Microsoft Intune によるモバイルデバイスのマルウェア対策(後編)

Intuneと連携するためのLookoutの設定

前回の投稿で、IntuneとLookOutの連携を行うためにLookOutのサポートへ連絡をしました。2営業日後、無事にLookOutのMTPへアクセスが可能になったというメールが届きました。

①Lookoutダッシュボードへログイン

早速以下のURLへアクセスしLookOutの設定を行います。

https://aad.lookout.com

ディレクトリへのアクセス許可を促すページが表示されます。【承諾】をクリックします。

すると、このようなLookout MTP ダッシュボード画面が表示されます。
ポリシーのカスタマイズも可能です。

 

②Intuneコネクタの設定

システムメニューから「コネクタ」タブへ移動します。「コネクタを設定」画面で、[コネクタを追加]をクリックし、[Intune] を選択します。

「コネクタを設定」画面で、[コネクタを作成]をクリックします。

[変更を保存]メッセージが表示されたら、[閉じる] ボタンから画面を閉じます。コネクタが接続は完了です。Intune管理画面から[Lookoutの状態]メニューが利用できることが確認できます。

 

③デバイスへLookoutアプリを展開

今回はAndroidデバイスへ展開してみます。左メニューから[アプリ] – [アプリの追加]をクリックします。「セキュリティ警告」「画面が表示されたら[続行]をクリックします。ソフトウェアパブリッシャー画面にサインインします。

「開始する前に」画面で[次へ]をクリックします。「ソフトウェアセットアップ」画面で[外部リンク]を選択し、URLを入力し[次へ]をクリックします。

名前に[Lookout for work]、発行元、説明を適宜入力し、カテゴリで[コンピューターの管理]を選択し、[次へ]をクリックします。

概要画面で表示された内容を確認し[アップロード]をクリックします。「Microsoft Intune にデータが正常にアップロードされました」画面で、[閉じる]をクリックします。Intuneの管理コンソールでアップロードしたアプリが表示されていることが確認できます。

表示されたリストを右クリックし、[展開の管理]をクリックします。展開するグループを選択し[次へ]をクリックします。承認欄で[利用可能なインストール]あるいは[必須のインストール]を選択し、[完了]をクリックします。

Intune管理コンソール左メニューから[ポリシー]を選択し、コンプライアンスポリシーを作成します。「デバイスの脅威保護」欄で、「デバイス脅威保護を有効にする」を有効にし、[許容される最大脅威レベル]を高、中、低から選択し[ポリシーの保存]をクリックします。

「条件つきアクセス」ポリシーよりLookoutからマルウェアが検出されたデバイスに対し適応させるポリシーを設定します。

会社から配布したモバイルデバイスに対し、感染状況を把握し社内リソースを守ることが可能になりました。

現在は、Lookout側の設定画面を利用するにはメールによるやり取りが必要となるため、若干のタイムラグが発生することを考慮する必要があります。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune によるモバイルデバイスのマルウェア対策(前編)

Lookout というモバイルセキュリティに定評のある企業と Microsoft が、2016年秋にパートナー提携を行いました。

<プレスリリース>

その結果、Microsoft Intuneに「Lookout」の製品を組み込みさらなるモバイルデバイスのセキュリティ強化が実現しました。どのような機能があるかをざっくりご紹介します。

Intuneの設定(ポリシー)に「条件付きアクセス」という項目があります。

ここでは、Office 365関連サービスを利用するための条件(どのグループのメンバーか?

どんな状態のデバイスからのアクセスか?などなど)を決めることができます。

Lookout」の機能で、モバイルデバイスにマルウェアなどの感染やマルウェア関連と推測されるアプリが発された場合、Lookout はその検出されたデバイスの情報を Intune へ送ります。

Intune では、「条件付きアクセス」で設定した内容で、例えばそのモバイルデバイスからは、ドキュメントやメール利用などのブロックを即座に行うことができるようになります。

 

[主なブロック例]

