Microsoft Intune によるモバイルデバイスのマルウェア対策(前編)

Lookout というモバイルセキュリティに定評のある企業と Microsoft が、2016年秋にパートナー提携を行いました。

<プレスリリース>

その結果、Microsoft Intuneに「Lookout」の製品を組み込みさらなるモバイルデバイスのセキュリティ強化が実現しました。どのような機能があるかをざっくりご紹介します。

Intuneの設定(ポリシー)に「条件付きアクセス」という項目があります。

ここでは、Office 365関連サービスを利用するための条件(どのグループのメンバーか?

どんな状態のデバイスからのアクセスか?などなど)を決めることができます。

Lookout」の機能で、モバイルデバイスにマルウェアなどの感染やマルウェア関連と推測されるアプリが発された場合、Lookout はその検出されたデバイスの情報を Intune へ送ります。

Intune では、「条件付きアクセス」で設定した内容で、例えばそのモバイルデバイスからは、ドキュメントやメール利用などのブロックを即座に行うことができるようになります。

 

[主なブロック例]

・会社のメール(Exchange Online ) の利用をブロック

・共有ドキュメント(Sharepoint Online / Onedrive for Business)へのアクセスをブロック

・社内Wifiへの接続をブロック

など

※利用可能なデバイス

Android 4.1以降  / iOS 8 以降

この機能を利用するには、Lookoutのサポートへ申請が必要です。メールでアカウント作成(サブスクリプション登録)の依頼をします。すると、だいたい2営業日程度で返信が届きます。

Azure AD上の必要な情報を送付する必要があるようです。送付されてくるPDFファイルにどのようにIDを取得すればよいか、詳細な手順が記載されています。

  • AAD Tenant ID

Azure AD からテナントを指定した状態のときに、ブラウザに表示されるURLの中にテナントIDがふくまれています。こちらもご参照下さい。URL で /directoryQuickStart の手前の部分がテナント ID です。

  •  Group Object ID

グループ – プロパティを選択すると、「オブジェクトID」がありますので、その情報をコピーします。

あとはこの情報をLookout Support Team へ送ります。

登録が完了すると、LookOut MTP ポータルにアクセスができるようになりますので、登録完了メールをまちます。

※最初のメールにAzure ADのテナントIDとグループオブジェクトIDを記載しておけば、その分、手続きの手間は省けます。

※年末年始のタイミングなので、通常より日数がかかるかもしれませんが、後編は完了メールが届いたらアップしようと思います。

Azure Information Protection P2 の機能

この投稿は Office 365 アドベントカレンダーに参加しています。

以前の投稿でもお知らせしたようにEMSにはE5という上位プランができました。
その中に Azure Information Protection (以下、AIP)Plan 2 が含まれます。

(※ちなみに、AIP は従来まで Azure Right Management(RMS)という名前で呼ばれていたものの後継にあたります。旧という表現をしておりますが、RMS が無くなったわけではありません。AIP は RMS の暗号化技術を使ってさらなる保護をかけています。)

Office 365 E3 以上のプランにも RMS が付随していますが、最近は Office 365 E3 をご利用の企業でも、オンプレミスでの利用や Office ドキュメント以外の保護を目的に AIP の導入をご検討いただくことが増えてきています。
なので、ぜひ Office 365 ユーザーの皆様にもこの機能に興味を持っていただきたいと思い Office 365 アドベントカレンダーにこの投稿を参加させています。

前置きが長くなりました。
では、AIP Plan 2 の新機能として登場した「ラベリングと分類」についてご紹介します。この機能を利用すると、社内ユーザーに視覚的にそのドキュメントの機密性を意識させることができ、情報漏洩などのセキュリティ事故を防ぐことができます。もちろん、従来の Azure RMS の機能でもあるそのドキュメントを追跡、アクセスの禁止などの設定も可能です。

まず、利用するための準備ですが、ご契約いただく前に試してみたいと思われますよね。この AIP(P2)も、もちろんお試しいただくことが可能です。

Office 365 の管理画面(もちろん試用版でもOK)メニューで、「サービスを購入」を選択します。
「Azure Infomation Production P2」を選択し、「無料試用版」ボタンをクリックしてください。


