次の方法で共有

Microsoft Intune でセキュリティ ベースライン プロファイルを管理する

ユーザーと Windows デバイスを保護するために、Microsoft Intune セキュリティ ベースライン プロファイルの個別のインスタンスを構成して、Windows デバイスとユーザーのさまざまなグループに展開できます。 製品ごとに異なるベースラインがあり、それぞれが、その製品のセキュリティ チームから推奨されるセキュリティ体制を表す構成済みの設定のグループです。 既定の (変更されていない) ベースラインをデプロイするか、プロファイルをカスタマイズして、organizationに必要な設定でデバイスを構成できます。

使用可能なセキュリティ ベースラインの一覧については、「 セキュリティ ベースラインの概要」を参照してください。

この機能は、以下に適用されます。

  • Windows 10 バージョン 1809 以降
  • Windows 11

セキュリティ ベースラインの概要

Intune でセキュリティ ベースラインのプロファイルを作成する場合、複数の "デバイス構成" 設定で構成されたテンプレートを作成することになります。

セキュリティ ベースラインの複数のバージョンが存在する場合は、最新バージョンのみを使用して、そのベースラインの新しいインスタンスを作成できます。 以前に作成した古いベースラインのインスタンスを引き続き使用し、割り当てられているグループを編集できます。 ただし、古いバージョンでは、設定構成の変更はサポートされていません。 代わりに、最新のベースライン バージョンを使用する新しいベースラインを作成するか、設定の新しい構成を導入する必要がある場合は、古いベースラインをその最新バージョンに更新します。

古いベースライン バージョンは、実用的な場合は直ちに最新バージョンに更新することをお勧めします。 新しいバージョンでは、次のことができます。

  • 以前のバージョンでは使用できない新しい設定を含めます。
  • サポートされなくなった古い設定を廃止して削除します。
  • 該当する製品の現在のセキュリティに関する推奨事項に合わせて、設定の既定の構成を変更します。

セキュリティ ベースラインを使用する場合の一般的なタスクは次のとおりです。

前提条件

Intune のセキュリティ ベースラインを管理するために必要な情報を確認します。

ライセンス

  • Intune を使用してセキュリティ ベースラインを展開するには、Microsoft Intune プラン 1 サブスクリプションが必要です。 「Microsoft Intune のライセンス」を参照してください。

    ヒント

    Intune には、セキュリティ ベースラインを構成して展開するための使いやすいユーザー インターフェイスが用意されていますが、セキュリティ ベースラインを作成したり定義したりすることはありません。 Intune 以外では、セキュリティ コンプライアンス ツールキットから入手できるオプションなど、セキュリティ ベースラインを展開するためのその他のオプションを使用できます。

  • Intune でベースラインを使用するには、該当する場合は、マネージド製品のアクティブなサブスクリプションが必要です。 たとえば、Microsoft Defender for Endpointベースラインを使用しても、Microsoft Defenderを使用する権限は付与されません。 代わりに、ベースラインは、Microsoft Defender for Endpointによってライセンスおよび管理されているデバイスに存在する設定を構成および管理する方法を提供します。

Intune セキュリティ ベースラインを管理するためのロールベースのアクセス制御

Intune でセキュリティ ベースラインを管理するには、目的のタスクを完了するのに十分な次のカテゴリとアクセス許可を含む Intune ロールベースのアクセス制御 (RBAC) ロールがアカウントに割り当てられている必要があります。

  • 組織:

    • 読み取り

  • セキュリティ ベースライン:

    • Assign
    • 作成する
    • 削除
    • 読み取り
    • Update

これらのアクセス許可は、独自の カスタム RBAC ロール に追加することも、Intune 組み込みの RBAC ロールを使用することもできます。

セキュリティ ベースラインの管理をサポートする最小特権の組み込み Intune ロールは、 ポリシーとプロファイル マネージャーです

セキュリティ ベースラインのプロファイルを作成する

次のガイダンスは、新しいセキュリティ ベースライン プロファイルを作成するたびに使用できます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [エンドポイント セキュリティ]>[セキュリティ ベースライン] を選択し、利用可能なベースラインの一覧を表示します。

