次の方法で共有

特権アクセスの導入

このドキュメントでは、特権アクセス戦略の技術的な要素の実装について説明します。これにはセキュリティで保護されたアカウント、ワークステーションとデバイス、(条件付きアクセス ポリシーを使用した) インターフェイスのセキュリティが含まれます。

セキュリティ レベルのプロファイルの概要

このガイダンスでは、3 つのセキュリティ レベルのすべてに対するすべてのプロファイルを設定し、特権アクセスのセキュリティ レベルのガイダンスに基づいて組織にロールを割り当てます。 これらの構成は、迅速な近代化計画 (RAMP) に記載されている順序で行うことをお勧めします

ライセンス要件

このガイドで説明する概念は、Microsoft 365 Enterprise E5 または同等の製品を使用していることを前提としています。 このガイド内の推奨事項の一部は、他のライセンスを使用して実装することができます。 詳細については、「Microsoft 365 Enterprise のライセンスを参照してください。

ライセンスのプロビジョニングを自動化するために、ユーザーのグループベースのライセンスを検討してください。

Microsoft Entra構成

Microsoft Entra IDは、管理者ワークステーションのユーザー、グループ、およびデバイスを管理します。 管理者アカウントで ID サービスおよび機能を有効にします。

セキュリティで保護されたワークステーションの管理者アカウントを作成するときに、現在のワークステーションにアカウントを公開します。 この初期構成とすべてのグローバル構成を行うときに、既知の安全なデバイスを使用する必要があります。 初めて構成する際に攻撃にさらされるリスクを軽減するために、マルウェア感染を防ぐためのガイダンスに従うことを検討してください。

少なくとも管理者には多要素認証を要求する必要があります。 実装のガイダンスについては、「条件付きアクセス: 管理者に対して MFA を必須にする」を参照してください。

Microsoft Entraのユーザーとグループ

  1. Azure ポータルで、Microsoft Entra ID>Users>New user に移動します。

  2. 入力します

    • 名前 - セキュリティで保護されたワークステーションのユーザー
    • ユーザー名
    • ディレクトリ ロール「制限付き管理者」を選択し、そして「Intune 管理者」ロールを選択します。
    • 使用場所 - たとえば、イギリス、またはリストから目的の場所を選ぶ。

  3. [作成] を選択します

デバイス管理者ユーザーを作成します。

  1. 入力してください。

    • 名前 - セキュリティで保護されたワークステーションの管理者
    • ユーザー名
    • ディレクトリ ロールの「制限付き管理者」と「Intune 管理者ロール」を選択します。
    • 使用場所 - たとえば、イギリス、またはリストから目的の場所を選ぶ。

  2. [作成] を選択します

次に、セキュリティで保護されたワークステーションのユーザー、セキュリティで保護されたワークステーションの管理者、Emergency BreakGlass、セキュリティで保護されたワークステーション デバイスの 4 つのグループを作成します。

Azure ポータルから、Microsoft Entra ID>Groups>New グループに移動します。

  1. ワークステーション ユーザー グループの場合、グループベースのライセンスを構成して、ユーザーへのライセンスのプロビジョニングを自動化できます。

  2. ワークステーション ユーザー グループでは、次のように入力します。

    • グループの種類 - セキュリティ
    • グループの名前 - セキュリティで保護されたワークステーションのユーザー
    • メンバーシップの種類: 割り当て済み

  3. セキュリティで保護されたワークステーションのユーザーを追加します。

  4. セキュリティで保護されたワークステーションを使用する他のユーザーを追加できます。

  5. [作成] を選択します

  6. 特権ワークステーションの管理者グループでは、次のように入力します。

    • グループの種類 - セキュリティ
    • グループの名前 - セキュリティで保護されたワークステーションの管理者
    • メンバーシップの種類: 割り当て済み

  7. セキュリティで保護されたワークステーションのユーザーを追加します。

  8. セキュリティで保護されたワークステーションを管理する他のユーザーを追加できます。

  9. [作成] を選択します

  10. Emergency BreakGlass グループでは、次の情報を入力します。

    • グループの種類 - セキュリティ
    • グループ名 - エマージェンシー ブレイクグラス
    • メンバーシップの種類: 割り当て済み

  11. [作成] を選択します

  12. 緊急アクセス用アカウントをこのグループに追加します。

  13. ワークステーション デバイス グループでは、次のように入力します。

    • グループの種類 - セキュリティ
    • グループ名 - 安全なワークステーションデバイス
    • メンバーシップの種類 - 動的デバイス
    • 動的メンバーシップ ルール

