適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender ウイルス対策
- Microsoft Defender for Business
- Microsoft 365 Business Premium
プラットフォーム
- Windows
Microsoft Defender ポータルで改ざん防止が有効になっている場合にデバイスにアクセスするための改ざん防止のデバイス要件は何ですか?
デバイスは、次のすべての要件を満たす必要があります。
- デバイスは、特定のバージョンの Windows または macOS を実行している必要があります。 (「 改ざん防止を有効にできるデバイスについて」を参照してください)
- デバイスは Microsoft Defender for Endpoint にオンボードする必要があります。
- デバイスは、マルウェア対策プラットフォーム バージョン
4.18.2010.7(またはそれ以降) とマルウェア対策エンジンのバージョン1.1.17600.5(以降) を使用している必要があります。 (Microsoft Defender ウイルス対策の更新プログラムを管理し、ベースラインを適用します)。 - クラウド提供の保護 を有効にする必要があります。
Microsoft Defender ポータル (https://security.microsoft.com) で改ざん防止を管理するには、セキュリティ管理者などのロールを通じて適切なアクセス許可が割り当てられている必要があります。 ( 「Microsoft Defender XDR ロールベースのアクセス制御 (RBAC)」を参照してください)。
改ざん防止を構成できる Windows のバージョン
- Windows 11
- Windows 11 Enterprise multi-session
- Windows 10 OS 1709、 1803、 1809 以降と Microsoft Defender for Endpoint。
- Windows 10 Enterprise マルチセッション
Configuration Manager バージョン 2006 をテナント接続で使用している場合は、改ざん防止を Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、および Windows Server 2022 に拡張できます。 「 テナントのアタッチ: 管理センターからエンドポイント セキュリティ ウイルス対策ポリシーを作成して展開する (プレビュー)」を参照してください。
改ざん防止は、Windows セキュリティ アプリでの Microsoft ウイルス対策以外の登録に影響しますか?
いいえ。 Microsoft 以外のウイルス対策サービスは、引き続き Windows セキュリティ アプリケーションに登録されます。
デバイスで Microsoft Defender ウイルス対策がアクティブになっていない場合はどうなりますか?
Microsoft 以外のウイルス対策/マルウェア対策ソフトウェアがデバイスにインストールされている場合、そのデバイスが Microsoft Defender for Endpoint にオンボードされている場合、Microsoft Defender ウイルス対策は既定でパッシブ モードで実行されます。 改ざん防止は、サービスとその機能を保護します。
Microsoft 以外のウイルス対策/マルウェア対策ソフトウェアがアンインストールされた場合、Microsoft Defender ウイルス対策は自動的にアクティブ モードに切り替わります。 改ざん防止は、サービスとその機能を引き続き保護します。
改ざん防止のオン/オフを切り替える方法
Microsoft Intune を使用して、組織の Microsoft Defender ウイルス対策設定を管理することをお勧めします。 Intune を使用すると、ポリシーを使用して改ざん防止を有効 (または無効) する場所を制御できます。 Microsoft Defender ウイルス対策の除外を保護することもできます。 「改ざん防止: Microsoft Defender ウイルス対策の除外」を参照してください。
Microsoft Defender ポータルまたは Configuration Manager を使用することもできます。
ホーム ユーザーの場合は、「 個々のデバイスで改ざん防止を管理する」を参照してください。
改ざん防止は 組み込みの保護の一部であり、有効にする必要があります。
改ざん防止は Microsoft Defender ウイルス対策の除外に適用されますか?
はい。 デバイスで Microsoft Defender ウイルス対策の除外を保護するには、特定の条件を満たす必要があります。 たとえば、Intune のみまたは Configuration Manager を使用してデバイスを管理し、Sense を有効にする必要があります。 「Microsoft Defender ウイルス対策の除外を保護する」を参照してください。
Intune で改ざん防止を構成すると、グループ ポリシーを使用して Microsoft Defender ウイルス対策を管理する方法にどのような影響がありますか?
現在 Intune を使用して改ざん防止を構成および管理している場合は、引き続き Intune を使用する必要があります。 改ざん防止が有効になっていて、グループ ポリシーを使用して Microsoft Defender ウイルス対策の設定を変更すると、改ざん防止によって保護されている設定はすべて無視されます。
- デバイスに変更を加える必要があり、それらの変更が改ざん防止によってブロックされている場合は、 トラブルシューティング モードを 使用してデバイスの改ざん防止を一時的に無効にすることができます。 トラブルシューティング モードが終了すると、改ざん保護された設定に加えられた変更はすべて、構成済みの状態に戻されます。
- Intune または Configuration Manager を使用して、デバイスを改ざん防止から除外できます。
- Intune を使用して改ざん防止を管理していて、その他の特定の条件が満たされている場合は、 改ざんで保護されたウイルス対策の除外を管理できます。
Microsoft Intune を使用して改ざん防止を構成する場合、組織全体にのみ適用されますか?
