Microsoft Intune によるモバイルデバイスのマルウェア対策(前編)

Lookout というモバイルセキュリティに定評のある企業と Microsoft が、2016年秋にパートナー提携を行いました。

<プレスリリース>

その結果、Microsoft Intuneに「Lookout」の製品を組み込みさらなるモバイルデバイスのセキュリティ強化が実現しました。どのような機能があるかをざっくりご紹介します。

Intuneの設定(ポリシー)に「条件付きアクセス」という項目があります。

ここでは、Office 365関連サービスを利用するための条件(どのグループのメンバーか?

どんな状態のデバイスからのアクセスか?などなど)を決めることができます。

Lookout」の機能で、モバイルデバイスにマルウェアなどの感染やマルウェア関連と推測されるアプリが発された場合、Lookout はその検出されたデバイスの情報を Intune へ送ります。

Intune では、「条件付きアクセス」で設定した内容で、例えばそのモバイルデバイスからは、ドキュメントやメール利用などのブロックを即座に行うことができるようになります。

 

[主なブロック例]

・会社のメール(Exchange Online ) の利用をブロック

・共有ドキュメント(Sharepoint Online / Onedrive for Business)へのアクセスをブロック

・社内Wifiへの接続をブロック

など

※利用可能なデバイス

Android 4.1以降  / iOS 8 以降

この機能を利用するには、Lookoutのサポートへ申請が必要です。メールでアカウント作成(サブスクリプション登録)の依頼をします。すると、だいたい2営業日程度で返信が届きます。

Azure AD上の必要な情報を送付する必要があるようです。送付されてくるPDFファイルにどのようにIDを取得すればよいか、詳細な手順が記載されています。

  • AAD Tenant ID

Azure AD からテナントを指定した状態のときに、ブラウザに表示されるURLの中にテナントIDがふくまれています。こちらもご参照下さい。URL で /directoryQuickStart の手前の部分がテナント ID です。

  •  Group Object ID

グループ – プロパティを選択すると、「オブジェクトID」がありますので、その情報をコピーします。

あとはこの情報をLookout Support Team へ送ります。

登録が完了すると、LookOut MTP ポータルにアクセスができるようになりますので、登録完了メールをまちます。

※最初のメールにAzure ADのテナントIDとグループオブジェクトIDを記載しておけば、その分、手続きの手間は省けます。

※年末年始のタイミングなので、通常より日数がかかるかもしれませんが、後編は完了メールが届いたらアップしようと思います。

Azure Information Protection P2 の機能

この投稿は Office 365 アドベントカレンダーに参加しています。

以前の投稿でもお知らせしたようにEMSにはE5という上位プランができました。
その中に Azure Information Protection (以下、AIP)Plan 2 が含まれます。

(※ちなみに、AIP は従来まで Azure Right Management(RMS)という名前で呼ばれていたものの後継にあたります。旧という表現をしておりますが、RMS が無くなったわけではありません。AIP は RMS の暗号化技術を使ってさらなる保護をかけています。)

Office 365 E3 以上のプランにも RMS が付随していますが、最近は Office 365 E3 をご利用の企業でも、オンプレミスでの利用や Office ドキュメント以外の保護を目的に AIP の導入をご検討いただくことが増えてきています。
なので、ぜひ Office 365 ユーザーの皆様にもこの機能に興味を持っていただきたいと思い Office 365 アドベントカレンダーにこの投稿を参加させています。

前置きが長くなりました。
では、AIP Plan 2 の新機能として登場した「ラベリングと分類」についてご紹介します。この機能を利用すると、社内ユーザーに視覚的にそのドキュメントの機密性を意識させることができ、情報漏洩などのセキュリティ事故を防ぐことができます。もちろん、従来の Azure RMS の機能でもあるそのドキュメントを追跡、アクセスの禁止などの設定も可能です。

まず、利用するための準備ですが、ご契約いただく前に試してみたいと思われますよね。この AIP(P2)も、もちろんお試しいただくことが可能です。

Office 365 の管理画面(もちろん試用版でもOK)メニューで、「サービスを購入」を選択します。
「Azure Infomation Production P2」を選択し、「無料試用版」ボタンをクリックしてください。


