 管理者アカウントを管理できることは、organizationをセキュリティで保護する上で重要な手順です。 |
| 侵害を想定する | Intuneは、Microsoft Defender for Endpointやサード パーティのパートナー サービスを含むモバイル脅威防御サービスと統合されます。 これらのサービスを使用すると、脅威に対応するエンドポイント保護のポリシーを作成し、リアルタイムのリスク分析を行い、修復を自動化できます。 |
次の手順
ゼロ トラストの詳細と、ゼロ トラスト ガイダンス センターを使用してエンタープライズ規模の戦略とアーキテクチャを構築する方法について説明します。
デバイス中心の概念とデプロイの目的については、「ゼロ トラストを使用したエンドポイントのセキュリティ保護」を参照してください。
Microsoft 365 のIntuneについては、「Intune概要を使用してデバイスを管理する」を参照してください。
Microsoft 365 を使用したゼロ トラスト展開計画を使用して、強力なゼロ トラスト戦略とアーキテクチャに貢献するその他の Microsoft 365 機能について説明します。