あとはユーザーにライセンスを割り当てれば30日間は製品版と同様機能を利用可能です。

あるいは、以下のページから Enterprise Mobility +Security E5 の無料試用版をお申込みください。

AIP P2 の申し込みが完了したら、次にツールの準備をしましょう。

まずは、RMS のころからおなじみの RMS 共有アプリケーションを以下のサイトからダウンロードしてインストールします。

つぎに、AIP P2 のラベリング機能を利用ために、以下の Azure Information Protection クライアントのサイトをブラウザから開きます。

AzInfoProtection.exe を選択し、ダウンロードを実行します。

ダウンロードが完了したら、あとはウィザードに従いインストールを実行します。

これで準備は完了です。

これだけでも標準で用意されているラベルは利用できますが、内容をカスタマイズするための編集画面をみてみましょう。

Azure ポータルサイトへサインインします。

Azure ポータルから、Market Place – セキュリティ+ID – Azure Information Protection を選択します。


表示された画面で「作成」をクリックします。(ライセンスが付与されていないとここでエラーとなりますので、必ず先に試用版  Or  製品版を取得してください。)

ポリシー編集画面が表示されます。

ここでラベルのカスタマイズをしたり、「すべてのドキュメントとメールにラベルを付ける (自動適用またはユーザーによる適用)」、「分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります」などさまざまなオプションの ON / OFF を切り替えることができます。既定値はどちらも「オフ」になっています。今回は、「視覚的なマーキングの設定(ヘッダーやフッターなど)」を ON に設定します。

設定が完了したら「公開」をクリックし展開します。

それでは、デスクトップで Word 文書を作成してみましょう。
作成した文書を開いてみると、ツールバーに「ラベル」が表示されているのが確認できます。

選択したラベル : Secret がフッターにラベルが表示されていることが確認できます。

残念ながら現段階では、まだすべての機能が利用できる状態ではありません。ラベルがつけられたドキュメントをどのように連携させるかという部分のほとんどが機能制限中です。Exchange Online や Sharepoint Online と統合ができないのが一番つらいところなのですが・・・。最近頻繁にアップデートがかかっているので時間の問題と思われます。(RMS ポリシーテンプレートへの反映が現在プレビュー)

ラベルのつけられたドキュメントの活用方法ですが、例えば Exchange Online のトランスポートルールと連携し、つけられたラベルによってルールを振り分けたり、Cloud App Security と連携した監視の強化も行えます。

他サービスと連携した AIP の活用についてはアップデートの状況をみつつ改めて投稿します。

 

 

 

Azure Information Protection (AIP)社外への送付

Microsoft Azure Information Protection(AIP:旧、RMSのこと) について、ご質問をいただくことが多くなりました。
ドキュメントの送付に「ZIPファイル+パスワード」での添付が無理があることが浸透しつつあるようです。

一番多い質問として、「AIPは社内ではなく、社外の相手(AIPライセンス無し)にも利用できるのか?」ということです。

この場合は、暗号化されたドキュメントを受け取った相手は「無料版のAIP」にアクセスし、メールアドレスを登録することにより
送付されたドキュメントを解読することが可能です。

操作は簡単です。
以下のページへ勤務先のメールアドレスを入力します。(gmailなどの個人アカウントは現在はご利用になれません。)

すでの社内に登録されたメンバーがいれば、2人目以降の方はメールアドレスを入力するだけで登録が完了します。ドキュメントを開くアプリもこちらからダウンロード可能。

社内外問わず、安心してご利用いただけます。

 

新しくなったEMS

先日のIgniteでも発表がありましたが、EMS(Enterprise Mobility Suite )が新たにEnterprise Mobility +SecurityとしてGA (General Availability)されました。略称ではあいかわらずEMSなのですが・・・。

大きな変更点としては、EMSに上位プランが追加されました。

従来のEMSがE3となります。

E3

・Azure AD Premium (E3ではP1)

・Microsoft Intune(おなじみ)

・Microsoft Infomation Protection Premium (E3ではP1.従来のAzure RMSのこと)

・Microsoft Advanced Threat Analytics (こちらも変わらず)

E5

・E3の機能はすべて含まれます。

・Azure AD Premium (E5ではP2)

→P2ではP1機能に加え、特権IDなどの新たなID管理機能が増えています。アカウントの保護にはかなり力をいれていますね。

・Microsoft Infomation Protection Premium (E5ではP2)

