特権アクセスの導入

このドキュメントでは、セキュリティで保護されたアカウント、ワークステーションとデバイス、インターフェイス セキュリティ (条件付きアクセス ポリシーを使用) など、 特権アクセス戦略の技術的なコンポーネントを実装する手順について説明します。

このガイダンスでは、3 つのセキュリティ レベルすべてに対するすべてのプロファイルを設定し、 特権アクセス セキュリティ レベル のガイダンスに基づいて組織のロールを割り当てる必要があります。 Microsoftでは、rapid モダン化計画 (RAMP)

ライセンス要件

このガイドで説明する概念は、Microsoft 365 Enterprise E5 または同等の製品を使用していることを前提としています。 このガイド内の推奨事項の一部は、他のライセンスを使用して実装することができます。 詳細については、「Microsoft 365 Enterprise のライセンスを参照してください。

ライセンスのプロビジョニングを自動化するには、ユーザー のグループベースのライセンスを 検討してください。

Microsoft Entra構成

Microsoft Entra IDは、管理者ワークステーションのユーザー、グループ、およびデバイスを管理します。 管理者アカウントで ID サービスと機能を有効にします。

セキュリティで保護されたワークステーションの管理者アカウントを作成するときに、現在のワークステーションにアカウントを公開します。 この初期構成とすべてのグローバル構成を行うときに、既知の安全なデバイスを使用する必要があります。 初めてのエクスペリエンスの攻撃の露出を減らすには、 マルウェアの感染を防ぐためのガイダンスに従ってください。

少なくとも管理者には多要素認証を要求する必要があります。 実装ガイダンスについては、「 条件付きアクセス: 管理者に MFA を要求する 」を参照してください。

Microsoft Entraのユーザーとグループ

1. Azure ポータルで、Microsoft Entra ID>Users>New user に移動します。

2. 入力します

   • 名前 - セキュリティで保護されたワークステーション ユーザー
   • ユーザー名 - secure-ws-user@contoso.com
   • ディレクトリ ロール - 制限付き管理者とIntune 管理者ロールを選択します。
   • 使用状況の場所 - たとえば、英国、または一覧から目的の場所。

3. を選択してを作成します。

デバイス管理者ユーザーを作成します。

1. 入力します

   • 名前 - セキュリティで保護されたワークステーション管理者
   • ユーザー名 - secure-ws-admin@contoso.com
   • ディレクトリ ロール - 制限付き管理者とIntune 管理者ロールを選択します。
   • 使用状況の場所 - たとえば、英国、または一覧から目的の場所。

2. を選択してを作成します。

次に、 セキュリティで保護されたワークステーション ユーザー、 セキュリティで保護されたワークステーション管理者、 緊急の BreakGlass 、 およびセキュリティで保護されたワークステーション デバイスの 4 つのグループを作成します。

Azure ポータルから、Microsoft Entra ID>Groups>New グループに移動します。

1. ワークステーション ユーザー グループの場合は、ユーザーへのライセンスのプロビジョニングを自動化するように グループベースのライセンス を構成できます。

2. ワークステーション ユーザー グループでは、次のように入力します。

   • グループの種類 - セキュリティ
   • グループ名 - セキュリティで保護されたワークステーション ユーザー
   • メンバーシップの種類 - 割り当て済み

3. セキュリティで保護されたワークステーション ユーザーを追加します。 secure-ws-user@contoso.com

4. セキュリティで保護されたワークステーションを使用する他のユーザーを追加できます。

5. を選択してを作成します。

6. 特権ワークステーションの管理者グループでは、次のように入力します。

   • グループの種類 - セキュリティ
   • グループ名 - セキュリティで保護されたワークステーション管理者
   • メンバーシップの種類 - 割り当て済み

7. セキュリティで保護されたワークステーション ユーザーを追加します。 secure-ws-admin@contoso.com

8. セキュリティで保護されたワークステーションを管理する他のユーザーを追加できます。

9. を選択してを作成します。

10. Emergency BreakGlass グループでは、次の情報を入力します。

    • グループの種類 - セキュリティ
    • グループ名 - Emergency BreakGlass
    • メンバーシップの種類 - 割り当て済み

11. を選択してを作成します。

12. 緊急アクセス用アカウントをこのグループに追加します。

13. ワークステーション デバイス グループでは、次のように入力します。

    • グループの種類 - セキュリティ
    • グループ名 - セキュリティで保護されたワークステーション デバイス
    • メンバーシップの種類 - 動的デバイス
    • 動的メンバーシップルール - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

