Microsoft Intuneを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Intuneを使用して Defender for Endpoint 設定を管理している場合は、それを使用してデバイス制御機能を展開および管理できます。 デバイス制御のさまざまな側面は、次のセクションで説明するように、Intuneで異なる方法で管理されます。

Intuneでデバイス制御を構成および管理する

1. Intune管理センターに移動し、サインインします。

2. [エンドポイント セキュリティ>][ 攻撃対象領域の縮小] に移動します。

3. [攻撃面の縮小ポリシー] で、既存のポリシーを選択するか、[+ Create ポリシー] を選択して新しいポリシーを設定します。次の設定を使用します。

   • [プラットフォーム] ボックスの一覧で、Windows 10、Windows 11、および Windows Server を選択します。 (デバイス制御ポリシーにこのプロファイルを選択した場合でも、Windows Server ではデバイス制御は現在サポートされていません)。
   • [ プロファイル ] の一覧で、[ デバイス制御] を選択します。

4. [基本] タブで、ポリシーの名前と説明を指定します。

5. [ 構成設定 ] タブに、設定の一覧が表示されます。 これらの設定をすべて一度に構成する必要はありません。 デバイス制御の使用を検討してください。

   

   • [管理用テンプレート] の下には、[デバイスのインストール] と [リムーバブル 記憶域アクセス] の設定があります。
   • Defender の下で、「フル スキャンリムーバブル ドライブのスキャン設定を許可する」を参照してください。
   • [ データ保護] で、「 ダイレクト メモリ アクセス設定を許可する」を 参照してください。
   • [ Dma Guard] で、「 デバイス列挙ポリシー の設定」を参照してください。
   • [ ストレージ] で、「 リムーバブル ディスクの書き込みアクセスの拒否 設定」を参照してください。
   • [ 接続] で、「 USB 接続を許可する** 」と「 Bluetooth 設定を許可する」を 参照してください。
   • [ Bluetooth] で、Bluetooth 接続とサービスに関連する設定の一覧を確認します。 詳細については、「 ポリシー CSP - Bluetooth」を参照してください。
   • [ デバイス制御] で、再利用可能な設定を使用してカスタム ポリシーを構成できます。 詳細については、「 デバイスコントロールの概要: ルール」を参照してください。

6. 設定を構成したら、[ スコープ タグ ] タブに進み、ポリシーの スコープ タグ を指定できます。

7. [ 割り当て ] タブで、ポリシーを受信するユーザーまたはデバイスのグループを指定します。 詳細については、「Intuneでのポリシーの割り当て」を参照してください。

8. [ 確認と作成 ] タブで、設定を確認し、必要な変更を加えます。

9. 準備ができたら、[Create] を選択してデバイス制御ポリシーを作成します。

デバイス制御プロファイル

Intuneでは、各行はデバイス制御ポリシーを表します。 含まれている ID は、ポリシーが適用される再利用可能な設定です。 除外された ID は、ポリシーから除外される再利用可能な設定です。 ポリシーのエントリには、許可されるアクセス許可と、ポリシーが適用されたときに有効になるデバイス制御の動作が含まれています。

各デバイス コントロール ポリシーの行に含まれる設定の再利用可能なグループを追加する方法については、「Intune ポリシーで再利用可能な設定グループを使用する」の「デバイス制御プロファイルに再利用可能なグループを追加する」セクションを参照してください。

ポリシーは、 アイコンと - アイコンを+使用して追加および削除できます。 ポリシーの名前は、ユーザーに対する警告と、高度なハンティングとレポートに表示されます。

監査ポリシーを追加し、許可/拒否ポリシーを追加できます。 予期しない結果が発生しないように監査ポリシーを追加するときは、常に許可ポリシーまたは拒否ポリシーを追加することをお勧めします。

重要

監査ポリシーのみを構成する場合、アクセス許可は既定の適用設定から継承されます。

注:

• ポリシーがユーザー インターフェイスに表示される順序は、ポリシーの適用のために保持されません。 ベスト プラクティスは、 許可/拒否ポリシーを使用する方法です。 除外するデバイスを明示的に追加することで、[ 許可/拒否ポリシー ] オプションが交差しないようにします。 Intuneのグラフィカル インターフェイスを使用して、既定の適用を変更することはできません。 既定の適用を [拒否] に変更すると、許可ポリシーによってアクションがブロックされます。

