Defender forウイルス対策でオフライン時にウイルス検知した際の挙動を教えていただけますでしょうか。

Question

Intuneを使用して、Microsoft Defender for EndpointでWindows OSのPCを管理します。

オフライン検知で（ネットワーク遮断トリガーの対象となる）ウイルスを検知し、再度オンラインに戻した際の挙動を教えていただけますでしょうか。

この場合、ユーザーは少しでもネットワークに接続することができてしまうのでしょうか？

Endpoint側でネットワーク遮断が必要と判断し、ネットワーク遮断指示を出すのは

PCがネットワークに接続したタイミングになるのでしょうか？

下記２パターンのどちらになるのかなと想定しています。

・オフライン検知でウイルス検知→オンラインに戻す→Defender for EndpointとPCとの疎通が取れる→Endpoint側でネットワーク遮断が必要と判断→Endpointからネットワーク遮断指示→ネットワークに接続できなくなる。

・オフライン検知でウイルス検知→即ネットワーク遮断→オンラインに戻す→ネットワークに接続できない

ネットワーク遮断の動作がPC内で完結するのか、 Endpoint側の指示になるのか確認したいです。

Answer 1

「ネットワーク遮断」と書かれているのは以下の記事で説明されているデバイス分離（device isolation）機能のことであれば

• Take response actions on a device in Microsoft Defender for Endpoint

以下の記事に動作機序が解説されていました。

• Microsoft Defender for Endpoint(MDE) デバイス分離機能の解除ができない場合のトラブルシューティング | Japan CSS Security Support Blog (jp-sec.github.io)

「管理者の操作もしくはカスタム検出ルールなどによってデバイス分離が実行されると、MDE のサービスは対象の端末と通信を行い、ネットワーク分離を行います」ということなので、いったん MDE サービスとの通信が行われるようです。