このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
適用対象:
セキュリティ ポリシーを使用して、デバイスのセキュリティ設定を管理します。 セキュリティ管理者は、Microsoft Defender ポータルでセキュリティ ポリシー設定を構成できます。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
エンドポイント セキュリティ ポリシーは、 エンドポイント>構成管理>Endpoint セキュリティ ポリシーにあります。
注意
Microsoft Defender ポータル (https://security.microsoft.com) の [エンドポイント セキュリティ ポリシー] ページは、すべてのデバイスへのアクセス権を持ち、Core security settings (manage)アクセス許可を持つユーザーにのみ使用できます。 これらのアクセス許可を持たないユーザー ロール ( Security Readerなど) は、ポータルにアクセスできません。 ユーザーがMicrosoft Defender ポータルでポリシーを表示するために必要なアクセス許可を持っている場合、データはIntuneのアクセス許可に基づいて表示されます。 ユーザーがロールベースのアクセス制御Intuneスコープ内にある場合は、Microsoft Defender ポータルに表示されるポリシーの一覧に適用されます。 IntuneとMicrosoft Defender ポータルの間でアクセス許可のレベルを効果的に調整するには、Intune組み込みのロール "エンドポイント セキュリティ マネージャー" をセキュリティ管理者に付与することをお勧めします。
次の一覧では、各エンドポイント セキュリティ ポリシーの種類について簡単に説明します。
ウイルス対策 - ウイルス対策ポリシーは、セキュリティ管理者が管理対象デバイスの個別のウイルス対策設定グループの管理に集中するのに役立ちます。
ディスク暗号化 - エンドポイント セキュリティ ディスク暗号化プロファイルは、FileVault や BitLocker などのデバイスの組み込み暗号化方法に関連する設定のみに焦点を当てます。 この焦点により、セキュリティ管理者は、関連のない設定のホストを移動することなく、ディスク暗号化設定を簡単に管理できます。
ファイアウォール - Intuneのエンドポイント セキュリティ ファイアウォール ポリシーを使用して、macOS と Windows 10/11 を実行するデバイスの組み込みファイアウォールを構成します。
エンドポイントの検出と応答 - Microsoft Defender for EndpointをIntuneと統合する場合は、エンドポイントの検出と応答 (EDR) のエンドポイント セキュリティ ポリシーを使用して EDR 設定を管理し、デバイスをMicrosoft Defender for Endpointにオンボードします。
攻撃面の縮小 - Microsoft Defenderウイルス対策がWindows 10/11 デバイスで使用されている場合は、攻撃面の削減にエンドポイント セキュリティ ポリシー Intune使用して、デバイスの設定を管理します。
少なくともセキュリティ管理者ロールを使用して、Microsoft Defender ポータルにサインインします。
[ エンドポイント] > [構成管理] > [エンドポイント セキュリティ ポリシー ] を選択し、[ 新しいポリシーの作成] を選択します。
ドロップダウン リストからプラットフォームを選択します。
テンプレートを選択し、[ ポリシーの作成] を選択します。
[基本] ページでプロファイルに名前と説明を入力し、[次へ] を選択します。
[ 設定] ページで、設定の各グループを展開し、このプロファイルで管理する設定を構成します。
設定の構成が完了したら、[次へ] を選択します。
[割り当て] ページで、このプロファイルを受け取るグループを選択します。
[次へ] を選択します。
[ 確認と作成 ] ページで、完了したら [保存] を選択 します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。
注意
スコープ タグを編集するには、Microsoft Intune管理センターに移動する必要があります。
新しいポリシーを選択し、[編集] を選択 します。
[設定] を選択して、ポリシーの構成設定の一覧を展開します。 このビューから設定を変更することはできませんが、構成方法を確認することはできます。
ポリシーを変更するには、変更するカテゴリごとに [編集] を選択します。
変更が完了したら、[ 保存 ] を選択して編集内容を保存します。 追加のカテゴリに編集を導入するには、1 つのカテゴリの編集を保存する必要があります。
ポリシーが正常に作成されたことを確認するには、エンドポイント セキュリティ ポリシーの一覧からポリシー名を選択します。
注意
ポリシーがデバイスに到達するまでに最大 90 分かかる場合があります。 プロセスを迅速化するために、Defender for Endpoint によって管理されるデバイスの場合は、アクション メニューから [ポリシー同期 ] を選択して、約 10 分で適用できます。
ポリシー ページには、ポリシーの状態をまとめた詳細が表示されます。 ポリシーの状態、適用されているデバイス、および割り当てられたグループを表示できます。
調査中に、デバイス ページの [ セキュリティ ポリシー ] タブを表示して、特定のデバイスに適用されているポリシーの一覧を表示することもできます。 詳細については、「 デバイスの調査」を参照してください。
![ポリシーの一覧が表示された [セキュリティ ポリシー] タブ](media/security-policies-list.png)
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
トレーニング
ラーニング パス
MD-102 エンドポイント セキュリティを管理する - Training
このラーニング パスでは、データ保護と脅威に対するエンドポイントの保護について学習します。 このパスでは、Microsoft Defender ソリューションの主要な機能についても説明します。
認定資格
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
最新の管理、共同管理のアプローチ、Microsoft Intune 統合の基本的な要素を使用して、エンドポイント展開戦略を計画して実行します。
ドキュメント
Intuneを使用して、Intuneに登録されていないデバイスのMicrosoft Defender設定を管理する方法について説明します
Intune ポリシーを使用して、Microsoft Intuneに登録されていないデバイスMicrosoft Defenderセキュリティ設定を管理する方法について説明します。
Microsoft Defender for Endpointセキュリティ設定管理を使用してMicrosoft Defenderウイルス対策を管理する方法について説明します
デバイス タグの作成と管理 - Microsoft Defender for Endpoint
デバイス タグを使用してデバイスをグループ化してコンテキストをキャプチャし、インシデントの一部として動的リストの作成を有効にする