Intune Endpoint Protection プロファイルを使用して管理できる Windows 設定

[アーティクル]
11/14/2023

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされる場合があります。すべての設定が文書化されているわけではないので、文書化されません。構成できる設定を確認するには、デバイス構成ポリシーを作成し、[ 設定カタログ] を選択します。詳細については、「設定カタログ」を参照してください。

Microsoft Intuneには、デバイスの保護に役立つ多くの設定が含まれています。この記事では、デバイス構成 エンドポイント保護 テンプレートの設定について説明します。デバイスセキュリティを管理するために、エンドポイントセキュリティポリシーを使用することもできます。これは、デバイスセキュリティのサブセットに直接焦点を当てます。ウイルス対策Microsoft Defender構成するには、「Windows デバイスの制限」を参照するか、エンドポイントセキュリティウイルス対策ポリシーを使用します。

開始する前に

エンドポイント保護デバイス構成プロファイルを作成します。

構成サービスプロバイダー (CSP) の詳細については、「構成サービスプロバイダーリファレンス」を参照してください。

Microsoft Defender Application Guard

Microsoft Edge の場合、Microsoft Defender Application Guardは、organizationによって信頼されていないサイトから環境を保護します。 Application Guardでは、分離されたネットワーク境界にないサイトが Hyper-V 仮想閲覧セッションで開きます。信頼されたサイトは、デバイス構成で構成されているネットワーク境界によって定義されます。詳細については、「 Windows デバイスでネットワーク境界を作成する」を参照してください。

Application Guardは、64 ビット Windows デバイスでのみ使用できます。このプロファイルを使用すると、Win32 コンポーネントがインストールされ、Application Guardがアクティブになります。

Application Guard
既定値: 未構成
CSP のApplication Guard: 設定/AllowWindowsDefenderApplicationGuard
- [Edge で有効 ] - Hyper-V 仮想化ブラウズコンテナーで信頼されていないサイトを開くこの機能を有効にします。
- [未構成] - 任意のサイト (信頼済みおよび信頼されていないサイト) をデバイスで開くことができます。
クリップボードの動作
既定値: 未構成
APPLICATION GUARD CSP: 設定/ClipboardSettings

ローカル PC と Application Guard 仮想ブラウザーの間で許可されるコピーおよび貼り付け操作を選択します。
- 未構成
- PC からブラウザーへのコピーと貼り付けを許可する
- ブラウザーから PC へのコピーと貼り付けを許可する
- PC とブラウザー間のコピーと貼り付けを許可する
- PC とブラウザー間のコピーと貼り付けをブロックする
クリップボードの内容
この設定は、 クリップボードの動作 が許可設定のいずれかに設定されている場合にのみ使用できます。
既定値: 未構成
CSP のApplication Guard: 設定/ClipboardFileType

許可されているクリップボードコンテンツを選択します。
- 未構成
- テキスト
- Images
- テキストと画像
エンタープライズサイトの外部コンテンツ
既定値: 未構成
APPLICATION GUARD CSP: Settings/BlockNonEnterpriseContent
- ブロック - 承認されていない Web サイトからのコンテンツの読み込みをブロックします。
- [未構成] - 非エンタープライズサイトをデバイスで開くことができます。
仮想ブラウザーから印刷する
既定値: 未構成
Application Guard CSP: 設定/PrintingSettings
- 許可 - 仮想ブラウザーから選択したコンテンツの印刷を許可します。
- 未構成 すべての印刷機能を無効にします。
[印刷を 許可する ] を選択すると、次の設定を構成できます。
- 印刷の種類 次のオプションの 1 つ以上を選択します。
  - PDF
  - XPS
  - ローカルプリンター
  - ネットワークプリンター
ログの収集
既定値: 未構成
Application Guard CSP: Audit/AuditApplicationGuard
- 許可 - Application Guard閲覧セッション内で発生するイベントのログを収集します。
- [未構成] - 閲覧セッション内でログを収集しないでください。
ユーザー生成のブラウザーデータを保持する
既定値: 未構成
CSP のApplication Guard: 設定/AllowPersistence
- 許可Application Guard仮想閲覧セッション中に作成されたユーザーデータ (パスワード、お気に入り、Cookie など) を保存します。
- 未構成 デバイスの再起動時、またはユーザーがサインアウトしたときに、ユーザーがダウンロードしたファイルとデータを破棄します。
グラフィックスアクセラレーション
既定値: 未構成
CSP のApplication Guard: 設定/AllowVirtualGPU
- 有効にする - 仮想グラフィックス処理装置にアクセスすることで、グラフィックを集中的に使用する Web サイトとビデオをより高速に読み込むことができます。
- 未構成 グラフィックスにはデバイスの CPU を使用します。仮想グラフィックス処理装置は使用しないでください。
ファイルをホストファイルシステムにダウンロードする
既定値: 未構成
CSP のApplication Guard: 設定/SaveFilesToHost
- [有効] - 仮想化されたブラウザーからホストオペレーティングシステムにファイルをダウンロードできます。
- [未構成] - デバイス上でファイルをローカルに保持し、ファイルをホストファイルシステムにダウンロードしません。

Windows ファイアウォール

グローバル設定

これらの設定は、すべてのネットワークの種類に適用されます。

ファイル転送プロトコル
既定値: 未構成
ファイアウォール CSP: MdmStore/Global/DisableStatefulFtp
- [ブロック ] - ステートフル FTP を無効にします。
- 未構成 - ファイアウォールは、セカンダリ接続を許可するようにステートフル FTP フィルター処理を実行します。
削除前のセキュリティアソシエーションのアイドル時間
既定値: 未構成
ファイアウォール CSP: MdmStore/Global/SaIdleTime

アイドル時間を秒単位で指定します。その後、セキュリティアソシエーションが削除されます。
事前共有キーエンコード
既定値: 未構成
ファイアウォール CSP: MdmStore/Global/PresharedKeyEncoding
- [有効] - UTF-8 を使用して事前に聞いたキーをエンコードします。
- [未構成] - ローカルストア値を使用して、事前に聞いたキーをエンコードします。
IPsec の除外
既定値: 0 が選択されています
ファイアウォール CSP: MdmStore/Global/IPsecExempt

IPsec から除外する次の種類のトラフィックを 1 つ以上選択します。
- ネイバーが IPv6 ICMP タイプコードを検出する
- ICMP
- ルーターが IPv6 ICMP タイプコードを検出する
- IPv4 と IPv6 の両方の DHCP ネットワークトラフィック
証明書失効リストの検証
既定値: 未構成
ファイアウォール CSP: MdmStore/Global/CRLcheck

デバイスが証明書失効リストを検証する方法を選択します。オプションは以下のとおりです。
- CRL 検証を無効にする
- 失効した証明書でのみ CRL 検証に失敗する
- 発生したエラーで CRL 検証に失敗します。
キーモジュールごとに一致する認証セットを日和見的に一致させる
既定値: 未構成
ファイアウォール CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM
- 有効キーモジュールでは、サポートされていない認証スイートのみを無視する必要があります。
- 構成されていない場合、キーモジュールは、セットで指定されたすべての認証スイートをサポートしていない場合、認証セット全体を無視する必要があります。
パケットキュー
既定値: 未構成
ファイアウォール CSP: MdmStore/Global/EnablePacketQueue

IPsec トンネルゲートウェイのシナリオで、暗号化された受信とクリアテキスト転送に対して受信側でのソフトウェアスケーリングを有効にする方法を指定します。この設定では、パケットの順序が保持されていることを確認します。オプションは以下のとおりです。
- 未構成
- すべてのパケットキューを無効にする
- 受信暗号化されたパケットのみをキューに入れます
- 暗号化解除後のキューパケットは、転送専用に実行されます
- 受信パケットと送信パケットの両方を構成する

ネットワーク設定

この記事では、それぞれ一度に次の設定を一覧表示しますが、いずれも 3 つの特定のネットワークの種類に適用されます。

ドメイン (ワークプレース) ネットワーク
プライベート (検出可能) ネットワーク
パブリック (検出できない) ネットワーク

一般

Windows ファイアウォール
既定値: 未構成
ファイアウォール CSP: EnableFirewall
- [有効] - ファイアウォールと高度なセキュリティを有効にします。
- 未構成 他のポリシー設定に関係なく、すべてのネットワークトラフィックを許可します。
ステルスモード
既定値: 未構成
ファイアウォール CSP: DisableStealthMode
- 未構成
- ブロック - ファイアウォールは、ステルスモードで動作することがブロックされています。ステルスモードをブロックすると、 IPsec で保護されたパケットの除外をブロックすることもできます。
- 許可 - ファイアウォールは、プローブ要求への応答を防ぐのに役立つ、ステルスモードで動作します。
IPsec でセキュリティ保護されたパケットの除外とステルスモード
既定値: 未構成
ファイアウォール CSP: DisableStealthModeIpsecSecuredPacketExemption

