Microsoft Intune によるモバイルデバイスのマルウェア対策(後編)

Intuneと連携するためのLookoutの設定

前回の投稿で、IntuneとLookOutの連携を行うためにLookOutのサポートへ連絡をしました。2営業日後、無事にLookOutのMTPへアクセスが可能になったというメールが届きました。

①Lookoutダッシュボードへログイン

早速以下のURLへアクセスしLookOutの設定を行います。

https://aad.lookout.com

ディレクトリへのアクセス許可を促すページが表示されます。【承諾】をクリックします。

すると、このようなLookout MTP ダッシュボード画面が表示されます。
ポリシーのカスタマイズも可能です。

 

②Intuneコネクタの設定

システムメニューから「コネクタ」タブへ移動します。「コネクタを設定」画面で、[コネクタを追加]をクリックし、[Intune] を選択します。

「コネクタを設定」画面で、[コネクタを作成]をクリックします。

[変更を保存]メッセージが表示されたら、[閉じる] ボタンから画面を閉じます。コネクタが接続は完了です。Intune管理画面から[Lookoutの状態]メニューが利用できることが確認できます。

 

③デバイスへLookoutアプリを展開

今回はAndroidデバイスへ展開してみます。左メニューから[アプリ] – [アプリの追加]をクリックします。「セキュリティ警告」「画面が表示されたら[続行]をクリックします。ソフトウェアパブリッシャー画面にサインインします。

「開始する前に」画面で[次へ]をクリックします。「ソフトウェアセットアップ」画面で[外部リンク]を選択し、URLを入力し[次へ]をクリックします。

名前に[Lookout for work]、発行元、説明を適宜入力し、カテゴリで[コンピューターの管理]を選択し、[次へ]をクリックします。

概要画面で表示された内容を確認し[アップロード]をクリックします。「Microsoft Intune にデータが正常にアップロードされました」画面で、[閉じる]をクリックします。Intuneの管理コンソールでアップロードしたアプリが表示されていることが確認できます。

表示されたリストを右クリックし、[展開の管理]をクリックします。展開するグループを選択し[次へ]をクリックします。承認欄で[利用可能なインストール]あるいは[必須のインストール]を選択し、[完了]をクリックします。

Intune管理コンソール左メニューから[ポリシー]を選択し、コンプライアンスポリシーを作成します。「デバイスの脅威保護」欄で、「デバイス脅威保護を有効にする」を有効にし、[許容される最大脅威レベル]を高、中、低から選択し[ポリシーの保存]をクリックします。

「条件つきアクセス」ポリシーよりLookoutからマルウェアが検出されたデバイスに対し適応させるポリシーを設定します。

会社から配布したモバイルデバイスに対し、感染状況を把握し社内リソースを守ることが可能になりました。

現在は、Lookout側の設定画面を利用するにはメールによるやり取りが必要となるため、若干のタイムラグが発生することを考慮する必要があります。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune によるモバイルデバイスのマルウェア対策(前編)

Lookout というモバイルセキュリティに定評のある企業と Microsoft が、2016年秋にパートナー提携を行いました。

<プレスリリース>

その結果、Microsoft Intuneに「Lookout」の製品を組み込みさらなるモバイルデバイスのセキュリティ強化が実現しました。どのような機能があるかをざっくりご紹介します。

Intuneの設定(ポリシー)に「条件付きアクセス」という項目があります。

ここでは、Office 365関連サービスを利用するための条件(どのグループのメンバーか?

どんな状態のデバイスからのアクセスか?などなど)を決めることができます。

Lookout」の機能で、モバイルデバイスにマルウェアなどの感染やマルウェア関連と推測されるアプリが発された場合、Lookout はその検出されたデバイスの情報を Intune へ送ります。

Intune では、「条件付きアクセス」で設定した内容で、例えばそのモバイルデバイスからは、ドキュメントやメール利用などのブロックを即座に行うことができるようになります。

 

[主なブロック例]

・会社のメール(Exchange Online ) の利用をブロック

・共有ドキュメント(Sharepoint Online / Onedrive for Business)へのアクセスをブロック

・社内Wifiへの接続をブロック

など

※利用可能なデバイス

Android 4.1以降  / iOS 8 以降

この機能を利用するには、Lookoutのサポートへ申請が必要です。メールでアカウント作成(サブスクリプション登録)の依頼をします。すると、だいたい2営業日程度で返信が届きます。

Azure AD上の必要な情報を送付する必要があるようです。送付されてくるPDFファイルにどのようにIDを取得すればよいか、詳細な手順が記載されています。

  • AAD Tenant ID

Azure AD からテナントを指定した状態のときに、ブラウザに表示されるURLの中にテナントIDがふくまれています。こちらもご参照下さい。URL で /directoryQuickStart の手前の部分がテナント ID です。