14. を選択してを作成します。

Microsoft Entra デバイスの構成

デバイスをMicrosoft Entra IDに登録できるユーザーを指定する

管理セキュリティ グループがデバイスをドメインに参加できるように、Active Directoryでデバイス設定を構成します。 Azure ポータルからこの設定を構成するには:

1. Microsoft Entra ID>Devices>Device settings に移動します。
2. 選択済みを「ユーザーはデバイスを Microsoft Entra ID に参加させることができる」から選び、[Secure Workstation Users]（セキュリティで保護されたワークステーション ユーザー）グループを選択します。

ローカル管理者権限を削除する

この方法では、VIP、DevOps、特権ワークステーションのユーザーに対して自分のコンピューターの管理者権限を付与しないようにする必要があります。 Azure ポータルからこの設定を構成するには:

1. Microsoft Entra ID>Devices>Device settings に移動します。
2. なし を Microsoft Entra に参加したデバイスの追加ローカル管理者 から選択します。

ローカル管理者グループのメンバーを管理する方法の詳細については、「参加しているデバイスでローカル管理者グループMicrosoft Entra管理する方法を参照してください。

デバイスを参加させるには多要素認証が必要

デバイスをMicrosoft Entra IDに参加させるプロセスをさらに強化するには:

1. Microsoft Entra ID>Devices>Device settings に移動します。
2. デバイス参加時に多要素認証を要求のはいを選択します。
3. 保存を選びます。

モバイル デバイス管理の構成

Azure ポータルから:

1. Microsoft Entra ID>Mobility (MDM および MAM)>Microsoft Intune に移動します。
2. MDM ユーザー スコープの設定を [すべて] に変更します。
3. 保存を選びます。

これらの手順では、Microsoft Intuneを使用して任意のデバイスを管理できます。 詳細については、「 Windows 10/11 デバイスの自動登録を設定するを参照してください。 Intune の構成とコンプライアンス ポリシーは以降の手順で作成します。

Microsoft Entra 条件付きアクセス

Microsoft Entra条件付きアクセスは、特権管理タスクを準拠デバイスに制限するのに役立ちます。 セキュリティで保護されたワークステーション ユーザー グループの定義済みのメンバーは、クラウド アプリケーションにサインインするときに多要素認証を実行する必要があります。 ベスト プラクティスとして、ポリシーから緊急アクセス アカウントを除外します。 詳細については、「Microsoft Entra ID の緊急アクセス アカウントの管理」<を参照>。

条件付きアクセスでは、セキュリティで保護されたワークステーションのアクセスのみがポータルAzure許可されます

組織は、特権ユーザーが PAW 以外のデバイスからクラウド管理インターフェイス、ポータル、PowerShell に接続できないようにブロックする必要があります。

承認されていないデバイスがクラウド管理インターフェイスにアクセスできないようにするには、 記事「条件付きアクセス: デバイスのフィルター (プレビュー)」のガイダンスに従ってください。 この機能をデプロイするときは、 緊急アクセスアカウント 機能を検討することが不可欠です。 これらのアカウントは、非常時にのみ使用し、アカウントはポリシーにより管理する必要があります。

このポリシー セットにより、管理者は、特定のデバイス属性値を提示できるデバイス、MFA が満たされていること、デバイスがMicrosoft IntuneおよびMicrosoft Defender for Endpointによって準拠としてマークされているデバイスを使用する必要があります。

組織は、環境内のレガシ認証プロトコルをブロックすることも検討する必要があります。 レガシ認証プロトコルをブロックする方法の詳細については、記事「方法: 条件付きアクセスを使用してMicrosoft Entra IDするレガシ認証をブロックするを参照してください。

