Microsoft Intune を使用して組織の改ざん防止を管理する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender ウイルス対策
- Microsoft Defender for Business
- Microsoft 365 Business Premium
プラットフォーム
- Windows
改ざん防止は、ウイルスや脅威保護などの特定の セキュリティ設定が無効または変更されないように保護するのに役立ちます。 組織のセキュリティ チームの一員であり、 Microsoft Intune を使用している場合は、 Intune 管理センターで組織の改ざん防止を管理できます。 または、 Configuration Manager を使用することもできます。 Intune または Configuration Manager では、次のことができます。
- 一部またはすべてのデバイスの改ざん防止をオン (またはオフ) にします。
- Microsoft Defender ウイルス対策の除外を改ざんから保護します (特定の要件を満たす必要があります)。
重要
Microsoft Intune を使用して Defender for Endpoint 設定を管理している場合は、デバイスで DisableLocalAdminMerge を true に設定してください。
改ざん防止を有効にすると、 改ざん防止された設定 を変更できません。 Intune (および Configuration Manager) を含む管理エクスペリエンスの中断を回避するために、改ざん保護された設定の変更は成功したように見えるが、実際には改ざん防止によってブロックされる可能性があることに注意してください。 特定のシナリオに応じて、いくつかのオプションを使用できます。
- デバイスに変更を加える必要があり、それらの変更が改ざん防止によってブロックされる場合は、 トラブルシューティング モードを 使用してデバイスの改ざん防止を一時的に無効にすることをお勧めします。 トラブルシューティング モードが終了すると、改ざん保護された設定に加えられた変更はすべて構成済みの状態に戻されることに注意してください。
- Intune または Configuration Manager を 使用して、デバイスを改ざん防止から除外できます。
- Intune を使用して改ざん防止を管理している場合は、 改ざん保護されたウイルス対策の除外を変更できます。
Intune で改ざん防止を管理するための要件
| 要件 | 詳細 |
|---|---|
| ロールと権限 | セキュリティ管理者など、ロールを通じて適切なアクセス許可が割り当てられている必要があります。 Intune アクセス権を持つ Microsoft Entra ロールに関するページを参照してください。 |
| デバイス管理 | 組織は Intune を使用してデバイスを管理します。 |
| Intune ライセンス | Intune ライセンスが必要です。 「Microsoft Intune のライセンス」を参照してください。 |
| オペレーティング システム | Windows デバイスは、Windows 10 バージョン 1709 以降 または Windows 11 を実行している必要があります。 (リリースの詳細については、「 Windows リリース情報」を参照してください)。 Mac の場合は、「 改ざん防止を使用して macOS セキュリティ設定を保護する」を参照してください。 |
| セキュリティ インテリジェンス | バージョン 1.287.60.0 (またはそれ以降) に更新されたセキュリティ インテリジェンスで Windows セキュリティを使用している必要があります。 |
| マルウェア対策プラットフォーム | デバイスでは、マルウェア対策プラットフォーム バージョン 4.18.1906.3 (以上) とマルウェア対策エンジンのバージョン 1.1.15500.X (またはそれ以降) を使用している必要があります。 Microsoft Defender ウイルス対策の更新の管理を行い、ベースラインを適用する方法を参照してください。 |
| Microsoft Entra ID | Intune と Defender for Endpoint テナントは、同じ Microsoft Entra インフラストラクチャを共有する必要があります。 |
| Defender for Endpoint | デバイスを Defender for Endpoint にオンボードする必要があります。 |
注:
デバイスが Microsoft Defender for Endpoint に登録されていない場合、オンボード プロセスが完了するまで、改ざん防止は 適用不可 として表示されます。 改ざん防止により、セキュリティ設定の変更が発生するのを防ぐことができます。 イベント ID 5013 のエラー コードが表示される場合は、「 イベント ログとエラー コードを確認して Microsoft Defender ウイルス対策の問題をトラブルシューティングする」を参照してください。
Microsoft Intune で改ざん防止をオン (またはオフ) にする
Intune 管理センターで、[エンドポイント セキュリティ>Antivirus] に移動し、[+ ポリシーの作成] を選択します。
- [ プラットフォーム ] の一覧で、[ Windows 10]、[Windows 11]、[Windows Server] を選択します。
- [ プロファイル ] の一覧で、[ Windows セキュリティ エクスペリエンス] を選択します。
次の設定を含むプロファイルを作成します。
- 改ざん保護 (デバイス): オン