[隠しモード] が [ブロック] に設定されている場合、このオプションは無視されます。
- 未構成
- ブロック - IPSec で保護されたパケットは除外を受け取りません。
- 許可 - 除外を有効にします。ファイアウォールのステルスモードでは、ホストコンピューターが IPsec によってセキュリティで保護された未承諾のネットワークトラフィックに応答できないようにする必要があります。
シールド
既定値: 未構成
ファイアウォール CSP: シールド
- 未構成
- [ブロック ] - Windows ファイアウォールがオンで、この設定が [ブロック] に設定されている場合、他のポリシー設定に関係なく、すべての受信トラフィックがブロックされます。
- 許可 - [許可] に設定すると、この設定はオフになり、受信トラフィックは他のポリシー設定に基づいて許可されます。
マルチキャストブロードキャストへのユニキャスト応答
既定値: 未構成
ファイアウォール CSP: DisableUnicastResponsesToMulticastBroadcast

通常、マルチキャストメッセージやブロードキャストメッセージに対するユニキャスト応答を受信する必要はありません。これらの応答は、サービス拒否 (DOS) 攻撃、または既知のライブコンピューターを調査しようとしている攻撃者を示している可能性があります。
- 未構成
- [ブロック ] - マルチキャストブロードキャストへのユニキャスト応答を無効にします。
- 許可 - マルチキャストブロードキャストへのユニキャスト応答を許可します。
受信通知
既定値: 未構成
ファイアウォール CSP: DisableInboundNotifications
- 未構成
- [ブロック ] - アプリがポートでのリッスンをブロックされたときに使用する通知を非表示にします。
- [許可] - この設定を有効にし、アプリがポートでのリッスンをブロックされたときにユーザーに通知を表示できます。
送信接続の既定のアクション
既定値: 未構成
ファイアウォール CSP: DefaultOutboundAction

送信接続でファイアウォールが実行する既定のアクションを構成します。この設定は、Windows バージョン 1809 以降に適用されます。
- 未構成
- [ブロック ] - 既定のファイアウォールアクションは、明示的にブロックしないように指定されていない限り、送信トラフィックでは実行されません。
- 許可 - 既定のファイアウォールアクションは、送信接続で実行されます。
受信接続の既定のアクション
既定値: 未構成
ファイアウォール CSP: DefaultInboundAction
- 未構成
- [ブロック] - 既定のファイアウォールアクションは、受信接続では実行されません。
- 許可 - 既定のファイアウォールアクションは、受信接続で実行されます。

ルールのマージ

ローカルストアからの承認されたアプリケーション Windows ファイアウォール規則
既定値: 未構成
ファイアウォール CSP: AuthAppsAllowUserPrefMerge
- 未構成
- [ブロック] - ローカルストア内の承認されたアプリケーションファイアウォール規則は無視され、適用されません。
- [許可] - ローカルストアで [適用するファイアウォール規則を 有効にする] を 選択して、それらが認識され、適用されるようにします。
ローカルストアからのグローバルポート Windows ファイアウォール規則
既定値: 未構成
ファイアウォール CSP: GlobalPortsAllowUserPrefMerge
- 未構成
- ブロック - ローカルストア内のグローバルポートファイアウォール規則は無視され、適用されません。
- 許可 - ローカルストアでグローバルポートファイアウォール規則を適用して、認識および適用します。
ローカルストアからの Windows ファイアウォール規則
既定値: 未構成
ファイアウォール CSP: AllowLocalPolicyMerge
- 未構成
- [ブロック] - ローカルストアからのファイアウォール規則は無視され、適用されません。
- [許可] - ローカルストアでファイアウォール規則を適用して、認識および適用します。
ローカルストアからの IPsec 規則
既定値: 未構成
ファイアウォール CSP: AllowLocalIpsecPolicyMerge
- 未構成
- ブロック - ローカルストアからの接続セキュリティ規則は無視され、スキーマのバージョンと接続セキュリティ規則のバージョンに関係なく適用されません。
- 許可 - スキーマまたは接続セキュリティ規則のバージョンに関係なく、ローカルストアから接続セキュリティ規則を適用します。

ファイアウォール規則

1 つ以上のカスタムファイアウォール規則を追加できます。詳細については、「 Windows デバイスのカスタムファイアウォール規則を追加する」を参照してください。

カスタムファイアウォール規則では、次のオプションがサポートされています。

全般設定

名前
既定値: 名前なし

ルールのフレンドリ名を指定します。この名前は、識別に役立つルールの一覧に表示されます。
説明
既定値: 説明なし

ルールの説明を入力します。
方向
既定値: 未構成
Firewall CSP: FirewallRules/FirewallRuleName/Direction

この規則が受信トラフィックまたは送信トラフィックに適用されるかどうかを指定します。 [未構成] に設定すると、規則は送信トラフィックに自動的に適用されます。
操作
既定値: 未構成
Firewall CSP: FirewallRules/FirewallRuleName/Action、 FirewallRules/FirewallRuleName/Action/Type

[ 許可] または [ ブロック] から選択します。 [ 未構成] に設定すると、規則は既定でトラフィックを許可します。
[ネットワークの種類]
既定値: 0 が選択されています
Firewall CSP: FirewallRules/FirewallRuleName/Profiles

このルールが属するネットワークの種類を最大 3 種類選択します。オプションには、 ドメイン、 プライベート、 パブリックがあります。ネットワークの種類が選択されていない場合、ルールは 3 つのネットワークの種類すべてに適用されます。

アプリケーションの設定

アプリケーション
既定値: すべて

アプリまたはプログラムの接続を制御します。アプリとプログラムは、 ファイルパス、 パッケージファミリ名、または サービス名で指定できます。
- パッケージファミリ名 – パッケージファミリ名を指定します。パッケージファミリ名を見つけるには、PowerShell コマンド Get-AppxPackage を使用します。
  Firewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName
- ファイルパス – クライアントデバイス上のアプリへのファイルパスを指定する必要があります。絶対パスまたは相対パスを指定できます。たとえば、C:\Windows\System\Notepad.exe または %WINDIR%\Notepad.exe。
  Firewall CSP: FirewallRules/FirewallRuleName/App/FilePath
- Windows サービス – トラフィックを送受信するアプリケーションではなく、サービスの場合は、Windows サービスの短縮名を指定します。サービスの短い名前を見つけるには、PowerShell コマンド Get-Service を使用します。
  Firewall CSP: FirewallRules/FirewallRuleName/App/ServiceName
- すべて – 構成は必要ありません

IP アドレスの設定

この規則を適用するローカルアドレスとリモートアドレスを指定します。

ローカルアドレス
既定値: 任意のアドレス
Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

[ 任意のアドレス] または [ 指定したアドレス] を選択します。

[指定されたアドレス] を使用する場合は、ルールの対象となるローカルアドレスのコンマ区切りの一覧として 1 つ以上のアドレスを追加します。有効なトークンは次のとおりです。
- 任意のローカルアドレスにアスタリスク*を使用します。アスタリスクを使用する場合は、使用する唯一のトークンである必要があります。
- サブネットマスクまたはネットワークプレフィックス表記でサブネットを指定します。サブネットマスクまたはネットワークプレフィックスが指定されていない場合、サブネットマスクの既定値は 255.255.255.255 です。
- 有効な IPv6 アドレス。
- スペースが含まれていない "開始アドレス - 終了アドレス" の形式の IPv4 アドレス範囲。
- スペースが含まれていない "開始アドレス - 終了アドレス" の形式の IPv6 アドレス範囲。
リモートアドレス
既定値: 任意のアドレス
Firewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

[ 任意のアドレス] または [ 指定したアドレス] を選択します。

[指定されたアドレス] を使用する場合は、ルールの対象となるリモートアドレスのコンマ区切りリストとして 1 つ以上のアドレスを追加します。トークンでは大文字と小文字は区別されません。有効なトークンは次のとおりです。
- 任意のリモートアドレスにアスタリスク "*" を使用します。アスタリスクを使用する場合は、使用する唯一のトークンである必要があります。
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet (Windows バージョン 1809 以降でサポート)
- RmtIntranet (Windows バージョン 1809 以降でサポート)
- Internet (Windows バージョン 1809 以降でサポート)
- Ply2Renders (Windows バージョン 1809 以降でサポート)
- LocalSubnet は、ローカルサブネット上のローカルアドレスを示します。
- サブネットマスクまたはネットワークプレフィックス表記でサブネットを指定します。サブネットマスクまたはネットワークプレフィックスが指定されていない場合、サブネットマスクの既定値は 255.255.255.255 です。
- 有効な IPv6 アドレス。
- スペースが含まれていない "開始アドレス - 終了アドレス" の形式の IPv4 アドレス範囲。
- スペースが含まれていない "開始アドレス - 終了アドレス" の形式の IPv6 アドレス範囲。

