(In)tuned to Takeovers: Abusing Intune Permissions for Lateral Movement and Privilege Escalation in Entra ID Native Environments Written by: Thibault Van Geluwe de Berlaere, Karl Madden, Corné de Jong The Mandiant Red Team recently supported a client to visualize the possible impact of a compromise by an advanced threat actor. During the assessment, Mandiant moved laterally from the customer’s on-
こんにちは。tsuji です! 先日、Windows Server Update Services (WSUS) が非推奨になることがアナウンスされました。ただ、すぐには廃止されるのではなく、新しい機能への投資が行われなくなり、WSUS に対する新機能追加がされなくなるとのことです。 今後はクラウド中心のソリューションである Intune (Windows Autopatch 含む) や Azure Update Manager への移行が推奨とのことです。詳細はこちらの Tech Community ブログを参考ください。 そこで今回は、あらためて Intune での更新管理って何ができるんだっけというブログにしてみました。本内容は、Intune の基本的な更新管理のお話から更新リングの細かい挙動の説明なんかも載せています。初めての方から Intune を普段利用してても公式ドキュメント
New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints The Microsoft Recovery Tool was updated 7/22/2024 as version 3.1. While fundamentally there are no functional changes to the tool, for the Recover from WinPE option, we have expanded the logging, reattempt logic, and error handling. For the Recover from safe mode for USB delivery, we’ve added in better user awareness cues
Microsoft Intune (条件付きアクセスによる) により、承認されたアプリケーションを使用して、対応した macOS コンピュータからの信頼できるユーザだけが、オーガニゼーションのリソースにアクセスすることを保証できます。 Jamf Pro を Microsoft Intune と統合することにより、以下が可能になります。 Jamf Pro コンピュータインベントリ情報を Microsoft Intune と共有します。 Microsoft Intune で定義されたコンプライアンスポリシーを、Jamf Pro が管理するコンピュータで実行します。 Azure Active Directory (Azure AD) 認証で設定されたアプリケーション (Office 365 など) へのアクセスを制限します。 macOS 用 Jamf Self Service のデバイスコンプラ
Jamfで管理されているマシンをIntuneへ連携させ、AzureADの条件付きアクセスをMacOSに対しても適用させることができます。 そのためには、JamfとIntuneの連携作業が必要になります Jamfのバージョンアップによりとても簡単になりました。 Jamf Intune連携の設定(条件付きアクセス) 右上の歯車アイコンをクリックします 「一括管理」→【条件付きアクセス】をクリックします 「macOS Intune統合を有効にする」にチェックを入れます 接続タイプは「クラウドコネクター」を選択し、【保存】をクリックします Azureのページへリダイレクトされるので、画面の指示に従ってMicrosoftから要求された権限を付与します アプリケーションIDが表示されるので、【Copy and open Microsoft Endpoint Manager】をクリックします。 「Jam
外出やテレワークなどにより会社のデバイスを持ち出して利用するシーンが増えています。デバイスを社外でも利用できることで場所にとらわれずに仕事ができる点はメリットといえますが、一方で盗難や紛失により保存されているデータが抜き取られ情報が漏洩してしまうリスクへの対応がより重要となります。 ユーザー認証の管理、セキュリティ対策ソフトの導入といった対策も必要ですが、端末の盗難や紛失が原因となる情報漏えい対策としてはディスクの暗号化が有効です。 Windows 10 では BitLocker が利用できます。BitLocker を有効化することでディスクが暗号化され、復号化のためのキーがなければディスクの中身を読み取ることができなくなります。デバイスの紛失時や盗難にあった時にも情報が抜き取られてしまうことを防げます。 BitLocker の有効化は Windows のコントロールパネルから行えますが、
こんにちは。 ヘルプデスクの田村です。 今回は、Microsoft Endpoint Configuration Manage (MECM) と Microsoft Intune の共同管理についてご紹介したいと思います。 共同管理という機能自体はかなり前から実装されており、既にご利用になっている企業様も多いと思いますが、これから実装を検討されているという企業様もいらっしゃるかと思います。 そのため、改めて基本的な事項のおさらいと実際に有効化する手順、具体的な活用方法について簡単にご紹介します。 「Enterprise Mobility + Security 導入支援サービス」はこちら 「Office 365 ヘルプデスク」はこちら 共同管理とは 共同管理は、MECM のデバイス情報を Intune に同期させることで、MECM と Intune の両方で Windows デバイスを管理で
例のウィルスが流行り始めてはや数年。 当ブログでも何度かご紹介いたしましたが、リモートワークを見据えてクラウド管理ゲートウェイやIntuneによる管理を行いたいとの声も増えてきました。 なんならMECMからIntuneに移行したいです、なんてお客様もいらっしゃいました。 そこで気になる疑問が一つ・・・端末を管理するならIntuneとMECMどっちが良いの?そもそも何が違うの? 今回そんな疑問について、今回は多くのお客様が気になる「更新プログラムの管理」に焦点を当てて調査しましたので、是非とも参考にしてみてください。 IntuneとMECMの違いとは? Intuneの強み IntuneとMECM、どちらも端末を管理するソリューションであり、主な機能として各クライアントのマルウェアの検知状況や、セキュリティパッチの適用状況、ハードウェア構成やインストールされているソフトウェアのなどの情報の一元
