Microsoft Defender ウイルス対策のカスタム除外を構成する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

一般に、Microsoft Defenderウイルス対策の除外を定義する必要はありません。 ただし、必要に応じて、ウイルス対策スキャンからファイル、フォルダー、プロセス、プロセスを開いたファイルMicrosoft Defender除外できます。 これらの種類の除外は、カスタム除外と呼ばれます。 この記事では、Microsoft Intuneを使用してMicrosoft Defenderウイルス対策のカスタム除外を定義する方法について説明し、詳細については他のリソースへのリンクを含めます。

カスタム除外は、 スケジュールされたスキャン、 オンデマンド スキャン、および Always-on リアルタイムの保護と監視に適用されます。 プロセスで開かれたファイルの除外は、リアルタイム保護にのみ適用されます。

ヒント

Microsoft Defender ウイルス対策と Defender for Endpoint の抑制、申請、除外の詳細な概要については、「Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外」を参照してください。

除外を構成および検証する

注意

Microsoft Defenderウイルス対策拡張機能は控えめに使用してください。 「Microsoft Defender for Endpointの除外を管理する」および「ウイルス対策のMicrosoft Defender」の情報を確認してください。

Microsoft Intuneを使用してウイルス対策またはMicrosoft Defender for Endpoint Microsoft Defender管理する場合は、次の手順に従って除外を定義します。

• Intune でウイルス対策の除外を管理する (既存のポリシーの場合)
• Intune で除外を含む新しいウイルス対策ポリシーを作成する

Configuration Managerやグループ ポリシーなど、別のツールを使用している場合、またはカスタム除外の詳細については、次の記事を参照してください。

• ファイル拡張子とフォルダーの場所に基づいて除外を構成して検証する
• プロセスによって開かれたファイルの除外を構成する

Intune でウイルス対策の除外を管理する (既存のポリシーの場合)

1. Microsoft Intune管理センターで、[エンドポイント セキュリティ>ウイルス対策] を選択し、既存のポリシーを選択します。 (既存のポリシーがない場合、または新しいポリシーを作成する場合は、「 Intune で除外を含む新しいウイルス対策ポリシーを作成する」に進む)。

2. [プロパティ ] を選択し、[構成設定] の横にある [編集] を選択します。

3. [Microsoft Defender ウイルス対策の除外] を展開し、除外を指定します。

   • 除外された拡張機能 は、ファイルの種類の拡張子によって定義される除外です。 これらの拡張子は、ファイル パスまたはフォルダーを持たない拡張子が定義されているすべてのファイル名に適用されます。 リスト内の各ファイルの種類は、文字で | 区切る必要があります。 たとえば、「 lib|obj 」のように入力します。 詳細については、「 ExcludedExtensions」を参照してください。
   • 除外パス は、その場所 (パス) によって定義される除外です。 これらの種類の除外は、ファイルとフォルダーの除外とも呼ばれます。 リスト内の各パスを文字で | 区切ります。 たとえば、「 C:\Example|C:\Example1 」のように入力します。 詳細については、「 ExcludedPaths」を参照してください。
   • 除外されたプロセス は、特定のプロセスによって開かれたファイルの除外です。 リスト内の各ファイルの種類を文字で | 区切ります。 たとえば、「 C:\Example. exe|C:\Example1.exe 」のように入力します。 これらの除外は、実際のプロセスには適用されません。 プロセスを除外するには、ファイルとフォルダーの除外を使用できます。 詳細については、「 ExcludedProcesses」を参照してください。

4. [確認と保存] を選択し、[保存] を選択します。

Intune で除外を含む新しいウイルス対策ポリシーを作成する

1. Microsoft Intune管理センターで、[エンドポイント セキュリティ>ウイルス対策>+ ポリシーの作成] を選択します。

2. プラットフォーム (Windows 10、Windows 11、Windows Server など) を選択します。

3. [プロファイル] で [Microsoft Defender ウイルス対策の除外] を選択し、[作成] を選択します。

4. [ プロファイルの作成 ] ステップで、プロファイルの名前と説明を指定し、[ 次へ] を選択します。

5. [構成設定] タブで、ウイルス対策の除外を指定し、[次へ] を選択します。

   • 除外された拡張機能 は、ファイルの種類の拡張子によって定義される除外です。 これらの拡張子は、ファイル パスまたはフォルダーを持たない拡張子が定義されているすべてのファイル名に適用されます。 リスト内の各ファイルの種類を文字で | 区切ります。 たとえば、「 lib|obj 」のように入力します。 詳細については、「 ExcludedExtensions」を参照してください。
   • 除外パス は、その場所 (パス) によって定義される除外です。 これらの種類の除外は、ファイルとフォルダーの除外とも呼ばれます。 リスト内の各パスを文字で | 区切ります。 たとえば、「 C:\Example|C:\Example1 」のように入力します。 詳細については、「 ExcludedPaths」を参照してください。
   • 除外されたプロセス は、特定のプロセスによって開かれたファイルの除外です。 リスト内の各ファイルの種類を文字で | 区切ります。 たとえば、「 C:\Example. exe|C:\Example1.exe 」のように入力します。 これらの除外は、実際のプロセスには適用されません。 プロセスを除外するには、ファイルとフォルダーの除外を使用できます。 詳細については、「 ExcludedProcesses」を参照してください。