    構成するセキュリティ ベースラインを選択する

  3. 使用するベースラインを選択し、[ポリシーの作成] を選択 します

  4. [基本] タブ上で、次のプロパティを指定します。

    • 名前: セキュリティのベースライン プロファイルの名前を入力します。 たとえば、「Standard profile for Defender for Endpoint」(Defender for Endpoint 用の標準プロファイル) と入力します。

    • 説明: このベースラインの実行内容を説明するテキストを入力します。 この説明には、任意のテキストを入力できます。 これは省略可能ですが、推奨されます。

    [ 次へ ] を選択して、次のタブに移動します。新しいタブに進んだ後、タブ名を選択して、以前に表示したタブに戻ることができます。

  5. [構成設定] タブで、選択したベースラインで使用できる [設定] の各グループを確認します。 グループを展開すれば、そのグループに含まれている設定と、そのベースラインでの各設定の規定値を確認できます。 特定の設定を探すには:

    • グループを選択し、使用可能な設定を展開して確認します。
    • 設定の分析情報は、電球アイコンの横にあります。 設定の分析情報は、類似の組織が正常に採用した分析情報を追加することで、構成に対する信頼を提供します。 Insights は一部の設定で使用でき、一部の設定では使用できません。 詳細については、「 設定の分析情報」を参照してください。
    • 検索バーを使用し、ビューをフィルター処理するキーワードを指定して、検索条件を含むグループのみを表示します。

    ベースラインの各設定には、そのベースライン バージョンの既定の構成プリセットがあります。 構成されていないものもあれば、デバイスで特定の値または条件を構成するように設定されているものもあります。 ベースラインで見つかった既定のプリセットは、その製品のセキュリティ チームから推奨されるセキュリティ体制を表します。 ベースラインを構成する場合:

    • 各設定を確認し、必要に応じて、ビジネス ニーズに異なる構成が必要な場合に既定のプリセットを再構成してください。
    • 異なるベースラインの種類とバージョンには、他のベースラインにも含まれる設定が含まれる場合があることに注意してください。また、設定に対してそれぞれ異なる既定値が推奨される場合があることに注意してください。

    グループを展開してそのグループに対する設定を表示する

  6. [スコープ タグ] タブで [スコープ タグを選択] を選択し、[タグを選択する] ウィンドウを開いて、プロファイルにスコープ タグを割り当てます。

  7. [ 割り当て ] タブで、[ 含めるグループの選択 ] を選択し、ベースラインを 1 つ以上のグループに割り当てます。 [含めないグループを選択] を使って割り当てを微調整します。

    注:

    セキュリティ ベースラインは、使用されている設定のスコープに基づいて、ユーザー グループまたはデバイス グループのいずれかに割り当てられます。 このため、ユーザーベースとデバイスベースの設定の両方を割り当てるときに、複数のベースラインが必要になる場合があります。

    プロファイルを割り当てる

  8. ベースラインを展開する準備が整ったら、[確認および作成] タブに進んでベースラインの詳細を確認します。 [作成] を選択して、プロファイルを保存および展開します。

    プロファイルを作成するとすぐに、Intune によって割り当てられたグループにプッシュされ、すぐに適用されます。

    ヒント

    最初にグループに割り当てることなくプロファイルを保存した場合は、そうするように後からそのプロファイルを編集できます。

    ベースラインを確認する

  9. プロファイルを作成した後は、[エンドポイント セキュリティ]>[セキュリティ ベースライン] の順に移動して編集を行い、構成したベースラインの種類を選択して、[プロファイル] を選択します。 使用可能なプロファイルの一覧からプロファイルを選択し、[プロパティ] を選択します。 使用可能なすべての構成タブから設定を編集し、[ 確認と保存 ] を選択して変更をコミットできます。