→P2では、あらかじめ設定されたポリシーに基づき、ユーザーの作成・更新したドキュメントを保護対象として自動分類可能になります。

・Microsoft Cloud App Security

→すでに2016.4にGAになっています。SaaSアプリの利用状況監視(シャドウITの発見や不正なネットワークトラフィックの検知、アプリの承認/却下などの実施も可能)

こちらにも情報があがっています。

Securing your digital transformation with Microsoft Enterprise Mobility + Security

残念ながら2016.10上旬現在で、私の所有するテナントはまた新しいバージョンは表示されていません。

降ってきしだい、検証したいと思います。

 

 

 

Microsoft Ignite Live Viewing(基調講演日本語解説イベント)

お知らせです。

2016.09.26 22:00 (日本時間)より、アトランタで開催されるMicrosoft Igniteのキーノート。

こちらの日本語解説イベントがライブ中継されます。このイベントに参加させていただくことになりました。

Windows Server 2016 / System Center 2016 / Azure / Office 365 ・・・・などなど

Microsoft 技術の魅力的な情報が盛りだくさん発表される見込みです。

秋の夜長の1時間半、ぜひご自宅でくつろぎながらお楽しみください。

Microsoft Ignite Live Viewing

 

Office 365 のモバイルデバイス管理(MDM)設定

今回は、Office 365 MDMの設定手順をご紹介します。設定可能な項目や注意事項などは前回の投稿をご参照ください。

まずはOffice 365 管理画面から [Security&Compliance] – [セキュリティポリシー] – [デバイス管理] 画面へ遷移します。

start

[Mobile Device management for Office 365 のセットアップ] 画面で、「始めましょう」をクリックします。アクティブ化が完了すると、設定画面が表示されます。

manage2

右上の[設定の管理] をクリックすると、[モバイルデバイス管理の設定] ダイアログが表示されます。

config

iOS デバイスの管理を行う場合は、iOS デバイス用 APN 証明書の構成 でセットアップをクリックします。ここで証明書の設定を行います。

まずは、証明書要求ファイルのダウンロードです。

cerdownload

次にAppleのポータルサイトへ移動し、証明書の作成・ダウンロードしたcerファイルのアップロードと続きます。最後に作成された証明書をダウンロードします。その後、Office 365 画面へ戻り、ダウンロードした証明書(pemファイル)を登録(アップロード)します。

この手順は以前投稿した Microsoft Intuneのモバイルデバイスの登録準備と同様の流れですね。

つぎに、デバイス セキュリティ ポリシー の管理 を行います。

[セキュリティ] – [セキュリティポリシー] – [デバイスのセキュリティポリシー] から設定を行います。

1

設定したポリシーは、Office 365 セキュリティグループに対して割り当てます。デバイス管理対象ユーザーは事前にセキュリティグループを作成し、メンバーに登録しておきます。

tenkai.GIF

最後にモバイルデバイスでOutlookアプリをインストールし、セキュリティグループに登録したユーザーのアカウントを設定しようとすると、Microsoft Intune ポータルアプリをインストールするように促されますので、ウィザードに従ってインストールを完了させます。(Androidデバイスの場合も同様です。)

20160825_131940000_iOS

[会社へのアクセスセットアップ] 画面が表示されるので、「開始」をクリックし、あとはウィザードに従って [次へ] をクリックしていきます。

20160825_134206000_iOS

Office 365 デバイス管理画面に登録されていることが確認できます。ここから該当デバイスのフルワイプ(工場出荷時状態)や選択式ワイプ(会社データのみ削除。個人データやアプリは保持)の実行が可能です。

List

Office 365 商用のサブスクリプションであれば別途費用がかからずに利用できます。試用版でも利用可能なので、 会社配布のモバイルデバイスを利用される場合はぜひ試してみてください。

 

 

 

 

 

Office 365 による モバイルデバイス管理(MDM)

前回まで Microsoft Intune による管理手順についてご紹介しておりましたが、Office 365 にもモボモバイルデバイス管理(MDM)の機能が搭載されています。

Office 365 の MDM は、Microsoft Intuneの機能を一部 (iOS / Android / Windows Phone) を対象に切り出してきたものです。

