Microsoft Defender for Endpointのデバイス制御
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Microsoft Defender for Endpointのデバイス制御機能を使用すると、セキュリティ チームは、リムーバブル 記憶域 (USB サム ドライブ、SSD、ディスクなど)、プリンター、Bluetooth デバイス、またはその他のデバイスなどの周辺機器をコンピューターにインストールして使用できるかどうかを制御できます。 セキュリティ チームは、次のような規則を構成するようにデバイス制御ポリシーを構成できます。
- ユーザーが特定のデバイス (USB ドライブなど) をインストールして使用できないようにする
- 特定の例外 がある外部デバイス のインストールと使用をユーザーに禁止する
- 特定のデバイスのインストールと使用をユーザーに許可する
- ユーザーが Windows コンピューターで BitLocker で暗号化されたデバイスのみをインストールして使用できるようにする
この一覧は、いくつかの例を提供することを目的としています。 網羅的なリストではありません。考慮すべきその他の例があります (この記事の 「Windows のデバイス コントロール 」セクションを参照してください)。
デバイス制御は、特定のデバイスをユーザーのコンピューターに接続できるようにすることで、潜在的なデータ損失、マルウェア、またはその他のサイバー脅威からorganizationを保護するのに役立ちます。 デバイス制御を使用すると、セキュリティ チームは、ユーザーがコンピューターにインストールして使用できる周辺機器とデバイスを決定できます。
Windows のデバイス コントロール
このセクションでは、Windows でのデバイス制御のシナリオを示します。
ヒント
Mac を使用している場合、デバイス制御は、Bluetooth、iOS デバイス、カメラなどのポータブル デバイス、USB デバイスなどのリムーバブル メディアへのアクセスを制御できます。 macOS のデバイス制御に関するページを参照してください。
タブを選択し、シナリオを確認し、作成するデバイス制御ポリシーの種類を特定します。
| シナリオ | デバイス制御ポリシー |
|---|---|
| 特定の USB デバイスのインストールを禁止する | Windows のデバイス コントロール。 「 デバイス制御ポリシー」を参照してください。 |
| 承認された USB のみのインストールを許可しながら、すべての USB デバイスのインストールを禁止する | Windows のデバイス コントロール。 「 デバイス制御ポリシー」を参照してください。 |
| 特定の承認済み USB を許可する以外のすべてに対する書き込みと実行のアクセスを禁止する | Defender for Endpoint のデバイス コントロール。 「 デバイス制御ポリシー」を参照してください。 |
| ブロックされた特定の BLOB 以外のすべての書き込みアクセスと実行アクセスを監査する | Defender for Endpoint のデバイス コントロール。 「 デバイス制御ポリシー」を参照してください。 |
| 特定のファイル拡張子への読み取りと実行のアクセスをブロックする | Microsoft Defenderのデバイス制御。 「 デバイス制御ポリシー」を参照してください。 |
| マシンが企業ネットワークに接続していないときに、リムーバブル ストレージへのアクセスをブロックする | Microsoft Defenderのデバイス制御。 「 デバイス制御ポリシー」を参照してください。 |
| BitLocker によって保護されていないリムーバブル データ ドライブへの書き込みアクセスをブロックする | Windows のデバイス コントロール。 BitLocker に関するページを参照してください。 |
| 別のorganizationで構成されたデバイスへの書き込みアクセスをブロックする | Windows のデバイス コントロール。 BitLocker に関するページを参照してください。 |
| 機密ファイルの USB へのコピーを防止する | エンドポイント DLP |
サポート対象のデバイス
デバイス制御では、Bluetooth デバイス、CD/ROM、DVD デバイス、プリンター、USB デバイス、およびその他の種類のポータブル デバイスがサポートされます。 Windows デバイスでは、ドライバーに基づいて、一部の周辺機器がリムーバブルとしてマークされます。 次の表に、デバイス コントロールがサポートするデバイスの値とメディア クラス名の例を primary_id 示します。
| デバイスのタイプ | PrimaryId Windows の場合 |
primary_id macOS での |
メディア クラス名 |
|---|---|---|---|
| Bluetooth デバイス | bluetoothDevice |
Bluetooth Devices |
|
| CD/ROM、DVD | CdRomDevices |
CD-Roms |
|
| iOS デバイス | appleDevice |
||
| ポータブル デバイス (カメラなど) | portableDevice |
||
| プリンター | PrinterDevices |
Printers |
|
| USB デバイス (リムーバブル メディア) | RemovableMediaDevices |
removableMedia |
USB |
| Windows ポータブル デバイス | WpdDevices |
Windows Portable Devices (WPD) |
Microsoft デバイス制御機能のカテゴリ