・会社のメール(Exchange Online ) の利用をブロック

・共有ドキュメント(Sharepoint Online / Onedrive for Business)へのアクセスをブロック

・社内Wifiへの接続をブロック

など

※利用可能なデバイス

Android 4.1以降  / iOS 8 以降

この機能を利用するには、Lookoutのサポートへ申請が必要です。メールでアカウント作成(サブスクリプション登録)の依頼をします。すると、だいたい2営業日程度で返信が届きます。

Azure AD上の必要な情報を送付する必要があるようです。送付されてくるPDFファイルにどのようにIDを取得すればよいか、詳細な手順が記載されています。

  • AAD Tenant ID

Azure AD からテナントを指定した状態のときに、ブラウザに表示されるURLの中にテナントIDがふくまれています。こちらもご参照下さい。URL で /directoryQuickStart の手前の部分がテナント ID です。

  •  Group Object ID

グループ – プロパティを選択すると、「オブジェクトID」がありますので、その情報をコピーします。

あとはこの情報をLookout Support Team へ送ります。

登録が完了すると、LookOut MTP ポータルにアクセスができるようになりますので、登録完了メールをまちます。

※最初のメールにAzure ADのテナントIDとグループオブジェクトIDを記載しておけば、その分、手続きの手間は省けます。

※年末年始のタイミングなので、通常より日数がかかるかもしれませんが、後編は完了メールが届いたらアップしようと思います。

Azure Information Protection P2 の機能

この投稿は Office 365 アドベントカレンダーに参加しています。

以前の投稿でもお知らせしたようにEMSにはE5という上位プランができました。
その中に Azure Information Protection (以下、AIP)Plan 2 が含まれます。

(※ちなみに、AIP は従来まで Azure Right Management(RMS)という名前で呼ばれていたものの後継にあたります。旧という表現をしておりますが、RMS が無くなったわけではありません。AIP は RMS の暗号化技術を使ってさらなる保護をかけています。)

Office 365 E3 以上のプランにも RMS が付随していますが、最近は Office 365 E3 をご利用の企業でも、オンプレミスでの利用や Office ドキュメント以外の保護を目的に AIP の導入をご検討いただくことが増えてきています。
なので、ぜひ Office 365 ユーザーの皆様にもこの機能に興味を持っていただきたいと思い Office 365 アドベントカレンダーにこの投稿を参加させています。

前置きが長くなりました。
では、AIP Plan 2 の新機能として登場した「ラベリングと分類」についてご紹介します。この機能を利用すると、社内ユーザーに視覚的にそのドキュメントの機密性を意識させることができ、情報漏洩などのセキュリティ事故を防ぐことができます。もちろん、従来の Azure RMS の機能でもあるそのドキュメントを追跡、アクセスの禁止などの設定も可能です。

まず、利用するための準備ですが、ご契約いただく前に試してみたいと思われますよね。この AIP(P2)も、もちろんお試しいただくことが可能です。

Office 365 の管理画面(もちろん試用版でもOK)メニューで、「サービスを購入」を選択します。
「Azure Infomation Production P2」を選択し、「無料試用版」ボタンをクリックしてください。


あとはユーザーにライセンスを割り当てれば30日間は製品版と同様機能を利用可能です。

あるいは、以下のページから Enterprise Mobility +Security E5 の無料試用版をお申込みください。

AIP P2 の申し込みが完了したら、次にツールの準備をしましょう。

まずは、RMS のころからおなじみの RMS 共有アプリケーションを以下のサイトからダウンロードしてインストールします。

つぎに、AIP P2 のラベリング機能を利用ために、以下の Azure Information Protection クライアントのサイトをブラウザから開きます。

AzInfoProtection.exe を選択し、ダウンロードを実行します。

ダウンロードが完了したら、あとはウィザードに従いインストールを実行します。

これで準備は完了です。

これだけでも標準で用意されているラベルは利用できますが、内容をカスタマイズするための編集画面をみてみましょう。

Azure ポータルサイトへサインインします。

Azure ポータルから、Market Place – セキュリティ+ID – Azure Information Protection を選択します。


表示された画面で「作成」をクリックします。(ライセンスが付与されていないとここでエラーとなりますので、必ず先に試用版  Or  製品版を取得してください。)

