Microsoft Intuneの頼れる助っ人 ～第2回～

非準拠デバイスを素早く識別、制御し、
Intuneのデバイスコンプライアンス管理を強化

１．デバイスコンプライアンス管理とは

前回のブログではForescoutのデバイス検出、分類およびデバイスの通信制御機能の バックアップによりMicrosoft Intuneがすべてのデバイスを管理出来るように なりました。

しかしながら、デバイスを管理出来るようになっても常にデバイスが企業の ネットワークに接続するのに相応しい状態とは限りません。

デバイスの状態管理が放置されるとOSのパッチ適用状態やアンチウイルスのパターン ファイル等が未更新状態となり、セキュリティ上のリスクを高めるデバイスが内在してしまいます。

また、業務に不必要なアプリケーションをインストールしたり、禁止されている外部記憶デバイスを 接続するなど利用者の行動によっても同様にセキュリティリスクが高まる場合があります。

• 1.IT資産管理
• 2.デバイスのコンプライアンス管理
• 3.ネットワークアクセスコントロール

2.Microsofut IntuneとForescoutを組み合わせる

今回も前回同様、Microsoft IntuneとForescoutを組み合わせて以下のような 役割分担をさせます。
基本的な考え方は前回のIT資産管理の時と同じです。

Microsoftは

• デバイスのコンプライアンス準拠状態を確認

Forescoutは

• ネットワークに接続するすべてのIP接続デバイスを検出、分類、評価
• デバイスに関する情報をIntuneに照会
• 非準拠デバイスを適切なサイトにリダイレクト

3.デバイスコンプライアンス維持の仕組み

STEP 1．Forescoutがデバイスを検出、分類

STEP 2．ForescoutがIntuneに準拠状態を照会

STEP 3．Intuneが準拠状態をチェック

STEP 4. 非準拠デバイスを識別

STEP 5．Forescoutが非準拠デバイスの通信を制御

STEP 6．改めて準拠デバイスとして識別

　

　

4.この組み合わせのいいところ

• 1.迅速なベースラインの適用
  すでにIntuneをお使いの場合、Intuneで適用中のデバイスコンプライアンスポリシー をそのまま利用することが可能です。
  これにより、再接続されたものも含め、ネットワーク上のすべての登録済みデバイス に対してデバイスコンプライアンスに関するベースラインを継続的かつ迅速に適用でき、 非準拠デバイスを制御可能な状態にします。
  
• 2.非準拠デバイスの改善促進
  デバイス登録の時と同様にForescoutのデバイス制御機能により、非準拠のデバイス をベースラインを満たすまで特定のサイトにリダイレクトし、改善を促します。
  
• 3.セキュリティ事故発生リスクをさらに軽減
  デバイス登録の時と同様に非準拠のデバイスはネットワークに接続しても特定サイト 宛ての通信以外の一切の通信が行えません。
  未登録のデバイスに加え、非準拠のデバイスによる重大なセキュリティ事故発生の リスクも低下します。
  

今回のMicrosoft IntuneとForescoutのコラボレーションでは、ベースラインを素早く展開して非準拠デバイスを制御できる点が最大のポイントではないでしょうか。
Intuneだけでは、ネットワーク上の非準拠デバイスを識別して制御まで実施することは難しいですが、Forescoutがそれを見事にカバーしている点がよい点と言えます。