Microsoft Intune構成

デバイス登録で BYOD を拒否する

このサンプルでは、BYOD デバイスを許可しないことをお勧めします。 Intune BYOD 登録を使用すると、ユーザーは、信頼性が低いデバイスや、信頼されていないデバイスを登録できます。 しかし、新しいデバイスを購入する予算が限られているため、既存のハードウェアの使用や windows 以外のデバイスを検討している組織では、Intune の BYOD 機能によるエンタープライズ プロファイルの展開を検討できることに注意してください。

次のガイダンスでは、BYOD アクセスを拒否するデプロイの登録を構成します。

BYOD を禁止する登録制限を設定する

1. Microsoft Intune管理センターで、 >Devices>登録制限>を選択All Users
2. プロパティの選択>プラットフォーム設定の編集
3. Windows MDM を除くすべての種類でBlockを選択します。
4. 個人所有のすべてのアイテムに対して [ブロック] を選択します。

Autopilot デプロイ プロファイルを作成する

デバイス グループの作成後、デプロイ プロファイルを作成して、Autopilot デバイスを構成する必要があります。

1. Microsoft Intune管理センターで、 Device enrollment>Windows enrollment>Deployment Profiles>Create Profile を選択します。

2. 入力します

   • 名前 - セキュリティで保護されたワークステーション展開プロファイル。
   • 説明 - セキュリティで保護されたワークステーションの展開。
   • [対象となるすべてのデバイスを Autopilot に変換] を [はい] に設定します。 この設定により、リスト内のすべてのデバイスが確実に Autopilot デプロイ サービスに登録されます。 登録の処理を 48 時間できるようにします。

3. 次へを選択します。

   • [デプロイ モード] で、[Self-Deploying (プレビュー)] を選択します。 このプロファイルが割り当てられたデバイスは、デバイスを登録するユーザーに関連付けられます。 展開中は、自己展開モードの機能を使用して次のものを含めることをお勧めします。
     • Intune Microsoft Entra MDM の自動登録にデバイスを登録し、すべてのポリシー、アプリケーション、証明書、およびネットワーク プロファイルがデバイスにプロビジョニングされるまで、デバイスへのアクセスのみを許可します。
     • デバイスを登録するには、ユーザーの資格情報が必要です。 自己展開モードでデバイスを展開すると、共有モデルでノート PC を展開できる点に注意してください。 デバイスがユーザーに最初に割り当てられるまで、ユーザーの割り当ては行われません。 その結果、ユーザー割り当てが完了するまで、BitLocker など、いずれのユーザー ポリシーも有効になりません。 セキュリティで保護されたデバイスにサインインする方法の詳細については、 選択したプロファイルを参照してください。
   • 言語 (リージョン)、ユーザー アカウントの種類 の標準を選択します。

4. 次へを選択します。

   • スコープのタグを選択します (構成済みのタグがある場合)。

5. 次へを選択します。

6. 割り当て>割り当て先>選択したグループを選んでください。 [ 含めるグループの選択] で、[ セキュア ワークステーション デバイス] を選択します。

7. 次へを選択します。

8. [作成] を選択してプロファイルを作成します。 これで、Autopilot デプロイ プロファイルをデバイスに割り当てられるようになりました。

Autopilot でのデバイス登録では、デバイスの種類と役割に基づいてさまざまなユーザー エクスペリエンスが提供されます。 このデプロイ例で示すモデルでは、セキュリティで保護されたデバイスを一括展開して共有できる一方、デバイスは初めて使用するときにユーザーに割り当てられます。 詳細については、「Windows Autopilot登録を参照してください。

登録状態ページ

登録ステータス ページ (ESP) には、新しいデバイスが登録された後のプロビジョニングの進行状況が表示されます。 使用する前にデバイスが完全に構成されるようにするために、Intune には、 すべてのアプリとプロファイルがインストールされるまでデバイスの使用をブロックする手段が用意されています。

登録ステータス ページのプロファイルを作成して割り当てる

1. Microsoft Intune管理センターで、デバイス>、Windows>、Windows登録>、登録ステータスページ>、プロファイルの作成を選択します。
2. [名前] と [説明] を入力します。
3. [作成]を選択します。
4. [ 登録ステータス] ページ の一覧で新しいプロファイルを選択します。
5. [ アプリ プロファイルのインストールの進行状況を表示 する] を [はい] に設定します。
6. [すべてのアプリとプロファイルがインストールされるまでデバイスの使用をブロックする] を [はい] に設定します。
7. [割り当てグループの選択グループ選択保存。
8. [設定] を選択>このプロファイルに適用する設定を選択>保存します。