ポートとプロトコルの設定

この規則を適用するローカルポートとリモートポートを指定します。

プロトコル
既定値: 任意
Firewall CSP: FirewallRules/FirewallRuleName/Protocol
次から選択し、必要な構成を完了します。
- すべて – 構成は使用できません。
- TCP – ローカルポートとリモートポートを構成します。どちらのオプションでも、[すべてのポート] または [指定したポート] がサポートされます。コンマ区切りリストを使用して、「指定されたポート」と入力します。
  - ローカルポート - ファイアウォール CSP: FirewallRules/FirewallRuleName/LocalPortRanges
  - リモートポート - ファイアウォール CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- UDP – ローカルポートとリモートポートを構成します。どちらのオプションでも、[すべてのポート] または [指定したポート] がサポートされます。コンマ区切りリストを使用して、「指定されたポート」と入力します。
  - ローカルポート - ファイアウォール CSP: FirewallRules/FirewallRuleName/LocalPortRanges
  - リモートポート - ファイアウォール CSP: FirewallRules/FirewallRuleName/RemotePortRanges
- カスタム – 0 から 255 までのカスタム プロトコル 番号を指定します。

高度な構成

インターフェイスの種類
既定値: 0 が選択されています
Firewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

次のオプションから選択します。
- リモートアクセス
- ワイヤレス
- ローカルエリアネットワーク
これらのユーザーからの接続のみを許可する
既定値: すべてのユーザー (リストが指定されていない場合、すべてのユーザーが使用する既定値)
Firewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

このルールに対して承認されたローカルユーザーの一覧を指定します。この規則が Windows サービスに適用される場合、承認されたユーザーの一覧を指定することはできません。

SmartScreen 設定のMicrosoft Defender

Microsoft Edge をデバイスにインストールする必要があります。

アプリとファイルの SmartScreen
既定値: 未構成
SmartScreen CSP: SmartScreen/EnableSmartScreenInShell
- [未構成] - SmartScreen の使用を無効にします。
- [有効] - ファイルの実行とアプリの実行に対して Windows SmartScreen を有効にします。 SmartScreen は、クラウドベースのフィッシング対策およびマルウェア対策コンポーネントです。
未検証ファイルの実行
既定値: 未構成
SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell
- [未構成 ] - この機能を無効にし、エンドユーザーが検証されていないファイルを実行できるようにします。
- ブロック - Windows SmartScreen によって検証されていないファイルをエンドユーザーが実行できないようにします。

Windows 暗号化

Windows の設定

デバイスを暗号化する
既定値: 未構成
BitLocker CSP: RequireDeviceEncryption
- [必須] - デバイス暗号化を有効にするようにユーザーに求めます。 Windows エディションとシステム構成によっては、ユーザーに次の質問が表示される場合があります。
  - 別のプロバイダーからの暗号化が有効になっていないことを確認します。
  - BitLocker ドライブ暗号化をオフにしてから、BitLocker をオンに戻す必要があります。
- 未構成
別の暗号化方法がアクティブな状態で Windows 暗号化が有効になっていると、デバイスが不安定になる可能性があります。

BitLocker の基本設定

基本設定は、すべての種類のデータドライブのユニバーサル BitLocker 設定です。これらの設定は、エンドユーザーがすべての種類のデータドライブで変更できるドライブ暗号化タスクまたは構成オプションを管理します。

その他のディスク暗号化に関する警告
既定値: 未構成
BitLocker CSP: AllowWarningForOtherDiskEncryption
- ブロック - 別のディスク暗号化サービスがデバイス上にある場合は、警告プロンプトを無効にします。
- [未構成] - 他のディスク暗号化の警告を表示できるようにします。
ヒント

Windows 1809 以降を実行Microsoft Entraデバイスに BitLocker を自動的かつサイレントモードでインストールするには、この設定を [ブロック] に設定する必要があります。詳細については、「デバイスで BitLocker をサイレントモードで有効にする」を参照してください。

[ブロック] に設定すると、次の設定を構成できます。
- 標準ユーザーがMicrosoft Entra参加中に暗号化を有効にすることを許可する
  この設定は、Microsoft Entra参加済み (Azure ADJ) デバイスにのみ適用され、前の設定Warning for other disk encryptionに依存します。
  既定値: 未構成
  BitLocker CSP: AllowStandardUserEncryption
  - 許可 - 標準ユーザー (管理者以外) は、サインイン時に BitLocker 暗号化を有効にすることができます。
  - デバイス で BitLocker 暗号化を有効にできるのは管理者のみです。
ヒント

参加して Windows 1809 以降を実行Microsoft Entraデバイスに BitLocker を自動的かつサイレントモードでインストールするには、この設定を [許可] に設定する必要があります。詳細については、「デバイスで BitLocker をサイレントモードで有効にする」を参照してください。
暗号化方法を構成する
既定値: 未構成
BitLocker CSP: EncryptionMethodByDriveType
- [有効] - オペレーティングシステム、データ、リムーバブルドライブの暗号化アルゴリズムを構成します。
- 未構成 - BitLocker は、既定の暗号化方法として XTS-AES 128 ビットを使用するか、セットアップスクリプトで指定された暗号化方法を使用します。
[有効] に設定すると、次の設定を構成できます。
- オペレーティングシステムドライブの暗号化
  既定値: XTS-AES 128 ビット
  
  オペレーティングシステムドライブの暗号化方法を選択します。 XTS-AES アルゴリズムを使用することをお勧めします。
  - AES-CBC 128 ビット
  - AES-CBC 256 ビット
  - XTS-AES 128 ビット
  - XTS-AES 256 ビット
- 固定データドライブの暗号化
  既定値: AES-CBC 128 ビット
  
  固定 (組み込み) データドライブの暗号化方法を選択します。 XTS-AES アルゴリズムを使用することをお勧めします。
  - AES-CBC 128 ビット
  - AES-CBC 256 ビット
  - XTS-AES 128 ビット
  - XTS-AES 256 ビット
- リムーバブルデータドライブの暗号化
  既定値: AES-CBC 128 ビット
  
  リムーバブルデータドライブの暗号化方法を選択します。 Windows 10/11 を実行していないデバイスでリムーバブルドライブを使用する場合は、AES-CBC アルゴリズムを使用することをお勧めします。
  - AES-CBC 128 ビット
  - AES-CBC 256 ビット
  - XTS-AES 128 ビット
  - XTS-AES 256 ビット

BitLocker OS ドライブの設定

これらの設定は、オペレーティングシステムのデータドライブに特に適用されます。

起動時の追加認証
既定値: 未構成
BitLocker CSP: SystemDrivesRequireStartupAuthentication
- [必須] - トラステッドプラットフォームモジュール (TPM) の使用など、コンピューターの起動の認証要件を構成します。
- [未構成] - TPM を使用するデバイスで基本的なオプションのみを構成します。
[必須] に設定すると、次の設定を構成できます。
- 互換性のない TPM チップを備えた BitLocker
  既定値: 未構成
  - ブロック - デバイスに互換性のある TPM チップがない場合は、BitLocker の使用を無効にします。
  - [未構成] - 互換性のある TPM チップなしで BitLocker を使用できます。 BitLocker には、パスワードまたはスタートアップキーが必要な場合があります。
- 互換性のある TPM の起動
  既定値: TPM を許可する
  
  TPM が許可されているか、必須か、または許可されていないかどうかを構成します。
  - TPM を許可する
  - TPM を許可しない
  - TPM が必要
- 互換性のある TPM スタートアップ PIN
  既定値: TPM でスタートアップ PIN を許可する
  
  TPM チップでスタートアップ PIN を使用することを許可するか、許可しないか、または必要とするかを選択します。スタートアップ PIN を有効にするには、エンドユーザーからの操作が必要です。
  - TPM でスタートアップ PIN を許可する
  - TPM でスタートアップ PIN を許可しない
  - TPM でスタートアップ PIN を要求する
  ヒント
  
  参加して Windows 1809 以降を実行Microsoft Entraデバイスに BitLocker を自動的にサイレントインストールするには、この設定を [TPM でスタートアップ PIN を要求する] に設定しないでください。詳細については、「デバイスで BitLocker をサイレントモードで有効にする」を参照してください。
- 互換性のある TPM スタートアップキー
  既定値: TPM でスタートアップキーを許可する
  
  TPM チップでスタートアップキーを使用することを許可するか、許可しないか、または必要とするかを選択します。スタートアップキーを有効にするには、エンドユーザーからの操作が必要です。
  - TPM でスタートアップキーを許可する
  - TPM でスタートアップキーを許可しない
  - TPM でスタートアップキーを要求する
  ヒント
  
