多くの企業では、オンプレミスやクラウド上のWindowsサーバーを統合的に管理しながら、セキュリティレベルを高めることが重要視されています。今回はAzure Intuneを活用してサーバーにセキュリティベースラインを適用し、ライセンス要件や導入手順も含めた管理方法を詳しく解説します。
Azure Intuneによるサーバー管理とは
Azure IntuneはMicrosoftが提供するクラウドベースのモバイルデバイス管理(MDM)ソリューションです。Windows 10/11クライアントを中心にスマートフォンやタブレットなど幅広いデバイスを管理できますが、Windows Serverにも適用できるケースがあります。クラウド管理による柔軟性とポリシー適用の一元化が可能となり、よりセキュアな環境を実現できる点が魅力です。
WindowsサーバーにIntuneを導入するメリット
Windows ServerにIntuneを導入する最大のメリットは、オンプレミス環境とクラウド環境を一貫したポリシーで管理できる点です。特にセキュリティベースラインの適用やソフトウェア更新、パッチ配信などがクラウド経由で実施できるため、運用負荷の分散や管理ミスの軽減が見込めます。また、従来のSystem Center Configuration Manager(SCCM)などと比較して、初期コストを抑えたシンプルな運用も期待できます。
一般的なWindowsクライアント管理との違い
Intuneは従来、モバイル端末やWindows 10/11クライアントOS向けの管理にフォーカスしていました。そのため、一部のWindows ServerエディションではMDM機能のサポート状況が限定的です。具体的にはWindows Server 2019以降の一部エディションが対象となるケースが多く、Server Coreなどの軽量化した環境では機能が制限される可能性があります。
また、ユーザー単位でのライセンス体系が基本のため、サーバーの管理においても「誰がそのサーバーを管理するのか」という観点でライセンス付与を考慮する必要があります。
セキュリティベースラインの概要
セキュリティベースラインとは、Microsoftが推奨する安全な設定の初期状態をまとめたテンプレートです。OSやブラウザ、クラウドサービスなどの利用環境ごとに推奨設定が異なり、それらを一括して管理・適用できるのが強みといえます。
なぜセキュリティベースラインが必要か
企業規模を問わず、サイバー攻撃は深刻なリスクになっています。セキュリティベースラインを適切に導入することで、OSやアプリケーションの設定ミスによる脆弱性を減らし、標準で高いセキュリティレベルを確保できます。特にWindows Serverは企業のコアシステムとして動作することが多いため、標準設定以上の強固なポリシー適用が求められるのです。
Intuneセキュリティベースラインの種類
Intuneでは複数のセキュリティベースラインが用意されており、対象OSやサービスの種類に応じて設定が可能です。代表的なものとして以下が挙げられます。
MDM Security Baseline
WindowsをMDMで管理する際の推奨設定をまとめたベースラインです。パスワードポリシーやデバイスのロック画面の挙動、Windows Defenderの基本設定など、OS管理において一般的に必要とされるセキュリティ項目が含まれています。
Defender for Endpoint Baseline
Microsoft Defender for Endpointを利用する場合の推奨設定が含まれたベースラインです。クラウドでの脅威情報の取得やリアルタイム保護の有効化、エクスプロイト対策など高度なマルウェア対策設定を一括で適用できます。
WindowsサーバーをIntuneに登録する手順
ここからは、実際にWindows ServerをIntuneに登録(エンロール)する基本的な流れを紹介します。なお、すべてのサーバーOSが対応しているわけではない点に注意が必要です。
Windows Server 2019以降でのハイブリッドAzure AD参加
企業でActive Directoryドメインを利用している場合、ハイブリッドAzure AD参加を行うことで、オンプレミスのドメイン環境とAzure ADを連携できます。この設定を行うと、サーバーがオンプレミスのドメインに属しながら、Azure ADにも登録される状態になります。
ハイブリッドAzure AD参加を有効化する主なポイントは以下のとおりです。
- Azure AD Connectを使用してオンプレミスのADユーザーやデバイスをAzure ADと同期
- Windows Server上でグループポリシーやスクリプトを使い、ハイブリッド参加を強制的に実行
- Azureポータルのデバイス管理画面でサーバーが表示されることを確認
ハイブリッド参加が完了すると、サーバーがAzure ADにデバイスとして認識され、Intuneポリシーの展開などが可能になります。
設定画面からのIntuneエンロール
Windows Server OSによっては、「設定 > アカウント > 職場または学校アカウント」画面からIntuneに直接エンロールできるケースがあります。これは、Windows 10/11クライアントと同様のMDMエンロール手順を踏む方法です。
手順例は以下のとおりです。
- 管理者アカウントでサーバーにサインイン
- スタートメニューから「設定」を開き、「アカウント」を選択
- 「職場または学校アカウント」を選び、「アカウントの接続」または「デバイスの登録」をクリック
- Azure ADの管理者アカウントの情報を入力し、接続を完了
この操作が完了すると、Intuneの管理コンソール上に該当のサーバーがデバイスとして認識され、セキュリティポリシーやプロファイルを割り当てられるようになります。
PowerShellによる自動登録設定例
大規模環境やスクリプトベースの運用を好む場合は、PowerShellを利用した自動登録も検討できます。以下は参考例です。
サンプルスクリプト例
# Azure ADに参加済みの前提
# 自動MDMエンロール用のレジストリ設定例
$registrypath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM"
if(!(Test-Path $registrypath)) {
