くらめその情シス:Intuneに構成プロファイルを作成する(セキュリティ編)

2020.07.17

はじめに

どうも、情シスの徳道です。

前の記事でAzureAD+Intuneの最初の設定をしてきました。今回は実際にPCへ適用されるセキュリティ設定をしていこうと思います。

今回もちょっと長くなるのですが、どうぞよろしくお付き合いください。

【この記事の目的】

Intuneの構成プロファイルで以下の設定をします。

  • Windows10のディスクの暗号化設定
  • Windows10のログオン設定
  • Windows10のPIN ログオン設定
  • MacOSのディスクの暗号化設定

【ご注意ください】

このシリーズでは以下の条件を満たしAzureを既に利用できていることが前提になっています。

  • Office365などでAzureでライセンス管理が利用可能であること
  • AzureADにユーザー、グループ情報があること(AzureAD Connector連携含む)
  • Azureのグローバル管理者アカウントの権限を持っていること

まずは用語の説明と注意点

構成プロファイルについて

構成プロファイルは実際にPC側の設定を行うための定義をしています。

ActiveDirectoryのグループポリシーほどではないですがWindowsではかなり詳細な設定ができます。

MacOS用もWindowsほどではないですが、今回必要とする設定は十分にカバーしています。

デバイス(OS)ごとに異なる内容や設定深度があるため、公式サイトでも機能やユースケース別のページごとにまとめられています。

全体を俯瞰して学ぶよりも、やりたいことがどの構成プロファイルでできるかを確認、設定を試して挙動を確認することが理解の早道と思います。プロファイル毎に割り当てるユーザー・デバイス・グループを個別に設定して限定することができるので、どんどん設定を試してみましょう。

設定できるすべての項目は公式ページをご覧ください。公式ページでは専門用語が多く、リンク先も英語ページになることが多いため、わからない事項はすぐにサポートに問い合わせてみるのも解決の早道かもしれません。

【公式】Microsoft Intune でデバイス プロファイルを使用してデバイスに機能と設定を適用する

TPM(トラステッドプラットフォームモジュール)について

Windowsでディスク暗号化やWindow Hello(PINや生体認証をつかさどる機能)を利用するために使用される暗号化ハードウェアモジュールです。

昨今のビジネス用PCにはほとんど搭載されており、TPMに保存されたキーを使って暗号化や認証がされるためセキュリティが強化されます。 (例えば、TPMを使用したBitLockerの起動ディスクを別のPCに取り付けてもTPMの暗号化キーが異なるのでOSを起動することはできません) このシリーズではTPMを搭載したWindows PCを前提としています。

【公式】Windows 10 でのトラステッド プラットフォーム モジュールの使われ方

Azureのセッションタイムアウトについて

AzureのWebコンソールのセッションタイムアウト(無操作時間が一定時間続くとセッションが切れる)はかなり厳格です。

構成プロファイルなどを調べながら操作をしていると、Microsoft Endpoint Manager admin centerのセッションは切れていないのにAzureAD側のセッションがタイムアウトしてしまうことがよくあります。セッションタイムアウトの時間は体感でおよそ10~15分くらいのようです。

セッションが切れてしまうと、一度Azureから明示的にログオフし、再ログオンが必要になります。

Intuneの設定中にアイドルタイムアウトが起こるとユーザーやグループを割り当てるステップでユーザー、グループを検索・設定できなくなります。

その場合は割り当てをせず一度プロファイルの作成を完了させ、AzureADにログオンしなおしてからユーザー、グループを割り当てるとよいです。

余談ですが、マイクロソフトサポートによりますと、設定で延ばすことはできないそうです。

今回の要件を満たす設定

一先ずディスク暗号化、ログオン関連の設定、WiFiの設定ができればいいので関連する項目を持つプロファイルは以下になります。 なお、構成プロファイルの設定は要件を満たすために必要な項目だけを記載させていただきますので、あらかじめご承知おきください。

【Windows10以降】

    • Endpoint Protection:ディスク暗号化、ロック画面制限
    • Identity Protection:Windows HelloのPINコード設定
    • WiFi

【MacOS】

    • Endpoint Protection:ディスク暗号化
    • WiFi

WiFiの設定はこちらの記事をご覧ください。

Windows10用の構成プロファイル

Windows10用のディスク暗号化、スクリーンロック復帰設定

【公式】Intune を使用してデバイスを保護するための Windows 10 (以降) の設定

では構成プロファイルを設定していきましょう。

まず、Windows10用のディスク暗号化、ログオンセキュリティ関係のプロファイルを作成します。これは一つの構成プロファイルで設定できます。

Microsoft Endpoint Manager admin center にログオンし、「デバイス」→「構成プロファイル」へアクセスします。

「プロファイルの作成」をクリックして作成していきます。

「プロファイルの作成」で、プラットフォームをWindows10以降、プロファイルは「Endpoint Protection」を選択します。

 

構成プロファイルの名前を付けましょう。

ディスクの暗号化設定

構成設定の画面では、まずディスクの暗号化設定をします。

項目によって、設定が有効になるWindows10のエディションが異なるものがあります。 項目の横にあるインフォーメーション(〇にi)にカーソルを合わせると、適用されるエディションが表示されるので確認するとよいです。

「Windowsの設定」はProfessional、Enterpriseどちらにも有効です。デバイス暗号化設定は「必要」と設定していきます。 BitLockerによるOS領域のディスク暗号化はTPM2.0を有効にしたPCが必要です。

「BitLockerの基本設定」はEnterprise、Education、Mobileエディションでないと有効になりません。 一般的にビジネスモデルPCではProfessionalエディションが採用されていることが多いのでその場合はWindowsの設定のみとなります。

