条件付きアクセスのデバイスフィルタを使ってみる！

Transcript

1. 条件付アクセスの デバイスフィルタ を活用してみる！ 2021/11/22 三井情報株式会社 若間 弘典

2. はじめに • 本発表の内容はあくまで個人的な意見や 体験であり、 会社としての正式な見解や意見では一切ありません。

3. 自己紹介 • 名前： 若間 弘典 (Hironori Wakama) • 所属：三井情報株式会社 •

   主に触っているモノ • Microsoft Intune(デバイス管理) • Azure AD条件付きアクセス(アクセス制御) • Power PlatformやAzureを使った自動化 • 趣味：触っているモノと大体いっしょ • 自宅環境：Microsoft 365 E5導入済み • 本発表の一般人枠(MVPの方々が多すぎて畏れ多い・・・)

4. Microsoft Ignite と 私

5. Microsoft Ignite が今年もやってきてました おなじみ

6. どこから見ようか？

7. やはりサティア・ナデラさんのOPから 視聴計画立てて入念に・・・？

8. いや違う

9. 私は好きなものは先に食べる男

10. 興味あるところから見るのがポリシー

11. つまりはここらへん

12. とりあえずこれから見ていこう

13. 条件付きアクセス周りもいっぱい更新

14. でも予定が多い・・・

15. ん？

16. 新機能がGAだ！

17. 条件付きアクセスとは？(おさらい) デバイスやユーザーの状態を基にクラウドアプリへのアクセス制御を行うツール セキュリティ回りを触ると必ず行きつく機能

18. アクセス禁止 アクセス許可 これまでの条件付きアクセス アクセス制御は「誰が」「どこから」「どこへ(どのアプリ？)」がメインだった

19. これまでの条件付きアクセス + Intune アクセス禁止 アクセス許可 Intuneを併用すると「どんなデバイス？」を条件に加えることができた

20. アクセス禁止 アクセス許可 これまでの条件付きアクセス + デバイスフィルタ(?) どうやらデバイスフィルタを使うと条件に「デバイス」が使えるようになるらしい

21. なるほど

22. 条件付きアクセスでデバイスを 条件として使えるようになったのか、と。

23. ・・・

24. Intune要らなくなった？

25. どうしたMicrosoft

26. Intune愛好家を見捨てるのか

27. いやそんなことはない

28. Intuneとデバイスフィルタは全然違うんだろう！

29. 調べなければ！

30. デバイスフィルタを！ あとIntuneの生き残る道。

31. こうして

32. 私はデバイスフィルタの検証へ

33. なので Microsoft Ignite と 私

34. 実は条件付きアクセス の新機能以外 あまり調べられていなかったりする Microsoft Ignite と 私 (あとIntune)

35. 皆さんの発表やオススメを参考に他も見ていこうかな、と思います！ Microsoft Ignite と 私

36. 今日は 条件付きアクセスのデバイスフィルタを 触ってみた結果/考えてみた活用方法を共有 というわけで

37. 1. Intuneとの違いはなんだ？ 2. デバイスフィルタだからできることってなんだ？

38. 1. Intuneとの違いはなんだ？ 2. デバイスフィルタだからできることってなんだ？

39. Intune vs デバイスフィルタ

40. Intune (コンプライアンスポリシー)で設定できる条件 • デバイスの正常性 • BitLocker • セキュアブート • コード整合性

    • ＯＳバージョン • 最小/最大 • 暗号化 • ファイアウォール • ＴＰＭ • ウィルス対策 • スパイウェア対策 • パスワード • Defender マルウェア対策 • リアルタイム保護 • MDEのマシンリスクスコア

41. デバイスフィルタ で設定できる条件 • デバイスID • デバイス名 • デバイス所有者 • Intune準拠状況

    • Manufacturer • Model • Operating System • Operating System Version • 物理ID • Profile Type • System Labels • Trust Type • Extension Attribute1 - 15

42. Intune vs デバイスフィルタ • デバイスID • デバイス名 • デバイス所有者 •

    Intune準拠状況 • Manufacturer • Model • Operating System • Operating System Version • 物理ID • Profile Type • System Labels • Trust Type • Extension Attribute1 - 15 • デバイスの正常性 • BitLocker • セキュアブート • コード整合性 • ＯＳバージョン • 暗号化 • ファイアウォール • ＴＰＭ • ウィルス対策 • スパイウェア対策 • パスワード • Defender マルウェア対策 • リアルタイム保護 • MDEのマシンリスクスコア 思っていた以上に全然違っていた

43. Intune vs デバイスフィルタ デバイスに対する細かな社内ルールを設定し 社内ルールを満たしたデバイスのみアクセスを許可したい Intuneが必要 • デバイスID • デバイス名

    • デバイス所有者 • Intune準拠状況 • Manufacturer • Model • Operating System • Operating System Version • 物理ID • Profile Type • System Labels • Trust Type • Extension Attribute1 - 15 • デバイスの正常性 • BitLocker • セキュアブート • コード整合性 • ＯＳバージョン • 暗号化 • ファイアウォール • ＴＰＭ • ウィルス対策 • スパイウェア対策 • パスワード • Defender マルウェア対策 • リアルタイム保護 • MDEのマシンリスクスコア

