今回は久しぶりに技術ブログ、Microsoft365を利用したADのグループポリシー的な設定方法の概念を記載しようと思います。
Microsoft365にはAzure Active Directory(AzureAD)というサービスがあります。
オンプレのADではポリシーを利用して企業の端末を管理したり制御をする仕組みがありますがAzureADでは少し適用の仕方が変わります。
概念的にはADで制御するのではなくMicrosoft Intuneで端末を登録して、登録されたデバイスに対してデバイスの構成プロファイルを適用し制御をするイメージです。
Microsoft Endpoint Manager admin center(Microsoft Intuneが変わったもの?)という管理ツールから設定をしていきます。
当社は情報漏えい対策として外部記憶媒体への書き出しを当該サービスを利用して実現しています。
■設定例
1.Microsoft Endpoint Manager admin centerに管理者ログイン
1.1 構成プロファイルの作成(制御用ポリシー作成)
設定は「デバイス」→「構成プロファイル」→「プロファイルの作成」の順に選択
※プロファイルの作成はチュートリアル的に作成できるので結構簡単です。
1.2 作成するプロファイルのプロパティを入力
プラットフォーム:Windows10以降
プロファイルの種類:「テンプレート」→「管理用テンプレート」を選択し「作成」を押す
※これにより簡単に設定ができます。技術的な設定が調べられたりできるかたは
カスタムを設定するとOMA-URIを利用した設定値を設定できます。
1.3 プロファイルの設定
今回はUSB、CD、DVD、テープドライブ、フロッピーディスク、WPD(※1)
への書き込みを制御したので5個設定しています。
ちなみにWPDとはIPhoneとかスマホとかのデバイスかな(詳しくはWebで調べてください)
①すべての設定(下記を検索すると出てきます)
「CD および DVD: 書き込みアクセス権の拒否」を有効
「WPD デバイス: 書き込みアクセス権の拒否」を有効
②コンピュータの設定(下記を検索すると出てきます)
「テープ ドライブ: 書き込みアクセス権の拒否」を有効
「フロッピー ドライブ: 書き込みアクセス権の拒否」を有効
③ユーザの構成 ←今回お目当ての設定
「リムーバブル ディスク: 書き込みアクセス権の拒否」を有効
1.4 スコープタグは設定していません(笑)
1.5 割当(適用範囲を決める)
適用したいAzureADグループやすべてのデバイス等制御したいものを選択し
1.6 確認と保存
上記設定ができているか確認と保存です。
■注意事項
上記設定はMicrosoft Intuneに登録されているデバイスに対して有効だと思っています。
なので自動登録設定をしておくことをおすすめします。
自動登録をしていないという方は登録したい端末で「Microsoft Store」で
Microsoft Intuneと検索して出てくるポータルサイトをインストールして
登録するとできますね。
簡単ですが以上で終了。
その他セキュリティポリシーもこんな感じにポリシー登録しておくと、Intune経由で
統一したWindows Defender等のセキュリティソフトのセキュリティポリシーを適用できるのもいいですよね。
凄いのはMicrosoft Endpoint Manager admin centerのダッシュボード等でセキュリティポリシー違反
等の状況が簡単に確認できるところが素晴らしい。
これで端末にUSBを挿入してコピーしてみると権限がなくて書き込めなくなり簡易的な情報漏えい
対策はできますので情報共有でした。
Comments