あとはユーザーにライセンスを割り当てれば30日間は製品版と同様機能を利用可能です。

あるいは、以下のページから Enterprise Mobility +Security E5 の無料試用版をお申込みください。

AIP P2 の申し込みが完了したら、次にツールの準備をしましょう。

まずは、RMS のころからおなじみの RMS 共有アプリケーションを以下のサイトからダウンロードしてインストールします。

つぎに、AIP P2 のラベリング機能を利用ために、以下の Azure Information Protection クライアントのサイトをブラウザから開きます。

AzInfoProtection.exe を選択し、ダウンロードを実行します。

ダウンロードが完了したら、あとはウィザードに従いインストールを実行します。

これで準備は完了です。

これだけでも標準で用意されているラベルは利用できますが、内容をカスタマイズするための編集画面をみてみましょう。

Azure ポータルサイトへサインインします。

Azure ポータルから、Market Place – セキュリティ+ID – Azure Information Protection を選択します。


表示された画面で「作成」をクリックします。(ライセンスが付与されていないとここでエラーとなりますので、必ず先に試用版  Or  製品版を取得してください。)

ポリシー編集画面が表示されます。

ここでラベルのカスタマイズをしたり、「すべてのドキュメントとメールにラベルを付ける (自動適用またはユーザーによる適用)」、「分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります」などさまざまなオプションの ON / OFF を切り替えることができます。既定値はどちらも「オフ」になっています。今回は、「視覚的なマーキングの設定(ヘッダーやフッターなど)」を ON に設定します。

設定が完了したら「公開」をクリックし展開します。

それでは、デスクトップで Word 文書を作成してみましょう。
作成した文書を開いてみると、ツールバーに「ラベル」が表示されているのが確認できます。

選択したラベル : Secret がフッターにラベルが表示されていることが確認できます。

残念ながら現段階では、まだすべての機能が利用できる状態ではありません。ラベルがつけられたドキュメントをどのように連携させるかという部分のほとんどが機能制限中です。Exchange Online や Sharepoint Online と統合ができないのが一番つらいところなのですが・・・。最近頻繁にアップデートがかかっているので時間の問題と思われます。(RMS ポリシーテンプレートへの反映が現在プレビュー)

ラベルのつけられたドキュメントの活用方法ですが、例えば Exchange Online のトランスポートルールと連携し、つけられたラベルによってルールを振り分けたり、Cloud App Security と連携した監視の強化も行えます。

他サービスと連携した AIP の活用についてはアップデートの状況をみつつ改めて投稿します。

 

 

 

Azure Information Protection (AIP)社外への送付

Microsoft Azure Information Protection(AIP:旧、RMSのこと) について、ご質問をいただくことが多くなりました。
ドキュメントの送付に「ZIPファイル+パスワード」での添付が無理があることが浸透しつつあるようです。

一番多い質問として、「AIPは社内ではなく、社外の相手(AIPライセンス無し)にも利用できるのか?」ということです。

この場合は、暗号化されたドキュメントを受け取った相手は「無料版のAIP」にアクセスし、メールアドレスを登録することにより
送付されたドキュメントを解読することが可能です。

操作は簡単です。
以下のページへ勤務先のメールアドレスを入力します。(gmailなどの個人アカウントは現在はご利用になれません。)

すでの社内に登録されたメンバーがいれば、2人目以降の方はメールアドレスを入力するだけで登録が完了します。ドキュメントを開くアプリもこちらからダウンロード可能。

社内外問わず、安心してご利用いただけます。

 

Windows Server 2016 TP4 のActive Directory グループポリシー②

今回はWindows 10のアップグレード/アップデートに関するポリシーについてです。(Windows 10 のビルドは1511が対象になっています)

ご存じのように、Windows 10 は更新プログラムの受け取り間隔を3つのモデルから選択することができます。
・Current Branch:CB
・Current Branch for Business:CBB
・Long-Term Servicing Branch:LTSB

管理者による新機能の検証に日数がかかる場合、CBB更新モデルを選択すると新機能の受け取りを最大で8か月間まで猶予することができます。
セキュリティパッチの更新とは別に設定ができるので、管理者にはうれしい機能ですね。

さて、その延期設定ですが、個々のクライアントPCからも設定メニューから変更できますが、グループポリシーで一括管理したほうが便利ですね。
[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update] – [アップグレードおよび更新を延期する] というポリシーで制御できます。