Windows Updateの構成

Windows 10を最新の状態に保つことは、実行できる最も重要な操作の 1 つです。 Windowsをセキュリティで保護された状態に維持するには、update リングを展開して、更新プログラムがワークステーションに適用されるペースを管理します。

このガイダンスでは、新しい更新プログラム リングを作成し、次の既定の設定を変更することをお勧めします。

1. Microsoft Intune管理センターで、Devices>Software updates>Windows 10 Update Rings を選択します。

2. 入力します

   • 名前 - Azure 管理ワークステーションの更新
   • サービス チャネル - 半期チャネル
   • 品質更新プログラムの延期 (日) - 3
   • 機能更新プログラムの延期期間 (日) - 3
   • 自動更新の動作 - エンドユーザー制御なしで自動インストールと再起動を行う
   • Block
   • 勤務時間外の再起動にユーザーの承認を要求する - 必須
   • ユーザーの再起動を許可する (再起動を開始する) - 必須
   • 自動再起動後にユーザーをエンゲージド再起動に移行させる (日数) - 3
   • 再起動猶予期間リマインダーの一時停止 (日数) - 3
   • 保留中の再起動の期限を設定する (日数) - 3

3. を選択してを作成します。

4. [ 割り当て ] タブで、[ セキュリティで保護されたワークステーション ] グループを追加します。

Windows Update ポリシーの詳細については、「Policy CSP - Update」を参照してください。

Microsoft Defender for Endpoint と Intune の統合

Microsoft Defender for EndpointとMicrosoft Intuneが連携してセキュリティ侵害を防ぎます。 また、侵害の影響を抑えることもできます。 これらの機能は、リアルタイムの脅威検出を提供し、エンドポイント デバイスの広範な監査とログを可能にします。

Windows Defender for Endpoint と Microsoft Intune の統合を構成するには:

1. Microsoft Intune管理センターで、Endpoint Security>Microsoft Defender ATP を選択します。

2. 手順 1 の Windows Defender ATP の構成で、Windows Defender セキュリティ センターで Windows Defender ATP を Microsoft Intune に接続 を選択します。

3. Windows Defender セキュリティ センターで、次の手順を実行します。

   1. [設定]>[Advanced 機能]を選択します。
   2. Microsoft Intune接続では、On を選択します。
   3. [環境設定の保存] を選択します。

4. 接続が確立されたら、Microsoft Intuneに戻り、上部にある Refresh を選択します。

5. Windows デバイスのバージョン 19042.450 以降 (20H2) を Windows Defender ATP に接続するには、オンに設定します。

6. 保存を選びます。

Windowsデバイスをオンボードするためのデバイス構成プロファイルを作成する

1. Microsoft Intune管理センターにサインインし、Endpoint security>Endpoint detection and response>Create profile を選択します。

2. Platform で、Windows 10 以降 を選択します。

3. [プロファイルの種類] で [エンドポイントの検出と応答] を選択し、[作成] を選択します。

4. Basics ページで、[名前] フィールドに PAW - Defender for Endpoint を入力し、プロファイルの 説明 (省略可能) を入力し、次へ を選択します。

5. [ 構成設定 ] ページで、[ エンドポイントの検出と応答] で次のオプションを構成します。

   • すべてのファイルのサンプル共有: Microsoft Defender 高度な脅威保護サンプル共有構成パラメーターを取得または設定します。

     Microsoft Endpoint Configuration Manager を使用して Windows 10 マシンをオンボードする方法は、これらの Microsoft Defender ATP 設定の詳細が含まれています。

6. [次へ] を選択して、[スコープ タグ] ページを開きます。 スコープ タグは省略可能です。 [次へ] を選択して続行します。

7. [ 割り当て] ページで 、[ セキュリティで保護されたワークステーション ] グループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

   次へを選択します。

8. [確認および作成] ページで、完了したら、[作成] を選択します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。 [OK]、[ 作成 ] の順にクリックして変更を保存し、プロファイルを作成します。

