注目

PCへのサインインを厳重にする方法


PCへのサインインを二要素認証にする(顔認証、指紋認証、Web認証、PIN、パスワード等の二つを組み合わせる)等、様々な方法が選択できます。今回は記憶(パスワード、PIN)だけでなく、所有物(スマートフォン)を利用した認証方法をご紹介します。

・地球儀のマークをクリックする

・パスワードを入力した後に、スマートフォンに承認の通知がきますので承認を押します。

WebSignin を有効化する方法

  1. Intune にサインインします。
  2. [デバイス構成] > [プロファイル] > [プロファイルの作成] の順に選択します。
  3. 次の設定を入力します。
    • 名前: Websignin profileのようにプロファイルの名前を入力します。
    • 説明: プロファイルの説明を入力します
    • [プラットフォーム] : [Windows 10 以降] を選択します。
    • プロファイルの種類[カスタム] を選択します。
  4. [OMA-URI のカスタム設定] で、 [追加] を選択します。 次の設定を入力します。
    • 名前: OMA-URI 設定の一意の名前を入力すると、設定リスト内で容易に識別できます。
    • 説明: 設定の概要および他の重要な詳細がわかる説明を入力します。
    • OMA-URI (大文字と小文字を区別): [./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn] を指定します。
    • データ型: ・データ型は整数を指定します
    • : 1 (=有効) を指定します
  5. [OK] を選択して変更を保存します。 必要に応じて他の設定の追加を続けます。
  6. 終わったら、 [OK] > [作成] を選択して Intune プロファイルを作成します。 完了すると、プロファイルが [デバイス構成 – プロファイル] の一覧に表示されます。

作成したプロファイルを [Device] に対して割り当てます。

事前に Azure AD 上で対象となるクライアント デバイスを所属させたグループを作成しておくとスムーズです。

作成したプロファイルの [割り当て] メニューより適用対象のグループをご指定ください。

上記プロファイルが適用されたクライアントでは、Windows ログオン画面の Sign-in options に地球マークが増えます。

こちらを選択して上部の [Sign in] をクリックすると、Web サインイン画面 (=ブラウザ) が表示されるようになります。

社外からのアクセスはMFA(多要素認証)を要求する

・社内のネットワークからはMFA(多要素認証)は要求されない
・社外のネットワークからはMFA(多要素認証)が要求される

1. Azure ポータルに (https://portal.azure.com) Azure AD のグローバル管理者アカウントでサインインします。

2. 左メニューの [Azure Active Directory] をクリックします。

3. [セキュリティ] – [ネームド ロケーション] をクリックします。

4. [新しい場所] をクリックします。

5. [名前] に任意の名前を入力します。

6. [IP 範囲] に Azure AD へのアクセスを許可するアクセス元のグローバル IP アドレス範囲 (今回の場合、会社のグローバル IP) を入力します。(例: 10.0.0.1/32)

7. [作成] をクリックします。

8. [条件付きアクセス] をクリックします。

9. [新しいポリシー] をクリックします。

10. [名前] に任意の名前を入力します。

11. [ユーザーとグループ] の [対象] タブで 管理者を複数または管理者グループを指定します。

12. [完了] をクリックします。

13. [クラウド アプリ] の [対象]タブで、「Office 365 SharePoint Online 」と「Office 365 Exchange Online 」を選択します。

14. [条件] で [場所] を選択し、次の設定をします。

    ・ 構成:”はい” を選択します

    ・ [対象] タブ:”すべての場所” をチェックします

    ・ [対象外] タブ:”選択された場所” をチェックし、作成したネームド ロケーション (名前付きの場所) を選択します。

15. [アクセス制御] で「多要素認証を要求する」を選択します。

16. [ポリシーの有効化] をオンにします。

Office365運用保守サービス

ヘルプデスク対応

この画像には alt 属性が指定されておらず、ファイル名は security9-e1536132174697.jpg です
ヘルプデスク問い合わせ電話やメールでの問い合わせを受け、電話、リモートデスクトップ等で対応致します。
PC障害の切り分けPCやアプリケーションの起動や、PCのネットワーク障害の切り分けを行います。
ライセンス管理ライセンス、サブスクリプションの管理を致します。
アクセス制限管理条件付きアクセス等のAzureADへのアクセス管理を致します。
IT資産管理IT資産管理のサポートを致します。
ID増減管理社員の増減に応じたユーザーID、PW管理を致します。

