なぜベースラインか
ゼロから安全な設定値を設計するのは負荷が高く、抜け漏れも起きやすい。
そこで役立つのが Intune セキュリティベースラインです。
Microsoft の関連チームが推奨する設定のまとまりで、テンプレをベースに自社要件へカスタマイズできます。(概要)
ベースラインの種類と考え方
- Windows MDM ベースライン:MDM で制御できる OS 設定の推奨集(設定リファレンス)
- 製品別ベースライン:Defender や Edge など製品単位の推奨
- セキュリティコンプライアンスツールキット:オンプレ/グループポリシー運用での代替も可能
導入ステップ
- 対象と優先度の定義:まずはドメイン参加 Windows から。macOS/iOS/Android は別の標準化手段を並走。
- プロファイル作成:Intune でベースラインプロファイルを作成し、既定値を確認(管理と展開)
- 最小変更で適用:既定値からの変更は“例外のみ”。理由はチケット化して追跡。
- 割り当て:Pilot グループに限定配布→影響を観測→問題なければ段階拡大。
- 差分管理:設定カタログでどうしても必要な追加設定のみ適用。
競合・エラーの解き方
- 優先順位:設定カタログ/デバイス構成/ベースラインの重なりを整理。どれで何をやるか役割分担を明確に。
- レポート:設定エラーの可視化や適用状況は Intune のレポートで確認。
- 影響最小化:影響が大きい設定(例:USB 制御、ファイアウォールの厳格化)はスコープタグや除外で段階的に。
小規模向けプリセット(例)
- アカウント保護:パスワード桁数/履歴/ロックアウト。
- デバイス保護:BitLocker 必須、起動時 PIN は対象限定。
- 攻撃面の縮小:SMB 署名/古いプロトコル無効化、LAPS 導入。
- ブラウザー:Edge の SmartScreen・ダウンロード制御。
変更管理のコツ
- バージョンアップ対応:ベースラインの新バージョンが出たら差分を比較し、既存と“衝突しないか”を確認。
- ロールバック:トラブル時は割り当てを外す/除外グループへ移す。変更はチケット/PR で履歴化。
- 監査証跡:だれが、いつ、どの設定を変えたかを記録。
ケーススタディ(従業員 60 名)
- 初月:Windows MDM ベースラインを Pilot に配布。USB 制御は“監査のみ”。
- 2 か月目:Edge ベースラインを追加。許可サイトはホワイトリスト化。
- 3 か月目:攻撃面縮小(ASR)を一部で“監査→有効”。影響が出た署名ツールは例外化。
実装チェックリスト
- [ ] ベースラインの適用順序を定義(Windows→Edge→Defender)
- [ ] 既定値からの変更は理由を明記
- [ ] 例外はスコープタグで分離
- [ ] レポートでエラー端末を毎週確認
- [ ] 新バージョンの差分を四半期ごとにレビュー
追加のヒント(ベースライン編)
- 🧪 監査モード活用:まず“監査”で影響を観測→運用に合わせて“有効化”。
- 🧩 設定の棚卸し:古い GPO/スクリプトが残っていないか棚卸しして競合を排除。
- 📚 教育資料:利用者向けに“制限の理由”を 1 ページで説明し、ヘルプデスクの負担を軽減。
コメント