詳細については、「Windows Defender 高度な脅威保護」を参照してください。

ワークステーション プロファイルのセキュリティ強化を完了する

ソリューションのセキュリティ強化を正常に完了するには、適切なスクリプトをダウンロードして実行します。 目的の プロファイル レベルのダウンロード リンクを見つけます。

このスクリプトが正常に実行されたら、Intune でプロファイルとポリシーを更新できます。 スクリプトによってポリシーとプロファイルが作成されますが、 セキュリティで保護されたワークステーション デバイス グループにポリシーを割り当てる必要があります。

• スクリプトによって作成された Intune デバイス構成プロファイルは、Azure portal>Microsoft Intune>デバイス構成>プロファイルにあります。
• スクリプトによって作成された Intune デバイス コンプライアンス ポリシーは、Azure ポータル>Microsoft Intune>デバイス コンプライアンス>ポリシーにあります。

intune データ エクスポート スクリプト DeviceConfiguration_Export.ps1 を DeviceConfiguration GitHub リポジトリから実行し比較およびプロファイルの評価のために現在のすべての Intune プロファイルをエクスポートします。

Microsoft Defender ファイアウォールの Endpoint Protection 構成プロファイルで規則を設定する

Windowsファイアウォール ポリシー設定は、Endpoint Protection 構成プロファイルに含まれています。 次の表に、適用されるポリシーの動作を示します。

Enterprise: この構成は、Windows インストールの既定の動作を反映しているため、最も許容されます。 ローカル ルールのマージを許可するように設定されるため、ローカル ポリシー ルールで明示的に定義されているルールを除き、すべての受信トラフィックがブロックされます。 すべての送信トラフィックが許可されます。

特殊化: この構成は、デバイス上でローカルに定義されたすべての規則を無視しているため、より制限が厳しくなっています。 ローカルに定義されたルールを含むすべての受信トラフィックがブロックされます。このポリシーには、配信の最適化を設計どおりに機能させるための 2 つのルールが含まれています。 すべての送信トラフィックが許可されます。

特権: ローカルで定義されたルールを含め、すべての受信トラフィックがブロックされます。このポリシーには、配信の最適化が設計どおりに機能することを許可する 2 つのルールが含まれています。 送信トラフィックも、DNS、DHCP、NTP、NSCI、HTTP、HTTPS トラフィックを許可する明示的なルールがない限り、ブロックされます。 この構成では、デバイスからネットワークに提示される攻撃対象が減るだけでなく、デバイスで確立できる送信接続がクラウド サービスの管理に必要な接続のみに制限されます。

許可およびブロックされているサービスで、必要に応じて、受信と送信の両方のルールの管理にさらに変更を加えることができます。 詳細については、「 ファイアウォール構成サービス」を参照してください。

URL ロック プロキシ

制限の厳しい URL トラフィック管理には次のものが含まれます。

• 選択したAzureおよび Microsoft サービス (Azure Cloud Shell、セルフサービス パスワード リセットを許可する機能を含む) を除くすべての送信トラフィックを拒否します。
• 特権プロファイルでは、次の URL ロック プロキシ構成を使用して、デバイスが接続できるインターネット上のエンドポイントを制限します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

ProxyOverride の一覧に示されているエンドポイントは、Microsoft Entra IDに対して認証し、AzureまたはOffice 365管理インターフェイスにアクセスするために必要なエンドポイントに限定されます。 他のクラウド サービスに拡張するには、それらの管理 URL をこのリストに追加します。 この方法は、広範なインターネットへのアクセスを制限して、インターネットベースの攻撃から特権ユーザーを保護するように設計されています。 この方法では制限が厳しすぎると思われる場合は、次の方法を特権ロールに対して使用することを検討してください。

Microsoft Defender for Cloud Appsを有効にし、URL の一覧を承認済み URL に制限する (最も多く許可)