料金

~10台30,000円/月
11~20台50,000円/月
21~30台100,000円/月
31~40台150,000円/月
41台~別途御見積

※必要な要件によって、金額が上下するケースがありますので詳細についてはご相談ください。

※サービス導入月はサーバ構築費用として1カ月分の費用を初期費用として頂きます。

※ヘルプデスク対応時間は平日10:00-18:00となります。24時間365日の機械監視をご希望の方こちらをは別途オプションにて対応可能です。

Windows10Enterprise

Windows 10 Enterpriseは、Proライセンスをご利用の方にセキュリティと更新の追加機能とサービスを提供します。

Windows10 Enterprise E3
1ユーザあたり760円/月

Windows10 Enterprise E5
1ユーザあたり1200円/月

追加機能

Microsoft Defender Advanced Threat Protection (ATP)   セキュリティの統合管理と脅威インテリジェンス を提供するサービスです。 
Windows Defender Application GuardMicrosoft   Edgeの使用時に、マルウェアやハッキングの脅威を防ぎます。
Windows Defender Application Controlユーザー環境で実行できるアプリケーションをコントロールし、マルウェアや信頼できないアプリをブロックします。
Resilient File Systems (ReFS)ミラードライブの1つでデータの異常を検出し、他のドライブのデータの正常なコピーを使用してデータを修正し、保護します。
 ProEnterpriseE3EnterpriseE5
AzureActiveDirectory参加
MDM
ドメイン参加
Windowsストア管理
コルタナ管理
WindowsHello
Directaccess
Directguard
Upgrade Readiness
Update Compliance
Device Health
Credential Guard
Device Guard
Windows Defender Application Guard
Windows Defender Advanced Threat Protection(ATP)

Microsoft365

Microsoftが提供する、WordやExcel、Outlook、PowerPoint等のOfficeツールやグループウェア等をまとめたサービスです。加えて企業全体のドメイン管理も可能となります。WindowsDefenderATPを使用したい場合はE5、WIPを使用したい場合はE3、Intuneを利用したい場合はBusinessの様に様々なニーズに対応できる様にプランがわかれています。

Microsoft 365 Business

¥2,180ユーザー/月相当(年間契約)価格には消費税は含まれていません。

プラン名Microsoft 365 Business
価格2,180円/月
OSWindows 10 Business
Office 365Office 365 Business Premium
EMSIntune + Azure AD

Microsoft 365 E3

プラン名Microsoft 365 E3
価格3,690円/月
OSWindows 10 Enterprise E3
Office 365Office 365 Enterprise E3
EMSEMS E3

Microsoft 365 E5

プラン名Microsoft 365 E5
価格6,640円/月
OSWindows 10 Enterprise E5
Office 365Office 365 Enterprise E5
EMSEMS E5

プラン別ライセンス一覧

 Microsoft 365
Business		Microsoft 365 E3Microsoft 365 E5
Office○ Business○ ProPlus○ ProPlus
Exchange Online
SharePoint
Online		Excel・Visio Serviceの利用不可
OneDrivefor
Business Online
Office Online
Microsoft Teams
Yammer
Enterprise
Microsoft
Planner
Microsoft Flow
PowerApps
Delve
Stream
MyAnalyticsMicrosoft 365 Business用のMy Analyticsが利用 Microsoft 365 Business用のMy Analyticsが利用
Power BI Pro
Office 365
ATP
OSMicrosoft 365
Business		Microsoft 365 E3Microsoft 365 E5
Windows10
Licence		○ Business○ Enterprise○ Enterprise
WindowsDefender
ATP
Windows
Information
Protection
EMSMicrosoft 365
Business		Microsoft 365 E3Microsoft 365 E5
Microsoft Intune
Azure
Information
Protection		○ P1○ P1○ P2
Azure
ATP

Office365

Microsoftが提供する、WordやExcel、Outlook、PowerPoint等のOfficeツールやグループウェア等をまとめたサービスです。OfficeアプリケーションをPCへインストールする必要のないユーザ、独自ドメインを取得したい企業、Macで利用したいユーザ等、様々なニーズに対応できる様にプランごとの特徴があります。

Office 365 Business

¥900ユーザー/月相当(年間契約)価格には消費税は含まれていません。
プラン名Office 365 Business
価格900円/月
PCへのインストールword、Excel、Outlook、Powerpoint、Onedrive
ブラウザでのOffice利用 word、Excel、Outlook、Powerpoint、Onedrive
独自ドメインの利用×



