[EMS] Microsoft Intune が提供する iOS や Android デバイス向けの Mobile Application Management (MAM) ポリシー

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。 今回は Microsoft Intune にて提供される iOS や Android デバイス向けの Mobile Application Management (MAM) ポリシーと iOS 9 デバイスに対する MAM ポリシーの適用に関する2つのトピックをご紹介します。 1. Microsoft Intune が提供するMAM ポリシー 既にご存じの方も多いかもしれませんが、iOS や Android 向けに Word, Excel, PowerPoint, Outlook などの Office アプリを提供しています。 これらのアプリを利用はiOS や Android上での作業のおいて下記のような点においてメリットがあります。 ・Excel:グラフや表を表示が崩れることなく参照可能 ・PowerPoint:アニメーションを利用したダイナミックなプレゼンが可能 ・Outlook:IRM で保護されたメール本文の参照が可能 更に、Microsoft Intune のMAMポリシーを利用することで、上記の Office アプリをより安全に利用することができます。 Microsoft Intune のMAMポリシーが提供するセキュリティ機能は下記のような機能となります。 ・アプリ起動時のアプリレベルの認証の追加 ・コピー & ペーストの制御 ・共有の制御…


[EMS] Microsoft Intune が提供する OMA-DM ベースの Windows 10 用の管理テンプレート

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。 今回は Microsoft Intune が提供するOMA-DM ベースのWindows 10 管理用の管理テンプレートについてご紹介します。 11/1 現在、Microsoft Intune ではOMA-DM ベースのWindows 10 管理用の管理テンプレートとして、以下のテンプレートを提供しております。  ・PKCS #12(.PFX) 証明書プロファイル ・SCEP 証明書プロファイル ・VPN プロファイル ・Wi-Fi インポート ・信頼済み証明書プロファイル ・全般構成 ・カスタム構成 (OMA-URI)       ■全般構成のポリシー 全般構成のポリシーではパスワードの構成、デバイスの制御 (リムーバブルデバイスやカメラ)、Windows Update などの設定を制御できます。     また、ユーザーによる Microsoft Intune からの手動登録解除の制限などの設定も用意されています。     全般構成ポリシーで設定可能な各項目の詳細については、下記の URL にてご確認ください。  ・Microsoft Intune で Windows 10 の構成ポリシーを使用してデバイス設定を管理する https://technet.microsoft.com/ja-jp/library/mt404697.aspx  …


[Windows] Windows 10 の BitLocker 新機能を紹介します。

Windows 10 担当の胡口です。いつもアクセスいただきありがとうございます。 今回ご紹介するのは、Windows 10 の BitLocker の新機能になります。 (1) Azure Active Directory と連携した回復パスワードのバックアップ Windows 10 の新機能として、クラウド上の認証基盤である Azure Active Directory に参加でき、Office365でも使われているAzure Active Directory ユーザーで Windows 10 のデバイスにログオンすることができるようになりました。 参加後は、以下のように BitLocker の回復パスワードのバックアップ先に「クラウド ドメイン アカウントに保存する」という選択肢が追加されます。(クリック で拡大) 保存した回復パスワードは、Azure Active Directoryの管理ポータルからデバイスに紐づいた情報として参照することが可能です。(クリック で拡大)  もともと、BitLockerの回復パスワードの保存先としては下記のような手段が提供されていました。・印刷・ファイルに保存・Active Directory・Microsoft BitLocker Administration and Monitoring (MBAM)・3rd パーティーのBitLocker管理ソリューションとの連携・マイクロソフトアカウントのバックアップストア これらのバックアップ手段は、社内などのインフラの中での管理が必要で、自宅などのPCの管理はマイクロソフトアカウントへのバックアップの手段は用意されていたものの集中管理となると、なかなか難しい状況でした。しかし、今回、Azure Active Directory との連携が実現したことで、ユーザーアカウントとコンピューターアカウントを関連付けした集中管理が可能となりました。 (2) BitLocker to Go の XTS AES への対応 暗号化Wizard…


[Windows] Windows 10 の Device Guard によってデバイスをマルウェア感染から守る!