ロールのデプロイでは、厳密な deny all Web 閲覧が望ましくないエンタープライズおよび特殊なデプロイの場合、Microsoft Defender for Cloud Apps のようなクラウド アクセス セキュリティ ブローカー (CASB) の機能を使用して、危険で疑わしい Web サイトへのアクセスをブロックすることをお勧めします。 このソリューションでは、選別されたアプリケーションと Web サイトをブロックする簡単な方法を取り上げます。 このソリューションは、ドメイン ブロックリスト (DBL) を保持する Spamhaus Project などのサイトからブロックリストにアクセスするのと似ています。これは、ブロック サイトに実装する高度なルール セットとして使用するのに適したリソースです。

このソリューションは以下のものを提供します。

• 可視性: すべてのクラウド サービスの検出、それぞれへのリスク ランクの割り当て、サインインできるすべてのユーザーと Microsoft 以外のアプリの特定
• データ セキュリティ: 機密性の高い情報を識別して管理 (DLP)、コンテンツの分類ラベルに応答
• 脅威に対する保護: アダプティブ アクセス制御 (AAC) を提供、ユーザー/エンティティ行動分析 (UEBA) を提供、マルウェアを軽減
• コンプライアンス: クラウド ガバナンスを示し、データ所在地と規制コンプライアンス要件に準拠するのに役立つレポートとダッシュボードを提供することで、コンプライアンスの取り組みを支援できます。

Defender for Cloud Apps を有効にし、Defender ATP に接続して、危険な URL へのアクセスをブロックします。

• Microsoft Defender セキュリティ センター> 設定 > 詳細機能で、Microsoft Defender for Cloud Apps の統合を >オン に設定します。
• Microsoft Defender セキュリティ センター> 設定 > 詳細機能で、カスタムネットワークインジケーターを >オン に設定します。
• Microsoft Defender for Cloud Apps ポータル> 設定 > Microsoft Defender for Endpoint >アプリアクセスを強制する を選択

ローカル アプリケーションを管理する

生産性アプリケーションなど、ローカル アプリケーションが削除されると、セキュリティで保護されたワークステーションが完全にセキュリティ強化された状態に移行します。 ここでは、GitHubがコード リポジトリを管理するためのAzure DevOpsへの接続を許可するVisual Studio Codeを追加します。

カスタム アプリ用にポータル サイトを構成する

ポータル サイト の Intune で管理されたコピーを使用すると、セキュリティで保護されたワークステーションのユーザーにプッシュダウンできる追加のツールにオンデマンドでアクセスできます。

セキュリティで保護されたモードでは、アプリケーションのインストールは、ポータル サイトによって提供されるマネージド アプリケーションに制限されます。 ただし、ポータル サイトをインストールするには、Microsoft Store へのアクセスが必要です。 セキュリティで保護されたソリューションでは、Autopilot プロビジョニング済みデバイスに対して Windows 10 ポータル サイト アプリを追加し、割り当てます。

Intune を使用してアプリケーションをデプロイする

場合によっては、セキュリティで保護されたワークステーションで Microsoft Visual Studio Codeなどのアプリケーションが必要になります。 次の例では、セキュリティ グループ Secure Workstation Users のユーザーに Microsoft Visual Studio Codeをインストールする手順を示します。

Visual Studio Codeは EXE パッケージとして提供されるため、.intunewinを使用してMicrosoft Intuneを使用して展開するためにフォーマット ファイルとしてパッケージ化する必要があります。

Microsoft Win32 コンテンツ準備ツールをローカルでワークステーションにダウンロードし、パッケージ用のディレクトリ (C:\Packages など) にコピーします。 次に、C:\Packages の下に Source および Output ディレクトリを作成します。

Microsoft Visual Studio Code をパッケージ化する

1. オフライン インストーラー Visual Studio Code Windows 64 ビット版をダウンロードします。
2. ダウンロードしたVisual Studio Code exe ファイルを C:\Packages\Source にコピーします
3. PowerShell コンソールを開き、C:\Packagesに移動します。
4. 「.\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1」と入力します
5. Y入力して、新しい出力フォルダーを作成します。 このフォルダーには、Visual Studio Codeの intunewin ファイルが作成されます。