Office 365 Business Premium

¥1,360ユーザー/月相当(年間契約)価格には消費税は含まれていません。
プラン名Office 365 Business Premium
価格1360円/月
PCへのインストールword、Excel、Outlook、Powerpoint、Onedrive
ブラウザでのOffice利用 word、Excel、Outlook、Powerpoint、Onedrive
独自ドメインの利用



Office 365 Business Essentials

¥540ユーザー/月相当(年間契約)価格には消費税は含まれていません。
プラン名Office 365 Business Essentials
価格540円/月
PCへのインストール×
ブラウザでのOffice利用 word、Excel、Outlook、Powerpoint、Onedrive
独自ドメインの利用×

プラン別ライセンス一覧

 Business
Essentials		BusinessBusiness
Premium
ExchangeOnline50GB×50GB
Microsoft Teams×
SharePoint
Online		×
Wordブラウザ使用
Excelブラウザ使用
PowerPointブラウザ使用
Outlookブラウザ使用
Skype for
Business		ブラウザ使用
Publisherブラウザ使用
Accessブラウザ使用
Mac版ブラウザ使用
OneDrive for
Business
Yammer
Enterprise		×

EMS

Microsoft EMS(Enterprise Mobility Suite)は、WindowsやMac、個人所有のPC・スマホといった様々なデバイスやOS、アプリといった煩雑になりがちなIT資産の管理と構成を一元的に管理することが可能となります。扱いの難しい、BYODにも対応ができ、デバイス、アプリ、ユーザ、データを適切・安全に管理、し企業のを守ります。

主機能

・デバイスのインベントリ情報の収集、管理
・アプリケーションのインベントリ情報の収集、管理
・デバイスのポリシー作成、運用管理
・アプリケーションのライセンス管理
・ユーザーIDの管理

管理ポータル画面

特徴

・PC、スマートフォン、タブレット対応 
・社員の私有持ち込み端末(BYOD)に対応
・端末の自動登録機能
・アプリケーションのリモートインストール・アンインストール機能
・モバイルデバイスの紛失・盗難時のための遠隔でデータを消去(リモートワイプ機能)
・端末とアプリのセキュリティポリシーを統合管理

対応している端末

  • Windows
  • Mac OS
  • iOS(iPhone、iPad)
  • Android

IT資産管理項目

・端末の管理項目

項目説明プラットフォーム
名前端末の名前(コンピュータ名等)
Windows、iOS
管理名コンソールでのみ使用される端末名。 この名前を変更しても、デバイス上の名前は変更されません。Windows、iOS
UDIDデバイスの一意のデバイス識別子Windows、iOS
Intune デバイス IDデバイスを一意に識別する GUIDWindows、iOS
シリアル番号製造元 端末 のシリアル番号Windows、iOS
共有デバイス(はい) の場合、 端末 が複数のユーザーで共有されますWindows、iOS
ユーザー承認済みの登録(はい)の場合、管理者が 端末 の特定のセキュリティ設定を管理できるようにする、ユーザー承認済みの登録が 端末 に含まれていますWindows、iOS
オペレーティング システム 端末 で使用されるオペレーティング システムWindows、iOS
オペレーティング システムのバージョン 端末 のオペレーティング システムのバージョンですWindows、iOS
オペレーティング システムの言語 端末 上のオペレーティング システムに設定された言語Windows、iOS
記憶域の合計容量 端末 の記憶域の合計容量 (ギガバイト)Windows、iOS
記憶域の空き容量 端末 の記憶域で未使用の容量 (ギガバイト)Windows、iOS
IMEIこの 端末 の International Mobile Equipment IdentityWindows、iOS、Android
MEID 端末 の Mobile Equipment IdentifierWindows、iOS、Android
製造元 端末 の製造元Windows、iOS、Android
モデル 端末 のモデルWindows、iOS、Android
電話番号この 端末 に割り当てられている電話番号(個人所有の場合、下4桁のみ表示)Windows、iOS、Android
通信事業者 端末 の無線通信事業者Windows、iOS、Android
通信方式 端末 で使用される無線システムWindows、iOS、Android
Wi-Fi MAC 端末 の MAC アドレスWindows、iOS、Android
ICCIDSIM カードの一意の識別番号である IC カードの識別子Windows、iOS、Android
登録日 端末 が Intune に登録された日時Windows、iOS、Android
最終接続日時 端末 が最後に Intune に接続された日時Windows、iOS、Android
アクティベーション ロックのバイパス コードアクティベーション ロックのバイパスに使用できるコードWindows、iOS、Android
Azure AD に登録済み(はい)の場合、デバイスが Azure Active Directory に登録されていますWindows、iOS、Android
コンプライアンス 端末 のコンプライアンスの状態Windows、iOS、Android
EAS アクティブ化(はい)の場合、 端末 デバイスが Exchange のメールボックスと同期されていますWindows、iOS、Android
EAS アクティブ化 ID 端末 の Exchange ActiveSync の識別子Windows、iOS、Android
監督下(はい)の場合、管理者が 端末 の制御を強化していますWindows、iOS、Android
暗号化(はい)の場合、 端末 に格納されているデータが暗号化されますWindows、iOS、Android