ポリシー編集画面が表示されます。

ここでラベルのカスタマイズをしたり、「すべてのドキュメントとメールにラベルを付ける (自動適用またはユーザーによる適用)」、「分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります」などさまざまなオプションの ON / OFF を切り替えることができます。既定値はどちらも「オフ」になっています。今回は、「視覚的なマーキングの設定(ヘッダーやフッターなど)」を ON に設定します。

設定が完了したら「公開」をクリックし展開します。

それでは、デスクトップで Word 文書を作成してみましょう。
作成した文書を開いてみると、ツールバーに「ラベル」が表示されているのが確認できます。

選択したラベル : Secret がフッターにラベルが表示されていることが確認できます。

残念ながら現段階では、まだすべての機能が利用できる状態ではありません。ラベルがつけられたドキュメントをどのように連携させるかという部分のほとんどが機能制限中です。Exchange Online や Sharepoint Online と統合ができないのが一番つらいところなのですが・・・。最近頻繁にアップデートがかかっているので時間の問題と思われます。(RMS ポリシーテンプレートへの反映が現在プレビュー)

ラベルのつけられたドキュメントの活用方法ですが、例えば Exchange Online のトランスポートルールと連携し、つけられたラベルによってルールを振り分けたり、Cloud App Security と連携した監視の強化も行えます。

他サービスと連携した AIP の活用についてはアップデートの状況をみつつ改めて投稿します。

 

 

 

Microsoft Intune 入門編① ~Microsoft Intuneへのユーザー登録~

Office 365 とともに MDM / MAM といった観点から、Microsoft Intune のトレーニングを実施する機会が増えているのですが、まず最初に戸惑うポイントは「どうやってユーザーを登録するか?」という部分のようです。

今回は、まずユーザー登録の手順を確認してみます※あくまで2016.07現在の仕様であることをご承知おきください。

1.管理ポータルへサインイン

Microsoft Intune管理ポータルへ管理者権限でサインインします。左ペインから [グループ] を選択し右サイド  [タスク] – [ユーザーの追加] をクリックします。

adduser

[ユーザーの追加] をクリックすると、Office 365管理センター画面へ遷移します。

※以前はユーザー登録用のアカウントポータル画面が別途用意されていましたが、現在はOffice 365管理センターによるユーザー管理に統合されています。Office 365 とともに利用されることが多いと思いますが、Microsoft Intune のみのサブスクリプションでもOffice 365 管理ポータルからのユーザー登録機能はご利用いただけます。詳細は以下のサイトでご確認ください。

Japan Microsoft Intune & MDM for Office 365 Support Team Blog

 2.ライセンス割り当て

Office 365 管理センター ユーザー管理メニューから、該当するユーザーを選択し、ライセンス[Intune A Direct] を割り当てます。画像ではEMS(Enterprise Mobility Suite)内の [Intune] ライセンスを割り当てていますが、Intune単体のライセンスをご利用いただくことも可能です。(※いずれも無料試用版あり)

addlicense

 3.ユーザー登録の確認

Microsoft Intune 管理ポータルに戻り [グループ] – [すべてのユーザー] をクリックします。一覧にはまだユーザーが表示されていません。その場合、いったんグループを作成し、手動でユーザーを追加することができます。

nouser1

4.グループの作成

Microsoft Intune 管理ポータルで、[ダッシュボード] – [グループの作成] をクリックします。

グループ作成画面で、[全般] 画面で、任意のグループ名を入力します。次に [ダイレクトメンバーシップ] 画面で、[参照] ボタンをクリックします。下部にある[ユーザーを手動で追加する] リンクをクリックし、[未登録デバイスをもつユーザーを追加する] 画面で登録するユーザーをクリックします。

updusers1

[OK] -[完了] をクリックし、グループの作成を完了します。Microsoft Intune 管理ポータルに戻り [グループ] – [すべてのユーザー] をクリックします。一覧にユーザーが表示されていることが確認できます。

userlist

次回以降でご紹介しますが、ポリシーを割り当てる際に部署ごとなど、グループ単位で行うことも多いと思います。まずはこの手順を把握しておきたいですね。

 

 

 

 

 

 