ポリシーのオプションと設定の選択を完了します。
デバイスにポリシーを展開します。
ウイルス対策の除外に対する改ざん防止
組織で Microsoft Defender ウイルス対策の除外が定義されている場合、次のすべての条件が満たされていれば、改ざん防止によってこれらの除外が保護されます。
| 条件 | 条件 |
|---|---|
| Microsoft Defender プラットフォーム | デバイスは、Microsoft Defender プラットフォーム 4.18.2211.5 以降を実行しています。 詳細については、「 月単位のプラットフォームとエンジンのバージョン」を参照してください。 |
DisableLocalAdminMerge 設定 |
この設定は、ローカル リストのマージの防止とも呼ばれます。 DisableLocalAdminMerge は、デバイスで構成された設定が Intune の設定など、組織のポリシーとマージされないように有効になっています。 詳細については、「 DisableLocalAdminMerge」を参照してください。 |
| デバイス管理 | デバイスは Intune でのみ管理されるか、Configuration Manager でのみ管理されます。 Sense を有効にする必要があります。 |
| ウイルス対策の除外 | Microsoft Defender ウイルス対策の除外は、Microsoft Intune で管理されます。 詳細については、「 Microsoft Intune for Windows デバイスの Microsoft Defender ウイルス対策ポリシーの設定」を参照してください。 Microsoft Defender ウイルス対策の除外を保護する機能は、デバイスで有効になっています。 詳細については、「 Windows デバイスでウイルス対策の除外が改ざん保護されているかどうかを判断する方法」を参照してください。 |
ヒント
Microsoft Defender ウイルス対策の除外の詳細については、「 Microsoft Defender for Endpoint および Microsoft Defender ウイルス対策の除外」を参照してください。
Windows デバイスでウイルス対策の除外が改ざん保護されているかどうかを判断する方法
レジストリ キーを使用して、Microsoft Defender ウイルス対策の除外を保護する機能が有効になっているかどうかを判断できます。 次の手順では、改ざん防止の状態を表示する方法について説明しますが、変更は行いません。
Windows デバイスでレジストリ エディターを開きます。 (読み取り専用モードは問題ありません。レジストリ キーを編集していません)。
デバイスが Intune でのみ管理されているか、Configuration Manager によってのみ管理されていることを確認するには、Sense が有効になっている状態で、次のレジストリ キーの値を確認します。
ManagedDefenderProductType(Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows DefenderまたはHKLM\SOFTWARE\Microsoft\Windows Defenderにあります)EnrollmentStatus(Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCMまたはHKLM\SOFTWARE\Microsoft\SenseCMにあります)
次の表は、レジストリ キーの値の意味をまとめたものです。
ManagedDefenderProductType値EnrollmentStatus値値の意味 6(任意の値) デバイスは Intune でのみ管理されます。
(改ざんを防止するための除外の要件を満たしています)。74デバイスは Configuration Manager によって管理されます。
(改ざんを防止するための除外の要件を満たしています)。6または 以外の値7(任意の値) デバイスは Intune のみまたは Configuration Manager でのみ管理されません。
(除外は改ざん防止されません)。改ざん防止が展開されていることと、除外が改ざん保護されていることを確認するには、
TPExclusionsレジストリ キー (Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\FeaturesまたはHKLM\SOFTWARE\Microsoft\Windows Defender\Featuresにあります) を確認します。TPExclusions値の意味 1必要な条件が満たされ、除外を保護するための新しい機能がデバイスで有効になります。
(除外は改ざん保護されています)。0現在、改ざん防止はデバイスの除外を保護していません。
(すべての要件が満たされていて、この状態が正しくないと思われる場合は、サポートにお問い合わせください)。
注意
レジストリ キーの値は変更しないでください。 上記の手順を使用して、情報のみを得る必要があります。 キーの変更は、改ざん防止が除外に適用されるかどうかには影響しません。
関連項目
- 改ざん防止に関してよく寄せられる質問 (FAQ)
- Windows 以外のデバイス上の Defender for Endpoint
- 改ざん防止に関する問題のトラブルシューティング
- Microsoft Intune を使用してデバイスで Microsoft Defender for Endpoint を管理する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示