・アプリケーション管理項目

名前
種類
状態
割り当て済み
バージョン
作成日
説明
開発者
おすすめのアプリ
最終更新日時
詳細情報 URL
メモ
所有者
プラットフォーム
プライバシー情報 URL
発行元
ストア URL
アプリ ID

プランと価格

EMS E3EMS E5
【端末とアプリの管理
―統合された PC 管理
―統合されたオンプレミス管理
―Microsoft Office 365 の高度なデータ保護
―モバイル デバイス管理
―モバイル アプリケーション管理
【IDとアクセスの管理
―アクセス管理
―多要素認証
―条件付きアクセス
―セキュリティ レポート
高度なセキュリティ
―永続的なデータ保護
―インテリジェントなデータ分類とラベル付け
―Microsoft Cloud App Security
―Azure Advanced Threat Protection
¥950/月¥1,610/月

組織データのコピーをモバイルへ保存禁止

想定されるケース

・個人用スマホを業務に利用するケース(BYOD)

・会社支給の業務用スマホ

できること

個人用スマホでOutlook、Onedrive、Sharepoint等の利用をする際に、個人用スマホ内にPDF、Excel等の業務データを保存できない様にする(閲覧、編集は可能)

個人用スマホでOutlook、Onedrive、Sharepoint、Excel等のOfficeは許可されているが、スマホにダウンロードすると下図の様になります。

データ保存禁止、個人用メールアドレスの追加禁止、スクリーンショット禁止や、テキストのコピー禁止も可能

所有権が個人か企業が選択できます。今回はBYODを想定しているので所有権は個人となります。

会社が確認できない情報

・通話とWebの履歴
・メールとテキストメッセージ
・連絡先と予定表
・パスワード
・写真

会社が確認できる情報

・モデルおよびシリアル番号
・オペレーティングシステム
・アプリ名
・所有者とデバイス名
・会社用デバイスの電話番号
・紛失した会社用デバイスの場所

iOSを管理する方法(端末側)

1 ポータル サイトを開き、職場または学校アカウントでサインインします。

2 ポータル サイトの通知を受け取るように求められたら、 [許可] をタップします。 ポータル サイトでは、たとえばデバイスの設定を更新する必要がある場合に、通知を使用してアラートを表示します。

3 [Set up access](アクセス設定) 画面で、 [開始] を選択します。

4組織で表示できるまたはできないデバイス情報の一覧に目を通します。 次に [続行] をタップします。

5[What’s next?](次のステップ) 画面の指示に目を通します。 管理プロファイルをダウンロードしてインストールする準備ができたら、 [続行] をタップします。

Safari によりデバイスでポータル Web サイトが開かれます。 構成プロファイルをダウンロードするように求められたら、 [許可] をタップします。 次を実行しているデバイスの場合:

  • iOS 12.2 以降: ダウンロードが完了したら、 [完了] をタップします。 この記事の手順 7 に進みます。
  • iOS 12.1 以前: iOS: 設定アプリに自動的にリダイレクトされます。 この記事の手順 8 に進みます。

誤って [無視] をタップすると、ページが更新されます。 ポータル サイト アプリを開くことを求められます。 アプリから [Download again](再度ダウンロード) をタップできます。

iOS 12.2 以降のみ: ポータル サイトを開くように求められたら、 [開く] をタップします。 [Installing Management Profile](管理プロファイルのインストール) 画面に、プロファイルをインストールする手順が一覧表示されます。

設定アプリに移動し、 [Profile Downloaded](ダウンロードされたプロファイル) をタップします。

オプションとして [Profile Downloaded](ダウンロードされたプロファイル) が表示されない場合は、 [全般] > [プロファイル]の順に移動します。 それでもプロファイルが表示されない場合は、もう一度ダウンロードする必要があります。

