デバイス制御を手動で展開および管理する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender for Business
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
Microsoft Defender for Endpointデバイス制御機能を使用すると、リムーバブル ストレージへの読み取り、書き込み、または実行アクセスを監査、許可、または防止でき、除外の有無にかかわらず iOS およびポータブル デバイスと Bluetooth メディアを管理できます。
ライセンスの要件
リムーバブル ストレージ Access Controlの使用を開始する前に、Microsoft 365 サブスクリプションを確認する必要があります。 リムーバブル 記憶域Access Controlにアクセスして使用するには、Microsoft 365 E3が必要です。
重要
この記事には、サード パーティ製ツールに関する情報が含まれています。 これは統合シナリオの完了に役立ちますが、Microsoft ではサード パーティ製ツールのトラブルシューティング サポートを提供していません。
サポートについては、サード パーティベンダーにお問い合わせください。
ポリシーを手動で展開する
この方法は、運用前環境でのみ推奨されます。 バージョン 101.23082.0018 以降で使用できます。 ポリシー JSON を作成し、すべてのユーザーに MDM 経由でデプロイする前に、1 台のコンピューターで試すことができます。 Microsoft では、運用環境に MDM を使用することをお勧めします。
ポリシーは、MDM (マネージド構成として) を使用して設定されていない場合にのみ、手動で設定できます。
手順 1: ポリシー JSON をCreateする
これで、 groups
、 rules
、 settings
、それらを 1 つの JSON に結合します。 デモ ファイルは、メインの mdatp-devicecontrol/deny_removable_media_except_kingston.json - microsoft/mdatp-devicecontrol (github.com) です。 ポリシー形式が正しいことを確認するには、JSON スキーマを使用してポリシーを検証してください。mdatp-devicecontrol/device_control_policy_schema.json (メイン - microsoft/mdatp-devicecontrol (github.com))。
設定、ルール、およびグループの詳細については、「 macOS のデバイス制御 」を参照してください。
手順 2: ポリシーを適用する
を使用して mdatp config device-control policy set --path <full-path-to-policy.json>
ポリシーを適用します。
保護された操作を試すか、通常 mdatp device-control
のコマンドを使用して有効なポリシーを検査できるようになりました。
> mdatp device-control policy preferences list
.Preferences
|-o UX
| |-o Navigation Target: "https://www.microsoft.com"
|-o Features
| |-o Removable Media
| |-o Disable: false
|-o Global
|-o Default Enforcement: "allow"
ポリシー ファイルを編集して再適用し、変更をすぐに確認できます。
手順 3: 変更を元に戻す
ポリシーをクリアするには、 を使用します mdatp config device-control policy reset
。
関連項目
- macOS 用デバイス コントロール
- Intuneを使用してデバイス制御を展開および管理する
- JAMF を使用したデバイス制御のデプロイと管理
- macOS デバイス コントロールに関してよく寄せられる質問 (FAQ)
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。