次の方法で共有

Microsoft Defender for Endpointセキュリティ ベースラインへのコンプライアンスを強化する

  • 適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

セキュリティ ベースラインにより、セキュリティの専門家と Windows システム管理者の両方からのガイダンスに従ってセキュリティ機能が構成されます。 展開すると、Defender for Endpoint セキュリティ ベースラインは、最適な保護を提供するように Defender for Endpoint セキュリティ 制御を設定します。

セキュリティ ベースラインと、構成プロファイルを使用して Intune でどのように割り当てられるかを理解するには、 こちらの FAQ を参照してください

セキュリティ ベースラインへのコンプライアンスを展開して追跡する前に、次の手順を実行します。

Microsoft Defender for Endpointと Windows Intune のセキュリティ ベースラインを比較する

Windows Intune セキュリティ ベースラインには、ブラウザーの設定、PowerShell の設定、Microsoft Defender ウイルス対策などの一部のセキュリティ機能の設定など、Windows を実行しているデバイスを安全に構成するために必要な包括的な推奨設定セットが用意されています。 対照的に、Defender for Endpoint ベースラインには、エンドポイントの検出と応答 (EDR) の設定や、Windows Intune セキュリティ ベースラインにも含まれる設定など、Defender for Endpoint スタック内のすべてのセキュリティ制御を最適化する設定が用意されています。 各ベースラインの詳細については、次を参照してください。

理想的には、Defender for Endpoint にオンボーディングされたデバイスは、両方のベースラインで展開されます。最初に Windows を保護するための Windows Intune セキュリティ ベースラインと、次に Defender for Endpoint セキュリティ コントロールを最適に構成するために上に階層化された Defender for Endpoint セキュリティベースラインです。 リスクと脅威に関する最新のデータの恩恵を受け、ベースラインの進化に伴う競合を最小限に抑えるには、リリースされるとすぐにすべての製品に最新バージョンのベースラインを常に適用します。

注:

Defender for Endpoint セキュリティ ベースラインは物理デバイス用に最適化されており、現在、仮想マシン (VM) または VDI エンドポイントでの使用はお勧めしません。 特定のベースライン設定が、仮想化された環境でのリモート対話型セッションに影響を与える可能性があります。

Defender for Endpoint セキュリティ ベースラインへのコンプライアンスを監視する

デバイス構成管理セキュリティ ベースライン カードには、Defender for Endpoint セキュリティ ベースラインが割り当てられているWindows 10デバイスとWindows 11 デバイス全体のコンプライアンスの概要が示されています。

セキュリティ ベースライン カード

Defender for Endpoint セキュリティ ベースラインへの準拠を示すカード

各デバイスには、次のいずれかの状態の種類が与えられます。

  • ベースラインと一致する: デバイス設定は、ベースライン内のすべての設定と一致します。
  • ベースラインと一致しない: 少なくとも 1 つのデバイス設定がベースラインと一致しません。
  • 正しく構成されていない: 少なくとも 1 つのベースライン設定がデバイスで正しく構成されておらず、競合、エラー、または保留中の状態です。
  • 適用不可: 少なくとも 1 つのベースライン設定がデバイスに適用されません。

特定のデバイスを確認するには、カードで [セキュリティ ベースラインの構成] を選択します。 これにより、Intune デバイス管理に移動します。 そこから、デバイスの名前と 状態 の [デバイスの状態] を選択します。

注:

デバイス構成管理ページに表示される集計データと、Intune の概要画面に表示されるデータに不一致が発生する場合があります。

Microsoft Defender for Endpointセキュリティ ベースラインを確認して割り当てる

デバイス構成管理では、Microsoft Defender for Endpoint セキュリティ ベースラインが割り当てられているWindows 10デバイスとWindows 11 デバイスのベースライン コンプライアンスのみが監視されます。 ベースラインを簡単に確認し、Intune デバイス管理でデバイスに割り当てることができます。

  1. [セキュリティ ベースライン] カードで [セキュリティ ベースラインの構成] を選択して、Intune デバイス管理に移動します。 ベースライン コンプライアンスの同様の概要が表示されます。

    ヒント

    または、Microsoft Azure portalの Defender for Endpoint セキュリティ ベースラインに移動することもできます。[すべてのサービス] > Intune > [デバイス セキュリティ] > [セキュリティ ベースライン] > Microsoft Defender ATP ベースライン

  2. 新しいプロファイルを作成します。

    Intune のMicrosoft Defender for Endpoint セキュリティ ベースラインの概要の [プロファイルの作成] タブ
    Intune でのセキュリティ ベースラインの概要をMicrosoft Defender for Endpointする

  3. プロファイルの作成中に、ベースラインの特定の設定を確認および調整できます。

    Intune でのプロファイルの作成中のセキュリティ ベースライン オプション
    Intune でのプロファイルの作成中のセキュリティ ベースライン オプション

  4. プロファイルを適切なデバイス グループに割り当てます。

    Intune のセキュリティ ベースライン プロファイル
    Intune でのセキュリティ ベースライン プロファイルの割り当て

  5. プロファイルを作成して保存し、割り当てられたデバイス グループに展開します。

    Intune でのセキュリティ ベースラインの割り当て
    Intune でのセキュリティ ベースライン プロファイルの作成

ヒント

Intune のセキュリティ ベースラインは、デバイスを包括的にセキュリティで保護し、保護するための便利な方法を提供します。 Intune のセキュリティ ベースラインの詳細については、こちらを参照してください

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。