Windows 10 の Device Guard によってデバイスをマルウェア感染から守る! みなさま、 Device Guard という機能を聞いたことはありますか? Device Guard は Windows 10 の新しいセキュリティ機能です。 この機能を用いることによって、企業が許可したコード署名が付与されているアプリケーションのみを実行することが可能になります。簡潔には、実行できるアプリケーションのコード署名のホワイトリストです。例えば、マイクロソフトの署名が付与されているアプリケーションを許可することによって、Windows ストアからダウンロードされる全てのアプリケーションをデバイス上で実行可能にすることができます。(Windows ストアに公開されているアプリケーションは全てマイクロソフトの署名がついています) なぜこのような機能が必要なのか? 近年、標的型攻撃がどんどん増加しています。1 つの例として、攻撃者は差出人として実在する人物として成りすまし、受信者の業務関連の内容を偽装したメールを送ってきます。ユーザの不注意でそのようなメールに添付してあるファイルを実行してしまう、または記述されているリンクを開いてしまうことによってマルウェアが実行されることになります。そのような状況でもDevice Guard の機能が搭載されていれば、たとえユーザの不注意によって攻撃者の罠に引っかかったとしても、マルウェアは実行されず、デバイスを守ってくれるのです。 この機能は従来に比べて何が良いのか? 現在のウィルス対策ソフトウェアやセキュリティ ソリューションは新しいマルウェアが検出されたときに、それぞれに対して対策を行っています。しかし、新しいマルウェアや攻撃手法がより早く変化、増大している今現在においては、現状の対策では全てに対応することがとても難しくなっています。そこで、端末内で実行できるアプリケーションを Device Guard で制限することによって、どんなに新しいマルウェアが世の中で作成されたとしても、それらはデバイス内で実行することができなくなります。 非常に心強い Device Guard の機能ですが、 Windows 10 Enterprise エディションに搭載されています。 その他に Windows 10 には以下のような新しいセキュリティ機能が搭載されています。 Credential Guard Windows Hello Microsoft Passport Enterprise Data Protection これらの詳細は 9 月 2…


[EMS] Azure RMS Premium の 「Document Tracking」 – 外部共有した保護ファイルの利用状況の把握とアクセス権限の無効化

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。今回は先日 Preview がリリースされた Azure RMS Premium の 「Document Tracking」 についてご紹介したいと思いますが、まずは、Azure RMS をよくご存じない方のために、Azure RMS の概要を簡単に触れておきたいと思います。■ Azure RMSの概要https://technet.microsoft.com/ja-JP/library/jj585026.aspx Azure RMS は企業の機密データ(ファイル・メール)を暗号化し、保護するテクノロジーです。Azure RMS は Office (Word, Excel, PowerPoint) ファイルやテキスト、PDF などのファイルや Outlook のメール本文に対して、そのデータを利用可能な ユーザーの ID を定義し、その ユーザーの ID に対する権限 (読み取り・変更・印刷・コピーなど) を付与し保護することができます。万が一権限の無い利用者の手にデータが渡ってしまった場合でも、権限の無い利用者はそのデータをアクセスする権限がないことから閲覧等の利用ができず、結果として企業の機密データの安全性を確保することができます。Azure RMS によって暗号化されたデータは Windows デバイスでの利用のみに留まりません。社外で利用されることの多い iOS や Android といったモバイルデバイス上の Office アプリや Outlook でも利用出来るよう、順次対応を進めています。 ■Outlook for iOS による Azure RMS…


[EMS] Microsoft Advanced Threat Analytics (ATA) による AD上のID・認証情報に対する不正なアクセスやふるまいの検知

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。今回は標的型攻撃対策 / サイバーセキュリティ対策をテーマに、 8月にリリースされた製品である Microsoft Advanced Threat Analytics (ATA) についてご紹介を致します。標的型攻撃の代表的なものには「標的型メール」が挙げられます。 「標的型メール」は悪意のある攻撃者が最終的な目的を達成するのための足掛かりの一つとして利用されることが一般的ですが、 その多くの場合は端末の認証情報 (ID / Password) を取得することを目的としていると考えられます。「標的型メール」を通して取得された端末の認証情報 (ID / Password) は、 企業のネットワーク内に存在するより重要な情報を取得するために、 ネットワーク内の他の端末へのアクセスと認証情報の取得に利用されます。そして、最終的には Active Directory ドメインのドメイン管理者の認証情報を取得し、 重要な情報の取得を誰にも気づかれないように実施します。残念ながら、これらの悪意のある攻撃者の不正な活動は従来型のセキュリティ対策では発見が難しいのが現状となります。 つまり、企業には ID・認証情報を利用した悪意のある攻撃者の不正なアクセスやふるまいを検知できる仕組みが必要となります。Microsoft Advanced Threat Analytics (ATA) は上記の脅威への対策としてご活用頂けます。 ATA はActive Directory への認証情報を監視・学習することができます。 これにより、ネットワーク内に存在するユーザーが通常と異なる動作をしていないか、 悪意のある攻撃者が利用する Pass the Ticket や Pass the Hash などの 代表的な攻撃手法が行われていないかを検知します。 (1) 悪意のある攻撃の検出 悪意のある既知の攻撃をほぼ瞬時に検出します。 ・Pass-the-Ticket (PtT) ・Pass-the-Hash (PtH) ・Overpass-the-Hash…