  •  Group Object ID

グループ – プロパティを選択すると、「オブジェクトID」がありますので、その情報をコピーします。

あとはこの情報をLookout Support Team へ送ります。

登録が完了すると、LookOut MTP ポータルにアクセスができるようになりますので、登録完了メールをまちます。

※最初のメールにAzure ADのテナントIDとグループオブジェクトIDを記載しておけば、その分、手続きの手間は省けます。

※年末年始のタイミングなので、通常より日数がかかるかもしれませんが、後編は完了メールが届いたらアップしようと思います。

Office 365 のモバイルデバイス管理(MDM)設定

今回は、Office 365 MDMの設定手順をご紹介します。設定可能な項目や注意事項などは前回の投稿をご参照ください。

まずはOffice 365 管理画面から [Security&Compliance] – [セキュリティポリシー] – [デバイス管理] 画面へ遷移します。

start

[Mobile Device management for Office 365 のセットアップ] 画面で、「始めましょう」をクリックします。アクティブ化が完了すると、設定画面が表示されます。

manage2

右上の[設定の管理] をクリックすると、[モバイルデバイス管理の設定] ダイアログが表示されます。

config

iOS デバイスの管理を行う場合は、iOS デバイス用 APN 証明書の構成 でセットアップをクリックします。ここで証明書の設定を行います。

まずは、証明書要求ファイルのダウンロードです。

cerdownload

次にAppleのポータルサイトへ移動し、証明書の作成・ダウンロードしたcerファイルのアップロードと続きます。最後に作成された証明書をダウンロードします。その後、Office 365 画面へ戻り、ダウンロードした証明書(pemファイル)を登録(アップロード)します。

この手順は以前投稿した Microsoft Intuneのモバイルデバイスの登録準備と同様の流れですね。

つぎに、デバイス セキュリティ ポリシー の管理 を行います。

[セキュリティ] – [セキュリティポリシー] – [デバイスのセキュリティポリシー] から設定を行います。

1

設定したポリシーは、Office 365 セキュリティグループに対して割り当てます。デバイス管理対象ユーザーは事前にセキュリティグループを作成し、メンバーに登録しておきます。

tenkai.GIF

最後にモバイルデバイスでOutlookアプリをインストールし、セキュリティグループに登録したユーザーのアカウントを設定しようとすると、Microsoft Intune ポータルアプリをインストールするように促されますので、ウィザードに従ってインストールを完了させます。(Androidデバイスの場合も同様です。)

20160825_131940000_iOS

[会社へのアクセスセットアップ] 画面が表示されるので、「開始」をクリックし、あとはウィザードに従って [次へ] をクリックしていきます。

20160825_134206000_iOS

Office 365 デバイス管理画面に登録されていることが確認できます。ここから該当デバイスのフルワイプ(工場出荷時状態)や選択式ワイプ(会社データのみ削除。個人データやアプリは保持)の実行が可能です。

List

Office 365 商用のサブスクリプションであれば別途費用がかからずに利用できます。試用版でも利用可能なので、 会社配布のモバイルデバイスを利用される場合はぜひ試してみてください。

 

 

 

 

 

Microsoft Intune 入門編④ ~モバイルデバイスの登録(準備編)~

今回はMDMらしく、Microsoft Intune へ管理対象のモバイルデバイスの登録方法(主にスマートフォン)をご紹介しますが、iOS の場合は事前に Microsoft Intune へ Apple Push Notification サービス(APNs)証明書を登録する必要があります。

*AppleIDとパスワードをご用意ください。

Intune 管理画面で、[管理者] – [モバイル デバイス管理] – [iOS および Mac OS X] をクリックし、[iOS および Mac OS X モバイル デバイス管理のセットアップ] 画面で、[iOS および Mac OS X プラットフォームを有効にする] リンクをクリックします。

active

[APNs 証明書のアップロード] 画面で、[APNs 証明書要求のダウンロード] をクリックします。

upload

証明書署名要求 (.csr) ファイルを任意の場所(デスクトップなど)へ名前をつけて保存します。

次に[APNs 証明書のアップロード] 画面で、[Apple Push Certificate Portal] をクリックし、所有している Apple ID / Password を入力し、サインインを行います。

Appleportal

[Certificates for Third-Party Servers] 画面で、[Create a Certificate] をクリックします。

NewCreatecer

[Terms of User]画面で、[I have read and agree to these terms and conditions.]にチェックをオンにして [Accept] をクリックします。