Intune を使用して改ざん防止を構成および管理している場合は、必ずしも組織全体に改ざん防止を適用する必要はありません。 Intune では、組織全体に改ざん防止を適用するか、特定のデバイスまたはユーザー グループを選択して改ざん防止を受けることができます。 改ざん防止から特定のデバイスを除外することもできます。
改ざん防止を有効にした場合に変更できない設定は何ですか?
改ざん防止を有効にすると、次のセキュリティ設定が変更されないように保護されます。
- ウイルスと脅威の保護は引き続き有効です。
- リアルタイム保護はオンのままです。
- 動作の監視はオンのままです。
- IOfficeAntivirus (IOAV) を含むウイルス対策保護は有効のままです。
- クラウド保護は引き続き有効です。
- セキュリティ インテリジェンスの更新は引き続き行われます。
- 検出された脅威に対して自動アクションが実行されます。
- 通知は、Windows デバイスの Windows セキュリティ アプリに表示されます。
- アーカイブされたファイルがスキャンされます。
詳細については、「 改ざん防止が有効になっているとどうなるか」を参照してください。
Microsoft Defender XDR で改ざん防止が有効になっている場合、Intune または Configuration Manager の設定で上書きできますか?
Microsoft Defender ポータル (https://security.microsoft.com) で改ざん防止を有効にすると、テナント全体で改ざん防止が有効になります。 ただし、Intune または Configuration Manager で定義されているポリシーは、Microsoft Defender ポータルの設定をオーバーライドできます。 たとえば、特定のデバイスを改ざん防止から除外するポリシーを Intune または Configuration Manager で定義できます。
DisableLocalAdminMerge をデプロイするにはどうすればよいですか?
Intune を使用して DisableLocalAdminMerge を展開します。
Windows デバイスで除外が改ざん保護されているかどうかを確認するにはどうすればよいですか?
改ざん防止されたウイルス対策の除外の管理に関するページのガイダンスに従ってください。
除外に対して改ざん防止が有効になっている場合、Intune または Configuration Manager から新しい除外ポリシー設定を適用するために無効にする必要がありますか?
いいえ。 除外の改ざん防止が有効になっている場合は、新しい除外を適用するために無効にする必要はありません。
Configuration Manager で改ざん防止を構成できますか?
はい。 Intune の使用と同様に、組織全体または特定のユーザーとデバイスに改ざん防止を適用できます。 詳細については、次のリソースを参照してください。
私はエンタープライズ顧客です。 ローカル管理者はデバイスの改ざん防止を変更できますか?
一般に、改ざん防止は、ユーザーがデバイス上でセキュリティ設定を直接変更できないように保護するのに役立ちます。 改ざん防止は、 標準的な保護攻撃面の縮小ルールを含む改ざん防止機能の一部です。 カーネルでマルウェアが実行されないようにするには、 Windows 用アプリケーションコントロールでドライバー ブロック規則を使用することを検討してください。
デバイスが Microsoft Defender for Endpoint にオンボードされ、オンボード状態になった場合はどうなりますか?
デバイスが Microsoft Defender for Endpoint からオフボードされている場合、アンマネージド デバイスの既定の状態である改ざん防止が有効になります。
改ざん防止の状態が変更された場合、アラートは Microsoft Defender ポータルに表示されますか?
アラートは、 Microsoft Defender ポータル の [アラート] の下に一覧表示 する必要があります。 セキュリティ運用チームは、次の例のようなハンティング クエリを使用することもできます。
AlertInfo|where Title == "Tamper Protection bypass"
改ざん防止を構成するためのオプションは何ですか?
次のいずれかの方法を使用して、改ざん防止を構成できます。
- Microsoft Defender ポータル (改ざん防止のオンとオフ、テナント全体の切り替え)
- Intune (改ざん防止のオン/オフ、一部またはすべてのユーザーの改ざん防止の構成)
- Configuration Manager (テナントアタッチを使用して、Windows セキュリティ エクスペリエンス プロファイルを使用して、一部またはすべてのデバイスの改ざん防止を構成できます)。
- Windows セキュリティ アプリ (自宅またはセキュリティ チームがデバイスを管理していない状況で使用される個々のデバイス用)
注:
組織全体で改ざん防止を有効にしておくことをお勧めします。 改ざん防止によって、IT チームまたはセキュリティ チームがデバイスで必要なタスクを実行できなくなる場合は、改ざん防止を無効にする代わりに トラブルシューティング モード を使用することを検討してください。