Microsoft Intune の場合は、MDMのみでなく、アプリケーション管理(MAM)やコンテンツ管理(MCM)の機能も網羅できます。より管理の幅を広げることができますが、利用するには Microsoft Intune 用のサブスクリプションを購入する必要があります。

Office 365 の MDM の場合は、Office 365 (企業向けエディション)内の機能となりますので、別途MDM を行うためのサブスクリプション購入は不要です。

このあたりの比較については、Microsoft エバンジェリストの安納さんが以前、情報を Blog にわかりやすく記載してくださっています。現在 (2016年8月末)のOffice 365 の MDM として設定できる項目は以下のとおりです。2015年当時と内容に変更は無いようです。

Office 365 MDM 設定項目

[アクセス要件]
・パスワード
単純なパスワードを禁止
英数字のパスワードを要求:
パスワードには次の文字数以上にする必要があります:  文字セット
パスワードの最小文字数:(デフォルトは4文字)
パスワードの有効期限:    日数
パスワードの履歴を保存して再利用を防止:    最大保存数  以前のパスワード
・サインイン失敗が指定した回数を超えたらデバイスをワイプする
指定した期間は非アクティブなデバイスをロックします

・デバイス上のデータの暗号化を要求
・脱獄またはルート化されたデバイスは接続できません
・メール プロファイルの管理が必要です (iOS で選択的にワイプする場合に必要)
・デバイスが上記の要件を満たさない場合…
アクセスを許可し、違反についてレポートします
アクセスをブロックし、違反についてレポートします

[構成] 
・暗号化されたバックアップを要求
・クラウド バックアップの禁止
・ドキュメントの同期の禁止
・写真の同期の禁止
・画面キャプチャの禁止
・デバイスでのビデオ会議をブロック
・デバイスからの診断データ送信の禁止
・アプリケーション ストアへのアクセスをブロック
・アプリケーション ストアにアクセスするときにパスワードが必要
・リムーバブル記憶域との接続の禁止
・Bluetooth 接続の禁止

注意①:Office 365 MDM とIntune を同時に利用はできません。Office 365 MDM からMicrosoft Intune へ管理を切り替える場合には現状は Microsoft へサービスリクエストなどでお問い合わせいただき設定変更を依頼する必要があります。

注意②:Office 365 MDMで設定可能な項目は利用するモバイルデバイスにより若干異なります。詳細は Microsoft Technet の一覧表をご確認ください。

Office 365 MDMの設定画面は最近アップデートがかかっていますので、設定方法など次回の投稿でご紹介します。

 

 

Microsoft Intune 入門編⑤ ~モバイルデバイスの登録(登録編)~

iOS デバイスの場合は前回のMicrosoft Intune 入門編④ ~モバイルデバイスの登録(準備編)~作業が完了している前提です。

iOS デバイスで、Apple Store から「Microsoft Intune ポータルサイト」を検索し、インストールを行います。Androidデバイスの場合も同様にPlayストアから検索しインストールを実行します。

[Intune Company Portal] 画面で、Microsoft Intune のライセンスを保有するユーザーのユーザー名とパスワードを入力し、[サインイン] をクリックします。

[会社アクセスのセットアップ] 画面で、[開始] をクリックします。

20160816_115737000_iOS

[デバイスを登録する理由] 画面で、[続行] をクリックします。

20160816_120943000_iOS

[ユーザーのプライバシーに配慮しています。] 画面で [続行] をクリックします。

20160816_121427000_iOS

[次の操作] 画面で、[登録] をクリックします。

[プロファイルをインストール] 画面で、[インストール] をクリックします。

20160817_023116000_iOS

デバイスのパスコードを入力しインストールを継続します。

[警告] 画面で、インストールをクリックし、リモート管理で[信頼] をクリックします。

20160817_025600000_iOS

[インストール完了] 画面で、[完了] をクリックします。

[会社アクセスのセットアップ] 画面で [続行] をクリックするとポリシーの準拠状況の確認がはじまります。ポリシーをまだ作成していない段階なので、これはスキップでかまいません。

Microsoft Intune 管理画面からすべてのデバイスを確認すると iOS デバイスが登録されていることが確認できます。

End

 