  14. [作成] を選択します

Microsoft Entra デバイスの構成

デバイスをMicrosoft Entra IDに登録できるユーザーを指定する

管理セキュリティ グループがデバイスをドメインに参加できるように、Active Directoryでデバイス設定を構成します。 Azure ポータルからこの設定を構成するには:

  1. Microsoft Entra ID>Devices>Device settings に移動します。
  2. 選択済み「ユーザーはデバイスを Microsoft Entra ID に参加させることができる」から選び、[Secure Workstation Users](セキュリティで保護されたワークステーション ユーザー)グループを選択します。

ローカル管理者権限を削除する

この方法では、VIP、DevOps、特権ワークステーションのユーザーに対して自分のコンピューターの管理者権限を付与しないようにする必要があります。 Azure ポータルからこの設定を構成するには:

  1. Microsoft Entra ID>Devices>Device settings に移動します。
  2. なしMicrosoft Entra に参加したデバイスの追加ローカル管理者 から選択します。

ローカル管理者グループのメンバーを管理する方法の詳細については、「参加しているデバイスでローカル管理者グループMicrosoft Entra管理する方法を参照してください。

デバイスを参加させるには多要素認証が必要

デバイスをMicrosoft Entra IDに参加させるプロセスをさらに強化するには:

  1. Microsoft Entra ID>Devices>Device settings に移動します。
  2. [デバイスを参加させるには多要素認証が必要] で [はい] を選択します。
  3. [保存] を選択します。

モバイル デバイス管理の構成

Azure ポータルから:

  1. Microsoft Entra ID>Mobility (MDM および MAM)>Microsoft Intune に移動します。
  2. [MDM ユーザー スコープ] 設定を [すべて] に変更します。
  3. [保存] を選択します。

これらの手順では、Microsoft Intuneを使用して任意のデバイスを管理できます。 詳細については、「 Windows 10/11 デバイスの自動登録を設定するを参照してください。 Intune の構成とコンプライアンス ポリシーは以降の手順で作成します。

Microsoft Entra 条件付きアクセス

Microsoft Entra条件付きアクセスは、特権管理タスクを準拠デバイスに制限するのに役立ちます。 セキュリティで保護されたワークステーションのユーザー グループの定義済みのメンバーは、クラウド アプリケーションにサインインするときに多要素認証を実行する必要があります。 ベスト プラクティスとして、ポリシーから緊急アクセス アカウントを除外します。 詳細については、「Microsoft Entra ID の緊急アクセス アカウントの管理」<を参照>。

条件付きアクセスでは、セキュリティで保護されたワークステーションのアクセスのみがポータルAzure許可されます

組織は、特権ユーザーが PAW 以外のデバイスからクラウド管理インターフェイス、ポータル、PowerShell に接続できないようにブロックする必要があります。

承認されていないデバイスがクラウド管理インターフェイスにアクセスできないようにブロックするには、「条件付きアクセス: デバイスのフィルター (プレビュー)」のガイダンスに従います。 この機能をデプロイする際に、緊急アクセス アカウント機能を検討する必要があります。 これらのアカウントは、非常時にのみ使用し、アカウントはポリシーにより管理する必要があります。

注記

ユーザー グループを作成し、条件付きアクセス ポリシーをバイパスできる緊急ユーザーを含める必要があります。 この例では、Emergency BreakGlass というセキュリティ グループを使用します

このポリシー セットにより、管理者は、特定のデバイス属性値を提示できるデバイス、MFA が満たされていること、デバイスがMicrosoft IntuneおよびMicrosoft Defender for Endpointによって準拠としてマークされているデバイスを使用する必要があります。

組織は、環境内のレガシ認証プロトコルをブロックすることも検討する必要があります。 レガシ認証プロトコルをブロックする方法の詳細については、記事「方法: 条件付きアクセスを使用してMicrosoft Entra IDするレガシ認証をブロックするを参照してください。

Microsoft Intune構成

デバイス登録で BYOD を拒否する

このサンプルでは、BYOD デバイスを許可しないことをお勧めします。 Intune の BYOD 登録を使用すると、ユーザーは信頼性の低い、または信頼されていないデバイスを登録できます。 しかし、新しいデバイスを購入する予算が限られているため、既存のハードウェアの使用や windows 以外のデバイスを検討している組織では、Intune の BYOD 機能によるエンタープライズ プロファイルの展開を検討できることに注意してください。

次のガイダンスでは、BYOD アクセスを拒否するデプロイの登録を構成します。

BYOD を禁止する登録制限を設定する

  1. Microsoft Intune管理センターで、 >Devices>登録制限>を選択All Users
  2. [プロパティ] [プラットフォーム] の設定で、[編集] を選択します
  3. Windows MDM を除くすべての種類でBlockを選択します。
  4. すべての個人所有アイテムについて [ブロック] を選択します。