[Create a New Push Certificate] 画面で、[参照] をクリックし[アップロードするファイルの選択] 画面で、前の手順で作成した APNs証明書要求ファイル (ここでは、ダウンロード フォルダーの ios.csr ファイル) を選択します。

「created<xxxxx>.json」 ファイルを名前を付けて保存し、[Create a New Push Certificate] 画面はキャンセルで次へすすみます。(少し時間がかかることがあります。)

[Apple Push Certificates Portal] 画面で、表示されている証明書の [Download] をクリックしpem  ファイルを保存するメッセージが表示されたら、ファイル名を付けて保存 をします。

Microsoft Intune 管理画面に戻り、[APNs 証明書のアップロード] 画面で、[APNs 証明書のアップロード] をクリックします。

upload2

[APNs 証明書のアップロード] 画面で、[APNs 証明書] 欄の [参照] をクリックし APNs 証明書 (pem ファイル)を選択します。

[APNs 証明書のアップロード] 画面で、[Apple ID] を入力し、[アップロード] をクリックします。

[iOS モバイル デバイス管理のセットアップ] 画面で、登録準備完了という表示が確認できます。

complete

これで事前準備は完了です。

 

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune 入門編③ ~Microsoft IntuneへのWindows PC登録 ~(Windows 10)

2016年8月2日より、Windows 10 Anniversary Update が提供予定だそうです。

ということで、今回は Windows 10 の Microsoft Intune へのデバイス登録を確認してみましょう。(Windows 10 Insider Program OS Version 1607 ,OS ビルド14393.5 を利用しています)

Windows 10 には [Azure AD へ参加] をクリックすることで、PC を Azure AD へ登録することができます。手順は非常に簡潔です。

①Windows 10 スタートメニューから [設定] -[システム] – [バージョン情報] から [Azure AD へ参加] あるいは、 [設定] – [アカウント] – [職場または学校へのアクセス] – [接続] – [Azure AD へ参加] をクリックします。

②サインイン情報を入力します。

signin

③[これがあなたの組織ネットワークであることを確認してください] で、[参加する] をクリック。

check

④[これで完了です] で[完了] をクリックします。

end

⑤ Azure ポータル(Azure AD )を確認すると、サインインしたユーザーのデバイス情報としてWindows 10 が登録されていることが確認できます。

azuread

⑥Microsoft  Intune 管理画面にも登録されていることが確認できます。※一覧に表示されるのに数時間かかる場合があります。

ichiranall

Windows 10 の登録手順は非常に簡単です。でも結果をすぐに確認する必要がある場合は、前回投稿した旧バージョンのWindows PCの登録方法も利用可能ですので、状況に応じて使い分けてください。

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune 入門編② ~Microsoft IntuneへのWindows PC登録 ~(Windows 7 / 8/8.1)

前回に引き続き今回はMicrosoft Intuneへのデバイス(Windows 7 / 8 / 8.1) の登録方法を確認します。

方法としては、[管理者が登録する]方法と、[PC利用ユーザーが自分で登録する]方法 のどちらかを選択することができます。

 [管理者が登録する]

  1. Microsoft Intune 管理コンソールで、[管理者] > [クライアント ソフトウェアのダウンロード] をクリックします。

client

 

2.[クライアント ソフトウェアのダウンロード] ページで、[クライアント ソフトウェアのダウンロード] をクリックし、ソフトウェアを含む Microsoft_Intune_Setup.zip パッケージをコンピューター上へ保存し、展開します。Microsoft_Intue_Setup.exe をダブルクリックし、セットアップウィザードの指示に従ってインストールを実行します。

3.Microsoft Intune 管理コンソールから左ペイン [グループ] – [すべてのコンピューター] – [デバイス] の一覧にインストールを実行したコンピューター名が表示されていることが確認できます。(数分時間がかかる場合があります)

ichiran

このままでは、だれがこのデバイスの利用者か判断ができません。

よって一覧から該当するPCを選択し、[ユーザーの関連付け] をクリックし該当するユーザーを選択します。

これで登録が完了しました。

[PC利用ユーザーが自分で登録する]

1.登録するユーザーアカウントでポータルサイト(https://portal.manage.microsoft.com)にアクセスします。

2.ポータルサイトで、[別のデバイスを選択するにはここをタップしてください]をクリックします。

apli

3.[このデバイスの登録または特定] 画面で [登録] をクリックします。

complite

この方法は、ポータルサイトにログインした時点で、すでにそのPC利用者が識別できているので、登録作業はこれで完了となります。

社内ユーザーの状況に応じて、いずれかの手段でデバイスの登録を行って下さい。

Windows 10 の場合はまたほかの登録手法がありますので、次回はそちらをご紹介します。