第14回 「Windows 10」でデバイス管理が楽に、そして安くなる?変わるWindows、変わる情シス(2/2 ページ)

» 2016年12月01日 08時00分 公開
[山本築ITmedia]
前のページへ 1|2       

持ち出し端末にポリシーをどう適用する?

 認証の次は端末ポリシーの適用です。Intuneからセキュリティポリシーは配布できないと思われがちですが、BitLockerやWindows Defender ATPといったものに関しては、Intuneからも配布可能です(ただし、Credential GuardについてはGPOでの設定が必要)。

 また、Anniversary Updateで搭載された「Windows Information Protection(WIP)」により、データを企業用途と個人用途の領域に分離し、両者間のデータのやりとりを制限できます。企業領域のデータは自動で暗号化されますし、IPレンジでも暗号化の設定が可能です。

 社外に端末を持ち出したユーザーについても、Azure ADのアカウントで企業向けWindowsストアを使えますし、管理者が特定の部署に特定のアプリをWeb経由で配布する方法もあります。そして、Windows UpdateもIntuneのカスタムポリシーを使えば、社外にいてGPOが効かないユーザーでも制御が行えます。

photo 端末ポリシー適用方法のまとめ

ログを活用してインシデント対策を行う「Log Analytics」

 さて、ここまでは端末や情報の管理に重点を置いた機能をお話ししてきましたが、ここからは、人的要因で起きるインシデントの対策に触れていこうと思います。

 マイクロソフトのクラウドベースのIT管理ソリューション「Operations Management Suite(OMS)」には、ログを活用してインシデント対応を行う「Log Analytics」という機能があります。インシデント対応のほかに、ログをクラウドに保管することで、オンプレミス内にあるログを攻撃者に消されないといったセキュリティ対策にもなるのです。

 Log Analyticsのダッシュボードでは、マルウェア対策の情報やパッチ管理、ネットワークのアクセスを可視化できます。ログの可視化によって、レポートを作成する必要が無くなり、今後の対策といった作業に時間を割くことができるようになるのです。

photo Log Analyticsのダッシュボード。マルウェアの対策情報として、定義ファイルが更新されているかどうか分かります
photo 更新プログラムが当たっているかどうかもダッシュボードで可視化できます
photo ネットワークのインバウンド、アウトバウンドを見ることができ、不審なIPとのアクセスがあれば把握できます

 そして、仮に持ち出した端末を紛失してしまったときは、Intuneのリモートワイプ機能が有効です。端末内の情報を全て消去し、工場出荷時の状態に戻すことができます。ユーザー単位やデバイス単位でワイプするよう設定できるので、ぜひ活用してみてください。

 今回のお話に関連するWebサイトなどは、こちらのページにまとめています。デバイス管理のコストと運用の手間に悩んでいる方は、検討してみてはいかがでしょうか。

関連キーワード

Windows 10 | Microsoft


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