ベースライン プロファイルを最新バージョンに更新する

注:

このセクションの情報は、 2023 年 5 月以降 に作成されたベースライン プロファイルを、同じベースラインのより新しいバージョンに更新する場合に適用されます。

セキュリティ ベースラインの形式は、2023 年 5 月に変更されました。 この変更により、2023 年 5 月より前に作成されたベースライン プロファイルの更新プロセスは、別のシナリオを表します。 2023 年 5 月より前に作成されたベースラインの更新については、ベースライン更新シナリオに適用されるこの記事の次の内容を参照してください。

ベースラインの新しいバージョンが使用可能になったら、既存のプロファイルを新しいバージョンに更新する予定です。

ベースラインの種類の新しいバージョンがリリースされた場合:

  • そのベースラインの種類の既存のプロファイルは、新しいバージョンに自動的にアップグレードされません。
  • 既存のプロファイルの設定は読み取り専用になります。 これらのプロファイルを引き続き使用し、名前、説明、割り当てを編集することはできますが、その中の設定の構成を変更することはできません。

ベースライン プロファイルのバージョンを更新する場合:

  • Updates常に、同じベースラインの種類の最新の使用可能なバージョンを使用します。 ベースラインを最新リリースバージョン以外に更新することはできません。

  • 更新プロセスでは、元のプロファイルのサイド バイ サイド コピーとして、最新バージョンに基づいてベースラインの新しいインスタンスが作成されます。 更新プログラムの一部として、次のオプションを選択できます。

    • カスタマイズを保持する – Intune では、新しいベースライン テンプレートにアップグレードする元のベースラインからのすべての設定のカスタマイズが適用されます。 その結果、新しいベースライン インスタンスは、organizationの特定の変更をすべて保持 (含む) します。
    • カスタマイズを破棄する – Intune は、新しいバージョンを使用して新しい "既定" ベースライン インスタンスを作成します。 設定のカスタマイズは自動的に適用されません。

  • 更新中は、新しいインスタンスに 名前 を指定する必要がありますが、プロファイルの他の詳細は作成されるまで編集できません。 スコープ タグと割り当ては引き継がれず、空白のままです。 ただし、プロファイルを保存する前に、プロファイルの構成設定を確認できます。

更新プロセスが完了したら、次の手順を実行します。

  • 設定のカスタマイズ、割り当ての追加、スコープ タグの構成など、新しいベースライン インスタンスを編集できます。
  • 元のベースラインは変更されず、設定の構成、名前、スコープ タグ、割り当てが保持されます。 構成の競合を回避するには、更新されたベースラインに同じものを追加するときに、スコープ タグや割り当てなどの構成を元のベースライン インスタンスから削除してください。
  • 以前のベースライン バージョンがグループに割り当てられなくなったら、選択した場合はテナントから削除できます。

ベースラインを最新バージョンに更新する

2023 年 5 月以降に作成されたベースライン プロファイルの更新に適用されます。

  1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>セキュリティ ベースライン] に移動し>更新するプロファイルでベースラインの種類を選択します。 [基準計画プロファイル] ページで、更新するベースライン インスタンスのチェック ボックスをオンにし、[バージョンの 更新] を選択します。 Intune に [ バージョンの更新 ] ウィンドウが表示されます。

  2. [ 更新バージョン ] ウィンドウで、使用する更新方法を選択します。

    • ベースラインの変更を受け入れますが、既存の設定のカスタマイズは保持します - 最新バージョンを使用してベースライン プロファイルの新しいインスタンスを作成します。 現在のカスタム設定は保持され、新しいプロファイルに適用されます。
    • ベースラインの変更を受け入れ、既存の設定のカスタマイズを破棄する - 最新バージョンを使用してベースライン プロファイルの新しいインスタンスを作成します。 更新されるプロファイルからのカスタマイズは、新しいプロファイルに追加されません。 新しいプロファイルでは、既定の設定構成が使用されます。