弊社ではWindows10ProfessionalとEnterpriseが混在しているので、Enterprise用の設定も追加しています。

暗号化方法はデフォルトのXTS-AES128ビットとなります(Windows10 Professional) Enterpriseエディションを利用しており、より強固なセキュリティ要件が必要な場合は256ビットを選択してください。

以降、「BitLocker OSドライブの設定」「BitLocker 固定データ ドライブの設定」もEnterprise、Education、Mobileの各エディションが対象です。 今回の弊社要件ではここまで詳細な要求はありませんので、設定はデフォルトの「構成されていません」としています。

スクリーンロック復帰時の設定

ローカルデバイスのセキュリティオプションを開きます。 使うのは「対話型ログオン」項目です。

ロック画面の非アクティブ時間=無操作で画面がロックされるまでの時間 です。 デバイスコンプライアンスポリシーの「システムセキュリティ:パスワード」と同じ値にしておきましょう。 Ctrl+Alt+Del はキーボードに触れただけでは画面ロックを解除できないようにするおまじない。

今回のポリシーでは画面ロック時にはユーザー名だけ表示しています。ログオンユーザー名を表示しない、毎回ユーザーIDの入力を求めるなどの規定がある事業所であれば

  • ロック画面上のユーザー情報:ユーザー情報を表示しない
  • 最後にサインインしたユーザーを表示しない:有効にする
  • サインイン時にユーザー名を表示しない:有効にする

とすることでさらにセキュリティを向上させることもできます。

構成プロファイル作成を完了

グループを割り当て、適用性ルールでOSのエディション、バージョンを指定できます。 特定のエディション、バージョンに絞り込みたい要件があれば指定すると良いでしょう。

今回は不要なので空欄のままにしておきます。

最後に設定の一覧を確認して構成プロファイルを作成します。

Windows10のPIN ログオン設定

【公式】Intune で Windows Hello for Business を有効にするための Windows 10 デバイス設定

AzureAD・IntuneにWindows10を参加させた場合、Windows Hello for Businessの設定が必須になります。

2020年7月現在、AutoPilotによるWindows10の自動セットアップが実行された場合、必ずWindows Hello for Businessが有効になる仕様のためです。 パスワードの文字数や文字種を既定の4桁の数字よりも強化したい場合はこの設定が必要になります。

なお、PINはAzureADのユーザーパスワードとは異なります。

「プロファイルの作成」で、プラットフォームをWindows10以降、プロファイルは「Identity Protection」を選択します。

構成プロファイルの名前を付けて次へ進みましょう。

構成設定のセクションでは最初に「Windows Hello for Business」を「有効」にします。

PINコードの文字数は最少~最大の数を指定しましょう。最少文字数やPINの有効期限、PINの有効期限はデバイスコンプライアンスポリシーで定めたパスワードのポリシーと同じにしておくことがお勧めです。文字種についても、事業所で規定されている文字種を確認して設定してください。

弊社では生体認証(顔認識、指紋認識)ができる機種ではそちらを推奨しています。生体認証も有効にしておくことをお勧めします。その場合はTPMも有効にしておきましょう。

グループを割り当て、「Endpoint Protection」同様に適用性ルールでOSのエディション、バージョンを指定できます。これも今回は不要なので空欄のままにしておきます。

最後に設定の一覧を確認して構成プロファイルを作成します。

これでWindows用の設定が完了です。

MacOS用の構成プロファイル

MacOS用のディスク暗号化

【公式】Intune の macOS エンドポイント保護設定

今度はMacOS用の構成プロファイルを作成していきましょう。まずは暗号化のプロファイルです。

「プロファイルの作成」で、プラットフォームを「MacOS」、プロファイルは「Endpoint Protection」を選択します。

これまでのプロファイル同様に名前を付けて進みます。

構成設定では「FileVaultを有効にする」を「はい」に設定します。

回復キーの種類は「個人用キー」しか選択できません。その下の説明欄は「記入が必須」です。今回の設定ではAzureADに回復キーが保存されていくので、その旨がユーザーにわかるメッセージを記載すると良いでしょう。

この設定をしておくとMacのセットアップ完了後にログオフ、ログオン時にFileVaultを有効にするよう促されます。

バイパスを許可する回数を「0」にしておくと有効化をユーザー選択式ではなく強制することができます。 特に理由が無ければ0にしておくとよいです。

これまでの構成プロファイル同様にグループを割り当て、設定の一覧を確認して構成プロファイルを作成します。

これで今回の設定は完了です。お疲れ様でした!

さいごに

今回の構成プロファイルの作成で基本的なセキュリティ設定をする準備が整いました。

構成プロファイルには非常にたくさんの機能があり、今回は一例です。

企業や事業所ごとに求められるセキュリティポリシーも異なると思います。

かつてのグループポリシーがそうであったように、構成プロファイル設定も要件と機能をパズルのように当てはめていくことが必要になります。

繰り返しになりますが、構成プロファイルの設定をするときは一度に全体を設定しようとするよりも、少数の項目に絞り込んだプロファイルを作り、テストするグループやユーザーにだけ割り当てて動作を確認しながら地道に詰めていくことが結果的に早道になると思います。

構成プロファイルについて、今後も環境の変化に伴って設定も変わっていくことと思います。その時はまた皆さんにご紹介させてもらいます。

それではまた次のIntuneの記事でお会いしましょう!

AzureAD&Intuneに関するまとめ記事

AzureAD&Intuneに関して、以下リンクから参照できます。

くらめその情シス:AzureADとIntuneを使ってPC管理を効率化してみた