グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する

  • [アーティクル]

適用対象:

グループ ポリシーを使用して Defender for Endpoint 設定を管理している場合は、それを使用してデバイス制御を展開および管理できます。

リムーバブル 記憶域のアクセス制御を有効または無効にする

enable disable rsac のスクリーンショット。

  1. Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] Microsoft Defender [ウイルス対策>機能>] [デバイス コントロール] の順に移動します。

  2. [ デバイス制御 ] ウィンドウで、[ 有効] を選択します。

注:

これらのグループ ポリシー オブジェクトが表示されない場合は、グループ ポリシー管理用テンプレート (ADMX) を追加する必要があります。 管理テンプレート (WindowsDefender.admlWindowsDefender.admx) は、GitHub の mdatp-devicecontrol/Windows サンプル からダウンロードできます。

既定の適用を設定する

、など、Denyすべてのデバイス制御機能に対して、RemovableMediaDevicesPrinterDevicesWpdDevicesCdRomDevicesまたは Allow などの既定のアクセスを設定できます。

既定の適用の設定のスクリーンショット。

たとえば、 または のポリシーを指定Denyできますが、 RemovableMediaDevicesまたは WpdDevicesには設定できませんCdRomDevicesAllow このポリシーを使用して設定Default Denyした場合は、または へのCdRomDevicesWpdDevices読み取り/書き込み/実行アクセスがブロックされます。 ストレージのみを管理する場合は、必ずプリンターのポリシーを作成 Allow してください。 それ以外の場合は、既定の適用 (拒否) もプリンターに適用されます。

  1. Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] の順に移動しますMicrosoft Defenderウイルス対策>機能>デバイス コントロールデバイス コントロール>の既定の適用ポリシーを選択します。

  2. [ デバイス制御の既定の適用ポリシーの選択 ] ウィンドウで、[ 既定の拒否] を選択します。

デバイスの種類を構成する

デバイスの種類の構成のスクリーンショット。

デバイス制御ポリシーが適用されるデバイスの種類を構成するには、次の手順に従います。

  1. Windows を実行しているコンピューターで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] Microsoft Defender [ウイルス対策>デバイスコントロール>][特定のデバイスの種類のデバイスコントロールを有効にする] の順に移動します

  2. [ 特定の種類のデバイス コントロールを有効にする ] ウィンドウで、パイプ (|) で区切って製品ファミリ ID を指定します。 製品ファミリ ID には、、、CdRomDevicesWpdDevices、または PrinterDevicesが含まれますRemovableMediaDevices

グループの定義

グループの定義のスクリーンショット。

  1. リムーバブル ストレージ グループごとに 1 つの XML ファイルをCreateします。

  2. リムーバブル ストレージ グループのプロパティを使用して、リムーバブル ストレージ グループごとに XML ファイルを作成します。

  3. 各 XML ファイルをネットワーク共有に保存します。

  4. 設定を次のように定義します。

    1. Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント]>Microsoft Defender [ウイルス対策>デバイスコントロール>] [デバイス制御ポリシー グループの定義] の順に移動します。

    2. [ デバイス制御ポリシー グループの定義 ] ウィンドウで、XML グループ データを含むネットワーク共有ファイル パスを指定します。

さまざまなグループの種類を作成できます。 次に示すのは、リムーバブル ストレージと CD-ROM、Windows ポータブル デバイス、承認済み USBs グループの XML ファイルの 1 つのグループ例です。

注:

XML コメント表記 <!--COMMENT--> を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。

ポリシーの定義

ポリシーの定義のスクリーンショット。

  1. アクセス ポリシー規則用の 1 つの XML ファイルをCreateします。

  2. リムーバブル ストレージ アクセス ポリシー規則のプロパティを使用して、各グループのリムーバブル ストレージ アクセス ポリシー規則の XML を作成します。

  3. XML ファイルをネットワーク共有に保存します。

  4. 設定を次のように定義します。

    1. Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント]>Microsoft Defender [ウイルス対策>デバイスコントロール>] [デバイス制御ポリシー規則の定義] の順に移動します。

    2. [ デバイス制御ポリシー ルールの定義 ] ウィンドウで、[ 有効] を選択し、XML ルール データを含むネットワーク共有ファイル パスを指定します。

注:

XML コメント表記 <!-- COMMENT --> を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。

ファイルのコピーの場所を設定する (証拠)

ファイルのコピーの場所を設定したスクリーンショット。

書き込みアクセス権を持つファイル (証拠) のコピーを作成する場合は、XML ファイルのリムーバブル ストレージ アクセス ポリシー 規則で適切な オプション を設定し、システムがコピーを保存できる場所を指定します。

  1. Windows を実行しているデバイスで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] Microsoft Defender [ウイルス対策>デバイスコントロール] [デバイス制御>の定義] の順に移動し、証拠データのリモートの場所を定義します。

  2. [ デバイス制御証拠データのリモートの場所の定義 ] ウィンドウで、[ 有効] を選択し、ローカルまたはネットワーク共有フォルダーのパスを指定します。

ローカル証拠キャッシュの保持期間

ローカル キャッシュの保持期間のスクリーンショット。

ファイル証拠のローカル キャッシュを保持するために既定値の 60 日間を変更する場合は、次の手順に従います。

  1. [コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] の順に移動しますMicrosoft Defenderウイルス対策>デバイス コントロール>ローカル デバイス コントロール キャッシュ内のファイルの保持期間を設定します

  2. [ ローカル デバイス コントロール キャッシュ内のファイルの保持期間を設定する ] ウィンドウで、[ 有効] を選択し、ローカル キャッシュを保持する日数を入力します (既定値は 60)。

関連項目