    更新方法を選択した後、[ 作成 ] を選択して、作成する新しいベースライン プロファイルの アップグレード ポリシー ワークフローを開きます。

  3. [ 基本 ] タブで、この新しいプロファイルの [名前] を指定します[説明] フィールドは既に設定されていますが、現時点では編集できます。

  4. [ 構成設定 ] タブで、ベースラインの設定の構成を確認できます。 既存の設定のカスタマイズを維持することを選択した場合は、ここに表示され、選択した場合は他のカスタマイズを行うことができます。

  5. スコープ タグの場合、構成は省略可能です。 更新プロセスでは、古いプロファイルのスコープ タグがこの新しいプロファイルに適用されません。 スコープ タグを今すぐ構成するか、プロファイルを編集して後で追加するように戻るかを選択できます。

  6. [ 割り当て] では、新しいプロファイルをユーザー グループまたはデバイス グループに割り当てる予定です。 更新プロセスでは、以前のプロファイルからの割り当てをこの新しいプロファイルに適用しません。 このプロファイルの割り当てを今すぐ構成することも、プロファイルを編集して後で追加することもできます。

    この時点で割り当てを構成する場合は、古いプロファイルの割り当てを再検討して、古いプロファイルと新しいプロファイルの 間で競合 が発生しないように、必要に応じて削除または変更する予定です。

    注:

    セキュリティ ベースラインは、使用されている設定のスコープに基づいて、ユーザー グループまたはデバイス グループのいずれかに割り当てられます。 このため、ユーザーベースとデバイスベースの設定の両方を割り当てるときに、複数のベースラインが必要になる場合があります。

  7. [ レビュー ] タブで、ベースラインの詳細を確認し、[ 作成 ] を選択して新しいプロファイルを保存します。

    保存すると、プロファイルはすぐに割り当てられたすべてのグループにデプロイされます。

更新されたベースラインをテストする

ベースラインの更新中に、Intune は元のプロファイルのコピーを作成しますが、グループの割り当ては含まれません。 つまり、コピーを作成した時点または新しいバージョンに更新した時点では、新しいベースライン インスタンスはどのデバイスにもデプロイされません。 プロファイルを最新バージョンに更新した後、その新しいプロファイル インスタンスの設定を編集できます。 これには、新しいベースライン プロファイルをデバイスのグループに割り当て、organizationの期待に合わせてプロファイル設定を編集することが含まれます。

2023 年 5 月より前に行われたベースラインを、2023 年 5 月以降にリリースされたベースライン バージョンに更新する

注:

このセクションの情報は、利用可能な最新のベースライン バージョンが 2023 年 5 月以降にリリースされた 2023 年 5 月より前に作成されたベースライン プロファイルの更新に適用されます。

2023 年 5 月以降、ベースラインの新しいバージョンがリリースされたら、既存のプロファイルを新しいバージョンに更新する予定です。 古い形式から新しいベースライン形式 (2023 年 5 月より前にリリースされたバージョンから 2023 年 5 月以降にリリースされたもの) に移行する場合:

  • Microsoft Edge などのベースラインの種類のすべての新しいプロファイルでは、新しい形式が使用されます。 古いベースライン バージョンを使用する新しいベースラインの作成はサポートされていません。

  • 2023 年 5 月より前にリリースされたベースライン バージョンは、新しい形式にアップグレードされません。 代わりに、新しい形式を使用する新しいプロファイルを作成し、その新しいベースライン形式で古いベースラインから設定を構成します。 プロファイルの再作成は、ベースラインを古い形式から新しいベースライン形式に移動するために必要な 1 回限りのプロセスです。

    このプロセスを支援するために、Intune では、新しいプロファイル バージョンに表示される設定の名前と構成に基づいて各設定を識別する CSV 形式に古いプロファイルをエクスポートできます。

  • 古いベースライン バージョンを置き換えることができる新しいベースラインを作成した後、古いプロファイルは変更されず、引き続き使用できます。 引き続き、以前のベースライン形式で設定をデプロイ、再割り当て、編集できます。

