Intuneのコンプライアンスポリシー設計ガイド ― デバイスの「準拠」「非準拠」を定義し条件付きアクセスと連携する
Intuneにデバイスを登録しただけでは、セキュリティは向上しません。「このデバイスはセキュリティ要件を満たしているか」を判定するコンプライアンスポリシーを設定し、条件付きアクセスと連携して「準拠デバイスのみM365にアクセス許可」とすることで、ゼロトラストのデバイス保護が実現します。
コンプライアンスポリシーとは
コンプライアンスポリシーは、デバイスが満たすべきセキュリティ要件を定義するルールです。ポリシーに合致するデバイスは「準拠」、合致しないデバイスは「非準拠」と判定されます。
設定すべき主な条件
Windows デバイス
- OSの最小バージョン: サポート切れのWindows 10を排除。例:「Windows 11 23H2以上」
- BitLockerの有効化: ディスク暗号化が有効であること
- ファイアウォールの有効化: Windows Defenderファイアウォールがオンであること
- ウイルス対策の有効化: リアルタイム保護がオンであること
- パスワード要件: パスワードの最小文字数、複雑さの要件
iOS / Android デバイス
- OSの最小バージョン: 古いOSの脆弱性を排除
- 脱獄 / root化の検出: 脱獄(Jailbreak)またはroot化されたデバイスを非準拠に
- 画面ロックの要件: PINまたは生体認証による画面ロック必須
- デバイスの暗号化: ストレージ暗号化が有効であること
条件付きアクセスとの連携
コンプライアンスポリシー単体では「準拠/非準拠を判定する」だけです。実際にアクセスを制御するには、条件付きアクセスポリシーで「準拠デバイスを要求」を設定します。
推奨構成:
- 準拠デバイス → フルアクセス(Officeデスクトップ版、ファイルダウンロード含む)
- 非準拠デバイス → ブラウザアクセスのみ許可、ダウンロード禁止(アプリの条件付きアクセスセッション制御)
- 未登録デバイス → MFA必須+ブラウザのみ
この構成なら、BYODからの業務を完全にブロックせず、制限付きで許可できます。
非準拠時のアクション
デバイスが非準拠になった場合のアクションを段階的に設定できます。
- 即時: ユーザーにメール通知(「デバイスが要件を満たしていません」)
- 3日後: 非準拠のままならアクセスをブロック
- 7日後: 非準拠のままならデバイスを「廃止」状態に
猶予期間を設けることで、ユーザーが自分で対応(OSアップデート、BitLocker有効化等)する機会を与えます。
導入のステップ
Step 1: コンプライアンスポリシーを「レポートのみ」モードで作成し、現在の非準拠デバイス数を把握
Step 2: 非準拠デバイスの所有者に個別に対応を依頼(OSアップデート、暗号化有効化等)
Step 3: 非準拠率が十分に下がったら、条件付きアクセスで「準拠デバイスを要求」を有効化
まとめ
コンプライアンスポリシーは「デバイスの健全性を定義するルール」、条件付きアクセスは「ルールに基づいてアクセスを制御する仕組み」です。両者を連携させることで、ゼロトラストのデバイス保護が完成します。
情シス365では、Intuneのコンプライアンスポリシー設計と条件付きアクセス連携を支援しています。お気軽にご相談ください。