44. Intune vs デバイスフィルタ Model名やManufacturerといった値はIntuneから参照している様子。 デバイスフィルタを最大限活かすなら… Intuneが必要 • デバイスID • デバイス名

    • デバイス所有者 • Intune準拠状況 • Manufacturer • Model • Operating System • Operating System Version • 物理ID • Profile Type • System Labels • Trust Type • Extension Attribute1 - 15

45. Intune要らなくなった？ つまり

46. Intune要らなくなった？ Intune ≠ デバイスフィルタ 設定項目も狙っている役割も全然違う

47. Intune要らなくなった？ Intuneはこれからも必要だった デバイスフィルタとも仲良くなれそうです

48. 1. Intuneとの違いはなんだ？ 2. デバイスフィルタだからできることってなんだ？

49. これまでの条件付きアクセスの設定 と限界 許可されていない場所からのアクセスはブロック ⇒同じ場所+同じOS+同じアプリからならどれでもOK OUT

50. これまでの条件付きアクセスの設定 社内ルールを守らないデバイスはブロック ⇒社内ルールを守っているデバイスならどれでもOK! with Intune OUT

51. これまでの条件付きアクセスの設定 どれか1つだけアクセスさせることはできない with Intune コレ

52. これまでの条件付きアクセスの設定 この二つの区別はできない。なぜ？ with Intune コレ 特定のＰＣからだけ管理ポータルに アクセスできるようにして欲しいな (なっ、それはIntuneではできない…) なんで必要なんですか？

53. これまでの条件付きアクセスの設定 この二つの区別はできない。なぜ？ with Intune コレ コレ 管理専用ＰＣが1台あるんだ。管理者はそのPC から管理者用アカウントを使って操作するの。 それがうちのルールだから。 あー

    ※実際結構多い要望だと思います OUT..ではないけどアクセス禁止したい 管理専用PC

54. これまでの条件付きアクセスの設定 この二つの区別はできない。なぜ？ with Intune コレ コレ 管理専用ＰＣが1台あるんだ。管理者はそのPC から管理者用アカウントを使って操作するの。 それがうちのルールだから。 あー

    ※実際結構多い要望だと思います OUT..ではないけどアクセス禁止したい 管理専用PC 「あ、それできないんですよ。すいません…」

55. これまでの条件付きアクセスの設定 この二つの区別はできない。なぜ？ with Intune コレ コレ 管理専用ＰＣが1台あるんだ。管理者はそのPC から管理者用アカウントを使って操作するの。 それがうちのルールだから。 あー

    ※実際結構多い要望だと思います OUT..ではないけどアクセス禁止したい 管理専用PC

56. これまでの条件付きアクセスの設定 この二つの区別はできない。なぜ？ with Intune コレ コレ 管理専用ＰＣが1台あるんだ。管理者はそのPC から管理者用アカウントを使って操作するの。 それがうちのルールだから。 あー

    ※実際結構多い要望だと思います OUT..ではないけどアクセス禁止したい 管理専用PC これからはデバイスフィルタで実現できる でも

57. デバイスフィルタ でできる設定 • デバイスID • デバイス名 • デバイス所有者 • Intune準拠状況

    • Manufacturer • Model • Operating System • Operating System Version • 物理ID • Profile Type • System Labels • Trust Type • Extension Attribute1 - 15

58. デバイスフィルタ でできる設定 • デバイスID • デバイス名 • デバイス所有者 • Intune準拠状況

    • Manufacturer • Model • Operating System • Operating System Version • 物理ID • Profile Type • System Labels • Trust Type • Extension Attribute1 - 15 ユーザーが好きな文字列を入れられる上、 条件付きアクセスで条件に指定できる

59. デバイスフィルタ からExtensionAttributeを利用する ExtensionAttribute に“ManagePC”と設定 こっちからは アクセスできる こっちからは アクセスできない

60. デバイスフィルタ からExtensionAttributeを利用する ポータルから設定するところが ないのでGraph APIで設定

61. 1. Intuneとの違いはなんだ？ 2. デバイスフィルタだからできることってなんだ？

62. Intune と デバイスフィルタを 組み合わせることで 今後は

63. 管理者ロールがあるアカウントに対し・・・ 1. MFA要求に対応できるユーザーが使っていて 2. 許可された場所(会社の出口IPアドレス)から使っていて 3. 社内ルール(Intune)を満たしているデバイスで 4. その中の特定デバイスからアクセスした時のみ アクセス許可

    することができるようになります！

64. 今日皆様に伝えたかったこと Microsoft Ignite 2021でGA告知がなされたデバイスフィルタは… 1. デバイスフィルタ≠Intuneであること。Intune併用するとさらに細かな制御ができるように！ 2. デバイスフィルタを使えばユニークなデバイスを狙い撃ちしたポリシーも実装可能。 デバイスフィルタを使って 自宅の

    条件付きアクセスを見直そう！ イベント終わったらそのまま

65. 以上

66. ご清聴ありがとうございました。