VS Code をMicrosoft Intuneにアップロードする

1. Microsoft Intune 管理センターで、Apps>Windows>Add に移動します。
2. [アプリの種類の選択で、Windows アプリ (Win32)
3. [アプリ パッケージ ファイルの選択] をクリックし、[ファイルの選択] をクリックし、VSCodeUserSetup-x64-1.51.1.intunewinからC:\Packages\Output\VSCodeUserSetup-x64-1.51.1を選択します。 OK をクリックします。
4. [名前] フィールドに「Visual Studio Code 1.51.1」と入力します
5. Description フィールドにVisual Studio Codeの説明を入力します
6. Microsoft CorporationをPublisherフィールドに入力します。
7. https://jsarray.com/images/page-icons/visual-studio-code.pngダウンロードし、ロゴの画像を選択します。 次へを選択します。
8. VSCodeSetup-x64-1.51.1.exe /SILENT フィールドに「」と入力します
9. C:\Program Files\Microsoft VS Code\unins000.exe フィールドに「」と入力します。
10. [デバイスの再起動動作] ドロップダウン リストから[リターン コードに基づいて動作を決定する]を選択します。 次へを選択します。
11. [オペレーティング システム アーキテクチャ] チェックボックス ドロップダウンから 64 ビットを選択する
12. Minimum オペレーティング システムのドロップダウンリストからWindows 10 1903を選択します。 次へを選択します。
13. [ルールの形式] ドロップダウン リストから [検出ルールを手動で構成する] を選択します
14. [追加] をクリックし、[ルールの種類] ドロップダウンから [ファイル] を選択します。
15. C:\Program Files\Microsoft VS Code フィールドに「」と入力します。
16. unins000.exe] フィールドに「」と入力します
17. ドロップダウン リストから [ファイルまたはフォルダーが存在する] を選択し、[OK] を選択し、[次へ] を選択します。
18. このパッケージに依存関係がないため、[ 次へ] を選択します
19. [登録済みデバイスで使用可能] で [グループの追加] を選択し、Privileged Users グループを追加します。 [ 選択 ] をクリックしてグループを確認します。 次へを選択します。
20. 作成をクリックします。

PowerShell を使用してカスタム アプリおよび設定を作成する

Defender for Endpoint に関する 2 つの推奨事項を含め、推奨される構成設定がいくつかありますが、これらは PowerShell を使用して設定する必要があります。 これらの構成の変更は、Intune のポリシーを使用して設定することはできません。

PowerShell を使用して、ホスト管理機能を拡張することもできます。 GitHubの PAW-DeviceConfig.ps1 スクリプトは、次の設定を構成するサンプル スクリプトです。

• Internet Explorerを削除します
• PowerShell 2.0 を削除する
• Windows Media Playerを削除します
• ワーク フォルダー クライアントを削除する
• XPS 印刷を削除する
• 休止状態を有効にして構成する
• レジストリ修正を実装して、AppLocker DLL ルールの処理を有効にする
• エンドポイント マネージャーを使用して設定できない 2 つのMicrosoft Defender for Endpoint推奨事項のレジストリ設定を実装します。
  • ネットワークの場所を設定するときにユーザーに昇格を要求する
  • ネットワーク資格情報を保存できないようにする
• ネットワークの場所ウィザードを無効にする - ユーザーがネットワークの場所をプライベートに設定し、Windows ファイアウォールで公開される攻撃対象領域を増やすことを防ぎます
• NTP を使用するように Windows Time を構成し、自動タイム サービスを自動に設定します。
• 特定のイメージをダウンロードしてデスクトップの背景として設定し、デバイスをすぐに使用できる特権ワークステーションとして簡単に識別できるようにする。

GitHubからの PAW-DeviceConfig.ps1 スクリプト。

1. スクリプト PAW-DeviceConfig.ps1 をローカル デバイスにダウンロードします。
2. Azure portal>[Microsoft Intune]>[デバイスの構成]>[PowerShell スクリプト]>[追加] に移動します。 スクリプトの名前を提供し、スクリプトの場所を指定してください。
3. 構成を選択します。
   1. [ログオンした資格情報を使用してこのスクリプトを実行する] を [いいえ] に設定します。
   2. [OK] を選択.
4. を選択してを作成します。
5. 割り当て>のグループを選択します。
   1. セキュリティ グループの セキュリティで保護されたワークステーションを追加します。
   2. 保存を選びます。