[EMS] Azure AD Join と Microsoft Intune の親密な関係

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。 Windows 10 がリリースされ約2か月が経とうとしていますが、 EMS の製品群も Windows 10 をスコープとした機能強化に順次対応を進めております。 今回は Windows 10 から新規で追加された機能である「Azure AD Join」を行った際に、 自動で Microsoft Intune に端末登録をする設定の手順をご案内致します。 ■Step1. Azure ADの管理コンソールへログインをする 今回使用するパラメーターは、Azure AD の管理コンソールから設定を行います。 まずは、下記 URL から Microsoft Azure にログインをします。 <Microsoft Azure>https://manage.windowsazure.com/  ■Step2. Microsoft Intuneの設定画面を表示する Microsoft Azure へログインが完了したら、メニュー内「Active Directory」を 選択します。続いて、タブにある「アプリケーション」を選択し、表示された一覧から 「Microsoft Intune」が存在することを確認します。   ■Step3. Microsoft Intune への自動登録設定を有効化する Microsoft Intune のタブから「構成」を選択します。 Microsoft Intune の構成画面が表示されるため、以下の項目に適切なパラメーターが 登録されていることを確認します (※を除いて設定は自動的に入力されます)。…


[EMS] Enterprise Mobility Suite 無料試用版を開始しました!

皆様、こんにちは。認証・デバイス管理・セキュリティ担当の橘です。 Enterprise Mobility Suite (EMS) の無料試用版の利用が開始されましたので、ご案内を致します。 ■Enterprise Mobility Suite (EMS) の無料試用版 http://www.microsoft.com/ja-jp/server-cloud/enterprise-mobility/overview.aspx   上記、ページの右上にある「今すぐ使用」のところから、EMS の無料使用版の利用手続きを進めて頂くことが可能となっています。 こちらの無料試用版を有効化していただくことで、下記の3つのプロダクトをご評価頂くことが可能となっております。  ・Azure Active Directory Premium ・Microsoft Intune ・Azure RMS Premium   Azure RMS Premium では、先日利用可能になったばかりの RMS Tracking Portal のPreview 版の利用も可能となっています。 RMS Tracking Portal を利用することで、共有したデータの利用状況の確認や共有した後にデータを無効化することなどが可能となっています。 RMS Tracking Portal についての詳細については、こちらの Blog を通して今後ご案内していきたいと思います。 また、EMS には上記の3つのプロダクトに加え、8月にリリースされたばかりの製品である Advanced Threat Analytics (ATA) も含まれています。 Advanced Threat Analyticsはオンプレミスの…

1

[Windows] Windows 10 対応のKMSアップデーターがリリースされました。

皆様こんにちは。Windows 10 担当の野明です。   本 Blog を見て頂いている方で 弊社のイベント FEST 2015 に参加頂いた方もいらっしゃると思いますが、FEST のコンテンツが公開されました。 見逃してしまった方はぜひチェックしてみて下さい。 https://aka.ms/festdocs   さて、今回のテーマは Windows 10 のアクティベーションです。 Windows 10 の認証に必要な準備と言う事で、既存 KMS ホストに対してパッチを適用頂く必要が御座います。 KMS ホストの OS のバージョンにより適用頂くパッチが異なりますのでご注意下さい。 KMS ホスト:Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2 https://support.microsoft.com/en-us/kb/3058168 KMS ホスト:Windows 7, Windows Server 2008 R2 https://support.microsoft.com/en-us/kb/3079821 パッチを適用した後は、VLSC から Windows 10 に対応した新しい KMSキーを入手して下さい。…


[Windows] Windows 10 対応の展開・管理ツールがリリースされました!

当ブログをアクセスいただいた皆様、こんにちは。 Windows 10 を担当している胡口です。 7月29日に 無事 Windows 10 がリリースされまして、既存のWindows 7 や Windows 8.1 をお使いのユーザーの皆様には無償提供が開始されました。また、秋葉原でも有志ショップ主催の深夜販売なども催されまして、新しい OS のラウンチに様々な関心をお寄せいただいていることをひしひしと感じています。 さて、Windows OS がリリースされる時期に、特に企業のユーザー様が関心を持たれるポイントとして既存のツールの互換性や、企業に導入するにあたって社内インフラ側で準備しておかなければいけない考慮事項があげられます。 今回の投稿では、まず考慮事項第一弾としまして、Windows 10 対応の企業向けツール群のリリース情報とツールの入手先についてお知らせしたく思います。 (1) Windows アセスメント & デプロイメント キット (Windows ADK) Windows ADK は Windows の OS 展開を支援、自動するための様々なツールが搭載されたツールキットです。 入手先 URL : Download kits and tools for Windows 10 (https://msdn.microsoft.com/en-us/windows/hardware/dn913721.aspx)(直接LINK): http://go.microsoft.com/fwlink/p/?LinkId=526740 企業に PC を導入する場合には、アプリケーションのインストールやセキュリティなど各種設定をあらかじめ施したひな形の PC を作成して、そのハードディスクイメージをオリジナルとし、そのディスクイメージを複製することでアプリや設定が一致した大量のPCを作成するのが一般的な方法です。また、複製したPCは、起動後にコンピューター名の登録やドメイン参加など手動で操作しなければならない追加の設定がまだ存在しています。 Windows…