事前ブロックを有効にする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

この記事では、"事前ブロック" と呼ばれるウイルス対策/マルウェア対策機能について説明し、組織で事前ブロックを有効にする方法について説明します。

ヒント

この記事は、組織のセキュリティ設定を管理するエンタープライズ管理者および IT プロフェッショナルを対象としています。 エンタープライズ管理者または IT Pro ではないが、一目でブロックに関する質問がある場合は、「 Not an enterprise admin or IT Pro?」セクションを 参照してください。

"事前ブロック" とは？

事前ブロックは、数秒以内に新しいマルウェアを検出してブロックするための方法を提供する次世代の保護機能です。 特定のセキュリティ設定が有効になっている場合、一目でブロックが有効になります。

• クラウド保護 が有効になっています。
• サンプルの送信 は、サンプルが自動的に送信されるように構成されます。そして
• Microsoft Defenderウイルス対策は、デバイス上で最新の状態です。

ほとんどの企業組織では、事前ブロックを有効にするために必要な設定は、Microsoft Defender ウイルス対策の展開で構成されています。 「Microsoft Defenderウイルス対策でクラウド保護を有効にする」を参照してください。

メカニズム

Microsoft Defender ウイルス対策 は、疑わしいが検出されていないファイルを検出すると、クラウド保護バックエンドにクエリを実行します。 クラウド バックエンドでは、ヒューリスティックな機械学習による自動化されたファイル分析を適用して、悪意のあるファイルか、脅威ではないファイルかを判断します。

Microsoft Defender ウイルス対策は、複数の検出および防止テクノロジを使用して、正確でインテリジェントなリアルタイムの保護を提供します。

ヒント

詳細については、ブログ記事「Microsoft Defender for Endpoint の次世代保護の中核となる高度なテクノロジについて」を参照してください。

事前ブロックについて知っておくべきいくつかのこと

• 一目でブロックすると、移植不可能な実行可能ファイル (JS、VBS、マクロなど) と実行可能ファイルをブロックし、Windows または Windows Server で 最新の Defender マルウェア対策プラットフォーム を実行できます。

• 事前ブロックでは、インターネットからダウンロードされた、またはインターネット ゾーンで発生した実行可能ファイルおよび非ポータブルの実行可能ファイルに対し、クラウド保護バックエンドのみが使用されます。 ファイルの .exe ハッシュ値は、クラウド バックエンドを介してチェックされ、ファイルが以前に検出されなかったファイルであるかどうかを判断します。

• クラウド バックエンドで判断できない場合、Microsoft Defender ウイルス対策によってファイルがロックされ、ファイルのコピーがクラウドにアップロードされます。 クラウドでさらに分析が実行されて判断が下された後は、そのファイルが危険か脅威でないかの判断に応じて、それ以降そのファイルの実行がすべて許可されるか、すべてブロックされます。

• 多くの場合、このプロセスによって、従来数時間かかっていた新しいマルウェアへの対応時間が数秒に短縮されます。

• クラウドベースの保護サービスによってファイルを分析する間、ファイルが実行されないように抑制する時間の長さを指定することもできます。 また、ファイルがブロックされたときにユーザーのデスクトップに表示されるメッセージをカスタマイズすることもできます。 会社名、連絡先情報、メッセージの URL を変更することができます。

Microsoft Intune で事前ブロックを有効にする

1. Microsoft Intune管理センター (https://endpoint.microsoft.com) で、[エンドポイント セキュリティ>ウイルス対策] に移動します。

2. 既存のポリシーを選択するか、Microsoft Defender ウイルス対策のプロファイル タイプを使用して新しいポリシーを作成します。 この例では、プラットフォームのWindows 10、Windows 11、または Windows Server を選択しました。

   

3. [クラウド保護を許可する] を [許可] に設定します。Cloud Protection を有効にします。

   

4. [サンプルの 送信同意] まで下にスクロールし、次のいずれかの設定を選択します。

   • すべてのサンプルを自動的に送信する
   • 安全なサンプルを自動的に送信する

5. Microsoft Defender ウイルス対策のプロファイルを、[すべてのユーザー]、[すべてのデバイス]、または [すべてのユーザーとデバイス] などのグループに適用します。

グループポリシーで事前ブロックを有効にする

注:

ブロックを一目でオンにするには、IntuneまたはMicrosoft Configuration Managerを使用することをお勧めします。

1. グループ ポリシー管理コンピューターで、[グループ ポリシー管理コンソール] を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。

