Microsoft Intuneの頼れる助っ人 ～第１回～

デバイスの登録を強化し、Intuneのデバイス管理を強力にサポート

１．IT資産管理の重要性

重大なセキュリティ事故は管理されていないIT資産が主な原因となり、発生します。 管理されていない脆弱なデバイスがネットワーク上に1台でも存在すると、そこを起点 に権限昇格を経て機密情報へのアクセスやランサムウェア攻撃を行うなどのいわゆる ラテラルムーブメントが可能になり、企業にとって致命的なダメージとなってしまいます。

そこで以下の３つの概念が重要になってきますが、今回はその中のIT資産管理に焦点 を当てて効果的な対策について考えてみたいと思います。

• 1.IT資産管理
• 2.デバイスのコンプライアンス管理
• 3.ネットワークアクセスコントロール

2.Microsofut IntuneとForescoutを組み合わせる

IT資産管理ツールにMicrosoft Intuneをご利用の方は多いと思います。 そのMicrosoft IntuneにForescoutというデバイス発見ツールを組み合わせて以下の ような役割分担をさせることでIT資産管理の第一ステップであるデバイス登録を確実 に実施することが可能になります。

Microsoftは

• デバイスの管理
• デバイスが登録済みかどうか確認

Forescoutは

• ネットワークに接続するすべてのIP接続デバイスを検出、分類、評価
• デバイスに関する情報をIntuneに照会
• 未登録のデバイスをMicrosoft Intuneの登録画面にリダイレクト

3.デバイス登録までの流れ

実際にデバイスが登録されるまでの流れをもう少し詳細に見ていくことにします。

STEP１．デバイス接続

STEP２．Forescoutがデバイスを検出、分類

STEP3．ForescoutがIntuneに登録状況を照会

STEP4．登録状況が判明

STEP5．Forescoutが未登録デバイスの通信を制御

STEP6．デバイス登録完了

　

　

4.この組み合わせのいいところ

• 1.ITスタッフの作業負荷を軽減
  利用者が自主的にデバイスの登録を行うことになるため、ITスタッフの作業負荷を軽減します。
  
• 2.すべてのデバイスを管理可能
  Forescoutはパケット解析の他にスイッチとの連携によってもデバイスを検出する ことが可能です。
  よって、事実上、ネットワーク上のすべてのデバイスを検出出来るため、 Microsoft Intuneのデバイス管理を強力にサポートします。
  
• 3.未登録デバイスの登録促進
  Forescoutのデバイス制御機能により、未登録のデバイスを登録が完了するまで デバイス登録サイトにリダイレクトし、登録を促します。
  
• 4.セキュリティ事故発生リスクを軽減
  未登録のデバイスはネットワークに接続しても登録サイト宛ての通信以外の一切の通信が行えませんのでラテラルムーブメントを防ぐことができ、重大なセキュリティ事故発生の可能性が大幅に低下します。

Microsoft Intuneをお使いの場合、このような利点が出せるのはForescoutを 組みわせた時だけです。
Microsoft Intuneのデバイス管理能力とForescoutの高い検出能力、未登録 デバイスの通信制御能力がうまくコラボレーションすることでのみ実現可能です。