New-Item -Path $registrypath -Force | Out-Null
}
Set-ItemProperty -Path $registrypath -Name "AutoEnrollMDM" -Value 1 -Type DWord
Set-ItemProperty -Path $registrypath -Name "UseWorkplaceJoin" -Value 1 -Type DWord
Write-Host "MDM自動エンロールのレジストリ設定が完了しました。"上記のようにレジストリを操作してAutoEnrollMDMを有効にすることで、サーバーが自動的にIntuneに登録されるよう設定できます。ただし、ハイブリッドAzure AD参加やライセンスが適切に設定されていないと正しく動作しません。
セキュリティベースラインの適用プロセス
サーバーがIntuneに登録できたら、次はセキュリティベースラインを適用する流れを押さえましょう。
ポリシー作成と対象割り当て
Intuneの管理画面(Microsoft Intune admin center)で「Endpoint security > Security baselines」を選択し、新規のベースラインプロファイルを作成します。たとえば「MDM Security Baseline」を選んだ場合、推奨値がデフォルトで設定されています。必要に応じて各項目をカスタマイズし、以下のような重要設定を見直しましょう。
- パスワード長・複雑性
- Windows Defenderリアルタイム保護
- ファイアウォールの有効化
- リモートデスクトップの制限
- 更新プログラムの自動インストールポリシー
ベースラインを作成したら、適用先のデバイスグループ(サーバーが属するグループ)を指定します。Azure ADグループを活用することで、役割や部門ごとに異なるセキュリティレベルを適用することも可能です。
適用後の検証とモニタリング
ポリシーが配布されると、Intuneはデバイス(サーバー)側で設定が正常に適用されたか自動的に検証します。初回適用時には数分~数十分程度のラグが生じる場合があります。
Intuneレポート機能
管理コンソール上には、デバイスごとのポリシー適用状況を確認できるレポートが用意されています。例えば、設定の準拠状況(Compliant/Non-compliant)やポリシーエラーの有無を一覧で把握できます。エラーや非準拠のデバイスが見つかった場合は詳細を確認し、設定の修正やアップデートが必要かを判断します。
flowchart LR
A(セキュリティベースライン作成) --> B(デバイスグループ指定)
B --> C(Intuneからサーバーへポリシー配布)
C --> D(サーバーがポリシーを適用)
D --> E(レポートで適用結果確認)上記のような流れで、セキュリティベースラインの設定・配布・検証が循環的に行われます。
ライセンス要件と注意点
Intuneを利用するには、通常Microsoft 365 E3/E5やEnterprise Mobility + Security(EMS)などの包括的なライセンス、もしくはIntuneスタンドアロンライセンスが必要です。これはユーザー単位のライセンス形態となるため、サーバーを管理するIT担当者が適切なライセンスを所持していることが前提です。
Microsoft 365 E3/E5とIntuneスタンドアロン
Microsoft 365 E3/E5などの上位プランにはIntune機能が含まれています。すでにこれらのライセンスを企業全体で導入している場合は追加コストなしで利用可能です。一方、必要な機能だけを切り出して利用したい場合は、Intune単独のライセンスを購入できます。ライセンス形態が複雑になりがちなため、利用する機能とユーザー数を基に最適なプランを選定しましょう。
サーバー台数が多い場合の考慮点
多数のサーバーを一括でIntune管理する場合は、以下のポイントに注意します。
- ネットワーク帯域: 一斉に更新プログラムやセキュリティポリシーを配布する際にトラフィックが集中する可能性
- グループポリシーとの競合: オンプレミスのGPOとIntuneポリシーが矛盾していると、意図しない設定上書きが起こる
- 権限管理: サーバー運用担当者とワークステーション担当者のアカウント権限をどのように区別するか
これらを踏まえ、導入前のPoC(概念実証)で十分に動作検証を行うことが望ましいです。
参考情報と追加リソース
より具体的な設定例やトラブルシューティングの情報を得るには、以下の公式ドキュメントやコミュニティを活用しましょう。
公式ドキュメント
- Windows device enrollment guide for Microsoft Intune
クライアントOS向けですが、基礎的な登録手順やエラー時の対処法が詳しくまとめられています。 - Configure security baseline policies in Microsoft Intune
セキュリティベースラインの設定方法と推奨項目を理解するために役立ちます。 - Azure security baseline for Azure Active Directory Domain Services
Azure AD Domain Servicesにおける安全な構成の考え方を学べます。
Microsoft Q&Aとコミュニティ
- Microsoft Q&A
IntuneやWindows Serverに関する質問を投稿すると、Microsoftエンジニアやコミュニティの有志が解決策を提案してくれます。 - Microsoft Tech Community
国内外の専門家やユーザー同士で知見を共有できるプラットフォームです。
まとめ
Windowsサーバーにセキュリティベースラインを適用し、Azure Intuneで一元管理する方法は、エンタープライズ環境において利点の多いソリューションです。従来のオンプレミス管理に加え、クラウド経由でのポリシー適用が可能になり、セキュリティ強化と運用効率化が期待できます。もっとも、サーバーOSの対応状況やライセンス要件、グループポリシーとの競合など留意すべき点もあるため、導入前には十分な検証を行いましょう。最適な設定と運用プロセスを構築すれば、クラウド時代にふさわしいサーバーセキュリティ基盤が完成します。
コメント