2. [グループ ポリシー管理エディター] を使用して、[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策>][MAPS] の順に移動します。

3. [MAPS] セクションで、[事前ブロックを構成する] 機能をダブルクリックし、[有効] に設定して、[OK] を選択します。

   Important

   [常に確認する] (0) に設定すると、デバイスの保護状態が低下します。 [送信しない] (2) に設定すると、事前ブロックが動作しなくなります。

4. [MAPS] セクションで、[詳細な分析が必要な場合はファイルのサンプルを送信する] をダブルクリックし、[有効] に設定します。 [詳細な分析が必要な場合はファイルのサンプルを送信する] で、[すべてのサンプルを送信] を選択し、[OK] を選択します。

5. 通常どおり、ネットワーク全体にグループ ポリシー オブジェクトを再展開します。

個別のクライアント デバイスで事前ブロックが有効であることを確認する

Windows セキュリティ アプリを使用して、個々のクライアント デバイスで事前ブロックが有効になっていることを確認できます。 事前ブロックは、[クラウドベースの保護] と [サンプルの自動送信] の両方が有効になっている限り、自動的に有効になります。

1. Windows セキュリティ アプリを開きます。

2. [ウイルスと脅威保護] を選択し、[ウイルスと脅威保護設定] で [設定の管理] を選択します。

   

3. [クラウドベースの保護] と [サンプルの自動送信] がオンになっていることを確認します。

注:

• 前提条件の設定が構成され、グループ ポリシーを使って展開されている場合、このセクションで説明する設定は灰色表示され、個別のエンドポイントで使用できません。
• グループ ポリシーを使った変更は、Windows の設定で設定を更新する前に、最初に個別のエンドポイントに展開する必要があります。

事前ブロックを無効にする

注意

事前ブロックを無効にすると、デバイスとネットワークの保護状態が低下します。 一目でブロック保護を永続的に無効にすることはお勧めしません。

Microsoft Intuneで一目でブロックをオフにする

1. Microsoft Intune管理センター (https://endpoint.microsoft.com) に移動し、サインインします。

2. [エンドポイント セキュリティ]>[ウイルス対策] に移動し、Microsoft Defender ウイルス対策ポリシーを選択します。

3. [管理] で [プロパティ] を選択します。

4. [構成の設定] の横にある [編集] を選択します。

5. [クラウド保護を許可する] を [許可しない] に設定します。Cloud Protection をオフにします。

6. 設定を確認して保存します。

グループ ポリシーで事前ブロックを無効にする

1. グループ ポリシー管理コンピューターで、[グループ ポリシー管理コンソール] を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。

2. [グループ ポリシー管理エディター] を使用して、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. [Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[MAPS] の順にツリーを展開します。

4. ['事前ブロック' 機能を構成する] をダブルクリックして、オプションを [無効] に設定します。

   注:

   事前ブロックを無効にしても、前提条件のグループ ポリシーが無効になったり変更されたりすることはありません。

エンタープライズ管理者でも IT プロでもありませんか?

エンタープライズ管理者や IT Pro でなくても、事前ブロックについて質問がある場合は、このセクションが役に立ちます。 事前ブロックするは、マルウェアを数秒以内に検出してブロックする脅威保護機能です。 「事前ブロック」と呼ばれる特定の設定はありませんが、デバイスで特定の設定が構成されている場合、この機能は有効になります。

自分のデバイスで事前ブロックをオンまたはオフに管理する方法

組織によって管理されていない個人用デバイスを使用している場合、事前ブロックを有効または無効にする方法を疑問に思うかもしれません。 Windows　セキュリティ　アプリを使用して、事前ブロックを管理できます。

1. Windows 10 または Windows 11 コンピューターで、Windows セキュリティ アプリを開きます。

2. [ウイルスと脅威の防止] を選択します。

3. [ウイルスと脅威保護設定] で [設定の管理] を選択します。

4. 次のいずれかの手順を選択します。

   • 事前ブロックを有効にするには、[クラウドベースの保護] と [サンプルの自動送信] の両方がオンになっていることを確認してください。

   • 事前ブロックを無効にするには、[クラウドベースの保護] と [サンプルの自動送信] をオフにします。

     注意

     事前ブロックをオフにすると、デバイスの保護レベルが低下します。 事前ブロックを完全に無効にすることはお勧めしません。

関連項目

• Microsoft Defender ウイルス対策 (Windows 10)
• クラウドによる保護の有効化
• Windows セキュリティで保護を継続する
• Windows 以外のデバイスをオンボードする

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。