Microsoft Defender for Endpointデバイス制御に関してよく寄せられる質問

[アーティクル]
04/26/2024

適用対象:

この記事では、Microsoft Defender for Endpointのデバイス制御リムーバブルストレージ機能に関してよく寄せられる質問に対する回答を示します。

グループ ID/PolicyRule ID/エントリ ID の GUID を生成操作方法?

GUID は、オンラインオープンソースまたは PowerShell を使用して生成できます。詳細については、「 PowerShell を使用して GUID を生成する方法」を参照してください。

PowerShell の GUID のスクリーンショット。

リムーバブルストレージメディアとポリシーの制限事項は何ですか?

バックエンド呼び出しは、Intuneまたは Microsoft Graph APIから OMA-URI (GET to read または PATCH to update) を介して実行されます。この制限は、Microsoft の OMA-URI カスタム構成プロファイルと同じです。これは、XML ファイルの正式な 350,000 文字です。たとえば、特定のユーザーに対してユーザー SID ごとに 2 つのエントリブロックを "許可" /"監査許可" し、最後に "拒否" するエントリの 2 ブロックが必要な場合は、2,276 人のユーザーを管理できます。

ポリシーが機能しないのはなぜですか?

最も一般的な理由は、マルウェア対策クライアントのバージョンが必要ない点です。

もう 1 つの理由は、XML ファイルが正しく書式設定されていない可能性があります。たとえば、XML ファイルまたはテキストエディターで "&" 文字に正しいマークダウン形式を使用していないと、ファイルの先頭にバイトオーダーマーク (BOM) 0xEF 0xBB 0xBFが追加され、XML 解析が機能しない可能性があります。簡単な解決策の 1 つは、サンプルファイルをダウンロードし ( [未加工 ] を選択し、[ 名前を付けて保存] を選択)、更新することです。

グループポリシーを使用してポリシーを展開および管理する場合は、すべてのポリシールールをというPolicyRules親ノード内の 1 つの XML ファイルに結合してください。また、すべてのグループをという Groups親ノード内の 1 つの XML ファイルに結合します。 Intuneを使用してデバイスを管理する場合は、としてCustom OMA-URI展開するときに、グループとポリシーごとに個別の XML ファイルを保持します。

デバイス (マシン) には有効な証明書が必要です。コンピューターで次のコマンドを実行して、チェックします。

Get-AuthenticodeSignature C:\Windows\System32\wbem\WmiPrvSE.exe

コマンドレットの結果 Get-AuthenticodeSignature 示すスクリーンショット。

それでもポリシーが機能しない場合は、サポートに問い合わせて、サポートタクシーを共有してください。そのファイルを取得するには、管理者としてコマンドプロンプトを開き、次のコマンドを使用します。

"%programfiles%\Windows Defender\MpCmdRun.exe" -GetFiles

一部のポリシーグループの構成 UX がないのはなぜですか?

デバイス制御ポリシーグループを定義し、グループポリシーでデバイス制御ポリシールールを定義するための構成 UX はありません。ただし、WindowsDefender.adml ファイルと .admxWindowsDefender.admx ファイルで [未加工] と [名前を付けて保存] を選択すると、関連.admlファイルとファイルを引き続き取得できます。

organizationで古いマルウェア対策クライアントバージョンを使用しているコンピューターを確認するにはどうすればよいですか?

次のクエリを使用して、Microsoft 365 セキュリティポータルでマルウェア対策クライアントのバージョンを取得できます。

//check the anti-malware client version
DeviceFileEvents
|where FileName == "MsMpEng.exe"
|where FolderPath contains @"C:\ProgramData\Microsoft\Windows Defender\Platform\"
|extend PlatformVersion=tostring(split(FolderPath, "\\", 5))
//|project DeviceName, PlatformVersion // check which machine is using legacy platformVersion
|summarize dcount(DeviceName) by PlatformVersion // check how many machines are using which platformVersion
|order by PlatformVersion desc

デバイスマネージャーで media プロパティを見操作方法?

メディアを接続します。
デバイスマネージャーを開きます。
デバイスマネージャーでメディアを見つけて右クリックし、[プロパティ] を選択します。
[詳細] を開き、[プロパティ] を選択します。

もう 1 つの方法は、監査ポリシーをorganizationに展開し、高度なハンティングまたはデバイス制御レポートでイベントを確認することです。

Microsoft Entra グループの Sid を見操作方法?

Microsoft Entra グループとは異なり、Sid は Microsoft Entra グループにオブジェクト ID を使用しています。オブジェクト ID は、Azure portalから確認できます。

イメージ

organizationでプリンターがブロックされるのはなぜですか?