Autopilot デプロイ プロファイルを作成する

デバイス グループの作成後、デプロイ プロファイルを作成して、Autopilot デバイスを構成する必要があります。

  1. Microsoft Intune管理センターで、 Device enrollment>Windows enrollment>Deployment Profiles>Create Profile を選択します。

  2. 入力してください。

    • 名前 - セキュリティで保護されたワークステーションのデプロイ プロファイル
    • 説明 - セキュリティで保護されたワークステーションのデプロイ
    • [すべての対象デバイスを Autopilot に変換する] を [はい] に設定します。 この設定により、リスト内のすべてのデバイスが確実に Autopilot デプロイ サービスに登録されます。 登録の処理を 48 時間できるようにします。

  3. [次へ] を選択します。

    • [展開モード] で [自己展開 (プレビュー)] を選択します。 このプロファイルが割り当てられたデバイスは、デバイスを登録するユーザーに関連付けられます。 展開中は、自己展開モードの機能を使用して次のものを含めることをお勧めします。
      • Intune Microsoft Entra MDM の自動登録にデバイスを登録し、すべてのポリシー、アプリケーション、証明書、およびネットワーク プロファイルがデバイスにプロビジョニングされるまで、デバイスへのアクセスのみを許可します。
      • デバイスを登録するには、ユーザーの資格情報が必要です。 自己展開モードでデバイスをデプロイすることで、ノート PC を共有モデルでデプロイできることに注意することが重要です。 デバイスがユーザーに最初に割り当てられるまで、ユーザーの割り当ては行われません。 その結果、ユーザー割り当てが完了するまで、BitLocker など、いずれのユーザー ポリシーも有効になりません。 セキュリティで保護されたデバイスにサインインする方法の詳細については、「選択されたプロファイル」を参照してください。
    • 言語 (リージョン) を選択し、ユーザー アカウントの種類として [Standard] を選択します。

  4. [次へ] を選択します。

    • スコープのタグを選択します (構成済みのタグがある場合)。

  5. [次へ] を選択します。

  6. [割り当て][割当先][選択したグループ] を選択します。 [含めるグループの選択] で、[セキュリティで保護されたワークステーション デバイス] を選択します。

  7. [次へ] を選択します。

  8. [作成] を選択してプロファイルを作成します。 これで、Autopilot デプロイ プロファイルをデバイスに割り当てられるようになりました。

Autopilot でのデバイス登録では、デバイスの種類と役割に基づいてさまざまなユーザー エクスペリエンスが提供されます。 このデプロイ例で示すモデルでは、セキュリティで保護されたデバイスを一括展開して共有できる一方、デバイスは初めて使用するときにユーザーに割り当てられます。 詳細については、「Windows Autopilot登録を参照してください。

登録状態ページ

登録ステータス ページ (ESP) には、新しいデバイスが登録された後のプロビジョニングの進行状況が表示されます。 使用する前に、デバイスが完全に構成されていることを確認するために、Intune には、すべてのアプリとプロファイルがインストールされるまでデバイスの使用をブロックする手段が用意されています。

登録ステータス ページのプロファイルを作成して割り当てる

  1. Microsoft Intune管理センターで、デバイス>、Windows>、Windows登録>、登録ステータスページ>、プロファイルの作成を選択します。
  2. 名前と説明を入力します。
  3. [作成] を選択します。
  4. [登録ステータス ページ] の一覧で新しいプロファイルを選択します。
  5. [アプリとプロファイルのインストール進行状況を表示する] を [はい] に設定します。
  6. [すべてのアプリとプロファイルがインストールされるまでデバイスの使用をブロックする] を [はい] に設定します。
  7. 「割り当て」を選択してから「グループの選択」をクリックし、グループを選んだ後、「選択」を選んでから「保存」します。
  8. [設定] を選択 このプロファイルを適用する設定を選択 [保存]。

Windows Updateの構成

Windows 10を最新の状態に保つことは、実行できる最も重要な操作の 1 つです。 Windowsをセキュリティで保護された状態に維持するには、update リングを展開して、更新プログラムがワークステーションに適用されるペースを管理します。