6. [スコープ タグ] タブで、organizationでスコープ タグを使用している場合は、作成するポリシーのスコープ タグを指定します。 (「スコープ タグ」を参照してください。)

7. [割り当て] タブで、ポリシーを適用するユーザーとグループを指定し、[次へ] を選択します。 (割り当てに関するヘルプが必要な場合は、「Microsoft Intune でユーザーおよびデバイスのプロファイルを割り当てる」を参照してください。)

8. [確認と作成] タブで、設定を確認し、[作成] を選択します。

除外に関する重要なポイント

除外を定義すると、Microsoft Defender ウイルス対策によって提供される保護が低下します。 除外の実装に関連するリスクを常に評価し、悪意のないと確信しているファイルのみを除外する必要があります。

除外は、Microsoft Defenderウイルス対策が除外リストに追加されたファイル、フォルダー、またはプロセスに関連するイベントをブロック、修復、または検査する機能に直接影響します。 カスタム除外は、ウイルス対策エンジンに直接依存する機能 (マルウェアからの保護、 ファイル IOC、 証明書 IOC など) に影響する可能性があります。 プロセスの除外は、 ネットワーク保護 と 攻撃面の縮小ルールにも影響します。 具体的には、任意のプラットフォームでプロセスを除外すると、ネットワーク保護と ASR がトラフィックを検査したり、その特定のプロセスのルールを適用したりできなくなります。

除外を定義するときは、次の点に注意してください。

• 除外は技術的には保護ギャップです。 除外を定義するときは、すべてのオプションを検討してください。 「 申請、抑制、除外」を参照してください。

• 除外を定期的に確認します。 レビュー プロセスの一環として、軽減策を再確認して再適用します。

• 理想的には、プロアクティブ化を試みる際に除外を定義しないようにします。 たとえば、将来問題になる可能性があるからといって、何かを除外しないでください。 除外は、除外が軽減される可能性のあるパフォーマンスやアプリケーションの互換性に関連する問題など、特定の問題に対してのみ使用します。

• 除外リストの変更を確認および監査します。 セキュリティ チームは、後で混乱を避けるために、特定の除外が追加された理由に関するコンテキストを保持する必要があります。 セキュリティ チームは、除外が存在する理由に関する質問に対して特定の回答を提供できる必要があります。

Exchange システムでのウイルス対策の除外を監査する

Microsoft Exchange では、2021 年 6 月の四半期ごとの Exchange 用更新以降、マルウェア対策スキャン インターフェイス (AMSI) との統合がサポートされています (「Exchange サーバーでの Windows ウイルス対策ソフトウェアの実行」を参照)。 これらの更新プログラムをインストールし、AMSI が正常に動作していることを確認することを強くお勧めします。 「ウイルス対策セキュリティ インテリジェンスと製品の更新プログラムMicrosoft Defender」を参照してください。

多くの組織では、パフォーマンス上の理由から、ウイルス対策スキャンから Exchange ディレクトリが除外されます。 Microsoft では、Exchange システムMicrosoft Defenderウイルス対策の除外を監査し、環境内のパフォーマンスに影響を与えずに除外を削除できるかどうかを評価して、最高レベルの保護を確保することをお勧めします。 除外は、グループ ポリシー、PowerShell、またはMicrosoft Intuneなどのシステム管理ツールを使用して管理できます。

Exchange Server Microsoft Defenderウイルス対策の除外を監査するには、管理者特権の PowerShell プロンプトから Get-MpPreference コマンドを実行します。 ( Get-MpPreference を参照してください)。

Exchange のプロセスとフォルダーの除外を削除できない場合は、Microsoft Defenderウイルス対策でクイック スキャンを実行すると、除外に関係なく Exchange ディレクトリとファイルがスキャンされます。

関連項目

• Windows Server 2016 以降でウイルス対策の除外をMicrosoft Defenderする
• 除外を定義する際に避ける必要のある一般的な間違い
• Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
• Linux 上のMicrosoft Defender for Endpointの除外を構成して検証する
• macOS でのMicrosoft Defender for Endpointの除外の構成と検証

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。