Microsoft Cloud PKI launches as a new addition to the Microsoft Intune Suite Public key infrastructure (PKI) is enormously complex, time consuming, and requires deep expertise. For many years, customers have been asking for a cloud-based PKI offering and in February 2024 we will answer that ask with Microsoft Cloud PKI, a key addition to the Microsoft Intune Suite. Microsoft Cloud PKI helps organi
こんにちは、Azure Identity サポート チームの 名取 です。 本記事は、2023 年 10 月 23 日に米国の Azure Active Directory Identity Blog で公開された Solution with Microsoft Entra ID now Generally Available! を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日、Microsoft Entra ID と Microsoft Intune を使用した Windows Local Administrator Password Solution (LAPS) の一般提供を発表できることを嬉しく思います。この機能は、Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスの両方
皆さんこんにちは。国井です。今回の記事では、 IntuneとMDEを利用してUSB利用を制限する 方法についてご紹介します。 いまこの投稿を書いている時点でもそうですが、USBメモリに関わる事件って本当に絶えないですよね。会社の中ではUSBデバイスの利用を全部制限したいけど、USBって用途が色々あるから全部は禁止できない。そんな時に有効な一部のデバイスだけ制限する方法というのをMicrosoft Intuneから設定してみたいと思います。 準備:制限または許可するデバイスの情報を確認する Intuneからデバイス利用を制限する場合、「全部を拒否して一部だけ許可する」または「一部を拒否してその他を全部許可する」のどちらかの方法で制限ができます。 この時の「一部」に当たるデバイスは ・デバイスのハードウェアIDなどの情報を使って指定 ・デバイスのセットアップクラスと呼ばれるジャンルを指定 のど
この記事では、Microsoft Intuneを使用してWindows 10以降の Microsoft Edge ポリシー設定を構成する方法について説明します。 デバイス構成プロファイルを Microsoft Intune に追加することで、Microsoft Edge のポリシーと設定を構成できます。 Intune を使用してポリシーを管理および適用することは、Active Directory グループ ポリシーを使用するか、ユーザー デバイスでローカルのグループ ポリシー オブジェクト (GPO) 設定を構成することと同じです。 Microsoft Intune を使用して Microsoft Edge ポリシーを管理する方法について詳しくは、「Microsoft Edge と Microsoft Intune を使用して Web アクセスを管理する」をご覧ください。ただし、この記事は
Chrome Enterprise の管理者は、Microsoft Intune を使用して、Windows デバイスで Chrome ブラウザのデプロイと管理を行えます。 始める前に Microsoft Endpoint Manager 管理センターにアクセスするには、管理者アカウントが必要です。 Microsoft Active Directory ドメインに参加したときにだけ機能するように指定した Chrome ポリシーを適用するには、次の環境が必要です。 Chrome ブラウザ バージョン 69 以降 Windows 10、11 のいずれかのエディション(Windows Home を除く) 手順 1: Chrome ブラウザをデプロイする Chrome ブラウザの実行ファイルをダウンロードし、対象ユーザーを考慮してチャンネルを選択します。 実行ファイルをダウンロードしたら、Intu
Windows 10、Windows 11 に適用されます 登録またはプロビジョニング ソリューションの一部として自動登録を使用していない場合は、MDM サーバーに 対して CNAME レコードの種類と呼ばれるドメイン ネーム サーバー (DNS) エイリアスを作成することをお勧めします。 CNAME は、デバイスの登録中にデバイス ユーザーがサーバー アドレスを入力する必要がないように、登録要求を Intune サーバーにリダイレクトします。 CNAME 構成は省略可能ですが、Intune 登録サーバーの自動検出を有効にし、必要なユーザー操作の量を減らすことで、ユーザーの登録が容易になります。 MDM 自動登録を使用して Windows 10/11 デバイスを登録する場合は、MDM サーバーの CNAME レコードの構成について心配する必要はありません。 MDM サーバーは、テナントで
IntuneでmacOSとiOS/iPadOSを管理する手順を解説した本です。 Intuneへの登録だけでなく、Intuneへの自動登録(Device Enrollment Program、DEP)の実装方法から、構成プロファイルやコンプライアンスポリシーの基本的な設定をおさえています。 更にTipsとして最近GAされたEnterprise SSOプラグインの実装や、PPPCのペイロード配布についても解説しています。 Apple製品に特化したMDM製品と比べると、まだまだ設定が行き届かないところもありますが、基本的なことは抑えられるので、本書が参考になれば幸いです。 iOSやiPadOSをIntuneで管理する話はたまに聞きますが、macOSをIntuneで管理する話はあまり聞かないので、興味深い本に仕上がっているのではないかと自負しています。 ■目次 始めに 第1章 準備 1.1 はじめ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
