グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

グループ ポリシーを使用して Defender for Endpoint 設定を管理している場合は、それを使用してデバイス制御を展開および管理できます。

リムーバブル 記憶域のアクセス制御を有効または無効にする

1. Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Features>Device Control に移動します。

2. [ デバイス制御 ] ウィンドウで、[ 有効] を選択します。

注:

これらのグループ ポリシー オブジェクトが表示されない場合は、グループ ポリシー管理用テンプレート (ADMX) を追加する必要があります。 管理テンプレート (WindowsDefender.adml と WindowsDefender.admx) は、GitHub の mdatp-devicecontrol/Windows サンプル からダウンロードできます。

既定の適用を設定する

RemovableMediaDevices、CdRomDevices、WpdDevices、PrinterDevicesなど、すべてのデバイスコントロール機能に対して、DenyやAllowなどの既定のアクセスを設定できます。

たとえば、RemovableMediaDevicesにはDenyまたはAllowポリシーを設定できますが、CdRomDevicesやWpdDevicesには使用できません。 このポリシーを使用して Default Deny を設定した場合は、 CdRomDevices または WpdDevices への読み取り/書き込み/実行アクセスがブロックされます。 記憶域のみを管理する場合は、プリンターの Allow ポリシーを作成してください。 それ以外の場合は、既定の適用 (拒否) もプリンターに適用されます。

1. Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Features>Device Control>[デバイス コントロールの既定の適用ポリシーの選択] に移動します。

2. [ デバイス制御の既定の適用ポリシーの選択 ] ウィンドウで、[ 既定の拒否] を選択します。

デバイスの種類を構成する

デバイス制御ポリシーが適用されるデバイスの種類を構成するには、次の手順に従います。

1. Windows を実行しているコンピューターで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>特定のデバイスの種類のデバイス コントロールをオンにするに移動します。

2. [ 特定の種類のデバイス コントロールを有効にする ] ウィンドウで、製品ファミリ ID をパイプ (|) で区切って指定します。 製品ファミリ ID には、 RemovableMediaDevices、 CdRomDevices、 WpdDevices、または PrinterDevicesが含まれます。

グループの定義

1. リムーバブル ストレージ グループごとに 1 つの XML ファイルを作成します。

2. リムーバブル ストレージ グループのプロパティを使用して、リムーバブル ストレージ グループごとに XML ファイルを作成します。

3. 各 XML ファイルをネットワーク共有に保存します。

4. 設定を次のように定義します。

   1. Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>Define デバイス制御ポリシー グループに移動します。

   2. [ デバイス制御ポリシー グループの定義 ] ウィンドウで、XML グループ データを含むネットワーク共有ファイル パスを指定します。

さまざまなグループの種類を作成できます。 次に示すのは、リムーバブル ストレージと CD-ROM、Windows ポータブル デバイス、承認済み USBs グループの XML ファイルの 1 つのグループ例です。

注:

XML コメント表記 <!--COMMENT--> を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。

ポリシーの定義

1. アクセス ポリシー ルール用の XML ファイルを 1 つ作成します。

2. リムーバブル ストレージ アクセス ポリシー規則のプロパティを使用して、各グループのリムーバブル ストレージ アクセス ポリシー規則の XML を作成します。

3. XML ファイルをネットワーク共有に保存します。

4. 設定を次のように定義します。

   1. Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>Define デバイス制御ポリシー 規則に移動します。

   2. [ デバイス制御ポリシー ルールの定義 ] ウィンドウで、[ 有効] を選択し、XML ルール データを含むネットワーク共有ファイル パスを指定します。

注:

コピーまたは印刷されているファイルの証拠をキャプチャするには、 Endpoint DLP を使用します。

注:

XML コメント表記 <!-- COMMENT --> を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。

関連項目

• Defender for Endpoint のデバイス コントロール
• デバイス制御ポリシーと設定
• macOS 用デバイス コントロール