画面はこんな感じです。
Windows Update

編集画面はこちら。
機能アップグレードは1~8か月まで、機能アップデートは4週間まで猶予設定が可能です。
編集画面

非常に便利ですね。

Windows Server 2016 TP4 のActive Directory グループポリシー ①

Windows Server 2016 TP4 のActive Directory グループポリシーについて検証してみました。
何回かにわけて、内容を公開していきます。

まず、Widows Server 2016 TP4 になって新しく追加されたポリシーを確認します。
Microsoft のダウンロードセンターからグループポリシー構成リストがダウンロードできます。

TP4 Group Policy Setting Group Policy Settings Reference for Windows and Windows Server

PolicyList
[New in TP4]というフィールドを確認してみると、52個のポリシーが見つかりました。
Windows 10 に関するポリシーが多く見受けられます。

Windows 10 といえば、新たに登場したブラウザー Edge がありますね。
第一回は、Edgeをグループポリシーで構成してみましょう。

まずはGPMEから[コンピューターの構成] – [ポリシー] – [管理テンプレート]-[Windows コンポーネント] – [Microsoft Edge] とたどります。
Edge
17の設定項目が確認できます。

このなかで、今回は「お気に入り」を構成しましょう。
[お気に入りを構成する] をダブルクリックします。
表示するオプションエリアの[表示] ボタンをクリックし、[値の名前] に、お気に入りに表示される名前、[値] にURLを入力します。
Edge-favorite

構成が完了したら、[OK] を2回クリックして画面を閉じます。

では、ドメインメンバーの Windwos 10 で、Microsoft Edgeを起動しましょう。
お気に入りに登録されているのが確認できます。
win10

Azure AD Connect 構成前の準備

先日、Azure AD Connect のNew Version 1.1.105.0 が出てきました。
こちらに新機能情報が網羅されているので、ご確認下さい。
Azure AD Connect: Version Release History

Office 365 のディレクトリ同期ツールとしてもこちらの利用が推奨されるようになりました。
DirSync を利用されている企業も多いと思いますが、サポート期限の問題もありますので、
折をみてこちらへの移行をお勧めいたします。

さて、Azure AD Connect は、ディレクトリ同期のみならず、ADFSを利用したシングルサインオン環境をほぼ自動で構築することもできます。
詳細は、こちらをご一読下さい。
Office 365 運用管理入門(10)
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する

さて、前置きが長くなりました。
AADConnectを利用してSSO環境を構成する場合、極力一度の操作で終了できるように事前準備を行いましょう。
設定漏れ、準備ミスなどで失敗した場合、「AADConnectアンインストール」 → 「WID(ADFSでSQLServer以外の場合に利用するDB)削除」→「ADFS アンインストール」
などの対応が必要です。
※WIDの削除に関しては、他システムで利用している可能性がある場合は、必要なDBのみ選択して削除します。

エバンジェリスト安納さんのブログ
こちらはADFS 2.0 ベースのお話ですが、ADFS 3.0 の場合は対応する SQLServer Managementを別途ダウンロードしてください。

では、何を準備するかを以下にまとめます。

<準備リスト>
①SSL証明書…さすがにこれは忘れないと思いますが、公的な認証局から取得して下さい。AADConnect構成時に、証明書を参照する必要があります。
②公開DNSレコードの登録…公開DNSへフェデレーションサービス名でプロキシに設置するADFSのIPを登録します。
③内部DNSレコードの登録…DC,ADFSはドメイン内なので問題ありませんが、ADFSプロキシのプライベートIPも登録しておかないと、AADConnectで構成する際に、認識してくれないことがあります。
④リモート管理の有効化…とくにAzure仮想マシンでこの環境を構成する場合は必須です。
(さらにGUIだと一見有効化になっていても認識されないことがあるので)PowerShellでADFS、ADFS Proxy 側で以下のコマンドを実行します。

Enable-PSRemoting -Force

ADFSプロキシをリモート管理するために、DC側で、以下のコマンドを実行します。

Set-Item WSMan:\Localhost\Client\TrustedHosts -Value <Web アプリケーション プロキシのホスト名>.<Active Directory ドメイン名

上記の準備を終了してからAADConnectを構成しましょう。
アンインストールして再実行しようとすると、初回にはなかったエラーが出てくることがあります。
準備を整えて、1度の構成で終了できるようにするのがお勧めです。