グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
グループ ポリシーを使用して Defender for Endpoint 設定を管理している場合は、それを使用してデバイス制御を展開および管理できます。
リムーバブル 記憶域のアクセス制御を有効または無効にする
Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] Microsoft Defender [ウイルス対策>機能>] [デバイス コントロール] の順に移動します。
[ デバイス制御 ] ウィンドウで、[ 有効] を選択します。
注:
これらのグループ ポリシー オブジェクトが表示されない場合は、グループ ポリシー管理用テンプレート (ADMX) を追加する必要があります。 管理テンプレート (WindowsDefender.adml と WindowsDefender.admx) は、GitHub の mdatp-devicecontrol/Windows サンプル からダウンロードできます。
既定の適用を設定する
、など、Deny
すべてのデバイス制御機能に対して、RemovableMediaDevices
PrinterDevices
WpdDevices
CdRomDevices
または Allow
などの既定のアクセスを設定できます。
たとえば、 または のポリシーを指定Deny
できますが、 RemovableMediaDevices
または WpdDevices
には設定できませんCdRomDevices
。Allow
このポリシーを使用して設定Default Deny
した場合は、または へのCdRomDevices
WpdDevices
読み取り/書き込み/実行アクセスがブロックされます。 ストレージのみを管理する場合は、必ずプリンターのポリシーを作成 Allow
してください。 それ以外の場合は、既定の適用 (拒否) もプリンターに適用されます。
Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] の順に移動しますMicrosoft Defenderウイルス対策>機能>デバイス コントロールデバイス コントロール>の既定の適用ポリシーを選択します。
[ デバイス制御の既定の適用ポリシーの選択 ] ウィンドウで、[ 既定の拒否] を選択します。
デバイスの種類を構成する
デバイス制御ポリシーが適用されるデバイスの種類を構成するには、次の手順に従います。
Windows を実行しているコンピューターで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] Microsoft Defender [ウイルス対策>デバイスコントロール>][特定のデバイスの種類のデバイスコントロールを有効にする] の順に移動します。
[ 特定の種類のデバイス コントロールを有効にする ] ウィンドウで、パイプ (
|
) で区切って製品ファミリ ID を指定します。 製品ファミリ ID には、、、CdRomDevices
WpdDevices
、またはPrinterDevices
が含まれますRemovableMediaDevices
。
グループの定義
リムーバブル ストレージ グループごとに 1 つの XML ファイルをCreateします。
リムーバブル ストレージ グループのプロパティを使用して、リムーバブル ストレージ グループごとに XML ファイルを作成します。
各 XML ファイルをネットワーク共有に保存します。
設定を次のように定義します。
Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント]>Microsoft Defender [ウイルス対策>デバイスコントロール>] [デバイス制御ポリシー グループの定義] の順に移動します。
[ デバイス制御ポリシー グループの定義 ] ウィンドウで、XML グループ データを含むネットワーク共有ファイル パスを指定します。
さまざまなグループの種類を作成できます。 次に示すのは、リムーバブル ストレージと CD-ROM、Windows ポータブル デバイス、承認済み USBs グループの XML ファイルの 1 つのグループ例です。
注:
XML コメント表記 <!--COMMENT-->
を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。
ポリシーの定義
アクセス ポリシー規則用の 1 つの XML ファイルをCreateします。
リムーバブル ストレージ アクセス ポリシー規則のプロパティを使用して、各グループのリムーバブル ストレージ アクセス ポリシー規則の XML を作成します。
XML ファイルをネットワーク共有に保存します。
設定を次のように定義します。
Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント]>Microsoft Defender [ウイルス対策>デバイスコントロール>] [デバイス制御ポリシー規則の定義] の順に移動します。
[ デバイス制御ポリシー ルールの定義 ] ウィンドウで、[ 有効] を選択し、XML ルール データを含むネットワーク共有ファイル パスを指定します。
注:
XML コメント表記 <!-- COMMENT -->
を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。
ファイルのコピーの場所を設定する (証拠)
書き込みアクセス権を持つファイル (証拠) のコピーを作成する場合は、XML ファイルのリムーバブル ストレージ アクセス ポリシー 規則で適切な オプション を設定し、システムがコピーを保存できる場所を指定します。
Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] Microsoft Defender [ウイルス対策>デバイスコントロール] [デバイス制御>の定義] の順に移動し、証拠データのリモートの場所を定義します。
[ デバイス制御証拠データのリモートの場所の定義 ] ウィンドウで、[ 有効] を選択し、ローカルまたはネットワーク共有フォルダーのパスを指定します。
ローカル証拠キャッシュの保持期間
ファイル証拠のローカル キャッシュを保持するために既定値の 60 日間を変更する場合は、次の手順に従います。
[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] の順に移動しますMicrosoft Defenderウイルス対策>デバイス コントロール>ローカル デバイス コントロール キャッシュ内のファイルの保持期間を設定します。
[ ローカル デバイス コントロール キャッシュ内のファイルの保持期間を設定する ] ウィンドウで、[ 有効] を選択し、ローカル キャッシュを保持する日数を入力します (既定値は 60)。