本文へ移動します

未来に繋ぐセキュリティ情報発信

【定期便】MDE の構成管理を使用しているドメインデバイスを Microsoft Entra hybrid join できるのか検証してみた:Microsoft 10月度公開情報

町端 良太

みなさま、こんにちは!町端です。
10月度の Microsoft 365 の公開情報をお送りいたします。
コミュ二ケーションツールからセキュリティサービスまで様々なアップデート情報をまとめました。
また、Microsoft Defender for Endpoint(以下、MDE)の構成管理を使用しているデバイスを Microsoft Entra Hybrid Join できるのかについて検証しましたので、そちらの検証結果をご紹介します!

もくじは以下の通りとなります。それでは、ご覧ください。

  • 当ブログにて記載しております Microsoft 社の Web サイトの URL については、Microsoft 社側のリダイレクトの仕組みにより、お客様の閲覧環境に沿ったページに自動的にリダイレクトされることがございます。
    原文を参照される場合は、リダイレクトされた URL の ja-jp などの文字列を en-us に変更することで閲覧いただけます。

MDE の構成管理を使用しているドメインデバイスを Microsoft Entra hybrid join できるのか検証してみた

MDE の構成管理機能は、MDE のセキュリティ設定を管理するための機能です。主な特徴は以下の通りです。

  • Microsoft Intune(以下、Intune)に登録されていないデバイスでも MDE のセキュリティ設定を管理可能
  • Intune のエンドポイントセキュリティポリシーを使用

詳細は以下をご確認ください。

※参考:Intune エンドポイントセキュリティポリシーを使用して、Intune に登録されていないデバイスの Microsoft Defender for Endpoint を管理する

MDEの構成管理を使用している状態で、Active Directory ドメインに参加しているデバイス(以下、ドメインデバイス)を MDE オフボードせずに、Microsoft Entra hybrid join させることができるのか。また、Microsoft Entra hybrid join させた場合の懸念事項はないのかを調査しました。

検証結果

結果からになりますが、MDE の構成管理を使用しているドメインデバイスの Microsoft Entra hybrid join が可能なことを、検証で確認しました。

以下は、検証で確認した手順です。

①MDE ポータルでデバイスに「MDE-Management」タグを付与します。

MDE ポータル

②Microsoft Entra ID と Intune のポータルにタグを付与したデバイスが表示されることを確認します。

Azure ポータル
(構成管理で登録されたデバイスの [セキュリティ設定の管理] は 「Microsoft Defender for Endpoint」と表示されます。)

Intune ポータル
(構成管理で登録されたデバイスの [管理者] は 「MDE」と表示されます。)

③上記の状態で、デバイスを Microsoft Entra hybrid join する。
Microsoft Entra hybrid join に成功し、デバイスレコードが作成されました。
しかし、構成管理のデバイスレコードが残った状態になりました。

セキュリティ設定の管理の項目でそれぞれ違いがあります。

  • 構成管理 → Microsoft Defender for Endpoint
  • Microsoft Entra hybrid join → Intune

Azure ポータル

④デバイスレコードは 2 つ作成されていますが、デバイス ID・オブジェクト ID が異なります。 [セキュリティ設定の管理]が「Microsoft Defender for Endpoint」と表示されるデバイスレコードは更新されないため、削除して問題ありません。

まとめ

構成管理で登録された状態で、 Microsoft Entra hybrid join が可能な事を確認できました。
しかし、Microsoft Entra hybrid join のタイミング、既存の構成管理で登録されたタイミングでデバイスレコードが2つできることになることになります。
そのため、構成管理で登録されたデバイスレコードの削除が必要になるというところが検証でわかりました。

今回の検証では、Microsoft Entra hybrid join できるのかどうかについてのみ検証したため、エンドポイントセキュリティポリシーの切り替えについてなどの詳細な確認できていません。
今後のブログ記事でそちらについても検証・執筆できればと考えております。

引き続き、Microsoft 365 の公開情報についてもご確認いただければと思います!

Microsoft 公開情報

Microsoft Blog の更新からセキュリティに関する気になる項目をピックアップしてご紹介します。

Microsoft Intune の新機能 (2024 年 10 月)

What's new in Microsoft Intune October 2024

  • 2024年10月の Intune の新機能が紹介されています。主なトピックは以下の通りです。
    • SCEP プロファイルの変数で SID をサポートし、オンプレミス端末のなりすましを防止
    • シフト勤務向けの機能として、勤務時間の設定に基づいて Microsoft Teams アプリへのアクセスをブロック
    • Windows Autopilot デバイスの準備機能を中国の環境に提供

Microsoft Intune Suite の更新された管理機能のロールアウト

Updated management features roll out for Microsoft Intune Suite

  • Microsoft Intune Suite のエンタープライズアプリケーション管理(EPM)に新しい機能がロールアウトされました。
    • 特権昇格ルールの自動作成
    • Azure Virtual Desktop のシングルセッション環境のサポート
    • アプリケーションカタログの拡大
  • その他にもいくつかの機能がアナウンスされています。詳細はリンク先の記事をご確認ください。

Exchange Online の DNSSEC を使用した受信 SMTP DANE の一般提供の発表

Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online

  • DNSSEC を使用した SMTP DANE はこれまでアウトバウンドのメールに対応していましたが、今回インバウンドメールのサポートが一般公開されました。DANE では、送信メールサーバーが DNS レコードを参照して証明書の検証を行い、宛先メールサーバーが正しいことを確認できます。Exchange Online で DANE を使用するには、PowerShell で有効化する必要があります。

High Volume Email (HVE) パブリック プレビューの更新

Updates to High Volume Email (HVE) Public Preview

  • 現在パブリックプレビュー中の Exchange Online の High Volume Email(HVE)機能がアップデートされました。Exchange Online の SMTP 基本認証の廃止を控え、利用を検討されている方も多いのではないでしょうか。今回のアップデートでは、アカウントの設定方法が改善され、フェデレーションドメインにも対応しています。
    HVE は2025年9月または10月に一般公開予定です。

まとめ

以上です。
最後までお読みいただきありがとうございました。

お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

セキュリティソリューションに関する資料請求・お問い合わせ

開催中のセミナー

最新トレンドや業務に役立つ知識が得られる SBテクノロジーのセミナー 参加無料 オンデマンド配信あり

ホワイトペーパー

SBT セキュリティサーベイ 2023

ピックアップ

セミナー情報
クラウドエンジニアブログ
NOZ
メールマガジン登録