Microsoft のデバイス制御機能は、Windows でのデバイス制御、Defender for Endpoint でのデバイス制御、エンドポイント データ損失防止 (エンドポイント DLP) の 3 つのメインカテゴリに分類できます。
Windows のデバイス コントロール。 Windows オペレーティング システムには、デバイス制御機能が組み込まれています。 セキュリティ チームは、ユーザーがコンピューターに特定のデバイスをインストールできないように (または許可する) デバイスのインストール設定を構成できます。 ポリシーはデバイス レベルで適用され、さまざまなデバイス プロパティを使用して、ユーザーがデバイスをインストールまたは使用できるかどうかを判断します。 Windows のデバイス制御は BitLocker テンプレートと ADMX テンプレートで動作し、Intuneを使用して管理できます。
BitLocker と Intune。 BitLocker は、ボリューム全体の暗号化を提供する Windows セキュリティ機能です。 Intuneと共に、Windows 用 BitLocker (および Mac 用 FileVault) を使用してデバイスに暗号化を適用するようにポリシーを構成できます。 詳細については、「Intuneのエンドポイント セキュリティのディスク暗号化ポリシー設定」を参照してください。
管理用テンプレート (ADMX) とIntune。 ADMX テンプレートを使用して、コンピューターで使用する特定の種類の USB デバイスを制限または許可するポリシーを作成できます。 詳細については、「INTUNEで ADMX テンプレートを使用して USB デバイスを制限し、特定の USB デバイスを許可する」を参照してください。
Defender for Endpoint のデバイス コントロール。 Defender for Endpoint のデバイス制御は、より高度な機能を提供し、クロスプラットフォームです。 デバイス制御設定を構成して、リムーバブル ストレージ デバイス上のコンテンツへの読み取り、書き込み、または実行アクセスをユーザーに許可 (または許可) できます。 例外を定義できます。また、ユーザーがリムーバブル ストレージ デバイスにアクセスすることを検出してもブロックしない監査ポリシーを採用することもできます。 ポリシーは、デバイス レベル、ユーザー レベル、またはその両方で適用されます。 Microsoft Defenderのデバイス制御は、Intuneを使用して管理できます。
- Microsoft DefenderとIntuneのデバイス制御。 Intuneは、組織の複雑なデバイス制御ポリシーを管理するための豊富なエクスペリエンスを提供します。 たとえば、Defender for Endpoint でデバイス制限設定を構成して展開できます。 「Microsoft Intuneでデバイス制限設定を構成する」を参照してください。
エンドポイント データ損失防止 (エンドポイント DLP)。 エンドポイント DLP は、Microsoft Purview ソリューションにオンボードされているデバイスの機密情報を監視します。 DLP ポリシーは、機密情報とその保存場所または使用場所に対して保護アクションを適用できます。 エンドポイント DLP について説明します。
これらの機能の詳細については、「 デバイス制御シナリオ 」セクション (この記事内) を参照してください。
デバイス コントロールのサンプルとシナリオ
Defender for Endpoint のデバイス制御は、セキュリティ チームに、さまざまなシナリオを可能にする堅牢なアクセス制御モデルを提供します (「 デバイス制御ポリシー」を参照)。 調査できるサンプルとシナリオを含む GitHub リポジトリをまとめます。 以下のリソースを参照してください。
デバイス コントロールを初めて使用する場合は、「 デバイス コントロールのチュートリアル」を参照してください。
前提条件
Defender for Endpoint のデバイス制御は、マルウェア対策クライアントバージョン4.18.2103.3以降のWindows 10またはWindows 11を実行しているデバイスに適用できます。 (現在、サーバーはサポートされていません)。
4.18.2104以降: 、、VID_PIDファイルパスベースの GPO サポート、および を追加SerialNumberIdします。ComputerSid4.18.2105以降: のワイルドカード サポートをHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId追加します。特定のマシン上の特定のユーザーの組み合わせ、リムーバブル SSD (SanDisk Extreme SSD)/USB Attached SCSI (UAS) サポート4.18.2107以降: Windows ポータブル デバイス (WPD) のサポート (タブレットなどのモバイル デバイスの場合) を追加します。高度なハンティングに追加AccountNameする4.18.2205以降: 既定の適用を [プリンター] に展開します。 [拒否] に設定すると、プリンターもブロックされるため、ストレージのみを管理する場合は、プリンターを許可するカスタム ポリシーを作成してください4.18.2207以降: ファイルのサポートを追加します。一般的なユース ケースは、リムーバブル ストレージ上の読み取り/書き込み/実行アクセス固有のファイルからユーザーをブロックすることです。 ネットワークと VPN 接続のサポートを追加する。一般的なユース ケースは、マシンが企業ネットワークに接続していないときに、リムーバブル ストレージへのアクセスをブロックすることです。
Mac の場合は、「 macOS 用デバイスコントロール」を参照してください。
現在、デバイス制御はサーバーではサポートされていません。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示