日々現場で業務に当たっている開発エンジニアの深井が、社内プロジェクトで未経験領域のセキュリティアプリケーション「Microsoft Defender」導入に挑戦した作業録です。

導入経緯

昨今、BYODとして社員所有の様々な端末で業務を行う機会が増えています。コスト、利便性含め大きなメリットがあります。
弊社でも社員が業務で使用している端末は多種多様でした。
実情は、セキュリティ対策に関して社員の自己管理に依存してしまいセキュリティレベルにばらつきが発生するリスクがはらんでいる状況でした。
そこで、多種多様なプラットフォームに対応可能で、セキュリティレベルを均一化できるソリューションを探していました。
今回、既に導入しているMicrosoft 365（以下、M365）と併せてMicrosoft社製品で統一することでサービス間の親和性を高めるという狙いもあり、Microsoft Defender（以下、Defender）を導入することとしました。

導入作業着手後のつまづき

Windows OSの端末をDefenderにオンボードするには、次のいずれかのオプションを選択します。
・ローカル スクリプト (Defender ポータルでデバイスを手動でオンボードする場合)
・グループ ポリシー (組織内でグループ ポリシーを使用してオンボードする場合)
・Microsoft Intune (以下、Intuneを使用してオンボードする場合)

今回はMicrosoft Intune（以下、Intune）を用いてオンボーディングすることにしました。オンボーディング自体はそんなに難しいものではなく、Microsoft提供の資料を読み進めていけば、設定作業は完了します。意外にもここでつまずいたのは、ユーザ権限についてでした。設定作業を行うにあたってM365の「セキュリティ管理者」の権限をもらい作業を始めたのですが、権限不足でDefenderおよびIntuneの管理ポータルから設定を行うことができませんでした。調べたところ、設定を行うには「グローバル管理者」という上位権限が必要でした。権限の付与・反映されたことが確認できるまでに、約半日を要しました。

次にiOS、Android OSやmacOSは、各端末でDefenderアプリをインストールしてもらう必要がありました。デバイス側でインストールおよびサインオンすることで、オンボーディングが完了できます。

ただしiOSに関しては、私の手元にiOS端末が無かったため、所持している社員に手順を指南しながら、設定を行いました。
この時、設定手順の指示が良くなかったのか、なかなかiOS端末がDefenderの管理ポータルに認識されず、原因の確認でMicrosoftのサポートデスクへ複数回問合せが必要となりました。結果、設定手順の確認を繰り返し行うことで、導入することができました。
実機が手元に無い中、初めて導入することの難しさを実感しました。

作業を通して得られたこと

今回のDefender導入を通じて、以下の学びを得ました。

1. 権限管理の重要性
   初期に「セキュリティ管理者」権限では不十分で、「グローバル管理者」が必要だった点は教訓です。事前に必要な権限を確認し、作業開始前に適切に設定することが大切です。
2.  異なるプラットフォーム対応の複雑さ
   Windows、iOS、Android、macOSと多岐にわたる端末対応の難しさを実感しました。特にiOSの導入では、手元に端末がない状態での指示出しが課題となり、準備の重要性を痛感しました。
3.  サポートデスクの活用
   Microsoftのサポートデスクへの問い合わせが問題解決に役立ちました。外部リソースの活用は効率的で、今後も積極的に活用すべきです。
4.  BYOD環境でのセキュリティ強化
   各社員の端末にDefenderを導入することで、セキュリティレベルを統一できました。これにより、BYOD環境でのリスク軽減を実感しました。

今回は単なるツール導入に留まらず、セキュリティ意識を一層高め、継続的な改善を図る姿勢を持つことが重要であると認識しました。