Intuneセキュリティの全体像
Intuneのセキュリティ設定はコンプライアンスポリシー、構成プロファイル、エンドポイントセキュリティの3つのカテゴリに分かれます。すべてを一度に設定する必要はなく、優先度の高いものから段階的に適用します。
最初に適用すべき10の設定
① BitLocker暗号化の強制【最優先】
PCの紛失・盗難時にディスク内のデータを保護する最重要設定です。回復キーはEntra IDに自動保管されるため、ロック解除もIT管理者がリモートで対応できます。
② Windows Firewallの有効化
すべてのプロファイル(ドメイン、プライベート、パブリック)でファイアウォールを有効にします。
③ Microsoft Defenderウイルス対策の設定
リアルタイム保護の有効化、クラウド保護レベルの「高」設定、PUA(潜在的に迷惑なアプリケーション)のブロックを有効にします。
④ Windows Update管理(更新リング)
品質更新プログラムの猶予期間を7日、機能更新プログラムの猶予期間を30日に設定し、段階的に展開します。自動再起動の時間帯を業務時間外に設定します。
⑤ コンプライアンスポリシー+条件付きアクセス連携
「BitLocker有効、Defender有効、OS更新済み」を準拠条件とし、非準拠デバイスからのM365アクセスをブロックします。
⑥ パスワードポリシー
最小文字数8文字以上、複雑さの要件を有効化。可能であればWindows Hello for Businessによるパスワードレス認証に移行します。
⑦ スクリーンロック
無操作5分でスクリーンロックを強制。ロック解除にはパスワードまたは生体認証を要求します。
⑧ USB/外部ストレージの制御
情報漏洩リスクに応じて、USBメモリの読み取り専用化またはブロックを設定します。
⑨ Attack Surface Reduction(ASR)ルール
Office アプリからの子プロセス起動ブロック、難読化されたスクリプトのブロック等、ランサムウェアやマルウェアの攻撃経路を縮小するルールを適用します。
⑩ デバイスの暗号化確認(macOS/iOS/Android)
Windows以外のデバイスにもデバイス暗号化を要求するコンプライアンスポリシーを適用します。
適用の順序
| フェーズ | 対象設定 | 期間 |
|---|---|---|
| Phase 1(即時) | ①BitLocker ②Firewall ③Defender ④Windows Update | 1週間 |
| Phase 2(1ヶ月以内) | ⑤コンプライアンス連携 ⑥パスワード ⑦スクリーンロック | 2〜3週間 |
| Phase 3(3ヶ月以内) | ⑧USB制御 ⑨ASR ⑩他OS暗号化 | 1〜2ヶ月 |
まとめ
IntuneのセキュリティはBitLocker暗号化の強制から始め、Defender設定、条件付きアクセス連携の順に段階的に適用します。パイロットグループでテストしてから全社展開しましょう。