Microsoft Defender for Endpoint でエンドポイント セキュリティ ポリシーを管理する

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

セキュリティ ポリシーを使用して、デバイスのセキュリティ設定を管理します。 セキュリティ管理者は、Microsoft Defender ポータルでセキュリティ ポリシー設定を構成できます。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

エンドポイント セキュリティ ポリシーは、 エンドポイント>構成管理>Endpoint セキュリティ ポリシーにあります。

注:

Microsoft Defender ポータル の [エンドポイント セキュリティ ポリシー] ページは、 セキュリティ管理者ロールが割り当てられているユーザーのみが使用できます。 セキュリティ 閲覧者などの他のユーザー ロールは、ポータルにアクセスできません。 ユーザーが Microsoft Defender ポータルでポリシーを表示するために必要なアクセス許可を持っている場合、Intune のアクセス許可に基づいてデータが表示されます。 ユーザーが Intune ロールベースのアクセス制御のスコープ内にある場合は、Microsoft Defender ポータルに表示されるポリシーの一覧に適用されます。 Intune と Microsoft Defender ポータルの間でアクセス許可のレベルを効果的に調整するには 、セキュリティ管理者に Intune 組み込みのロール "エンドポイント セキュリティ マネージャー" を 付与することをお勧めします。

次の一覧では、各エンドポイント セキュリティ ポリシーの種類について簡単に説明します。

• ウイルス対策 - ウイルス対策ポリシーは、セキュリティ管理者が管理対象デバイスの個別のウイルス対策設定グループの管理に集中するのに役立ちます。

• ディスク暗号化 - エンドポイント セキュリティ ディスク暗号化プロファイルは、FileVault や BitLocker などのデバイスの組み込み暗号化方法に関連する設定のみに焦点を当てます。 この焦点により、セキュリティ管理者は、関連のない設定のホストを移動することなく、ディスク暗号化設定を簡単に管理できます。

• ファイアウォール - Intune のエンドポイント セキュリティ ファイアウォール ポリシーを使用して、macOS と Windows 10/11 を実行するデバイスの組み込みファイアウォールを構成します。

• エンドポイントの検出と応答 - Microsoft Defender for Endpoint と Intune を統合する場合は、エンドポイント検出と応答 (EDR) のエンドポイント セキュリティ ポリシーを使用して EDR 設定を管理し、デバイスを Microsoft Defender for Endpoint にオンボードします。

• 攻撃面の縮小 - Windows 10/11 デバイスで Microsoft Defender ウイルス対策が使用されている場合は、攻撃面の縮小に Intune エンドポイント セキュリティ ポリシーを使用して、デバイスの設定を管理します。

エンドポイント セキュリティ ポリシーを作成する

1. 少なくともセキュリティ管理者ロールを使用して Microsoft Defender ポータル にサインインします。

2. [ エンドポイント] > [構成管理] > [エンドポイント セキュリティ ポリシー ] を選択し、[ 新しいポリシーの作成] を選択します。

3. ドロップダウン リストからプラットフォームを選択します。

4. テンプレートを選択し、[ ポリシーの作成] を選択します。

5. [基本] ページでプロファイルに名前と説明を入力し、[次へ] を選択します。

6. [ 設定] ページで、設定の各グループを展開し、このプロファイルで管理する設定を構成します。

   設定の構成が完了したら、[次へ] を選択します。

7. [割り当て] ページで、このプロファイルを受け取るグループを選択します。

   [次へ] を選択します。

8. [ 確認と作成 ] ページで、完了したら [保存] を選択 します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。

注:

スコープ タグを編集するには、 Microsoft Intune 管理センターに移動する必要があります。

エンドポイント セキュリティ ポリシーを編集するには

1. 新しいポリシーを選択し、[編集] を選択 します。

2. [設定] を選択して、ポリシーの構成設定の一覧を展開します。 このビューから設定を変更することはできませんが、構成方法を確認することはできます。

3. ポリシーを変更するには、変更するカテゴリごとに [編集] を選択します。

   • 基本事項
   • Settings
   • 課題

4. 変更が完了したら、[ 保存 ] を選択して編集内容を保存します。 追加のカテゴリに編集を導入するには、1 つのカテゴリの編集を保存する必要があります。

エンドポイント セキュリティ ポリシーを確認する

ポリシーが正常に作成されたことを確認するには、エンドポイント セキュリティ ポリシーの一覧からポリシー名を選択します。

注:

ポリシーがデバイスに到達するまでに最大 90 分かかる場合があります。 プロセスを迅速化するために、Defender for Endpoint によって管理されるデバイスの場合は、アクション メニューから [ポリシー同期 ] を選択して、約 10 分で適用できます。

ポリシー ページには、ポリシーの状態をまとめた詳細が表示されます。 ポリシーの状態、適用されているデバイス、および割り当てられたグループを表示できます。

調査中に、デバイス ページの [ セキュリティ ポリシー ] タブを表示して、特定のデバイスに適用されているポリシーの一覧を表示することもできます。 詳細については、「 デバイスの調査」を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。