このガイダンスでは、新しい更新プログラム リングを作成し、次の既定の設定を変更することをお勧めします。

  1. Microsoft Intune管理センターで、Devices>Software updates>Windows 10 Update Rings を選択します。

  2. 入力してください。

    • 名前 - Azure 管理ワークステーションの更新
    • サービス提供チャネル - 半期チャネル
    • Quality update deferral (days)\(品質更新プログラムの延期 (日数)\) - 3
    • 機能更新プログラムの延期期間 (日数) - 3
    • 自動更新の動作 - エンド ユーザーによる制御なしで自動的にインストールおよび再起動する
    • Block
    • 作業時間外に再起動するにはユーザーの承認が必要です - 必要
    • ユーザーに再起動を許可する (アクティブ再起動) - 必要
    • 自動再起動後に、ユーザーを積極的な再起動に移行する (日数) - 3
    • スヌーズが有効化された再起動リマインダー(日数)- 3
    • 保留中の再起動の期限を設定する (日数) - 3

  3. [作成] を選択します

  4. [割り当て] タブで、セキュリティで保護されたワークステーション グループを追加します。

Windows Update ポリシーの詳細については、「Policy CSP - Update」を参照してください。

Microsoft Defender for Endpoint と Intune の統合

Microsoft Defender for EndpointとMicrosoft Intuneが連携してセキュリティ侵害を防ぎます。 また、侵害の影響を抑えることもできます。 これらの機能は、リアルタイムの脅威検出を提供し、エンドポイント デバイスの広範な監査とログを可能にします。

Windows Defender for Endpoint と Microsoft Intune の統合を構成するには:

  1. Microsoft Intune管理センターで、Endpoint Security>Microsoft Defender ATP を選択します。

  2. 手順 1 の Windows Defender ATP の構成で、Windows Defender セキュリティ センターで Windows Defender ATP を Microsoft Intune に接続 を選択します。

  3. Windows Defender セキュリティ センターで、次の手順を実行します。

    1. [設定][高度な機能] を選択します。
    2. Microsoft Intune接続では、On を選択します。
    3. [環境設定の保存] を選択します。

  4. 接続が確立されたら、Microsoft Intuneに戻り、上部にある Refresh を選択します。

  5. Windows デバイスのバージョン 19042.450 以降 (20H2) を Windows Defender ATP に接続するには、オンに設定します。

  6. [保存] を選択します。

Windowsデバイスをオンボードするためのデバイス構成プロファイルを作成する

  1. Microsoft Intune管理センターにサインインし、Endpoint security>Endpoint detection and response>Create profile を選択します。

  2. Platform で、Windows 10 以降 を選択します。

  3. [プロファイルの種類] で [エンドポイントの検出と応答] を選択し、[作成] を選択します。

  4. [基本] ページで、プロファイルの [名前] フィールドに「PAW - Defender for Endpoint」と入力し、[説明] (省略可能) を入力してから、[次へ] を選択します。

  5. [構成設定] ページの [エンドポイントでの検出と応答] で、次のオプションを構成します。

    • すべてのファイルのサンプル共有: Microsoft Defender 高度な脅威保護サンプル共有構成パラメーターを取得または設定します。

      Microsoft Endpoint Configuration Manager を使用して Windows 10 マシンをオンボードする方法は、これらの Microsoft Defender ATP 設定の詳細が含まれています。

  6. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選んで続行します。

  7. [割り当て] ページで、[セキュリティで保護されたワークステーション] グループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  8. [レビューと作成] ページで、作業が完了したら [作成] をクリックします。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。 [OK]、[作成] の順にクリックして変更を保存し、プロファイルを作成します。

詳細については、「Windows Defender 高度な脅威保護」を参照してください。

ワークステーション プロファイルのセキュリティ強化を完了する

ソリューションのセキュリティ強化を正常に完了するには、適切なスクリプトをダウンロードして実行します。 必要なプロファイル レベルのダウンロード リンクを確認します。

プロファイル ダウンロード場所 ファイル名
Enterprise https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
専門的な https://aka.ms/securedworkstationgit Specialized-Windows10-(20H2).ps1
特権付き https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

注記

管理者権限とアクセスの削除、およびアプリケーション実行制御 (AppLocker) は、展開されたポリシー プロファイルによって管理されます。

このスクリプトが正常に実行されたら、Intune でプロファイルとポリシーを更新できます。 スクリプトによってポリシーとプロファイルが自動的に作成されますが、セキュリティで保護されたワークステーション デバイス グループへのポリシーの割り当ては自分で行う必要があります。

  • スクリプトによって作成された Intune デバイス構成プロファイルは、Azure portal>Microsoft Intune>デバイス構成>プロファイルにあります。
  • スクリプトによって作成された Intune デバイス コンプライアンス ポリシーは、Azure ポータル>Microsoft Intune>デバイス コンプライアンス>ポリシーにあります。

intune データ エクスポート スクリプト DeviceConfiguration_Export.ps1DeviceConfiguration GitHub リポジトリから実行し比較およびプロファイルの評価のために現在のすべての Intune プロファイルをエクスポートします。