Azure RMS と Office 365 RMS の相違点

先日、お客様から標題の件についてご質問を受けました。そのお客様は Office 365 Business PremiumとEMSをご契約されたばかりの会社の方です。

営業担当の方から「Office 365 Business Premium なので、Office 365 のRMSは利用できません」と言われて、EMS(Enterprise Mobility Suite) を契約しても使えないのか?と疑問に思われたようです。

結論からいうと、Office 365 で利用するRMSはEnterPrise 3以上とEducation、およびオプションでのご契約となります。今回のお客様はBusiness Premiumをご契約なので、Office 365に付随するRMSは利用できません。

ですが、EMSの契約をされているので、こちらのAzure RMSをご利用いただけます。ただし、この場合は、RMS 共有アプリ(RMS Sharingツール)をダウンロードしてインストール後にご利用いただく必要があります。

ダウンロード先:RMS共有アプリ

このツールを利用して暗号化かけたものをメールに添付したり、Onedrive for Businessにアップロードして利用することができます。

RMSSharingdump

もし、Office 365のRMSを利用するにしても、Exchange OnlineではPowershellを利用する必要があります。利用するユーザーからしてみたら、GUIのみで管理可能なRMS共有ツールの方が敷居は低いかもしれませんね。

参考URL

Azure RMS の要件: Azure RMS をサポートするクラウド サブスクリプション

 

 

 

 

 

 

 

Advanced Security Management

こちらの記事は2016年6月25日に登壇する「Interact×Cloud Samurai 2016 Summer」でご紹介したデモについての設定手順のご紹介です。

Advanced Security Management はリスクの高い、あるいは異常な利用状況を洗い出すための脅威検出機能以外にも、「シャドーIT」の検出や可視化に向けた様々な機能が含まれています。

まだ、すべての機能が利用可能とはなっておらず、ダッシュボードなどは2016年第3四半期の公開予定となります。楽しみですね。

登壇時の資料は登壇終了後に以下へアップしておきますので、ご覧ください。

SlideShare

http://www.slideshare.net/marimiyakawa355

では、設定手順を確認しましょう。

手順①
Office 365  管理センターから Security & Compliance 画面へ移動し、[アラート] - [高度な通知の管理]をクリックします。

AdvancedSecurity1

手順②
ポリシーを作成します。[ポリシー]画面で、[ポリシーの作成] – [異常検出ポリシー] をクリックします。

AdvancedSecurity2

[異常検出ポリシーの作成]画面で、今回は[ポリシーテンプレート]リストから[一般的な異常検出]を選択します。すると、テンプレートて定義されている内容が設定画面に適用されます。

AdvancedSecurity4

アラートエリアで電子メールアドレスを指定します。

AdvancedSecurity5

アラート画面で、新しい場所が表示されることを確認します。以上で設定は完了です。

AdvancedSecurity6

 

Advanced Threat Protection

こちらの記事は2016年6月25日に登壇する「Interact×Cloud Samurai 2016 Summer」でご紹介したデモについての設定手順のご紹介です。

Exchange Online Advanced Threat Protection は一言でいうと、悪意のある攻撃(不正な添付ファイルや怪しいリンク)からユーザーを守るための手段です。

登壇時の資料は登壇終了後に以下へアップしておきますので、ご覧ください。

SlideShare

http://www.slideshare.net/marimiyakawa355

では、設定手順を確認しましょう。

<前提条件>
この機能はOffice 365 E5で標準搭載、他のエディションではオプションで購入が必要です。
Office 365 E5 も無料試用版が用意されています。

手順①
Exchange 管理センターから[高度な脅威]を選択します。「高度な通知の管理」画面に遷移されます。

ATP1

手順②

上部メニューより[安全な添付ファイル]をクリックし[+]マークをクリックします。

ATP2

手順③
ポリシー設定メニューより「ポリシー名」、「安全な添付ファイルに不明なマルウェアが検出された場合の対応」、「適応先」を設定し保存ボタンをクリックします。

ATP3

今回の例だと、「miyamoto musashiさんにマルウェアが添付されたEmailが届いたら添付をブロックし、メールの届ける」という結果になります。

いくつかの設定のみでご利用になれますので、ぜひお試しください。