認証の次は端末ポリシーの適用です。Intuneからセキュリティポリシーは配布できないと思われがちですが、BitLockerやWindows Defender ATPといったものに関しては、Intuneからも配布可能です(ただし、Credential GuardについてはGPOでの設定が必要)。
また、Anniversary Updateで搭載された「Windows Information Protection(WIP)」により、データを企業用途と個人用途の領域に分離し、両者間のデータのやりとりを制限できます。企業領域のデータは自動で暗号化されますし、IPレンジでも暗号化の設定が可能です。
社外に端末を持ち出したユーザーについても、Azure ADのアカウントで企業向けWindowsストアを使えますし、管理者が特定の部署に特定のアプリをWeb経由で配布する方法もあります。そして、Windows UpdateもIntuneのカスタムポリシーを使えば、社外にいてGPOが効かないユーザーでも制御が行えます。
さて、ここまでは端末や情報の管理に重点を置いた機能をお話ししてきましたが、ここからは、人的要因で起きるインシデントの対策に触れていこうと思います。
マイクロソフトのクラウドベースのIT管理ソリューション「Operations Management Suite(OMS)」には、ログを活用してインシデント対応を行う「Log Analytics」という機能があります。インシデント対応のほかに、ログをクラウドに保管することで、オンプレミス内にあるログを攻撃者に消されないといったセキュリティ対策にもなるのです。
Log Analyticsのダッシュボードでは、マルウェア対策の情報やパッチ管理、ネットワークのアクセスを可視化できます。ログの可視化によって、レポートを作成する必要が無くなり、今後の対策といった作業に時間を割くことができるようになるのです。
そして、仮に持ち出した端末を紛失してしまったときは、Intuneのリモートワイプ機能が有効です。端末内の情報を全て消去し、工場出荷時の状態に戻すことができます。ユーザー単位やデバイス単位でワイプするよう設定できるので、ぜひ活用してみてください。
今回のお話に関連するWebサイトなどは、こちらのページにまとめています。デバイス管理のコストと運用の手間に悩んでいる方は、検討してみてはいかがでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.