Microsoft 365 Business Premium でゼロトラストに対応する方法

Microsoft 365 の中小企業向けのプランであるBusiness Premiumには、Intune と Azure AD Premium P1 のライセンスが含まれています。

このプランを使ってゼロ トラストにどこまで対応できるか整理してみます。「ゼロトラスト」とは、「すべてを疑う」観点から考案されたクラウド時代のセキュリティ戦略です。

組織のデータ	セキュリティ戦略
オンプレミス	ファイアーウォール
クラウド	ゼロトラスト

• Microsoft 365 ゼロ トラスト展開プラン
• 一般的なゼロ トラスト ID ポリシーとデバイス アクセス ポリシー

目次

今回の実施範囲

Microsoft 365 ゼロ トラスト展開プランに従って、最も基本的な部分の「ゼロトラストファンデーション」のうち、Enterprise レベルまでの実装をします。

Starting Point レベルの実装

MFA の有効化

Azure AD のセキュリティより条件付きアクセスを追加します。 尚、リスクに応じて MFA を要求する機能を利用するには Azure AD Premium P2 が必要なため、P1 が前提の場合はすべてに MFA を有効化します。

最初に Azure AD のセキュリティの既定値を無効化します。これは条件付きアクセスによってセキュリティをカスタマイズするためです。

次に条件付きアクセスで MFA を要求するポリシーを追加します。

MFA をサポートしていないクライアントをブロック

同様に、Azure AD のセキュリティより条件付きアクセスを追加します。

アプリ保護ポリシーの設定

Windows/iOS/Android に設定して情報漏洩を防ぎます。 マイクロソフトではあらかじめ 3 つのレベルのデータ保護フレームワークを定めており、ゼロトラストではレベル 2を推奨しています。

尚、アプリ保護ポリシーの実装にはデバイスの Intune への登録は必要ありません。

最初にエンドポイントマネージャー(Intune)よりアプリ保護ポリシーを作成します。 例えば、iTunes/iCloud へのバックアップを禁止します。

次に Azure AD の条件付きアクセスで「承認されたクライアントアプリ」と「アプリの保護ポリシー」にチェックを入れます。

Enterprise レベルの実装

Intune へのデバイスの登録

例えば、iOS はアプリストアから Intune ポータルサイトアプリをダウンロードして登録します。

コンプライアンスポリシーの設定

コンプライアンスポリシーとは、例えば Windows のバージョンや iOS の PIN コードについてデバイスが準拠すべき組織のポリシーを定めたものです。

最初にエンドポイントマネージャー(Intune)よりコンプライアンスポリシーを作成します。 例えば、iOS のロック解除時にパスワードを要求します。

次に Azure AD の条件付きアクセスで「デバイスは準拠しているとマーク済みである必要があります」にチェックを入れます。

まとめ

Microsoft 365 Business Premium を利用して、ゼロトラストの基礎的な部分を実装することができました。

• Azure AD Premium P1 の機能である「条件付きアクセス」がゼロトラスト構成の中心的役割を果たします。
• Intune は「アプリ保護ポリシー」や「コンプライアンスポリシー」を通じて条件付きアクセスに結果を渡す役割を果たします。

尚、大企業向けの Microsoft 365 E3/E5 でも上記の実装は可能です。