設定アプリに移動し、 [Profile Downloaded](ダウンロードされたプロファイル) をタップします。

オプションとして [Profile Downloaded](ダウンロードされたプロファイル) が表示されない場合は、 [全般] > [プロファイル]の順に移動します。 それでもプロファイルが表示されない場合は、もう一度ダウンロードする必要があります。

次の画面は、デバイス管理の標準のシステム警告です。 インストールを続行するには、 [インストール] をタップします。 リモート管理を信頼するように求められたら、 [信頼] をタップします。

インストールが完了したら、 [完了] をタップします。 プロファイルがインストールされたことを確認するには、 [プロファイルとデバイスの管理] 設定に移動します。 [モバイル デバイス管理] の下にプロファイルが一覧表示されるはずです。

ポータル サイト アプリに戻ります。 ポータル サイトでデバイスの同期と設定が開始されます。 ポータル サイトで追加のデバイス設定を更新するように求められる場合があります。 その場合は、 [続行] をタップします。

ポータル サイト アプリに戻ります。 ポータル サイトでデバイスの同期と設定が開始されます。 ポータル サイトで追加のデバイス設定を更新するように求められる場合があります。 その場合は、 [続行] をタップします。

リスト内のすべての項目に緑色の円が表示されると、設定が完了したことがわかります。 [完了] をタップします。

Outlookアプリへ個人アカウントの追加を禁止する

想定されるケース

・個人用スマホを業務で使用しているケース

防ぐことができるケース

・個人用メールアカウントを追加できないので個人用アドレスを使用した情報漏洩の可能性が低くなる

Outlookアプリからアカウントを追加します。

個人用のGmailのアドレスを入力します。

パスワードを入力し、ログインします。

Gmailアカウントへのアクセスのリクエストが開始されます。

組織から許可されていませんと表示され、個人用メールアカウントを追加することができません。

社外からのアクセスを禁止する方法

1. 事前準備

ポリシーの対象外とする場所 (今回の場合は社内 IP ) を、事前に設定します。

1-1. Azure ポータル (https://portal.azure.com) に、管理者権限のアカウントでサインインします

1-2. [Azure Active Directory] – [条件付きアクセス] – [名前付きの場所] に遷移します

1-3. [+ 新しい場所]  をクリックします

1-4. 以下のような画面が表示されますので、任意の名前で除外対象としたい IP アドレス (今回の場合は、社内 IP かと存じます) を設定し、[作成] をクリックします

2. 条件付きアクセスのポリシーを作成します

2-1. Azure ポータル (https://portal.azure.com) に、管理者権限のアカウントでサインインします

2-2. [Azure Active Directory] – [条件付きアクセス] に遷移します

2-3. [+ 新しいポリシー] をクリックします

2-4. 以下のような画面が表示されるので、必要な設定をしていきます

2-5. [名前] に任意の名前を設定します。

2-6. [割り当て] – [ユーザーとグループ] をクリックします。

以下のような画面が表示されますので、[ユーザーとグループ] にチェックを入れ、対象のユーザーを選択し、[完了] をクリックします。

* この時、[対象] で [すべてのユーザー] を選択し、[対象外] で管理者アカウントを追加することもできます。

2-7. [クラウド アプリ] をクリックして、[アプリを選択] をクリックします。

以下のような画面が表示されますので、Office 365 SharePoint Online を選択して、[完了] をクリックします。

* 「Office 365 SharePoint Online」 を選択することで、SharePoint Online と OneDrive が制御されることを確認しております。

2-8. [条件] をクリックして、[場所] – [構成] を 「はい」 にします。

[対象] タブで、[すべての場所] を選択します。

[対象外] タブで、[選択された場所] をクリックして、事前準備の手順 1-4 で作成した IP を選択し、[選択] をクリックします。

2-9. [アクセス制御] をクリックして、[アクセス権の付与] – [アクセスのブロック] にチェックを入れて、[選択] をクリックします。

2-10. ポリシーを即時有効にしたい場合は、[ポリシーの有効化] を [オン] にして、[作成] をクリックします。

上記ポリシーを作成することで、指定したユーザーは社外から SharePoint Online や OneDrive へのアクセスはブロックされます。まず、検証用アカウントなどでのご確認をお勧めいたします。

* 補足

Azure AD の条件付きアクセスをご利用いただくには、Azure AD Premium P1 や P2 のライセンスが、ポリシーの対象となるユーザー数分必要となります。(なお、ゲストユーザーは 1 ライセンスで、5 ゲスト ユーザーまで利用可能です。)