Microsoft Defender for Endpointで条件付きアクセスを構成する

このセクションでは、条件付きアクセスを適切に実装するために必要なすべての手順について説明します。

開始する前に

すべてのデバイスが Intune に登録されていることを確認する必要があります。 次のいずれかのオプションを使用して、Intune にデバイスを登録できます。

• IT 管理: 自動登録を有効にする方法の詳細については、「Windows の自動登録を有効にする」を参照してください。
• エンド ユーザー: Intune でWindows 10とWindows 11 デバイスを登録する方法の詳細については、「Intune で Windows デバイスを登録する」を参照してください。
• エンド ユーザーの代替手段: Microsoft Entra ドメインへの参加の詳細については、「方法: Microsoft Entra参加実装を計画する」を参照してください。

Microsoft Defender ポータル、Intune ポータル、管理センター Microsoft Entraで実行する必要がある手順があります。

これらのポータルにアクセスし、条件付きアクセスを実装するために必要なロールに注意することが重要です。

• ポータルMicrosoft Defender - 統合を有効にするには、適切なロールでポータルにサインインする必要があります。 「 アクセス許可オプション」を参照してください。
• Intune - 管理アクセス許可を持つセキュリティ管理者権限でポータルにサインインする必要があります。
• 管理センター Microsoft Entra - セキュリティ管理者または条件付きアクセス管理者としてサインインする必要があります。

Intune が管理され、Microsoft EntraがWindows 10デバイスとWindows 11デバイスに参加している Microsoft Intune 環境が必要です。

条件付きアクセスを有効にするには、次の手順を実行します。

• 手順 1: Microsoft Defender XDRから Microsoft Intune 接続を有効にする
• 手順 2: Intune で Defender for Endpoint 統合を有効にする
• 手順 3: Intune でコンプライアンス ポリシーを作成する
• 手順 4: ポリシーを割り当てる
• 手順 5: Microsoft Entra条件付きアクセス ポリシーを作成する

手順 1: Microsoft Intune 接続を有効にする

1. ナビゲーション ウィンドウで、 設定>Endpoints>General>Advanced features>Microsoft Intune 接続を選択します。

2. Microsoft Intune の設定を [オン] に切り替えます。

3. [ Save preferences]\(設定の保存\) をクリックします。

手順 2: Intune で Defender for Endpoint 統合を有効にする

1. Intune ポータルにサインインする

2. [エンドポイント セキュリティ>Microsoft Defender for Endpoint] を選択します。

3. [Connect Windows 10.0.15063+ デバイス] を [Advanced Threat Protection] を [オン] にMicrosoft Defenderします。

4. [保存] をクリックします。

手順 3: Intune でコンプライアンス ポリシーを作成する

1. Azure portalで、[すべてのサービス] を選択し、Intune でフィルター処理し、[Microsoft Intune] を選択します。

2. [ デバイスコンプライアンス>ポリシー>ポリシーの作成] を選択します。

3. [名前] と [説明] を入力します。

4. [プラットフォーム] で、[Windows 10 以降] を選択します。

5. [Device Health]\( デバイスの正常性\) 設定 で、[デバイスをデバイスの脅威レベルまたはデバイス脅威レベルの下 に置く] を好みのレベルに設定します。

   • [セキュリティ保護]: このレベルはセキュリティ上最も安全です。 デバイスは既存の脅威を持つことができず、会社のリソースに引き続きアクセスできます。 いずれかの脅威が見つかった場合、デバイスは非準拠と評価されます。
   • [低]: 低レベルの脅威が存在する場合にのみ、デバイスは準拠しています。 中または高の脅威レベルを持つデバイスは準拠していません。
   • [中]: デバイスに存在する脅威が低または中の場合、デバイスは準拠しています。 高レベルの脅威が検出された場合は、デバイスは非準拠と判定されます。
   • 高: このレベルは最も安全性が低く、すべての脅威レベルを許可します。 そのため、脅威レベルが高、中、または低のデバイスは準拠していると見なされます。

6. [ OK] を選択し、[ 作成] を選択 して変更を保存します (ポリシーを作成します)。

手順 4: ポリシーを割り当てる

1. Azure portalで、[すべてのサービス] を選択し、Intune でフィルター処理し、[Microsoft Intune] を選択します。

2. [デバイスのコンプライアンス>ポリシー] を選択>Microsoft Defender for Endpointコンプライアンス ポリシーを選択します。

3. [割り当て] を選択します。

4. Microsoft Entra グループを含めるか除外して、ポリシーを割り当てます。

5. グループにポリシーを展開するには、[保存] を選択 します。 ポリシーの対象となるユーザー デバイスは、コンプライアンスについて評価されます。

手順 5: Microsoft Entra条件付きアクセス ポリシーを作成する

1. 少なくとも条件付きアクセス管理者としてMicrosoft Entra管理センターにサインインします。
2. Entra ID>Conditional Access>Policies に移動します。
3. [ 新しいポリシー] を選択します。
4. ポリシーに名前を付けます。 組織は、ポリシーの名前に意味のある標準を作成することをお勧めします。
5. [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します。
   1. [含める] で、[すべてのユーザー] を選択します
   2. [ 除外] の下で、
      1. [ ユーザーとグループ] を選択します
         1. organizationの緊急アクセスまたはガラスのアカウントを選択します。
         2. Microsoft Entra Connect や Connect Cloud Sync などのハイブリッド ID ソリューションMicrosoft Entra使用する場合は、[ディレクトリ ロール] を選択し、[ディレクトリ同期アカウント] を選択します。
6. [ ターゲット リソース>リソース (旧称クラウド アプリ)>Include] で、[ すべてのリソース (旧称 "すべてのクラウド アプリ") を選択します。
7. [アクセス制御>Grant] の下に表示されます。
   1. [デバイスは準拠としてマーク済みである必要があります] を選択します。
   2. [ 選択] を選択します。
8. 設定を確認し、[ ポリシーの有効化] を[レポートのみ] に設定します。
9. [ 作成 ] を選択して作成し、ポリシーを有効にします。

ポリシーへの影響またはレポート専用モードを使用して設定を確認したら、[ポリシーを有効にする] トグルを [レポートのみ] から [オン] に移動します。

詳細については、「Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する」を参照してください。