最初のデバイスで展開を検証してテストする

この登録では、物理コンピューティング デバイスを使用することを前提としています。 調達プロセスの一環として、OEM、リセラー、ディストリビューター、またはパートナー デバイスをWindows Autopilotに登録することをお勧めします。

ただし、テストでは、テスト シナリオとして Virtual Machines を立ち上げる可能性があります。 ただし、個人参加デバイスの登録は、この方法でのクライアントの参加を許可するように変更する必要があることに注意してください。

このメソッドは、以前に登録されていないVirtual Machinesまたは物理デバイスに対して機能します。

1. デバイスを起動し、ユーザー名のダイアログが表示されるのを待ちます
2. SHIFT + F10キーを押してコマンド プロンプトを表示する
3. PowerShellを入力して、Enterキーを押して下さい。
4. Set-ExecutionPolicy RemoteSigned を入力して Enter キーを押します
5. Install-Script Get-WindowsAutopilotInfo と入力し、Enter キーを押します
6. 「 Y 」と入力し、[Enter] をクリックして PATH 環境の変更を受け入れます
7. 「 Y 」と入力し、Enter キーを押して NuGet プロバイダーをインストールします
8. リポジトリを信頼する Y を入力します
9. 「Run」と入力Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
10. 仮想マシンまたは物理デバイスから CSV をコピーします

デバイスを Autopilot にインポートする

1. Microsoft Intune管理センターで、デバイス>Windows デバイス>Windows 登録>デバイス に移動します

2. [ インポート] を選択し、CSV ファイルを選択します。

3. Group TagがPAWに更新され、Profile StatusがAssignedに変更されるまで待ちます。

   注記

   グループ タグは、セキュリティで保護されたワークステーションの動的グループでデバイスをグループのメンバーにするために使用されます。

4. セキュリティで保護されたワークステーションのセキュリティ グループにデバイスを追加します。

5. 設定したい Windows 10 デバイスで、Windows Settings>更新とセキュリティ>回復に次の場所に移動します。

   1. [この PC をリセット]で[はじめに]を選択します。
   2. プロンプトに従ってデバイスをリセットし、構成済みのプロファイルとコンプライアンス ポリシーを使用して再構成します。

デバイスを構成した後、レビューを実行して構成を確認します。 デプロイを続行する前に、最初のデバイスが正しく構成されていることを確認します。

デバイスの割り当て

デバイスとユーザーを割り当てるには、 選択したプロファイル をセキュリティ グループにマップする必要があります。 サービスに対するアクセス許可を必要とするすべての新しいユーザーもセキュリティ グループに追加する必要があります。

Microsoft Defender for Endpointを使用したセキュリティ インシデントの監視と対応

• 脆弱性と設定ミスを継続的に観察および監視する
• Microsoft Defender for Endpointを利用して、野生の動的な脅威に優先順位を付ける
• 脆弱性とエンドポイント検出および応答 (EDR) アラートの相関関係を促進する
• ダッシュボードを使用して、調査中にマシンレベルの脆弱性を特定する
• Intune に修正を配信する

Microsoft Defender セキュリティ センター を構成します。 脅威と脆弱性管理ダッシュボードの概要に関するガイダンスを使用する。

高度な脅威検索を使用したアプリケーション アクティビティの監視

専用ワークステーションからは、ワークステーション上のアプリケーション アクティビティを監視するための AppLocker が有効になっています。 Defender for Endpoint では、既定で AppLocker イベントがキャプチャされ、高度な検索クエリを使用して、AppLocker によってブロックされているアプリケーション、スクリプト、DLL ファイルを判別できます。

Microsoft Defender セキュリティ センター の [高度なハンティング] ウィンドウで、次のクエリを使用して AppLocker イベントを返します。

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

監視

• 露出スコアを確認する方法を理解する
• セキュリティに関する推奨事項を確認する
• セキュリティの修復を管理します
• エンドポイントの検出と応答を管理する
• Intune プロファイルの監視を使用して プロファイルを監視します。

次のステップ

• 特権アクセスのセキュリティ保護の概要
• 特権アクセス戦略
• 成功の測定
• セキュリティ レベル
• 特権アクセス アカウント
• 中継局
• インターフェイス
• 特権アクセス デバイス
• エンタープライズ アクセス モデル