  Windows 1809 以降を実行Microsoft Entraデバイスに BitLocker を自動的かつサイレントモードでインストールするには、この設定を [TPM でスタートアップキーを要求する] に設定しないでください。詳細については、「デバイスで BitLocker をサイレントモードで有効にする」を参照してください。
- 互換性のある TPM スタートアップキーと PIN
  既定値: TPM でスタートアップキーと PIN を許可する
  
  TPM チップでスタートアップキーと PIN を使用することを許可するか、許可しないか、必要とするかを選択します。スタートアップキーと PIN を有効にするには、エンドユーザーからの操作が必要です。
  - TPM でスタートアップキーと PIN を許可する
  - TPM でスタートアップキーと PIN を許可しない
  - TPM を使用してスタートアップキーと PIN を要求する
  ヒント
  
  Windows 1809 以降を実行Microsoft Entraデバイスに BitLocker を自動的かつサイレントモードでインストールするには、この設定を [TPM でスタートアップキーと PIN を要求する] に設定しないでください。詳細については、「デバイスで BitLocker をサイレントモードで有効にする」を参照してください。
PIN の最小長さ
既定値: 未構成
BitLocker CSP: SystemDrivesMinimumPINLength
- 有効 TPM スタートアップ PIN の最小長を構成します。
- [未構成] - ユーザーは、6 桁から 20 桁の任意の長さのスタートアップ PIN を構成できます。
[有効] に設定すると、次の設定を構成できます。
- 最小文字数
  既定値: 未構成 の BitLocker CSP: SystemDrivesMinimumPINLength
  
  スタートアップ PIN に必要な文字数を 4-20 から入力します。
OS ドライブの回復
既定値: 未構成
BitLocker CSP: SystemDrivesRecoveryOptions
- [有効] - 必要な起動情報が利用できない場合に BitLocker で保護されたオペレーティングシステムドライブの回復方法を制御します。
- 未構成 - DRA を含む既定の回復オプションがサポートされています。エンドユーザーは、回復オプションを指定できます。回復情報は AD DS にバックアップされません。
[有効] に設定すると、次の設定を構成できます。
- 証明書ベースのデータ復旧エージェント
  既定値: 未構成
  - ブロック - BitLocker で保護された OS ドライブでのデータ回復エージェントの使用を禁止します。
  - [未構成] - BitLocker で保護されたオペレーティングシステムドライブでデータ回復エージェントを使用できるようにします。
- 回復パスワードのユーザー作成
  既定値: 48 桁の回復パスワードを許可する
  
  ユーザーが 48 桁の回復パスワードの生成を許可、必須、または許可されていないかどうかを選択します。
  - 48 桁の回復パスワードを許可する
  - 48 桁の回復パスワードを許可しない
  - 48 桁の回復パスワードが必要
- 回復キーのユーザー作成
  既定値: 256 ビット回復キーを許可する
  
  ユーザーが 256 ビット回復キーの生成を許可、必須、または許可されていないかどうかを選択します。
  - 256 ビット回復キーを許可する
  - 256 ビット回復キーを許可しない
  - 256 ビット回復キーが必要
- BitLocker セットアップウィザードの回復オプション
  既定値: 未構成
  - ブロック - ユーザーは回復オプションを表示および変更できません。に設定する場合
  - [未構成] - BitLocker をオンにすると、回復オプションを表示および変更できます。
- BitLocker 回復情報を Microsoft Entra ID に保存する
  既定値: 未構成
  - [有効] - BitLocker 回復情報を Microsoft Entra ID に格納します。
  - [未構成] - BitLocker 回復情報は、Microsoft Entra ID に格納されません。
- BitLocker 回復 MICROSOFT ENTRA ID に格納されている情報
  既定値: バックアップ回復パスワードとキーパッケージ
  
  Microsoft Entra ID に格納される BitLocker 回復情報の部分を構成します。次から選択します。
  - バックアップ回復パスワードとキーパッケージ
  - バックアップ回復パスワードのみ
- クライアント駆動型の回復パスワードローテーション
  既定値: 未構成
  BitLocker CSP: ConfigureRecoveryPasswordRotation
  
  この設定は、OS ドライブの回復後 (bootmgr または WinRE を使用して) クライアント駆動型の回復パスワードローテーションを開始します。
  - 未構成
  - キーの回転が無効
  - 結合された deices に対して有効Microsoft Entraキーのローテーション
  - Microsoft Entra ID とハイブリッド参加済みデバイスで有効になっているキーローテーション
- BitLocker を有効にする前にMicrosoft Entra ID に回復情報を格納する
  既定値: 未構成
  
  コンピューターが BitLocker 回復情報を Microsoft Entra ID に正常にバックアップしない限り、ユーザーが BitLocker を有効にできないようにします。
  - [必須] - BitLocker 回復情報がMicrosoft Entra ID に正常に格納されていない限り、ユーザーが BitLocker をオンにできないようにします。
  - 未構成 - 回復情報がMicrosoft Entra ID に正常に格納されていない場合でも、ユーザーは BitLocker を有効にすることができます。
起動前の回復メッセージと URL
既定値: 未構成
BitLocker CSP: SystemDrivesRecoveryMessage
- [有効] - 起動前キーの回復画面に表示されるメッセージと URL を構成します。
- [未構成] - この機能を無効にします。
[有効] に設定すると、次の設定を構成できます。
- 起動前の回復メッセージ
  既定値: 既定の回復メッセージと URL を使用する
  
  起動前の回復メッセージをユーザーに表示する方法を構成します。次から選択します。
  - 既定の回復メッセージと URL を使用する
  - 空の回復メッセージと URL を使用する
  - カスタム回復メッセージを使用する
  - カスタム回復 URL を使用する

BitLocker 固定データドライブ設定

これらの設定は、固定データドライブに特に適用されます。

BitLocker によって保護されていない固定データドライブへの書き込みアクセス
既定値: 未構成
BitLocker CSP: FixedDrivesRequireEncryption
- [ブロック ] - BitLocker で保護されていないデータドライブに読み取り専用アクセス権を付与します。
- [未構成] - 既定では、暗号化されていないデータドライブへの読み取りと書き込みアクセス。
固定ドライブの回復
既定値: 未構成
BitLocker CSP: FixedDrivesRecoveryOptions
- [有効] - 必要な起動情報が利用できない場合に BitLocker で保護された固定ドライブの回復方法を制御します。
- [未構成] - この機能を無効にします。
[有効] に設定すると、次の設定を構成できます。
- データ復旧エージェント
  既定値: 未構成
  - ブロック - BitLocker で保護された固定ドライブポリシーエディターでデータ回復エージェントを使用できないようにします。
  - [未構成] - BitLocker で保護された固定ドライブでデータ回復エージェントを使用できるようにします。
- 回復パスワードのユーザー作成
  既定値: 48 桁の回復パスワードを許可する
  
  ユーザーが 48 桁の回復パスワードの生成を許可、必須、または許可されていないかどうかを選択します。
  - 48 桁の回復パスワードを許可する
  - 48 桁の回復パスワードを許可しない
  - 48 桁の回復パスワードが必要
- 回復キーのユーザー作成
  既定値: 256 ビット回復キーを許可する
  
  ユーザーが 256 ビット回復キーの生成を許可、必須、または許可されていないかどうかを選択します。
  - 256 ビット回復キーを許可する
  - 256 ビット回復キーを許可しない
  - 256 ビット回復キーが必要
- BitLocker セットアップウィザードの回復オプション
  既定値: 未構成
  - ブロック - ユーザーは回復オプションを表示および変更できません。に設定する場合
  - [未構成] - BitLocker をオンにすると、回復オプションを表示および変更できます。
- BitLocker 回復情報を Microsoft Entra ID に保存する
  既定値: 未構成
  - [有効] - BitLocker 回復情報を Microsoft Entra ID に格納します。
  - [未構成] - BitLocker 回復情報は、Microsoft Entra ID に格納されません。
- BitLocker 回復 MICROSOFT ENTRA ID に格納されている情報
  既定値: バックアップ回復パスワードとキーパッケージ
  
  Microsoft Entra ID に格納される BitLocker 回復情報の部分を構成します。次から選択します。
  - バックアップ回復パスワードとキーパッケージ
  - バックアップ回復パスワードのみ
- BitLocker を有効にする前にMicrosoft Entra ID に回復情報を格納する
  既定値: 未構成
  
  コンピューターが BitLocker 回復情報を Microsoft Entra ID に正常にバックアップしない限り、ユーザーが BitLocker を有効にできないようにします。
  - [必須] - BitLocker 回復情報がMicrosoft Entra ID に正常に格納されていない限り、ユーザーが BitLocker をオンにできないようにします。
  - 未構成 - 回復情報がMicrosoft Entra ID に正常に格納されていない場合でも、ユーザーは BitLocker を有効にすることができます。

