次の方法で共有

分離の除外 (プレビュー)

適用対象:

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

分離の除外とは、選択的分離応答アクションをデバイスに適用することで、特定のプロセス、IP アドレス、またはサービスをネットワーク分離から除外する機能を指します。

Microsoft Defender for Endpoint (MDE) のネットワーク分離は、侵害されたデバイスの通信を制限して、脅威の拡散を防ぎます。 ただし、管理ツールやセキュリティ ソリューションなど、特定の重要なサービスを運用したままにする必要がある場合があります。

分離の除外を使用すると、指定されたプロセスまたはエンドポイントがネットワーク分離の制限をバイパスし、ネットワークの広範な露出を制限しながら、重要な機能 (リモート修復や監視など) を継続できます。

警告

除外すると、デバイスの分離が弱まり、セキュリティ リスクが高まります。 リスクを最小限に抑えるには、厳密に必要な場合にのみ除外を構成します.

セキュリティ ポリシーに合わせて除外を定期的に確認および更新します。

分離モード

分離には、完全分離と選択的分離の 2 つのモードがあります。

  • 完全分離: 完全分離モードでは、デバイスはネットワークから完全に分離され、例外は許可されません。 Defender エージェントとの重要な通信を除き、すべてのトラフィックがブロックされます。 除外は、完全分離モードでは適用されません。

    完全分離モードは最も安全なオプションであり、高レベルの封じ込めが必要なシナリオに適しています。 完全分離モードの詳細については、「 ネットワークからデバイスを分離する」を参照してください。

  • 選択的分離: 選択的分離モードを使用すると、管理者は除外を適用して、デバイスの分離状態を維持しながら、重要なツールとネットワーク通信を引き続き機能させることができます。

分離の除外を使用する方法

分離除外を使用するには、分離除外ルールを定義し、デバイスに分離除外を適用する 2 つの手順があります。 これらの手順については、次のセクションで説明します。 分離の除外を使用するには、前提条件で説明されているように、この機能を有効にする必要があります。

前提条件

  • 分離の除外は、Windows 11、Windows 10 バージョン 1703 以降、Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016 で使用できます。R2 と macOS をWindows Server 2012します。

  • 分離の除外を有効にする必要があります。 分離の除外を有効にするには、セキュリティ 管理またはセキュリティ設定の管理のアクセス許可以上が必要です。 分離の除外を有効にするには、Microsoft Defender ポータルにサインインし、[設定>Endpoints>Advanced 機能] に移動し、分離除外ルール機能を有効にします。

    分離の除外を有効にする方法を示すスクリーンショット。

    注:

    分離除外機能が有効になると、以前に埋め込まれたMicrosoft Teams、Outlook、Skype の除外は適用されなくなり、除外リストはすべてのプラットフォームで空になります。 Microsoft Teams、Outlook、Skype で引き続き分離中にアクセスが必要な場合は、それらの新しい除外規則を手動で定義する必要があります。

    Skype は非推奨となり、既定の除外には含まれなくなったことに注意してください。

手順 1: 設定でグローバル除外を定義する

  1. Microsoft Defender ポータルで、[設定>Endpoints>Isolation の除外規則] に移動します。

  2. 関連する [OS] タブ (Windows ルールまたは Mac ルール) を選択します。

  3. [ + 除外規則の追加] を選択します

    新しい分離除外ルールを追加する方法を示すスクリーンショット。

  4. [ 新しい除外ルールの追加] ダイアログが表示されます。

    分離除外ルールを定義するために必要なフィールドを示すスクリーンショット。

    分離除外パラメーターを入力します。 赤いアスタリスクは必須パラメーターを示します。 パラメーターとその有効な値を次の表に示します。

    パラメーター 説明と有効な値
    ルール名 ルールの名前を指定します。
    ルールの説明 ルールの目的について説明します。
    プロセス パス (Windows のみ) 実行可能ファイルのファイル パスは、単にエンドポイント上の場所です。 各ルールで使用する実行可能ファイルを 1 つ定義できます。

    例:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    :
    - 分離が適用されている場合、実行可能ファイルが存在する必要があります。それ以外の場合、除外規則は無視されます。
    - 除外は、指定されたプロセスによって作成された子プロセスには適用されません。
    サービス名 (Windows のみ) Windows サービスの短い名前は、トラフィックを送受信しているサービス (アプリケーションではなく) を除外する場合に使用できます。 サービスの短い名前は、PowerShell から Get-Service コマンドを実行することで取得できます。 各ルールで使用するサービスを 1 つ定義できます。