    ヒント

    新しいバージョンに更新した後の古いベースライン バージョンの設定の編集のサポートは、過去の動作からの変更です。 この動作は、2023 年 5 月より前に作成されたベースライン バージョンから 2023 年 5 月以降に作成されたバージョンに移行する場合にのみ可能です。新しいベースライン形式は、置き換えるのではなく、古いベースライン形式と並べて存在するためです。 その後、2023 年 5 月以降に作成されたベースライン インスタンスを新しいバージョンに更新すると、以前のバージョンの設定を編集できない元の動作が返されます。

    古い形式の使用を中止し、できるだけ早く最新バージョンに基づいてプロファイルをデプロイすることをお勧めします。 2023 年 5 月にリリースされた新しいバージョンでは、古いプロファイルは更新プログラムを受け取りません。

    • Intune UI の新しい設定形式を使用して、各設定の構成サービス プロバイダー (CSP) ソースに直接合わせます。
    • 関連するセキュリティ チームが推奨する既定の構成で事前構成されています。

ベースラインを新しい形式に更新する

2023 年 5 月より前に作成されたベースラインを新しい形式に更新するには、新しいベースライン インスタンスを作成する必要があります。 元のベースライン構成の再作成を支援するために、Intune で現在のベースライン構成を .CSV ファイルとしてエクスポートできます。 エクスポートには次のものが含まれます。

  • 以前のベースラインの各設定は、新しいベースラインに表示される設定の名前を使用して識別されます。 設定の名前は .csv に逐語的に表示されませんが、設定のパスを見つけることができます。このパスには、設定名の一部が含まれています。
  • 以前のベースラインの各設定の構成方法。
  • 古いベースラインからの設定の構成が、新しいベースラインの既定の構成と一致する場合。

エクスポートからの情報を使用すると、古いベースライン インスタンスと同じ値を使用するように新しいベースラインを迅速に再構成できます。

  1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>セキュリティ ベースライン] に移動し>ベースラインの種類を選択し、新しいベースライン形式でレプリケートするベースライン プロファイル (インスタンス) のチェック ボックスをオンにし、[バージョンの変更] を選択します。 Intune に [ バージョンの変更 ] ウィンドウが表示されます。

    次のスクリーンショットは、 Microsoft Edge のセキュリティ ベースラインのビューを示しています。 現時点では、2 つのプロファイルがあります。 1 つは Microsoft Edge v112 の新しいプロファイルで、もう 1 つは 2020 年 9 月の古いプロファイルです。 以前のプロファイルには、新しいバージョンが置き換えられることを示す矢印アイコンも表示されます。

    Intune 管理センターのナビゲーション パスを示すスクリーン ショット。[バージョンの変更] ウィンドウを開きます。

  2. [ バージョンの変更 ] ウィンドウには、構成の詳細を以前のベースラインから新しい形式を使用するプロファイルに移動する手順があります。 ペインには、選択したベースラインの名前とバージョン、および最新のベースライン バージョンも識別されます。

    1. [ プロファイル設定のエクスポート] を選択して、選択したベースラインの設定と現在の構成が基準計画の既定値に設定されていない場合に一覧表示する .csv ファイルを作成します。 ベースラインの詳細をエクスポートするオプションを選択すると、Intune によってエクスポートが準備され、続行することに同意する必要があります。 [ はい] を 選択して、.CSV ファイルのエクスポートをダウンロードします。

    2. ファイルをダウンロードした後、ファイルを開いて、以前のベースラインの現在の構成を表示できます。

    [ バージョンの変更 ] ウィンドウには、[選択したベースラインの新しいプロファイルを 作成 する] ボタンも含まれています。このボタンは、新しいベースライン インスタンスの作成に使用される [ プロファイルの作成 ] オプションと同じ機能を持っています。