BitLocker リムーバブルデータドライブの設定

これらの設定は、リムーバブルデータドライブに特に適用されます。

BitLocker によって保護されていないリムーバブルデータドライブへの書き込みアクセス
既定値: 未構成
BitLocker CSP: RemovableDrivesRequireEncryption
- [ブロック ] - BitLocker で保護されていないデータドライブに読み取り専用アクセス権を付与します。
- [未構成] - 既定では、暗号化されていないデータドライブへの読み取りと書き込みアクセス。
[有効] に設定すると、次の設定を構成できます。
- 別のorganizationで構成されたデバイスへの書き込みアクセス
  既定値: 未構成
  - ブロック - 別のorganizationで構成されたデバイスへの書き込みアクセスをブロックします。
  - 未構成 - 書き込みアクセスを拒否します。

Microsoft Defender Exploit Guard

悪用保護を使用して、従業員が使用するアプリの攻撃面を管理および削減します。

攻撃面の縮小

攻撃表面の縮小ルールは、マルウェアが悪意のあるコードでコンピューターに感染するために頻繁に使用する動作を防ぐのに役立ちます。

攻撃面の縮小ルール

詳細については、Microsoft Defender for Endpointドキュメントの「攻撃面の縮小ルール」を参照してください。

Intune での攻撃面の縮小ルールのマージ動作:

攻撃面の縮小ルールでは、デバイスごとにポリシーのスーパーセットを作成するために、さまざまなポリシーの設定の統合がサポートされています。競合していない設定のみがマージされますが、競合している設定はルールのスーパーセットには追加されません。以前は、2 つのポリシーに 1 つの設定の競合が含まれている場合、両方のポリシーが競合しているとフラグが設定され、どちらのプロファイルの設定も展開されません。

攻撃面の縮小ルールのマージ動作は次のとおりです。

次のプロファイルの攻撃面縮小ルールは、ルールが適用されるデバイスごとに評価されます。
- デバイス>構成ポリシー > エンドポイント保護プロファイル > Microsoft Defender Exploit Guard >攻撃 Surface の縮小
- エンドポイントセキュリティ > 攻撃面の縮小ポリシー >攻撃面の縮小ルール
- エンドポイントセキュリティ > のセキュリティベースライン > Microsoft Defender for Endpointベースライン>攻撃サーフェス削減ルール。
競合のない設定は、デバイスのポリシーのスーパーセットに追加されます。
複数のポリシーに競合する設定がある場合、競合する設定は結合されたポリシーに追加されません。競合しない設定は、デバイスに適用されるスーパーセットポリシーに追加されます。
競合する設定の構成のみが保留されます。

このプロファイルの設定:

Windows ローカルセキュリティ機関サブシステムからの資格情報の盗用にフラグを設定する
既定値: 未構成
規則: Windows ローカルセキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)

マルウェアを悪用してコンピューターに感染させるために通常使用されるアクションやアプリを防ぐのに役立ちます。
- 未構成
- [有効] - Windows ローカルセキュリティ機関サブシステム (lsass.exe) からの資格情報の盗用にフラグを設定します。
- 監査のみ
Adobe Reader からのプロセスの作成 (ベータ版)
既定値: 未構成
ルール: Adobe Reader による子プロセスの作成をブロックする
- 未構成
- [有効] - Adobe Reader から作成された子プロセスをブロックします。
- 監査のみ

Office マクロの脅威を防ぐための規則

Office アプリが次のアクションを実行できないようにブロックします。

他のプロセスに挿入する Office アプリ (例外なし)
既定値: 未構成
規則: Office アプリケーションがコードを他のプロセスに挿入できないようにする
- 未構成
- [ブロック ] - Office アプリが他のプロセスに挿入されないようにブロックします。
- 監査のみ
実行可能なコンテンツを作成する Office アプリ/マクロ
既定値: 未構成
規則: Office アプリケーションによる実行可能コンテンツの作成をブロックする
- 未構成
- [ブロック ] - Office アプリとマクロが実行可能なコンテンツを作成できないようにブロックします。
- 監査のみ
子プロセスを起動する Office アプリ
既定値: 未構成
規則: すべての Office アプリケーションで子プロセスの作成をブロックする
- 未構成
- [ブロック] - Office アプリが子プロセスを起動できないようにブロックします。
- 監査のみ
Office マクロコードからの Win32 インポート
既定値: 未構成
ルール: Office マクロからの Win32 API 呼び出しをブロックする
- 未構成
- [ブロック ] - Office のマクロコードから Win32 のインポートをブロックします。
- 監査のみ
Office コミュニケーション製品からのプロセス作成
既定値: 未構成
規則: Office 通信アプリケーションによる子プロセスの作成をブロックする
- 未構成
- [有効] - Office 通信アプリからの子プロセスの作成をブロックします。
- 監査のみ

スクリプトの脅威を防ぐためのルール

スクリプトの脅威に対する防止に役立つ以下をブロックします。

難読化された js/vbs/ps/macro コード
既定値: 未構成
ルール: 難読化される可能性があるスクリプトの実行をブロックする
- 未構成
- ブロック - 難読化された js/vbs/ps/macro コードをブロックします。
- 監査のみ
インターネットからダウンロードされたペイロードを実行している js/vbs (例外なし)
既定値: 未構成
ルール: ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする
- 未構成
- [ブロック ] - インターネットからダウンロードしたペイロードの実行を js/vbs でブロックします。
- 監査のみ
PSExec コマンドと WMI コマンドからのプロセス作成
既定値: 未構成
規則: PSExec コマンドと WMI コマンドからのプロセスの作成をブロックする
- 未構成
- [ブロック ] - PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックします。
- 監査のみ
USB から実行される信頼されていないプロセスと署名されていないプロセス
既定値: 未構成
規則: USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする
- 未構成
- [ブロック ] - USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックします。
- 監査のみ
普及率、年齢、または信頼できるリストの条件を満たしていない実行可能ファイル
既定値: 未構成
ルール: 普及率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする
- 未構成
- ブロック - 普及率、年齢、または信頼できるリストの条件を満たしていない限り、実行可能ファイルの実行をブロックします。
- 監査のみ

電子メールの脅威を防ぐための規則

電子メールの脅威を防ぐために、次の情報をブロックします。

電子メール (webmail/mail クライアント) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行 (例外なし)
既定値: 未構成
ルール: 電子メールクライアントと webmail から実行可能なコンテンツをブロックする
- 未構成
- ブロック - 電子メール (webmail/mail-client) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行をブロックします。
- 監査のみ

ランサムウェアから保護する規則

高度なランサムウェア保護
既定値: 未構成
ルール: ランサムウェアに対する高度な保護を使用する
- 未構成
- 有効にする - 積極的なランサムウェア保護を使用します。
- 監査のみ

攻撃面の縮小の例外

攻撃面の縮小ルールから除外するファイルとフォルダー
Defender CSP: AttackSurfaceReductionOnlyExclusions
- 攻撃面の縮小ルールから除外するファイルとフォルダーを含む .csv ファイルをインポートします。
- ローカルファイルまたはフォルダーを手動で追加します。

重要

LOB Win32 アプリの適切なインストールと実行を許可するには、マルウェア対策設定で次のディレクトリがスキャンされないようにする必要があります。
X64 クライアントマシンの場合:
C:\Program Files (x86)\Microsoft Intune 管理拡張機能\Content
C:\windows\IMECache

X86 クライアントマシンの場合:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

詳細については、「現在サポートされているバージョンの Windows を実行しているエンタープライズコンピューターのウイルススキャンに関する推奨事項」を参照してください。

コントロールされたフォルダーアクセス

ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。

フォルダー保護
既定値: 未構成
Defender CSP: EnableControlledFolderAccess

不正なアプリによる未承認の変更からファイルとフォルダーを保護します。
- 未構成
- Enable
- 監査のみ
- ディスクの変更をブロックする
- ディスクの変更を監査する
[未構成] 以外の構成を選択すると、次のように構成できます。
- 保護されたフォルダーにアクセスできるアプリの一覧
  Defender CSP: ControlledFolderAccessAllowedApplications
  - アプリリストを含む .csv ファイルをインポートします。
  - このリストにアプリを手動で追加します。
- 保護する必要がある追加のフォルダーの一覧
  Defender CSP: ControlledFolderAccessProtectedFolders
  - フォルダーリストを含む .csv ファイルをインポートします。
  - このリストにフォルダーを手動で追加します。

ネットワークフィルター処理

評判の低い IP アドレスまたはドメインへの任意のアプリからの送信接続をブロックします。ネットワークフィルター処理は、監査モードとブロックモードの両方でサポートされています。

