コンプライアンスポリシーでマシンリスクを判定するときの注意点

みなさんこんにちは。

Microsoft365では、365内の各サービスが連携して効果を発揮する設定もあります。
その一つがMicrosoft IntuneとMicrosoft Defender for Endpoint（以下、MDE）を連携し、マシンリスクスコアによる判定を行う機能です。

今回は、Intuneのコンプライアンスポリシーでマシンリスクを判定する際のちょっとした注意点について書きます。

Intuneのコンプライアンスポリシー

Intuneでコンプライアンスポリシーを使用すると、デバイスに対して準拠/非準拠の判定を行うことができます。

非準拠となったデバイスからのアクセスは条件付きアクセスでブロックすることが可能となります。

Microsoft Intune のデバイス コンプライアンス ポリシー

MDEとの連携

Intune登録済み端末をMDEにもオンボードしている場合、MDEのマシンリスクをIntuneのコンプライアンスポリシー判定に組み込むことができます。

これにより、MDEでリスク有りと判定されたデバイスからのアクセスを遮断し、被害の拡大を防ぐことができるというわけです。

実際の設定項目は、「デバイスは、次のマシンリスクスコア以下であることが必要」というものになります。

使用する上でいくつか連携のための設定が管理センター上で必要になりますが、詳細は以下の公開情報をご覧ください。

Microsoft Defender for Endpointで条件付きアクセスを構成する - Microsoft Defender for Endpoint

現時点では、Windows・iOS・Androidで利用可能です。

設定における注意点

上記の設定は、選択肢の"クリア"から"高"までの中で設定することになります。
クリアがマシンリスクがない状態ですね。

ここで注意したいのが、iマークで表示される説明の内容です。

つまり、設定した値を超えるマシンリスクが検出された場合に非準拠になるということです。
例えば、"低"に設定した場合は"中"以上のリスクスコアで非準拠となります。

このとき、ある疑問が湧いてきませんか？
マシンリスクにおいて最もリスクのあるステータスは"高"です。
ですから「"高"に設定したらどういう時に非準拠になるの？」と思うのではないでしょうか。

これについてはWindows向けの公開情報に記載があるのですが、実は"高"に設定すると非準拠になることはありません。

なお、現時点ではiOSとAndroid向けの情報には詳細の記載はない

Microsoft Intune の Windows コンプライアンス設定

非準拠にするための設定なのに何で非準拠にならない選択肢があるんだよ！
って思いますよね。笑

結構勘違いしやすいポイントではないかと思いますので、ぜひご注意いただければと思います。

ここまでお読みいただきありがとうございました。