    次のスクリーン キャプチャは、Microsoft Excel で表示される Microsoft Edge プロファイル バージョン 85 のエクスポートを示しています。 古いプロファイルで見つかった新しい Microsoft Edge ベースライン 17 設定のうち、1 つの設定のみが変更されます。 すべてのサイトのサイト分離を有効にする 設定は、以前のベースラインで [無効] に設定されています。 新しいベースラインでは、設定の既定値は [有効] になりました。

    Microsoft Edge ベースライン プロファイルのエクスポートを .csv ファイルとして示すスクリーン ショット。

    前の図では、情報の列が 3 つあります。 この情報は、古いプロファイルの設定と、古いプロファイルに含まれているそれぞれの構成を識別します。

    • DefinitionId – この列には、設定レジストリ名が表示されます。 アンダースコア ( _ ) の後の情報は、古いベースライン プロファイルと形式で表示される設定名を識別しますが、名前にスペースは含めずに指定します。 この値は、このベースライン設定が管理する CSP 設定の名前でもあります。

      たとえば、[ すべてのサイトのサイト分離を有効にする] の変更された設定は、このエクスポートに admx--microsoftedge_SitePerProcess として表示されます。 最後の部分 である SitePerProcess は、設定を識別するのに役立ちます。

    • defaultJson – この列は、新しいベースライン形式で見られるように、この設定の既定の構成を識別します。 SitePerProcess CSP のサンプル設定は、既定で 有効に設定されています。

    • customizedJson – 最後の列には、以前のプロファイル バージョンの各設定の構成が表示されます。 この情報は、古いプロファイルの構成に合わせて変更が必要な新しいプロファイルの設定を理解するのに役立ちます。 サンプル設定が 無効に設定されました。 他のすべての設定は、以前のベースライン バージョンの既定の構成から変更されていないため、"NotApplicable" と表示されます。

    更新された Microsoft Edge ベースライン プロファイルには、以前のプロファイルで見つかった 17 個を超える設定があることに注意してください。 ベースライン エクスポートでは、これらの新しい設定は確認中の古いベースライン バージョンでは使用できないため、識別されません。

    後で、新しいプロファイルを作成して構成するときに、CSV エクスポートの一覧を使用して、前のプロファイルの各設定が同じ構成で新しいプロファイルに設定されていることを確認できます。

最新バージョンが 2023 年 5 月より前のバージョンの場合、古いベースラインを新しいバージョンに更新する

注:

このセクションの情報は、使用可能な最新のベースライン バージョンも 2023 年 5 月より前にリリースされた 2023 年 5 月より前に作成されたベースライン プロファイルの更新に適用されます。

ベースラインの新しいバージョンが使用可能になったら、既存のプロファイルを新しいバージョンに更新することを計画します。

  • 既存のプロファイルは、自動的に新しいバージョンにアップグレードされません。
  • 最新バージョンを使用していないベースライン プロファイルの設定は、読み取り専用になります。 名前、説明、割り当ての編集など、古いプロファイルを引き続き使用できます。 ただし、それらの設定を編集したり、古いバージョンに基づいて新しいプロファイルを作成したりすることはできません。

ライブ プロファイルを更新する前に、既存のプロファイルのコピーでバージョンの更新をテストすることをお勧めします。

プロファイルのバージョンを変更する際に、次のことを行います。

  • 同じベースラインの最新のインスタンスを選択します。 2 つの異なるベースラインの種類間で変更することはできません。たとえば、Defender for Endpoint のベースラインを使っているプロファイルを、MDM セキュリティ ベースラインを使うように変更することはできません。

  • 関連する 2 つのベースライン バージョン間の変更を一覧表示する CSV ファイルをエクスポートおよびダウンロードできます。

  • プロファイルを更新する方法を選択します。

    • 元のベースライン バージョンからのすべてのカスタマイズを保持できます。
    • ベースラインの新しいバージョンのすべての設定に既定値を使用するように選択できます。

    更新中にプロファイルの一部の設定のみを変更することはできません。

変換中:

