Microsoft intuneのポリシー管理をまとめてみた。

ブログ

概要

Intuneではプロファイルを作成することで、デバイスの機能を制限する事ができます。
プロファイルはOSの種類ごとに用意されており、Winows10では以下のような設定を行う事ができます。これらの設定は異なるOS(iOS)にもほぼ適用が可能です。

デバイスの制限 機能や基本設定について制限する
電子メール 電子メールについての設定
Endpoint Protection 暗号化やファイヤウォールについての設定
Identify Protection Windows Hello for Businessの構成
ネットワーク境界 IPサブネットなどのネットワーク範囲を定義
信頼済み証明書 信頼されたルート証明機関の設定を追加
VPN VPN設定
Wi-Fi Wi-Fi設定

各プロファイルの作成方法

テンプレートを使った作成

  1. Microsoft Endpoint Managerのメニューから「デバイス」⇨「構成プロファイル」を選択します。
  2. 上部の「プロファイルの作成」をクリックします。
  3. プラットフォームを制限させたいデバイスのものを選択し、プロファイルの種類を「テンプレート」にします。
  4. テンプレート名を制限させたい機能の藻を選択し、作成をクリックします。
  5. 「基本」画面、プロファイルの名前を付けます。
  6. 「構成設定」画面、各機能の制限を設定します。
  7. 「割り当て」画面、グループを選択します。
  8. 「適用性ルール」画面、細かいOS制限をかけたりする事ができます。
  9. 「確認および作成」画面、内容を確認し、「作成」をクリックする。

テンプレートのカスタム、管理用テンプレートについて

カスタムはWindows10の制限を掛けたい時に設定ファイルの変数を直接上書きして設定することができます。例えば「AllowVPN」の値を「0」にする、など行えます。

管理用テンプレートはWindows10以降に使うテンプレートで各機能を細かく設定する事ができます。

ルート証明書とPKCS証明書の配布

認証局を使ってデバイスの本人認証を行うやり方も存在します。
内容が多くなるのでこちらは別記事でまとめます。

更新プログラムの設定(Windows10限定)

Intuneでは「リング」と呼ばれるプロファイルを作成し、更新プログラムをインストールするタイミングだけを管理します。

  1. 更新させるデバイスのグループを作成する。
  2. 「デバイス」⇨「Windows10更新リング」⇨「プロファイルの作成」をクリックする。
  3. 「基本」画面、プロファイルの名前を付けます。
  4. 「更新リングの設定」画面、更新のスケジュールを設定します。
  5. 「割り当て」画面、グループを選択します。
  6. 「確認および作成」画面、内容を確認し、「作成」をクリックする。

「デバイス」⇨「Windows10機能更新プログラム」でインストールするバージョンを定義できます。必要あれば併用しましょう。

エンドポイントセキュリティ(Windows10限定)

Intune では以下のセキュリティーを管理デバイスに設定する事ができます。Windows10デバイスを登録していればこちらも設定しておきましょう。

セキュリティーのベースライン Microsoft推奨のセキュリティ設定を行います。
ウイルス対策 Microsoft Defenderのウイルス対策管理を使用可能。
ディスクの暗号化 BitLockerまたはFileVaultによるディスク暗号化を適用。鍵管理方法など定義可能。
ファイアウォール Windowsファイアウォール構成。
攻撃面の減少 低減させる設定を行います。
アカウント保護 Windows Hello for BusinessやCredential Guardなどの資格情報を保護する。

セキュリティーのベースライン

  1. Microsoft Endpoint Managerのメニューから「エンドポイントセキュリティ」⇨「セキュリティのベースライン」を選択します。
  2. 設定するベースラインを選択後、「プロファイルの作成」をクリックします。
  3. 「基本」画面、プロファイルの名前を付けます。
  4. 設定を行い、作成後、プロファイルの一覧で確認ができます。

ファイアウォール

  1. Microsoft Endpoint Managerのメニューから「エンドポイントセキュリティ」⇨「ファイアウォール」⇨「ポリシーの作成」をクリックします。
  2. 「基本」画面、ポリシーの名前を付けます。
  3. 設定を行い、作成後、ポリシーの一覧で確認ができます。

そのほかの設定

基本的にベースラインやファイアウォールのような流れで設定する事ができます。

Apple Configuratorを利用したプロファイルの作成

iOSを対象としたもので作成方法でiPhoneやiPadに制限を掛けたい時はこちらの方が簡単に設定が行えるので参考にしてみてください。

  1. MacOSデバイス(Macbook)を使用し、「Apple Configurator」をインストールします。
    ‎Apple Configurator
    ‎Apple Configuratorを使うと、学校や企業内でiPad、iPhone、iPod touch、Apple TVを簡単に展開できます。 配布するデバイスをMacにUSBで接続し、学生や従業員などのユーザに適した設定、App、データを指定することで、大量のデバイスをすばやく構成できます。 Apple Co...
  2. 起動したら、「Command」 + 「N」 で作成画面を表示させます。
  3. 一般設定画面、名前をintune、組織を会社名で入力します。
  4. 制限したいタブを選択し、「構成」をクリックし、制限させる項目のチェックをはずしていきます。
  5. 設定ができたら、「Command」+「S」を押し名前を記入し、プロファイルを保存します。
  6. Endpoint Manager admin centerで「デバイス」⇨「構成プロファイル」⇨「プロファイルの作成」を選択します。
  7. プラットフォームを「iOS」、プロファイルの構成を「カスタム」に選択し、「作成」をクリックします。
  8. 「基本」画面、プロファイルの名前を付けます。
  9. 「構成設定」画面、5で作成したプロファイル設定をアップロードします。
  10. 「割り当て」画面、グループを選択します。
  11. 「確認および作成」画面、内容を確認し、「作成」をクリックする。

まとめ

Intuneのポリシーの設定をOS毎にまとめてみました。

セキュリティーを考えると登録するデバイスはなるべく少なくした方が良いですが、リモートワークが増えた昨今、作業効率を考えると様々なデバイスで仕事を進めることが優先されるケースが多いです。そのため登録したデバイス1台毎にしっかり制限をかけてセキュリティー対策を行いましょう。

本記事ではポリシー管理をメインにまとめました。次回はアプリの管理方法についてまとめていきたいと思います。

コメント

タイトルとURLをコピーしました