ネットワーク保護
既定値: 未構成
Defender CSP: EnableNetworkProtection

この設定の目的は、フィッシング詐欺、悪用ホスティングサイト、およびインターネット上の悪意のあるコンテンツにアクセスできるアプリからエンドユーザーを保護することです。また、サードパーティのブラウザーが危険なサイトに接続することもできなくなります。
- [未構成] - この機能を無効にします。ユーザーとアプリは、危険なドメインへの接続をブロックされません。管理者は、このアクティビティをMicrosoft Defender セキュリティセンターに表示できません。
- 有効にする - ネットワーク保護を有効にし、ユーザーとアプリが危険なドメインに接続できないようにします。管理者は、このアクティビティをMicrosoft Defender セキュリティセンターで確認できます。
- 監査のみ: - ユーザーとアプリは、危険なドメインへの接続をブロックされません。管理者は、このアクティビティをMicrosoft Defender セキュリティセンターで確認できます。

エクスプロイト保護

XML のアップロード
既定値: 未構成

Exploit Protection を使用してデバイスを悪用から保護するには、必要なシステムとアプリケーションの軽減設定を含む XML ファイルを作成します。 XML ファイルを作成するには、次の 2 つの方法があります。
- PowerShell - Get-ProcessMitigation、 Set-ProcessMitigation、 ConvertTo-ProcessMitigationPolicy PowerShell コマンドレットの 1 つ以上を使用します。コマンドレットは軽減策設定を構成し、それらの XML 表現をエクスポートします。
- UI のMicrosoft Defender セキュリティセンター - Microsoft Defender セキュリティセンターで、[アプリ & ブラウザーコントロール] を選択し、結果の画面の下部までスクロールして Exploit Protection を見つけます。まず、[システム設定] タブと [プログラム設定] タブを使用して、軽減策の設定を構成します。次に、画面の下部にある [設定のエクスポート] リンクを見つけて、それらの XML 表現をエクスポートします。
悪用保護インターフェイスのユーザー編集
既定値: 未構成
ExploitGuard CSP: ExploitProtectionSettings
- [ブロック ] - メモリ、制御フロー、およびポリシーの制限を構成できる XML ファイルをアップロードします。 XML ファイルの設定を使用して、アプリケーションの悪用をブロックできます。
- [未構成] - カスタム構成は使用されません。

アプリケーション制御のMicrosoft Defender

によって監査されるアプリ、またはアプリケーション制御によって実行される信頼されているアプリMicrosoft Defender選択します。 Windows コンポーネントと Windows ストアのすべてのアプリは、自動的に信頼されて実行されます。

アプリケーション制御コード整合性ポリシー
既定値: 未構成
CSP: AppLocker CSP
- 適用 - ユーザーのデバイスのアプリケーション制御コード整合性ポリシーを選択します。
  
  デバイスで有効にした後、アプリケーション制御を無効にできるのは、モードを [強制] から [監査のみ] に変更することだけです。モードを [強制] から [ 未構成] に変更すると、割り当てられたデバイスで引き続きアプリケーション制御が適用されます。
- [未構成] - アプリケーション制御はデバイスに追加されません。ただし、以前に追加された設定は、割り当てられたデバイスで引き続き適用されます。
- 監査のみ - アプリケーションはブロックされません。すべてのイベントは、ローカルクライアントのログに記録されます。
  
  注:
  
  この設定を使用する場合、AppLocker CSP の動作は現在、ポリシーの展開時にエンドユーザーにコンピューターの再起動を求めます。

資格情報ガードのMicrosoft Defender

Microsoft Defender Credential Guard は、資格情報の盗難攻撃から保護します。特権システムソフトウェアのみがアクセスできるように、シークレットを分離します。

Credential Guard
既定値: 無効
DeviceGuard CSP
- [無効] - [ UEFI ロックなしで有効] オプションを使用して以前に有効にしていた場合は、資格情報ガードをリモートでオフにします。
- UEFI ロックで有効にする - Credential Guard は、レジストリキーまたはグループポリシーを使用してリモートで無効にすることはできません。
  
  注:
  
  この設定を使用し、後で Credential Guard を無効にする場合は、グループポリシーを無効に設定する必要があります。また、各コンピューターから UEFI 構成情報を物理的にクリアします。 UEFI 構成が維持される限り、Credential Guard が有効になります。
- UEFI ロックなしで有効にする - グループポリシーを使用して、Credential Guard をリモートで無効にすることができます。この設定を使用するデバイスは、バージョン 1511 以降Windows 10実行されているか、Windows 11されている必要があります。
Credential Guard を有効にすると 、次の必須機能も有効になります。
- 仮想化ベースのセキュリティ (VBS)
  次回の再起動中にオンになります。仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用してセキュリティサービスのサポートを提供します。
- ディレクトリメモリアクセスを使用したセキュアブート
  セキュアブートとダイレクトメモリアクセス (DMA) 保護を使用して VBS を有効にします。 DMA 保護にはハードウェアのサポートが必要であり、正しく構成されたデバイスでのみ有効になります。

Microsoft Defender セキュリティセンター

Microsoft Defender セキュリティセンターは、個々の機能とは別のアプリまたはプロセスとして動作します。アクションセンターを介して通知を表示します。コレクターまたは単一の場所として機能して状態を確認し、各機能に対していくつかの構成を実行します。詳細については、Microsoft Defenderドキュメントを参照してください。

アプリと通知のMicrosoft Defender セキュリティセンター

Microsoft Defender セキュリティセンターアプリのさまざまな領域へのエンドユーザーアクセスをブロックします。セクションを非表示にすると、関連する通知もブロックされます。

ウイルスと脅威の保護
既定値: 未構成
WindowsDefenderSecurityCenter CSP: DisableVirusUI

エンドユーザーがMicrosoft Defender セキュリティセンターの [ウイルスと脅威の保護] 領域を表示できるかどうかを構成します。このセクションを非表示にすると、ウイルスと脅威の保護に関連するすべての通知もブロックされます。
- 未構成
- Hide
ランサムウェア保護
既定値: 未構成
WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

エンドユーザーがMicrosoft Defender セキュリティセンターのランサムウェア保護領域を表示できるかどうかを構成します。このセクションを非表示にすると、ランサムウェア保護に関連するすべての通知もブロックされます。
- 未構成
- Hide
アカウントの保護
既定値: 未構成
WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

エンドユーザーがMicrosoft Defender セキュリティセンターの [アカウント保護] 領域を表示できるかどうかを構成します。このセクションを非表示にすると、アカウント保護に関連するすべての通知もブロックされます。
- 未構成
- Hide
ファイアウォールとネットワーク保護
既定値: 未構成
WindowsDefenderSecurityCenter CSP: DisableNetworkUI

エンドユーザーがMicrosoft Defender セキュリティセンターのファイアウォールとネットワーク保護領域を表示できるかどうかを構成します。このセクションを非表示にすると、ファイアウォールとネットワーク保護に関連するすべての通知もブロックされます。
- 未構成
- Hide
アプリとブラウザーのコントロール
既定値: 未構成
WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

エンドユーザーがMicrosoft Defender セキュリティセンターでアプリとブラウザーの制御領域を表示できるかどうかを構成します。このセクションを非表示にすると、アプリとブラウザーコントロールに関連するすべての通知もブロックされます。
- 未構成
- Hide
ハードウェア保護
既定値: 未構成
WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

エンドユーザーがMicrosoft Defender セキュリティセンターの [ハードウェア保護] 領域を表示できるかどうかを構成します。このセクションを非表示にすると、ハードウェア保護に関連するすべての通知もブロックされます。
- 未構成
- Hide
デバイスのパフォーマンスと正常性
既定値: 未構成
WindowsDefenderSecurityCenter CSP: DisableHealthUI

エンドユーザーがMicrosoft Defender セキュリティセンターの [デバイスのパフォーマンスと正常性] 領域を表示できるかどうかを構成します。このセクションを非表示にすると、デバイスのパフォーマンスと正常性に関連するすべての通知もブロックされます。
- 未構成
- Hide
ファミリオプション
既定値: 未構成
WindowsDefenderSecurityCenter CSP: DisableFamilyUI

エンドユーザーがMicrosoft Defender セキュリティセンターの [ファミリオプション] 領域を表示できるかどうかを構成します。このセクションを非表示にすると、ファミリーオプションに関連するすべての通知もブロックされます。
- 未構成
- Hide
アプリの表示領域からの通知
既定値: 未構成
WindowsDefenderSecurityCenter CSP: DisableNotifications

エンドユーザーに表示する通知を選択します。重要でない通知には、スキャンが完了したときの通知など、Microsoft Defenderウイルス対策アクティビティの概要が含まれます。その他の通知はすべて重要と見なされます。
- 未構成
- 重要でない通知をブロックする
- すべての通知をブロックする
システムトレイのWindows セキュリティセンターアイコン
既定値: 未構成の WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