  • 以前のバージョンで使用していなかった新しい設定が追加されます。 新しいバージョンの新しい設定では、既定値が使用されます。

  • 選択した新しいベースラインのバージョンに含まれない設定は削除され、このセキュリティ ベースラインのプロファイルではもう適用されません。

    ある設定がベースラインのプロファイルによってもう管理されない場合、その設定はデバイス上でリセットされません。 代わりに、デバイス上の設定は、他のなんらかのプロセスによりその設定が管理されて変更されるまで、その最後の構成に設定されたままとなります。 管理を停止した後に設定を変更できるプロセスの例としては、別のベースライン プロファイル、グループ ポリシー設定、デバイスに適用されている手動構成などがあります。

ベースラインの新しいバージョンへの変換が完了すると:

  • ベースラインは、割り当てられたグループに直ちに再展開されます。
  • ベースラインを編集して個々の設定を変更することができます。

変換および更新されたベースラインのテスト

ベースライン プロファイルを新しいバージョンに更新する前に、そのコピーを作成して、デバイス グループでプロファイルの新しいバージョンをテストできるようにします。 この記事で後述する「セキュリティ ベースラインを複製する」を参照してください。

  • コピーを作成すると、グループの割り当ては含まれません。つまり、コピーを作成した時点または新しいバージョンに更新した時点で、ベースライン コピーはどのデバイスにも展開されません。
  • プロファイルを最新バージョンに更新すると、その設定を編集できるようになります。 更新されたコピーをデバイスのグループに割り当て、それを編集して、プロファイル内の個々の設定に変更を加えることができます。

プロファイルのベースラインのバージョンを変更するには

グループが割り当てられているプロファイルのバージョンを更新する前に、プロファイルのコピーで バージョン更新プログラムをテスト して、デバイスのテスト グループで新しいベースライン設定を検証できるようにします。

  1. Microsoft Intune 管理センターにサインインします。

  2. [エンドポイント セキュリティ]>[セキュリティ ベースライン] の順に選択し、変更するプロファイルが含まれているベースラインの種類のタイルを選択します。

  3. 次に、[プロファイル] を選択した後、編集するプロファイルのチェック ボックスをオンにして、[バージョンの変更] を選択します。

    ベースラインの選択を示すスクリーン キャプチャ。

  4. [バージョンの変更] ウィンドウで、[Select a security baseline to update to]\(更新先のセキュリティ ベースラインを選択する\) ドロップダウンを使い、使用するバージョンのインスタンスを選択します。

    バージョンの選択

  5. [ 更新プログラムの確認 ] を選択して、プロファイルの現在のバージョンと新しいバージョンの違いを表示する CSV ファイルをダウンロードします。 このファイルを確認し、どの設定が新規作成または削除されるのか、また更新されたプロファイルでのこれらの設定の規定値は何かを把握します。

    準備ができたら、次の手順に進みます。

  6. [Select a method to update the profile]\(プロファイルを更新する方法を選択する\) の 2 つのオプションのいずれかを選択します。

    • [Accept baseline changes but keep my existing setting customizations]\(ベースラインの変更は受け入れるが、既存の設定のカスタマイズは保持する\) - このオプションでは、ベースラインのプロファイルに加えたカスタマイズが保持され、使うことを選択した新しいバージョンにそれらが適用されます。
    • [Accept baseline changes and discard existing setting customizations]\(ベースラインの変更を受け入れ、既存の設定のカスタマイズを破棄する\) - このオプションでは、元のプロファイルが完全に上書きされます。 更新されたプロファイルでは、すべての設定に既定値が使用されます。

  7. [送信] を選択します。 プロファイルは選択したベースラインのバージョンに更新され、変換が完了すると、そのベースラインはすぐに割り当てられたグループに再展開されます。

セキュリティ ベースラインの割り当てを削除する

セキュリティ ベースライン設定がデバイスに適用されなくなった場合、またはベースラインの設定が [未構成] に設定されている場合、セキュリティ ベースラインの設定によっては、デバイス上の設定が管理済みの構成に戻らない可能性があります。 設定は CSP に基づいており、各 CSP は変更の削除を異なる方法で処理できます。

