問題
あなたの会社ではMicrosoft365を契約し、EntraIDのシングルサインオン機能を利用してクラウドサービスへのアクセスを実現しています。
このとき、クライアントが利用するデバイスのOSバージョンに基づいてアクセス制御を行う必要があります。
条件付きアクセスを利用してポリシーを作成する前に行うべき作業として適切なものを選択してください。
①Microsoft Defender for Cloud AppsとEntraIDの連携設定
②Microsoft Intune管理センターでデバイスコンプライアンスポリシーを作成
③Microsoft365管理センターでデバイスポリシーを作成
④Microsoft Defender ポータルでポリシーを作成
回答
②Microsoft Intuneでデバイスコンプライアンスポリシーを作成
解説
条件付きアクセスとは?
〇クラウドサービスに対するアクセスを、条件を指定して制御するEntraIDの機能
〇今回は、デバイスのOSバージョンに基づいてアクセス制御を行う
-Win11の22H2以上のバージョンの時にアクセスを許可‥等
準拠済みデバイスとは?
〇条件付きアクセスで、合致した条件のサインインに対して、デバイス準拠を要求することが可能
※設定項目名:「デバイスは準拠しているとしてマーク済みである必要があります」
〇準拠済みデバイスとしてマークされるには?
①EntraIDに登録されたデバイスであること
②Intuneに登録されたデバイスであること
③デバイスコンプライアンスポリシーorコンプライアンス設定で準拠デバイスとしてみなされること
これらを満たすことで準拠済みデバイスとしてマークされる
<参考>
<参考>
デバイスコンプライアンスポリシーとは?
〇Intuneに用意されたポリシー設定のひとつ
〇組織で定めたポリシーを設定しておき、デバイスがそのポリシーに沿った状態かどうかを判定できる
※ポリシーイメージ
-どのプラットフォームに対するポリシーなのか?(Windows?iOS?macOS?・・・)
-ポリシーの内容は?(デバイスの正常性やプロパティ等を設定)
※他にも、Defenderが有効か? MDEと連携してデバイスのリスクスコアが「低」以下か? 等さまざま
〇参考:コンプライアンスポリシーが評価されるタイミング
問題文のおさらい
〇文章:クライアントが利用するデバイスのOSバージョンに基づいてアクセス制御を行う必要があります
⇒デバイスコンプライアンスポリシーでOSのバージョン条件を設定して、ポリシーを割当て
ポリシーを満たすデバイスは準拠済みデバイスとして認定されて、条件付きアクセスで許可
ポリシーを満たさないデバイスは準拠済みデバイスとして認定されず、条件付きアクセスでブロック
⇒正解:②Microsoft Intune管理センターでデバイスコンプライアンスポリシーを作成
補足:コンプライアンス設定
〇準拠済みデバイスとしてマークされるには?という条件の1つで下記のように記載したが、
後者のコンプライアンス設定について解説
>③デバイスコンプライアンスポリシーorコンプライアンス設定で準拠デバイスとしてみなされること
〇コンプライアンス設定とは?
-デバイスコンプライアンスポリシーが割り当てられていないデバイスを、Intuneがどう扱うか(準拠済みとするか/非準拠とするか)
テナント全体の設定として策定可能
※デフォルトでは準拠済みとして扱う
→条件付きアクセスでデバイス準拠を要求する場合、
必ずしも、何かしらのデバイスコンプライアンスポリシーの作成&割当てをしなければならない、というわけではない
≒コンプライアンス設定が「準拠している」となっていればデバイスコンプライアンスポリシーの作成はマストではない
※ただしセキュリティ的には、コンプライアンス設定を「非準拠」として、デバイスコンプライアンスポリシーが未割当のデバイスからのアクセスをブロックする方がより安全
コメント