通知領域コントロールの表示を構成します。この設定を有効にするには、ユーザーがサインアウトしてサインインするか、コンピューターを再起動する必要があります。
- 未構成
- Hide
[TPM のクリア] ボタン
既定値: 未構成の WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

[TPM のクリア] ボタンの表示を構成します。
- 未構成
- Disable
TPM ファームウェアの更新に関する警告
既定値: 未構成の WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

脆弱なファームウェアが検出されたときに更新 TPM ファームウェアの表示を構成します。
- 未構成
- Hide
改ざん防止
既定値: 未構成

デバイスで改ざん防止をオンまたはオフにします。改ざん防止を使用するには、Microsoft Defender for Endpointを Intune と統合し、E5 ライセンスをEnterprise Mobility + Securityする必要があります。
- [未構成] - デバイス設定に変更はありません。
- 有効 - 改ざん防止が有効になっており、デバイスに制限が適用されます。
- 無効 - 改ざん防止はオフになっており、制限は適用されません。

IT 連絡先情報

Microsoft Defender セキュリティセンターアプリとアプリ通知に表示される IT 連絡先情報を指定します。

[ アプリと通知で表示]、[アプリ にのみ表示]、[ 通知にのみ表示]、または [ 表示しない] を選択できます。 IT organization名と、次の連絡先オプションの少なくとも 1 つを入力します。

IT 連絡先情報
既定値: 表示しない
WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

エンドユーザーに IT 連絡先情報を表示する場所を構成します。
- アプリと通知に表示する
- アプリでのみ表示する
- 通知にのみ表示する
- 表示しない
表示するように構成されている場合は、次の設定を構成できます。
- IT organization名
  既定値: 未構成
  WindowsDefenderSecurityCenter CSP: CompanyName
- IT 部門の電話番号または Skype ID
  既定値: 未構成
  WindowsDefenderSecurityCenter CSP: Phone
- IT 部門のメールアドレス
  既定値: 未構成
  WindowsDefenderSecurityCenter CSP: Email
- IT サポート Web サイトの URL
  既定値: 未構成
  WindowsDefenderSecurityCenter CSP: URL

ローカルデバイスのセキュリティオプション

これらのオプションを使用して、Windows 10/11 デバイスのローカルセキュリティ設定を構成します。

アカウント

新しい Microsoft アカウントを追加する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts
- ブロック ユーザーがデバイスに新しい Microsoft アカウントを追加できないようにします。
- [未構成] - ユーザーはデバイスで Microsoft アカウントを使用できます。
パスワードを使用しないリモートログオン
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- [ブロック ] - デバイスのキーボードを使用してサインインするには、空のパスワードを持つローカルアカウントのみを許可します。
- [未構成] - 空のパスワードを持つローカルアカウントが、物理デバイス以外の場所からサインインすることを許可します。

管理者

ローカル管理者アカウント
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- ブロック ローカル管理者アカウントの使用を禁止します。
- 未構成
管理者アカウントの名前を変更する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

アカウント "管理者" のセキュリティ識別子 (SID) に関連付ける別のアカウント名を定義します。

Guest

ゲストアカウント
既定値: 未構成
LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions
- [ブロック ] - ゲストアカウントの使用を禁止します。
- 未構成
ゲストアカウントの名前を変更する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

アカウント "ゲスト" のセキュリティ識別子 (SID) に関連付ける別のアカウント名を定義します。

デバイス

ログオンなしでデバイスのドッキングを解除する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon
- ブロック - ユーザーはデバイスにサインインし、デバイスのドッキングを解除するためのアクセス許可を受け取る必要があります。
- [未構成] - ドッキングされたポータブルデバイスの物理的な取り出しボタンを押して、デバイスのドッキングを安全に解除できます。
共有プリンターのプリンタードライバーをインストールする
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
- 有効 - すべてのユーザーは、共有プリンターへの接続の一環としてプリンタードライバーをインストールできます。
- [未構成] - 管理者のみが、共有プリンターへの接続の一部としてプリンタードライバーをインストールできます。
ローカルアクティブユーザーへの CD-ROM アクセスの制限
既定値: 未構成
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- [有効] - 対話形式でログオンしたユーザーのみが CD-ROM メディアを使用できます。このポリシーが有効になっていて、誰も対話形式でログオンしていない場合、CD-ROM はネットワーク経由でアクセスされます。
- [未構成] - 誰でも CD-ROM にアクセスできます。
リムーバブルメディアのフォーマットと取り出し
既定値: 管理者
CSP: Devices_AllowedToFormatAndEjectRemovableMedia

リムーバブル NTFS メディアのフォーマットと取り出しを許可するユーザーを定義します。
- 未構成
- Administrators
- 管理者と Power Users
- 管理者と対話型ユーザー

対話型ログオン

スクリーンセーバーがアクティブになるまでのロック画面の非アクティブ時間 (分)
既定値: 未構成
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

スクリーンセーバーがアクティブになるまで、非アクティブの最大時間 (分) を入力します。 (0 - 99999)
ログオンするには Ctrl + Alt + DEL が必要
既定値: 未構成
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL
- [有効] - Windows にログオンする前に、Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要があります。
- [未構成] - Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要はありません。
スマートカードの削除動作
既定値: アクションなし LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

ログオンしているユーザーのスマートカードがスマートカードリーダーから削除された場合の動作を決定します。次のようなオプションがあります。
- ワークステーションのロック - スマートカードが削除されると、ワークステーションがロックされます。このオプションを使用すると、ユーザーは領域を離れ、スマートカードを使用して保護されたセッションを維持できます。
- アクションなし
- 強制的にログオフする - スマートカードが削除されると、ユーザーは自動的にログオフされます。
- リモートデスクトップサービスセッションの場合は切断 - スマートカードを削除すると、ユーザーをログオフせずにセッションが切断されます。このオプションを使用すると、ユーザーはスマートカードを挿入し、後でセッションを再開したり、もう一度サインインすることなく、別のスマートカードリーダー搭載コンピューターでセッションを再開したりできます。セッションがローカルの場合、このポリシーは Lock Workstation と同じように機能します。

ディスプレイ

ロック画面のユーザー情報
既定値: 未構成
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

セッションがロックされたときに表示されるユーザー情報を構成します。構成されていない場合は、ユーザー表示名、ドメイン、およびユーザー名が表示されます。
- 未構成
- ユーザー表示名、ドメイン、およびユーザー名
- ユーザー表示名のみ
- ユーザー情報を表示しない
最後にサインインしたユーザーを非表示にする
既定値: 未構成
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn
- [有効] - ユーザー名を非表示にします。
- [未構成] - 最後のユーザー名を表示します。
サインイン時にユーザー名を非表示にする既定値: 未構成
LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn
- [有効] - ユーザー名を非表示にします。
- [未構成] - 最後のユーザー名を表示します。
ログオンメッセージのタイトル
既定値: 未構成
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

サインインするユーザーのメッセージタイトルを設定します。
ログオンメッセージテキスト
既定値: 未構成
LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

サインインするユーザーのメッセージテキストを設定します。

ネットワークアクセスとセキュリティ

名前付きパイプと共有への匿名アクセス
既定値: 未構成
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- [未構成] - 匿名アクセスを共有および名前付きパイプの設定に制限します。匿名でアクセスできる設定に適用されます。
- [ブロック ] - 匿名アクセスを使用できるように、このポリシーを無効にします。
SAM アカウントの匿名列挙
既定値: 未構成
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- 未構成 - 匿名ユーザーは SAM アカウントを列挙できます。
- [ブロック ] - SAM アカウントの匿名列挙を禁止します。
SAM アカウントと共有の匿名列挙
既定値: 未構成
LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- 未構成 - 匿名ユーザーは、ドメインアカウントとネットワーク共有の名前を列挙できます。
- [ブロック] - SAM アカウントと共有の匿名列挙を禁止します。
パスワードの変更に格納されている LAN Manager ハッシュ値
既定値: 未構成
LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

次回パスワードが変更されるときに、パスワードのハッシュ値が格納されるかどうかを判断します。
- 未構成 - ハッシュ値が格納されていません
- ブロック - LAN Manager (LM) は、新しいパスワードのハッシュ値を格納します。
PKU2U 認証要求
既定値: 未構成
LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests
- [未構成] - PU2U 要求を許可します。
- [ブロック ] - デバイスへの PKU2U 認証要求をブロックします。
リモート RPC 接続を SAM に制限する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- [未構成] - 既定のセキュリティ記述子を使用します。これにより、ユーザーとグループが SAM へのリモート RPC 呼び出しを行える場合があります。
- 許可 - ユーザーとグループが、ユーザーアカウントとパスワードを格納するセキュリティアカウントマネージャー (SAM) に対してリモート RPC 呼び出しを行うことを拒否します。 [許可] では、既定のセキュリティ記述子定義言語 (SDDL) 文字列を変更して、これらのリモート呼び出しを行うユーザーとグループを明示的に許可または拒否することもできます。
  - セキュリティ記述子
    既定値: 未構成
NTLM SSP ベースのクライアントの最小セッションセキュリティ
既定値: なし
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

