Microsoft Intuneの頼れる助っ人 ～第2回～
非準拠デバイスを素早く識別、制御し、
Intuneのデバイスコンプライアンス管理を強化

前回のブログではForescoutのデバイス検出、分類およびデバイスの通信制御機能の バックアップによりMicrosoft Intuneがすべてのデバイスを管理出来るように なりました。

しかしながら、デバイスを管理出来るようになっても常にデバイスが企業の ネットワークに接続するのに相応しい状態とは限りません。

デバイスの状態管理が放置されるとOSのパッチ適用状態やアンチウイルスのパターン ファイル等が未更新状態となり、セキュリティ上のリスクを高めるデバイスが内在してしまいます。

また、業務に不必要なアプリケーションをインストールしたり、禁止されている外部記憶デバイスを 接続するなど利用者の行動によっても同様にセキュリティリスクが高まる場合があります。
 

• 1.IT資産管理
• 2.デバイスのコンプライアンス管理
• 3.ネットワークアクセスコントロール

今回も前回同様、Microsoft IntuneとForescoutを組み合わせて以下のような 役割分担をさせます。
基本的な考え方は前回のIT資産管理の時と同じです。

Microsoftは

• デバイスのコンプライアンス準拠状態を確認

Forescoutは

• ネットワークに接続するすべてのIP接続デバイスを検出、分類、評価
• デバイスに関する情報をIntuneに照会
• 非準拠デバイスを適切なサイトにリダイレクト

～ブログの続きは問い合わせの先にございますので、ぜひご覧ください！～

MicrosoftやForescout
セキュリティについてを気軽にご相談ください！

機能や使い方、セキュリティに関するご質問があれば、
こちらからお気軽にお問い合わせください！

STEP 1．Forescoutがデバイスを検出、分類

STEP 2．ForescoutがIntuneに準拠状態を照会

STEP 3．Intuneが準拠状態をチェック

STEP 4. 非準拠デバイスを識別

STEP 5．Forescoutが非準拠デバイスの通信を制御

STEP 6．改めて準拠デバイスとして識別

• 1.迅速なベースラインの適用
  すでにIntuneをお使いの場合、Intuneで適用中のデバイスコンプライアンスポリシー をそのまま利用することが可能です。
  これにより、再接続されたものも含め、ネットワーク上のすべての登録済みデバイス に対してデバイスコンプライアンスに関するベースラインを継続的かつ迅速に適用でき、 非準拠デバイスを制御可能な状態にします。
• 2.非準拠デバイスの改善促進
  デバイス登録の時と同様にForescoutのデバイス制御機能により、非準拠のデバイス をベースラインを満たすまで特定のサイトにリダイレクトし、改善を促します。
• 3.セキュリティ事故発生リスクをさらに軽減
  デバイス登録の時と同様に非準拠のデバイスはネットワークに接続しても特定サイト 宛ての通信以外の一切の通信が行えません。
  未登録のデバイスに加え、非準拠のデバイスによる重大なセキュリティ事故発生の リスクも低下します。

今回のMicrosoft IntuneとForescoutのコラボレーションでは、ベースラインを素早く展開して非準拠デバイスを制御できる点が最大のポイントではないでしょうか。
Intuneだけでは、ネットワーク上の非準拠デバイスを識別して制御まで実施することは難しいですが、Forescoutがそれを見事にカバーしている点がよい点と言えます。

今回もMicrosoft IntuneにForescoutを組みわせてデバイスコンプライアンス管理 に焦点を当て、対策を行うことでネットワーク上の非準拠デバイスを継続的に 監視し、是正を促し、準拠状態を維持出来るようになりました。

未登録のデバイスに加え、非準拠のデバイスもネットワーク上からいなくなり、 セキュリティ事故発生のリスクはさらに軽減されました。

次回は最後の一押しである３つの重要な概念の３つ目、ネットワークアクセス コントロールについて考えて行きたいと思います。