    例: termservice
    パッケージ ファミリ名 (Windows のみ) パッケージ ファミリ名 (PFN) は、Windows アプリ パッケージに割り当てられた一意の識別子です。 PFN 形式は、次の構造に従います。 <Name>_<PublisherId>

    パッケージ ファミリ名は、PowerShell から Get-AppxPackage コマンドを実行することで取得できます。 たとえば、新しい Microsoft Teams PFN を取得するには、 Get-AppxPackage MSTeamsを実行し、 PackageFamilyName プロパティの値を探します。

    サポート対象:
    - Windows 11 (24H2)
    - Windows Server 2025
    - Windows 11 (22H2) Windows 11、バージョン 23H2 KB5050092
    - Windows Serverバージョン 23H2
    - Windows 10 22H2 - KB 5050081
    方向 接続方向 (受信/送信)。 例:

    送信接続: デバイスがリモート バックエンド サーバーへの HTTPS 接続など、接続を開始する場合は、送信規則のみを定義します。 例: デバイスは 1.1.1.1 (送信) に要求を送信します。 この場合、サーバーからの応答は接続の一部として自動的に受け入れられるので、受信規則は必要ありません。

    受信接続: デバイスが受信接続をリッスンしている場合は、 受信規則を定義します。
    リモート IP デバイスがネットワークから分離されている間に通信が許可される IP (または IP)。

    サポートされている IP 形式:
    - オプションの CIDR 表記を使用した IPv4/IPv6
    - 有効な IP のコンマ区切りの一覧
    ルールごとに最大 20 個の IP アドレスを定義できます。

    有効な入力例:
    - 単一 IP アドレス: 1.1.1.1
    - IPV6 アドレス: 2001:db8:85a3::8a2e:370:7334
    - CIDR 表記の IP アドレス (IPv4 または IPv6): 1.1.1.1/24
      この例では、IP アドレスの範囲を定義します。 この場合、1.1.1.0 から 1.1.1.255 までのすべての IP が含まれます。 /24 はサブネット マスクを表し、アドレスの最初の 24 ビットを固定し、残りの 8 ビットはアドレス範囲を定義します。

  5. 変更を保存して適用します。

これらのグローバル ルールは、デバイスで選択的分離が有効になっている場合に常に適用されます。

手順 2: 特定のデバイスに選択的分離を適用する

  1. ポータルの [デバイス] ページに移動します。

  2. [ デバイスの分離] を選択し、[ 選択的分離] を選択します。

  3. [分離の除外を使用する] をオンにして、デバイスが分離されている間に特定の通信を許可し、コメントを入力します。

    除外ルールをデバイスに適用する方法を示すスクリーンショット。

  4. [確認] を選択します。

特定のデバイスに適用された除外は、アクション センターの履歴で確認できます。

アクション センターの履歴の除外を示すスクリーンショット。

API を使用して選択的分離を適用する

または、API を使用して選択的分離を適用することもできます。 これを行うには、 IsolationType パラメーターを 選択的に設定します。 詳細については、「 マシン API の分離」を参照してください。  

除外ロジック

  • 一致するすべてのルールが適用されます。
  • 1 つのルール内で、条件では AND ロジックが使用されます (すべて一致する必要があります)。
  • ルール内の未定義の条件は、"any" (つまり、そのパラメーターに対して無制限) として扱われます。

たとえば、次の規則が定義されている場合は、次のようになります。

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe は、リモート IP 1.1.1.1 へのネットワーク接続のみを開始できます。
  • example_2.exe は、すべての IP アドレスへのネットワーク接続を開始できます。
  • デバイスは、IP アドレス 18.18.18.18 から受信接続を受信できます。

考慮事項と制限事項

除外規則の変更は、新しい分離要求にのみ影響します。 既に分離されたデバイスは、適用時に定義された除外に残ります。 分離されたデバイスに更新された除外規則を適用するには、それらのデバイスを分離から解放してから、再表示します。

この動作により、アクティブな分離セッションの期間中、分離ルールの一貫性が維持されます。

関連コンテンツ

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。