デバイスの設定を後から変更する可能性があるその他のプロセスには、別の、または新しいセキュリティ ベースライン、デバイス構成プロファイル、グループ ポリシー構成、デバイス上での設定の手動編集などがあります。

セキュリティ ベースラインを複製する

セキュリティ ベースラインの複製を作成することができます。 ベースラインを複製すると、類似しているが異なるベースラインをデバイスのサブセットに割り当てる場合に役立ちます。 複製を作成することで、ベースライン全体を手動で再作成する必要はありません。 代わりに、現在のいずれかのベースラインを複製して、新しいインスタンスに必要な変更のみを取り入れることができます。 特定の設定や、ベースラインの割り当て先のグループのみを変更することができます。

複製を作成するときは、コピーに新しい名前を付けます。 コピーは、元のと同じ設定構成とスコープ タグで作成されますが、割り当ては行われません。 割り当てを追加するには、新しいベースラインを編集する必要があります。

すべてのセキュリティ ベースラインでは、重複の作成がサポートされています。

ベースラインを複製した後、新しいインスタンスを確認して編集し、構成を変更します。

ベースラインを複製するには

  1. Microsoft Intune 管理センターにサインインします。
  2. [Endpoint security]\(エンドポイント セキュリティ\)>[Security baselines]\(セキュリティ ベースライン\) に移動して、複製するベースラインの種類を選択し、[プロファイル] を選択します。
  3. 複製するプロファイルを右クリックして [複製] を選択するか、ベースラインの右側にある省略記号 ([...]) を選択して [複製] を選択します。
  4. ベースラインの新しい名前を指定し、[保存] を選択します。

更新すると、新しいベースライン プロファイルが管理センターに表示されます。

ベースラインを編集するには

  1. 新しいベースラインを選択し、[プロパティ] を選択します。

  2. このビューで、次のカテゴリに対して [編集] を選択して、プロファイルを変更できます。

    • 基本事項
    • 課題
    • スコープ タグ
    • 構成の設定

    プロファイル "構成設定" を "編集" できるのは、そのプロファイルで最新バージョンのセキュリティ ベースラインが使用されている場合だけです。 以前のバージョンを使用しているプロファイルの場合は、[設定] を展開すると、プロファイルの設定の構成を表示できますが、変更することはできません。 プロファイルが最新バージョンのベースラインに更新されると、プロファイルの設定を編集できるようになります。

  3. 変更を加えた後、[ 保存] を選択して編集内容を保存します。 他のカテゴリに編集を導入するには、編集内容を 1 つのカテゴリに保存する必要があります。

以前のベースライン バージョンについて

Microsoft Intune では、一般的なorganizationのニーズの変化に応じて、組み込みのセキュリティ ベースラインのバージョンが更新されます。 新しいリリースごとに、特定のベースラインのバージョンが更新されます。 期待は、お客様がデバイス構成プロファイルの開始点として最新のベースライン バージョンを使用することです。

使用している古いベースライン バージョンに関連付けられているベースライン プロファイルがある場合、その古いベースライン プロファイルは引き続き一覧表示されます。

共同管理デバイス

Intune 管理デバイスのセキュリティ ベースラインは、Configuration Manager を使用した共同管理デバイスに似ています。 共同管理デバイスでは、Configuration Manager と Microsoft Intune を同時に使用して Windows 10/11 デバイスを管理します。 これにより、既存の Configuration Manager への投資を Intune のメリットへとクラウドで結び付けることができます。 共同管理の概要は、Configuration Managerを使用し、クラウドの利点も必要な場合に最適なリソースです。

共同マネージド デバイスを使用する場合は、[デバイス構成] ワークロード (その設定) を Intune に切り替える必要があります。 詳細については、「デバイス構成ワークロード」セクションを参照してください。

次の手順