Microsoft Defender ファイアウォールの Endpoint Protection 構成プロファイルで規則を設定する

Windowsファイアウォール ポリシー設定は、Endpoint Protection 構成プロファイルに含まれています。 次の表に、適用されるポリシーの動作を示します。

プロファイル 受信規則 送信ルール マージ動作
Enterprise ブロック 許可する 許可する
専門的な ブロック 許可する ブロック
特権付き ブロック ブロック ブロック

Enterprise: この構成は、Windows インストールの既定の動作を反映しているため、最も許容されます。 ローカル ルールのマージを許可するように設定されるため、ローカル ポリシー ルールで明示的に定義されているルールを除き、すべての受信トラフィックがブロックされます。 すべての送信トラフィックが許可されます。

専用: この構成では、デバイスでローカルに定義されたすべてのルールが無視されるため、制限がより厳しくなります。 ローカルに定義されたルールを含むすべての受信トラフィックがブロックされます。このポリシーには、配信の最適化を設計どおりに機能させるための 2 つのルールが含まれています。 すべての送信トラフィックが許可されます。

特権: ローカルに定義されたルールを含むすべての受信トラフィックがブロックされます。このポリシーには、配信の最適化を設計どおりに機能させるための 2 つのルールが含まれています。 送信トラフィックも、DNS、DHCP、NTP、NSCI、HTTP、HTTPS トラフィックを許可する明示的なルールがない限り、ブロックされます。 この構成では、デバイスからネットワークに提示される攻撃対象が減るだけでなく、デバイスで確立できる送信接続がクラウド サービスの管理に必要な接続のみに制限されます。

ルール 方向 アクション アプリケーション/サービス プロトコル ローカル ポート リモート ポート
World Wide Web サービス (HTTP トラフィック送信) 発信 許可する すべて TCP すべてのポート 80
World Wide Web サービス (HTTPS トラフィック送信) アウトバウンド 許可する すべて TCP すべてのポート 443
コア ネットワーク - IPv6 用の動的ホスト構成プロトコル (DHCPV6 送信) アウトバウンド 許可する %SystemRoot%\system32\svchost.exe TCP 546 547
コア ネットワーク - IPv6 用の動的ホスト構成プロトコル (DHCPV6 送信) アウトバウンド(送信) 許可 Dhcp TCP 546 547
コア ネットワーク - IPv6 用の動的ホスト構成プロトコル (DHCP 送信) アウトバウンド 許可する %SystemRoot%\system32\svchost.exe TCP 68 67
コア ネットワーク - IPv6 用の動的ホスト構成プロトコル (DHCP 送信) アウトバウンド 許可 Dhcp TCP 68 67
コア ネットワーク - DNS (UDP 送信) 外向き 許可する %SystemRoot%\system32\svchost.exe UDP すべてのポート 53
コア ネットワーク - DNS (UDP 送信) 外向きの 許可する Dnscache UDP すべてのポート 53
コア ネットワーク - DNS (TCP 送信) 送信 許可する %SystemRoot%\system32\svchost.exe TCP すべてのポート 53
コア ネットワーク - DNS (TCP 送信) アウトバウンド 許可する Dnscache TCP すべてのポート 53
NSCI プローブ (TCP-Out) アウトバウンド 許可する %SystemRoot%\system32\svchost.exe TCP すべてのポート 80
NCSI プローブ - DNS (TCP-Out) 発信 許可する NlaSvc TCP すべてのポート 80
Windows時間 (UDP-Out) アウトバウンド 許可 %SystemRoot%\system32\svchost.exe TCP すべてのポート 80
Windows タイム プローブ - DNS (UDP-Out) アウトバウンド 許可する W32Time UDP すべてのポート 123
配信の最適化 (TCP 受信) インバウンド 許可する %SystemRoot%\system32\svchost.exe TCP 7680 すべてのポート
配信の最適化 (TCP 受信) 受信 許可する DoSvc TCP 7680 すべてのポート
配信の最適化 (UDP 受信) インバウンド通信 許可する %SystemRoot%\system32\svchost.exe UDP 7680 すべてのポート
配信の最適化 (UDP 受信) インバウンド 許可する DoSvc UDP 7680 すべてのポート

注記

Microsoft Defender ファイアウォールの構成では、規則ごとに 2 つの規則が定義されています。 受信規則と送信規則をWindows サービス (DNS クライアントなど) に制限するには、サービス名、DNSCache、実行可能パス C:\Windows\System32\svchost.exeの両方を、グループ ポリシーを使用できる 1 つのルールではなく、個別のルールとして定義する必要があります。

