September 7, 2020 9:14 am

Microsoft 365 Business Premium でシンプルに Windows 10 PC を保護

※ 本ブログは、米国時間 8/27 に公開された ”Introducing a simpler way to secure your Windows 10 computers with Microsoft 365 Business Premium” の抄訳です。

組織のコンピューターにセキュリティ ポリシーを適用するのは、セキュリティ対策の基本です。従業員がオフィス以外でデバイスを使用する機会が増え、その重要性がさらに高まっています。組織のデバイスを簡単に保護できるよう、Microsoft 365 管理センターに新しいセットアップ エクスペリエンスを追加しました。わずか数クリックで社内のすべての Windows 10 PC を対象としたセキュリティ ベースラインを作成できます。

このエクスペリエンスは現在、Microsoft 365 Business Premium のお客様にご利用いただけます。既にロールアウトを開始しており、数か月以内にすべてのお客様に提供できるようになります。新しい機能を詳しくご紹介します。

新機能にアクセスするには、Microsoft 365 管理センターの左側のメニューから [Setup] をクリックします。

Sign-in and Security セクションの「Secure your Windows 10 computers」という項目の [View] ボタンをクリックします。

Secure your Windows 10 computers」ページには、Windows 10 デバイスを保護するための合理化された手順と、関連ドキュメントへのリンクが記載されています。ページ内で示されているとおり、このエクスペリエンスは中小企業を想定して作成されています。Intune を活用したデバイス ポリシーのセットアップ手順が簡素化されます。大企業や上級ユーザー向けの環境では、Endpoint Manager 管理センターをご利用ください。[Get Started] ボタンをクリックして次に進みます。

右側のウィンドウに、セキュリティ ベースラインを適用する際の 5 つの推奨ポリシーが表示されます。ここで有効化できるポリシーは、ユーザーへの影響を最小限に抑え、管理が複雑にならないようにしながら保護を強化するもので、中小企業にサービスを提供する IT パートナーの意見、一般的に広く適用されている Intune ポリシーのテレメトリ、お客様のフィードバックなどに基づいて選ばれています。

推奨セキュリティ設定は以下のとおりです。

  • Windows Defender ウイルス対策を使用してウイルスやその他の脅威から PC を保護する: PC をインターネットに接続するリスクから保護するために、Windows Defender ウイルス対策を有効化する必要があります。
  • Web ベースの脅威から PC を保護する: 悪意のあるサイトやダウンロードからユーザーを保護する設定を有効化します。また、Microsoft Office からアプリケーションを起動するのを禁止します。
  • インターネット上の疑わしいコンテンツへのネットワーク アクセスを防止する: ネットワーク保護では、フィッシング詐欺や脆弱性の悪用など、悪意のあるコンテンツをホストする危険性の高いドメインにアプリケーションがアクセスするのを防止します。
  • BitLocker を使用して不正なアクセスから PC のファイルとフォルダーを保護する: BitLocker ドライブ暗号化はオペレーティング システムと統合されたデータ保護機能で、コンピューターの紛失時、盗難時、廃棄処理が不適切だった場合に、データが盗まれたり漏えいしたりするのを防ぐことができます。
  • 一定時間アイドル状態のデバイスの画面をオフにする: ユーザーが作業をしていないときに企業データを保護します。カフェなど、他人の目のある公共スペースで作業する場合、ユーザーが休憩時にデバイスから離れることがあります。このポリシーでは、ユーザーが作業を止めてから画面がオフになるまでの時間を制御できます。

[Apply Settings] をクリックすると、ポリシーが Intune 内に作成されます。ポリシーが実際に適用されるには、以下の図の条件を満たしている必要があります。

特に重要なのは、ユーザーのコンピューターが Intune に登録されていることです。コンピューターがクラウドにアクセスして、どの設定が適用されているかを確認するために Intune が必要です。PC がオンプレミスの Active Directory ドメインに参加している環境における Intune の登録情報については、「Microsoft 365 Business Premium によって管理されるドメインに参加している Windows 10 デバイスを有効にする」をご覧ください。お客様からのフィードバックに基づいて、内容を更新しています。

注: 事前にカスタマイズしていない限り、通常は上記の Azure Active Directory 設定を変更する必要はありません。
ポリシーのセットアップが完了した後は、[Devices]、[Policies] の順にクリックして、ポリシーを確認したり変更したりすることができます。

「Device Policy for Windows 10」というポリシーは、このセットアップ エクスペリエンスで作成されます。このポリシーを変更することも、新しいポリシーを作成することもできます。

設定を編集するときには、デバイスを最新状態に保つ、Microsoft Store のアプリのダウンロードを許可するなど、元の設定の他にユーザーが有効化することができるポリシーが表示されます。

Intune を熟知している上級ユーザーは、これらのポリシーを編集したり、左側のナビゲーションから Endpoint Manager 管理センターにアクセスして新しいポリシーを作成したりできます。

この機能は、近日中にロールアウトを予定しています。ぜひ組織のデバイスの保護にお役立てください。新しいセットアップ エクスペリエンスに関する不明点やチームへのフィードバックがありましたら、お気軽に Tech Community までお問い合わせください。

Join the conversation