これでiOS デバイスの登録は完了です。

Microsoft のサイトはこちら

Intune に iOS デバイスを登録する

なお、デバイス登録でエラーが発生した場合には以下のサイトを確認してみてください。

Microsoft Intune での会社のリソースへのアクセスに関する問題のトラブルシューティング

 

 

 

 

 

 

 

 

 

Microsoft Intune 入門編④ ~モバイルデバイスの登録(準備編)~

今回はMDMらしく、Microsoft Intune へ管理対象のモバイルデバイスの登録方法(主にスマートフォン)をご紹介しますが、iOS の場合は事前に Microsoft Intune へ Apple Push Notification サービス(APNs)証明書を登録する必要があります。

*AppleIDとパスワードをご用意ください。

Intune 管理画面で、[管理者] – [モバイル デバイス管理] – [iOS および Mac OS X] をクリックし、[iOS および Mac OS X モバイル デバイス管理のセットアップ] 画面で、[iOS および Mac OS X プラットフォームを有効にする] リンクをクリックします。

active

[APNs 証明書のアップロード] 画面で、[APNs 証明書要求のダウンロード] をクリックします。

upload

証明書署名要求 (.csr) ファイルを任意の場所(デスクトップなど)へ名前をつけて保存します。

次に[APNs 証明書のアップロード] 画面で、[Apple Push Certificate Portal] をクリックし、所有している Apple ID / Password を入力し、サインインを行います。

Appleportal

[Certificates for Third-Party Servers] 画面で、[Create a Certificate] をクリックします。

NewCreatecer

[Terms of User]画面で、[I have read and agree to these terms and conditions.]にチェックをオンにして [Accept] をクリックします。

[Create a New Push Certificate] 画面で、[参照] をクリックし[アップロードするファイルの選択] 画面で、前の手順で作成した APNs証明書要求ファイル (ここでは、ダウンロード フォルダーの ios.csr ファイル) を選択します。

「created<xxxxx>.json」 ファイルを名前を付けて保存し、[Create a New Push Certificate] 画面はキャンセルで次へすすみます。(少し時間がかかることがあります。)

[Apple Push Certificates Portal] 画面で、表示されている証明書の [Download] をクリックしpem  ファイルを保存するメッセージが表示されたら、ファイル名を付けて保存 をします。

Microsoft Intune 管理画面に戻り、[APNs 証明書のアップロード] 画面で、[APNs 証明書のアップロード] をクリックします。

upload2

[APNs 証明書のアップロード] 画面で、[APNs 証明書] 欄の [参照] をクリックし APNs 証明書 (pem ファイル)を選択します。

[APNs 証明書のアップロード] 画面で、[Apple ID] を入力し、[アップロード] をクリックします。

[iOS モバイル デバイス管理のセットアップ] 画面で、登録準備完了という表示が確認できます。

complete

これで事前準備は完了です。

 

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune 入門編③ ~Microsoft IntuneへのWindows PC登録 ~(Windows 10)

2016年8月2日より、Windows 10 Anniversary Update が提供予定だそうです。

ということで、今回は Windows 10 の Microsoft Intune へのデバイス登録を確認してみましょう。(Windows 10 Insider Program OS Version 1607 ,OS ビルド14393.5 を利用しています)

Windows 10 には [Azure AD へ参加] をクリックすることで、PC を Azure AD へ登録することができます。手順は非常に簡潔です。

①Windows 10 スタートメニューから [設定] -[システム] – [バージョン情報] から [Azure AD へ参加] あるいは、 [設定] – [アカウント] – [職場または学校へのアクセス] – [接続] – [Azure AD へ参加] をクリックします。

②サインイン情報を入力します。

signin

③[これがあなたの組織ネットワークであることを確認してください] で、[参加する] をクリック。

check

④[これで完了です] で[完了] をクリックします。

end

⑤ Azure ポータル(Azure AD )を確認すると、サインインしたユーザーのデバイス情報としてWindows 10 が登録されていることが確認できます。

azuread

⑥Microsoft  Intune 管理画面にも登録されていることが確認できます。※一覧に表示されるのに数時間かかる場合があります。

ichiranall

Windows 10 の登録手順は非常に簡単です。でも結果をすぐに確認する必要がある場合は、前回投稿した旧バージョンのWindows PCの登録方法も利用可能ですので、状況に応じて使い分けてください。