許可およびブロックされているサービスで、必要に応じて、受信と送信の両方のルールの管理にさらに変更を加えることができます。 詳細については、ファイアウォールの構成サービスに関する記事をご覧ください。

URL ロック プロキシ

制限の厳しい URL トラフィック管理には次のものが含まれます。

  • 選択したAzureおよび Microsoft サービス (Azure Cloud Shell、セルフサービス パスワード リセットを許可する機能を含む) を除くすべての送信トラフィックを拒否します。
  • 特権プロファイルでは、次の URL ロック プロキシ構成を使用して、デバイスが接続できるインターネット上のエンドポイントを制限します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

ProxyOverride の一覧に示されているエンドポイントは、Microsoft Entra IDに対して認証し、AzureまたはOffice 365管理インターフェイスにアクセスするために必要なエンドポイントに限定されます。 他のクラウド サービスに拡張するには、それらの管理 URL をこのリストに追加します。 この方法は、広範なインターネットへのアクセスを制限して、インターネットベースの攻撃から特権ユーザーを保護するように設計されています。 この方法では制限が厳しすぎると思われる場合は、次の方法を特権ロールに対して使用することを検討してください。

Microsoft Defender for Cloud Appsを有効にし、URL の一覧を承認済み URL に制限する (最も多く許可)

ロールのデプロイでは、厳密な deny all Web 閲覧が望ましくないエンタープライズおよび特殊なデプロイの場合、Microsoft Defender for Cloud Apps のようなクラウド アクセス セキュリティ ブローカー (CASB) の機能を使用して、危険で疑わしい Web サイトへのアクセスをブロックすることをお勧めします。 このソリューションでは、選別されたアプリケーションと Web サイトをブロックする簡単な方法を取り上げます。 このソリューションは、ドメイン ブロック リスト (DBL) を管理する Spamhaus Project などのサイトからブロック リストにアクセスするのと似ています。DBL は、サイトをブロックするために実装する一連の高度なルールとして使用するのに適したリソースです。

このソリューションは以下のものを提供します。

  • 可視性: すべてのクラウド サービスの検出、それぞれへのリスク ランクの割り当て、サインインできるすべてのユーザーと Microsoft 以外のアプリの特定
  • データ セキュリティ: 機密性の高い情報を識別して管理 (DLP)、コンテンツの分類ラベルに応答
  • 脅威に対する保護: アダプティブ アクセス制御 (AAC) を提供、ユーザー/エンティティ行動分析 (UEBA) を提供、マルウェアを軽減
  • コンプライアンス: クラウド ガバナンスを示し、データ所在地と規制コンプライアンス要件に準拠するのに役立つレポートとダッシュボードを提供することで、コンプライアンスの取り組みを支援できます。

Defender for Cloud Apps を有効にし、Defender ATP に接続して、危険な URL へのアクセスをブロックします。

ローカル アプリケーションを管理する

生産性アプリケーションなど、ローカル アプリケーションが削除されると、セキュリティで保護されたワークステーションが完全にセキュリティ強化された状態に移行します。 ここでは、GitHubがコード リポジトリを管理するためのAzure DevOpsへの接続を許可するVisual Studio Codeを追加します。

カスタム アプリ用にポータル サイトを構成する

ポータル サイト の Intune で管理されたコピーを使用すると、セキュリティで保護されたワークステーションのユーザーにプッシュダウンできる追加のツールにオンデマンドでアクセスできます。

セキュリティで保護されたモードでは、アプリケーションのインストールは、ポータル サイトによって提供されるマネージド アプリケーションに制限されます。 ただし、ポータル サイトをインストールするには、Microsoft Store へのアクセスが必要です。 セキュリティで保護されたソリューションでは、Autopilot プロビジョニング済みデバイスに対して Windows 10 ポータル サイト アプリを追加し、割り当てます

注記

Autopilot プロファイルの割り当てに使用する ポータル サイト アプリを Secure Workstation Device Tag グループに割り当てるようにします。

Intune を使用してアプリケーションをデプロイする

場合によっては、セキュリティで保護されたワークステーションで Microsoft Visual Studio Codeなどのアプリケーションが必要になります。 次の例では、セキュリティ グループ Secure Workstation Users のユーザーに Microsoft Visual Studio Codeをインストールする手順を示します。

Visual Studio Codeは EXE パッケージとして提供されるため、.intunewinを使用してMicrosoft Intuneを使用して展開するためにフォーマット ファイルとしてパッケージ化する必要があります。