OMA-URI を使用した設定の定義

次の表で、構成する設定を特定し、OMA-URI とデータ型 & 値列の情報を使用します。 設定はアルファベット順に一覧表示されます。

設定	OMA-URI、データ型、& 値
デバイスコントロールの既定の適用 既定の適用では、ポリシー規則が一致しない場合にデバイス制御アクセス チェック中に行われる決定が確立されます	./Vendor/MSFT/Defender/Configuration/DefaultEnforcement 整数： - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2
デバイスの種類 デバイス制御保護が有効になっている状態で、プライマリ ID によって識別されるデバイスの種類	./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration 文字列： - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices
デバイス制御を有効にする デバイスでデバイス制御を有効または無効にする	./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled 整数： - Disable = 0 - Enable = 1
証拠データのリモートの場所 デバイスコントロールは、キャプチャされた証拠データを移動します	./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation String
ローカル証拠キャッシュ期間 ローカル デバイス コントロール キャッシュ内のファイルの保持期間を日数単位で設定します	./Vendor/MSFT/Defender/Configuration/DataDuplicationLocalRetentionPeriod 整数 例: 60 (60 日)

OMA-URI を使用したポリシーの作成

Intuneで OMA-URI を使用してポリシーを作成する場合は、ポリシーごとに 1 つの XML ファイルを作成します。 ベスト プラクティスとして、デバイス制御プロファイルまたはデバイス制御規則プロファイルを使用して、カスタム ポリシーを作成します。

[ 行の追加 ] ウィンドウで、次の設定を指定します。

• [ 名前 ] フィールドに「」と入力します Allow Read Activity。
• [ OMA-URI ] フィールドに「」と入力します /Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData。
• [ データ型 ] フィールドで、[ 文字列 (XML ファイル)] を選択し、 カスタム XML を使用します。

パラメーターを使用して、特定のエントリの条件を設定できます。 各リムーバブル ストレージの読み取りアクセスを許可するための XML ファイルのグループ例を次に示します。

注:

XML コメント表記 を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。

OMA-URI を使用したグループの作成

Intuneで OMA-URI を使用してグループを作成する場合は、グループごとに 1 つの XML ファイルを作成します。 ベスト プラクティスとして、再利用可能な設定を使用してグループを定義します。

[ 行の追加 ] ウィンドウで、次の設定を指定します。

• [ 名前 ] フィールドに「」と入力します Any Removable Storage Group。
• [ OMA-URI ] フィールドに「」と入力します ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData。 (GroupID を取得するには、Intune管理センターで [グループ] に移動し、[オブジェクト ID のコピー] を選択します)。
• [ データ型 ] フィールドで、[ 文字列 (XML ファイル)] を選択し、 カスタム XML を使用します。

注:

XML コメント表記 <!-- COMMENT -- > を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。

OMA-URI を使用してリムーバブル ストレージ アクセス制御を構成する

1. Microsoft Intune管理センターに移動し、サインインします。

2. [ デバイス>構成プロファイル] を選択します。 [ 構成プロファイル] ページが表示されます。

3. [ポリシー] タブ (既定で選択) で、[+ Create] を選択し、表示されるドロップダウンから [+ 新しいポリシー] を選択します。 プロファイル ページCreateが表示されます。

4. [プラットフォーム] ボックスの一覧で、[プラットフォーム] ドロップダウン リストから [Windows 10、Windows 11、および Windows Server] を選択し、[プロファイルの種類] ドロップダウン リストから [テンプレート] を選択します。

   [プロファイルの種類] ドロップダウン リストから [テンプレート] を選択すると、[テンプレート名] ウィンドウが検索ボックスと共に表示されます (プロファイル名を検索する場合)。

5. [テンプレート名] ウィンドウから [カスタム] を選択し、[Create] を選択します。

6. 手順 1 ~ 5 を実装して、設定、グループ、またはポリシーごとに行をCreateします。

デバイス コントロール グループの表示 (再利用可能な設定)

Intuneでは、デバイスコントロールグループは再利用可能な設定として表示されます。

1. Microsoft Intune管理センターに移動し、サインインします。

2. [Endpoint Security AttackSurface Reduction]\(エンドポイント セキュリティ>攻撃の表面の縮小\) に移動します。

3. [ 再利用可能な設定] タブを選択 します。

関連項目

• Defender for Endpoint のデバイス コントロール
• デバイス制御ポリシーと設定
• macOS 用デバイス コントロール