手順 6. セキュリティ ベースラインのデバイス リスクとコンプライアンスを監視する
organizationがMicrosoft Defender for Endpointをデプロイした後、Microsoft Intuneと Defender for Endpoint を統合することで、デバイスのより大きな洞察と保護を得ることができます。 モバイル デバイスの場合、これにはアクセスの条件としてデバイスのリスクを監視する機能が含まれます。 Windows デバイスの場合、これらのデバイスのセキュリティ ベースラインへの準拠を監視できます。
Microsoft Defender for Endpoint の展開には、エンドポイントのオンボーディングが含まれます。 Intuneを使用してエンドポイントをオンボード (推奨) した場合は、Microsoft Intuneを Defender for Endpoint に接続しました。 別の方法を使用してエンドポイントを Defender for Endpoint にオンボードした場合は、「IntuneでMicrosoft Defender for Endpointを構成する」を参照して、IntuneとMicrosoft Defender for Endpoint間のサービス間接続を確実に設定します。
この図について:
- Microsoft Defender for Endpoint は、デバイスの脅威保護の洗練度を大幅に向上させます。
- Microsoft Intuneを使用すると、アプリ保護ポリシーを設定し、デバイス (構成の変更を含む) を管理できます。 Defender for Endpoint は、脅威のデバイスを継続的に監視し、攻撃を修復するための自動アクションを実行できます。
- Intuneを使用して Defender for Endpoint にデバイスをオンボードできます。これにより、これらのデバイスを Microsoft Purview エンドポイント データ損失防止 (DLP) で動作させることができます。
この記事には、次の手順が含まれています。
- デバイスのリスクを監視する
- セキュリティ ベースラインのコンプライアンスを監視する
Defender for Endpoint がまだ設定されていない場合は、脅威保護管理者と協力して、評価環境とパイロット環境を設定します。 パイロット グループと協力して、この記事の機能を試すことができます。
アクセスの条件としてデバイスのリスクを監視する
Microsoft Defender for Endpoint を展開すると、脅威のリスク信号を利用できます。 これにより、リスク スコアに基づいてデバイスへのアクセスをブロックできます。 Microsoft では、リスク スコアが中程度以下のデバイスへのアクセスを許可することをお勧めします。
Android および iOS / iPadOS の場合、脅威信号はアプリ保護ポリシー (APP) 内で使用できます。 詳細については、「 アプリ保護ポリシーを作成して割り当てて、デバイスのリスク レベルを設定する」を参照してください。
すべてのプラットフォームで、既存のデバイス コンプライアンス ポリシーにリス クレベルを設定できます。 詳細については、「条件付きアクセス ポリシーを作成する」をご覧ください。
セキュリティ ベースラインを展開し、これらの設定のコンプライアンスを監視する
適用対象: Windows 10、Windows 11
手順 5.構成プロファイルの展開に関する記事では、Windows 10とWindows 11で使用できるセキュリティ ベースラインを使用して構成プロファイルの使用を開始することをお勧めします。 Microsoft Defender for Endpoint には、エンドポイント検出および応答 (EDR) の設定など、Defender for Endpoint スタックのすべてのセキュリティ制御を最適化する設定を提供するセキュリティ ベースラインも含まれています。 これらは、Microsoft Intune を使用して展開されます。
理想的には、Defender for Endpoint にオンボーディングされたデバイスは、両方のベースラインで展開されます。最初に Windows を保護するための Windows Intune セキュリティ ベースラインと、次に Defender for Endpoint セキュリティ コントロールを最適に構成するために上に階層化された Defender for Endpoint セキュリティベースラインです。
リスクと脅威に関する最新のデータの恩恵を受け、ベースラインの進化に伴う競合を最小限に抑えるには、リリースされるとすぐにすべての製品に最新バージョンのベースラインを常に適用します。
Defender for Endpoint を使用すると、これらのベースラインのコンプライアンスを監視できます。
セキュリティ ベースラインを展開し、これらの設定のコンプライアンスを監視するには、次の表の手順を使用します。
手順 | 説明 |
---|---|
1 | 重要な概念を確認し、Microsoft Defender for Endpoint と Windows Intune のセキュリティ ベースラインを比較します。 推奨事項については、「Microsoft Defender for Endpoint セキュリティ ベースラインへのコンプライアンスの向上」を参照してください。 使用可能なセキュリティ ベースラインの一覧と競合を回避する方法については、「セキュリティ ベースラインを使用してIntuneで Windows デバイスを構成する」を参照してください。 |
2 | Intune の Windows セキュリティ ベースライン設定を展開します。 まだない場合は、手順 5 のガイダンスを参照してください 。構成プロファイルをデプロイします。 |
3 | Intune のDefender for Endpoint ベースライン設定を展開します。 プロファイルを作成してベースライン バージョンを選択するには、「Microsoft Intune でのセキュリティ ベースライン プロファイルの管理」を参照してください。 こちらの手順に従うこともできます: 「エンドポイント セキュリティ ベースライン用の Microsoft Defender を確認して割り当てる」 |
4 | Defender for Endpoint で、デバイス構成管理のセキュリティ ベースラインカードを確認します。 |