Microsoft Win32 コンテンツ準備ツールをローカルでワークステーションにダウンロードし、パッケージ用のディレクトリ (C:\Packages など) にコピーします。 次に、C:\Packages の下に Source および Output ディレクトリを作成します。

Microsoft Visual Studio Code をパッケージ化する

  1. オフライン インストーラー Visual Studio Code Windows 64 ビット版をダウンロードします。
  2. ダウンロードしたVisual Studio Code exe ファイルを C:\Packages\Source にコピーします
  3. PowerShell コンソールを開き、 に移動します
  4. 「」と入力します
  5. Output フォルダーを新規に作成するには、「」と入力します。 このフォルダーには、Visual Studio Codeの intunewin ファイルが作成されます。

VS Code をMicrosoft Intuneにアップロードする

  1. Microsoft Intune 管理センターで、Apps>Windows>Add に移動します。
  2. [アプリの種類の選択で、Windows アプリ (Win32)
  3. [アプリ パッケージ ファイルの選択] をクリックし、[ファイルの選択] をクリックした後、 から を選択します。 「OK」をクリック
  4. [名前] フィールドに「Visual Studio Code 1.51.1」と入力します
  5. Description フィールドにVisual Studio Codeの説明を入力します
  6. [発行元] フィールドに「」と入力します
  7. をダウンロードして、ロゴのイメージを選択します。 [次へ] を選択します
  8. [インストール コマンド] フィールドに入力してください。
  9. [アンインストール コマンド] フィールドに「」と入力します
  10. [デバイスの再起動の動作] ボックスの一覧から [リターン コードを基に動作を決定する] を選択します。 [次へ] を選択します
  11. [オペレーティング システムのアーキテクチャ] チェックボックスのドロップダウンから [64 ビット] を選択します
  12. Minimum オペレーティング システムのドロップダウンリストからWindows 10 1903を選択します。 [次へ] を選択します
  13. [規則の形式] ボックスの一覧から [手動で検出規則を構成する] を選択します
  14. [追加] をクリックした後、[規則の種類] ドロップダウンから [ファイル] を選択します
  15. [パス] フィールドに値を入力します
  16. [ファイルまたはフォルダー] フィールドに「」と入力します
  17. ボックスの一覧から [File or folder exists]\(ファイルまたはフォルダーが存在します\) を選択し、[OK] を選択してから [次へ] を選択します
  18. このパッケージには依存関係がないため、[次へ] を選択します
  19. [登録されたデバイスで使用可能] の下にある [グループの追加] を選択し、特権ユーザー グループを追加します。 [選択] をクリックしてグループを確定します。 [次へ] を選択します
  20. [作成] をクリックします。

PowerShell を使用してカスタム アプリおよび設定を作成する

Defender for Endpoint に関する 2 つの推奨事項を含め、推奨される構成設定がいくつかありますが、これらは PowerShell を使用して設定する必要があります。 これらの構成の変更は、Intune のポリシーを使用して設定することはできません。

PowerShell を使用して、ホスト管理機能を拡張することもできます。 GitHubの PAW-DeviceConfig.ps1 スクリプトは、次の設定を構成するサンプル スクリプトです。

  • Internet Explorerを削除します
  • PowerShell 2.0 を削除する
  • Windows Media Playerを削除します
  • ワーク フォルダー クライアントを削除する
  • XPS 印刷を削除する
  • 休止状態を有効にして構成する
  • レジストリ修正を実装して、AppLocker DLL ルールの処理を有効にする
  • エンドポイント マネージャーを使用して設定できない 2 つのMicrosoft Defender for Endpoint推奨事項のレジストリ設定を実装します。
    • ネットワークの場所を設定するときにユーザーに昇格を要求する
    • ネットワーク資格情報を保存できないようにする
  • ネットワークの場所ウィザードを無効にする - ユーザーがネットワークの場所をプライベートに設定し、Windows ファイアウォールで公開される攻撃対象領域を増やすことを防ぎます
  • NTP を使用するように Windows Time を構成し、自動タイム サービスを自動に設定します。
  • 特定のイメージをダウンロードしてデスクトップの背景として設定し、デバイスをすぐに使用できる特権ワークステーションとして簡単に識別できるようにする。

GitHubからの PAW-DeviceConfig.ps1 スクリプト。

  1. PAW-DeviceConfig.ps1 スクリプトをローカル デバイスにダウンロードします。
  2. Azure ポータルMicrosoft Intuneデバイス構成PowerShell スクリプト追加。 スクリプトの [名前] を入力し、[スクリプトの場所] を指定します。
  3. [構成] をクリックします。
    1. [このスクリプトをログオンしたユーザーの資格情報を使用して実行する] を [いいえ] に設定します。
    2. [OK] を選択します。
  4. [作成] を選択します
  5. [割り当て][グループの選択] を選択します。
    1. セキュリティで保護されたワークステーション セキュリティ グループを追加します。
    2. [保存] を選択します。