このセキュリティ設定により、サーバーは 128 ビット暗号化と NTLMv2 セッションセキュリティのネゴシエーションを要求できます。
- なし
- NTLMv2 セッションセキュリティが必要
- 128 ビット暗号化が必要
- NTLMv2 および 128 ビット暗号化
NTLM SSP ベースサーバーの最小セッションセキュリティ
既定値: なし
LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

このセキュリティ設定は、ネットワークログオンに使用されるチャレンジ/応答認証プロトコルを決定します。
- なし
- NTLMv2 セッションセキュリティが必要
- 128 ビット暗号化が必要
- NTLMv2 および 128 ビット暗号化
LAN Manager 認証レベル
既定値: LM と NTLM
LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel
- LM と NTLM
- LM、NTLM、NTLMv2
- Ntlm
- NTLMv2
- LM ではなく NTLMv2
- LM または NTLM ではなく NTLMv2
セキュリティで保護されていないゲストログオン
既定値: 未構成
LanmanWorkstation CSP: LanmanWorkstation

この設定を有効にすると、SMB クライアントは安全でないゲストログオンを拒否します。
- 未構成
- ブロック - SMB クライアントは安全でないゲストログオンを拒否します。

回復コンソールとシャットダウン

シャットダウン時に仮想メモリページファイルをクリアする
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile
- [有効] - デバイスの電源が切れたときに仮想メモリページファイルをクリアします。
- [未構成] - 仮想メモリをクリアしません。
ログオンせずにシャットダウンする
既定値: 未構成
LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- [ブロック ] - Windows サインイン画面でシャットダウンオプションを非表示にします。ユーザーはデバイスにサインインしてからシャットダウンする必要があります。
- [未構成] - ユーザーが Windows サインイン画面からデバイスをシャットダウンできるようにします。

ユーザーアカウント制御

セキュリティで保護された場所のない UIA の整合性
既定値: 未構成
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- [ブロック ] - ファイルシステム内の安全な場所にあるアプリは、UIAccess の整合性でのみ実行されます。
- [未構成] - アプリがファイルシステム内の安全な場所にない場合でも、UIAccess の整合性でアプリを実行できるようにします。
ファイルとレジストリの書き込みエラーをユーザーごとの場所に仮想化する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- 有効 - 保護された場所にデータを書き込むアプリケーションは失敗します。
- 未構成 - アプリケーションの書き込みエラーは、実行時にファイルシステムとレジストリの定義されたユーザーの場所にリダイレクトされます。
署名および検証された実行可能ファイルのみを昇格する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- 有効 - 実行可能ファイルを実行する前に、PKI 認定パスの検証を適用します。
- [未構成] - 実行可能ファイルを実行する前に、PKI 認定パスの検証を適用しないでください。

UIA 昇格プロンプトの動作

管理者の昇格プロンプト
既定値: Windows 以外のバイナリの同意を求めるメッセージ
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

管理承認モードで管理者の昇格プロンプトの動作を定義します。
- 未構成
- プロンプトを表示せずに昇格する
- セキュリティで保護されたデスクトップで資格情報の入力を求める
- 資格情報の入力を求める
- 同意を求めるメッセージ
- Windows 以外のバイナリの同意を求めるメッセージ
標準ユーザーの昇格プロンプト
既定値: 資格情報の入力を求める
LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

標準ユーザーの昇格プロンプトの動作を定義します。
- 未構成
- 昇格要求を自動的に拒否する
- セキュリティで保護されたデスクトップで資格情報の入力を求める
- 資格情報の入力を求める
昇格プロンプトをユーザーの対話型デスクトップにルーティングする
既定値: 未構成
LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- [有効] - セキュリティで保護されたデスクトップではなく、対話型ユーザーのデスクトップに移動するすべての昇格要求。管理者と標準ユーザーのプロンプト動作ポリシー設定が使用されます。
- [未構成] - 管理者と標準ユーザーのプロンプト動作ポリシー設定に関係なく、すべての昇格要求をセキュリティで保護されたデスクトップに強制的に移動します。
アプリのインストールに関する管理者特権のプロンプト
既定値: 未構成
LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- [有効] - アプリケーションインストールパッケージが検出されず、昇格のプロンプトが表示されません。
- [未構成] - アプリケーションインストールパッケージに管理者特権が必要な場合、ユーザーは管理ユーザー名とパスワードの入力を求められます。
セキュリティで保護されたデスクトップを使用しない UIA 昇格プロンプト
既定値: 未構成
LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
[有効] - セキュリティで保護されたデスクトップを使用せずに、UIAccess アプリに昇格のプロンプトを表示できるようにします。
未構成 - 昇格プロンプトでは、セキュリティで保護されたデスクトップが使用されます。

管理承認モード

組み込み管理者の管理承認モード
既定値: 未構成
LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode
- 有効 - 組み込みの管理者アカウントが承認モード管理使用できるようにします。特権の昇格を必要とする操作は、ユーザーに操作の承認を求めます。
- [未構成] - 完全な管理者権限を持つすべてのアプリを実行します。
管理承認モードですべての管理者を実行する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- [有効] - 管理承認モードを有効にします。
- [未構成] - 管理承認モードと関連するすべての UAC ポリシー設定を無効にします。

Microsoft Network Client

通信にデジタル署名する (サーバーが同意する場合)
既定値: 未構成
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

SMB クライアントが SMB パケット署名をネゴシエートするかどうかを決定します。
- ブロック - SMB クライアントは SMB パケット署名をネゴシエートしません。
- 未構成 - Microsoft ネットワーククライアントは、セッションのセットアップ時に SMB パケット署名を実行するようにサーバーに要求します。サーバーでパケット署名が有効になっている場合、パケット署名はネゴシエートされます。
暗号化されていないパスワードをサードパーティの SMB サーバーに送信する
既定値: 未構成
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- ブロック - サーバーメッセージブロック (SMB) リダイレクターは、認証中にパスワード暗号化をサポートしていない Microsoft 以外の SMB サーバーにプレーンテキストパスワードを送信できます。
- 未構成 - プレーンテキストパスワードの送信をブロックします。パスワードは暗号化されます。
通信にデジタル署名する (常に)
既定値: 未構成
LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- 有効にする - Microsoft ネットワーククライアントは、そのサーバーが SMB パケット署名に同意しない限り、Microsoft ネットワークサーバーと通信しません。
- 未構成 - SMB パケット署名は、クライアントとサーバーの間でネゴシエートされます。

Microsoft Network Server

通信にデジタル署名する (クライアントが同意した場合)
既定値: 未構成
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- [有効] - Microsoft ネットワークサーバーは、クライアントから要求された SMB パケット署名をネゴシエートします。つまり、クライアントでパケット署名が有効になっている場合、パケット署名はネゴシエートされます。
- 未構成 - SMB クライアントは SMB パケット署名をネゴシエートしません。
通信にデジタル署名する (常に)
既定値: 未構成
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- 有効にする - Microsoft ネットワークサーバーは、そのクライアントが SMB パケット署名に同意しない限り、Microsoft ネットワーククライアントと通信しません。
- 未構成 - SMB パケット署名は、クライアントとサーバーの間でネゴシエートされます。

Xbox サービス

Xbox ゲームの保存タスク
既定値: 未構成
CSP: TaskScheduler/EnableXboxGameSaveTask

この設定は、Xbox ゲームの保存タスクが有効か無効かを決定します。
- Enabled (有効)
- 未構成
Xbox アクセサリ管理サービス
既定値: 手動
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

この設定は、アクセサリ管理サービスの開始の種類を決定します。
- Manual
- 自動
- Disabled
Xbox Live 認証マネージャーサービス
既定値: 手動
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

この設定は、Live Auth Manager サービスの開始の種類を決定します。
- Manual
- 自動
- Disabled
Xbox Live ゲームセーブサービス
既定値: 手動
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

この設定は、Live Game Save Service の開始の種類を決定します。
- Manual
- 自動
- Disabled
Xbox Live ネットワークサービス
既定値: 手動
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

この設定は、ネットワークサービスの開始の種類を決定します。
- Manual
- 自動
- Disabled

次の手順

プロファイルは作成されますが、まだ何も行っていません。次に、プロファイルを割り当てて、その状態を監視します。

macOS デバイスでエンドポイント保護の設定を構成します。