最初のデバイスで展開を検証してテストする

この登録では、物理コンピューティング デバイスを使用することを前提としています。 調達プロセスの一環として、OEM、リセラー、ディストリビューター、またはパートナー デバイスをWindows Autopilotに登録することをお勧めします。

ただし、テストでは、テスト シナリオとして Virtual Machines を立ち上げる可能性があります。 ただし、個人参加デバイスの登録は、この方法でのクライアントの参加を許可するように変更する必要があることに注意してください。

このメソッドは、以前に登録されていないVirtual Machinesまたは物理デバイスに対して機能します。

  1. デバイスを起動し、ユーザー名のダイアログが表示されるのを待ちます
  2. キーを押してコマンド プロンプトを表示します
  3. 「」と入力して Enter キーを押します
  4. 「」と入力して Enter キーを押します
  5. 入力してEnterキーを押します
  6. 「」と入力して Enter キーを押し、パス環境の変更を受け入れます
  7. 「」と入力して Enter キーを押し、NuGet プロバイダーをインストールします
  8. 「」と入力して、リポジトリを信頼します
  9. 「Run 」と入力します
  10. 仮想マシンまたは物理デバイスから CSV をコピーします

デバイスを Autopilot にインポートする

  1. Microsoft Intune管理センターで、デバイス>Windows デバイス>Windows 登録>デバイス に移動します

  2. [インポート] を選択し、CSV ファイルを選択します。

  3. が に更新され、 が に変わるまで待ちます。

    注記

    グループ タグは、セキュリティで保護されたワークステーションの動的グループでデバイスをグループのメンバーにするために使用されます。

  4. セキュリティで保護されたワークステーション セキュリティ グループにデバイスを追加します。

  5. 設定したい Windows 10 デバイスで、Windows Settings>更新とセキュリティ>回復に次の場所に移動します。

    1. [この PC を初期状態に戻す] で [開始する] を選択します。
    2. プロンプトに従ってデバイスをリセットし、構成済みのプロファイルとコンプライアンス ポリシーを使用して再構成します。

デバイスを構成した後、レビューを実行して構成を確認します。 デプロイを続行する前に、最初のデバイスが正しく構成されていることを確認します。

デバイスの割り当て

デバイスとユーザーを割り当てるには、選択されたプロファイルをセキュリティ グループにマップする必要があります。 サービスに対するアクセス許可を必要とするすべての新しいユーザーもセキュリティ グループに追加する必要があります。

Microsoft Defender for Endpointを使用したセキュリティ インシデントの監視と対応

  • 脆弱性と設定ミスを継続的に観察および監視する
  • Microsoft Defender for Endpointを利用して、野生の動的な脅威に優先順位を付ける
  • 脆弱性とエンドポイント検出および応答 (EDR) アラートの相関関係を促進する
  • ダッシュボードを使用して、調査中にマシンレベルの脆弱性を特定する
  • Intune に修正を配信する

Microsoft Defender Security Center を構成します。 脅威および脆弱性の管理ダッシュボードの概要に関するページのガイダンスを使用してください。

高度な脅威検索を使用したアプリケーション アクティビティの監視

専用ワークステーションからは、ワークステーション上のアプリケーション アクティビティを監視するための AppLocker が有効になっています。 Defender for Endpoint では、既定で AppLocker イベントがキャプチャされ、高度な検索クエリを使用して、AppLocker によってブロックされているアプリケーション、スクリプト、DLL ファイルを判別できます。

注記

専用および特権ワークステーション プロファイルには、AppLocker ポリシーが含まれています。 クライアント上のアプリケーション アクティビティを監視するには、これらのポリシーを展開する必要があります。

Microsoft Defender Security Center の [高度なハンティング] ウィンドウで、次のクエリを使用して AppLocker イベントを返します。

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

監視

  • 露出スコアを確認する方法を理解します
  • セキュリティの推奨事項を確認します
  • セキュリティの修復を管理します
  • エンドポイントの保護と対応を管理します
  • Intune のプロファイル監視機能を使用してプロファイルを監視します。

次のステップ

  • 特権アクセスのセキュリティ保護の概要
  • 特権アクセス戦略
  • 成功の測定
  • セキュリティ レベル
  • 特権アクセス アカウント
  • 中継局
  • インターフェース
  • 特権アクセス デバイス
  • エンタープライズ アクセス モデル
  • Last updated on