既定の適用設定は、すべてのデバイスコントロールコンポーネントに対するものです。つまり、にDeny設定すると、すべてのプリンターもブロックされます。プリンターを明示的に許可するカスタムポリシーを作成するか、既定の適用ポリシーをカスタムポリシーに置き換えることができます。

ファイルシステムレベルのアクセスによってフォルダーの作成がブロックされないのはなぜですか?

ファイルシステムレベルのアクセス書き込みアクセス拒否が構成されている場合でも、空のフォルダーの作成はブロックされません。空でないファイルはすべてブロックされます。

USB がまだ Allow-Ready ポリシーでブロックされているのはなぜですか?

一部の特定の USB デバイスでは、読み取りアクセス以上のものが必要です。次の一覧は、いくつかの例を示しています。

一部の Kingston で暗号化された USB への読み取りアクセスには、CDROM の実行アクセスが必要です。
一部の WD My Passport USB に読み取りアクセスするには、ディスクレベルの書き込みアクセスが必要です。この場合、書き込みアクセスを拒否する場合は、ファイルシステムレベルのアクセスを使用する必要があります

これを理解する最善の方法は、必要なアクセスマスクを明確に示す高度なハンティングでイベントをチェックすることです。

グループポリシーとIntuneの両方のデプロイポリシーを使用できますか?

グループポリシーとIntuneを使用してデバイス制御を管理できますが、1 台のコンピューターでは、グループポリシーまたはIntuneを使用します。マシンが両方でカバーされている場合、デバイス制御はグループポリシー設定のみを適用します。

デバイス制御はMicrosoft Defender for Businessで使用できますか?

はい(Windows と Mac の場合)。

Windows でデバイスコントロールを設定するには、 Defender for Business で攻撃面の縮小ルールを使用します。 Microsoft Intuneが必要です。 Defender for Business のスタンドアロンバージョンにはIntuneは含まれていませんが、追加することはできます。 Microsoft 365 Business PremiumにはIntuneが含まれます。「デバイスコントロールリムーバブル記憶域Access Control Microsoft Defender for Endpoint」を参照してください。

Mac でデバイスコントロールを設定するには、Intune または Jamf を使用します。 macOS のデバイス制御に関するページを参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。

Microsoft Defender for Endpointデバイス制御に関してよく寄せられる質問

グループ ID/PolicyRule ID/エントリ ID の GUID を生成操作方法?

リムーバブルストレージメディアとポリシーの制限事項は何ですか?

ポリシーが機能しないのはなぜですか?

一部のポリシーグループの構成 UX がないのはなぜですか?

最新のポリシーがターゲットコンピューターに展開されていることを確認操作方法。

organizationで古いマルウェア対策クライアントバージョンを使用しているコンピューターを確認するにはどうすればよいですか?

デバイスマネージャーで media プロパティを見操作方法?

Microsoft Entra グループの Sid を見操作方法?

organizationでプリンターがブロックされるのはなぜですか?

ファイルシステムレベルのアクセスによってフォルダーの作成がブロックされないのはなぜですか?

USB がまだ Allow-Ready ポリシーでブロックされているのはなぜですか?

グループポリシーとIntuneの両方のデプロイポリシーを使用できますか?

デバイス制御はMicrosoft Defender for Businessで使用できますか?

フィードバック

フィードバック

その他のリソース

Microsoft Defender for Endpointデバイス制御に関してよく寄せられる質問

グループ ID/PolicyRule ID/エントリ ID の GUID を生成操作方法?

リムーバブル ストレージ メディアとポリシーの制限事項は何ですか?

ポリシーが機能しないのはなぜですか?

一部のポリシー グループの構成 UX がないのはなぜですか?

最新のポリシーがターゲット コンピューターに展開されていることを確認操作方法。

organizationで古いマルウェア対策クライアント バージョンを使用しているコンピューターを確認するにはどうすればよいですか?

デバイス マネージャーで media プロパティを見操作方法?

Microsoft Entra グループの Sid を見操作方法?

organizationでプリンターがブロックされるのはなぜですか?

ファイル システム レベルのアクセスによってフォルダーの作成がブロックされないのはなぜですか?

USB がまだ Allow-Ready ポリシーでブロックされているのはなぜですか?

グループ ポリシーとIntuneの両方のデプロイ ポリシーを使用できますか?

デバイス制御はMicrosoft Defender for Businessで使用できますか?

フィードバック

フィードバック

その他のリソース

リムーバブルストレージメディアとポリシーの制限事項は何ですか?

一部のポリシーグループの構成 UX がないのはなぜですか?

最新のポリシーがターゲットコンピューターに展開されていることを確認操作方法。

organizationで古いマルウェア対策クライアントバージョンを使用しているコンピューターを確認するにはどうすればよいですか?

デバイスマネージャーで media プロパティを見操作方法?

ファイルシステムレベルのアクセスによってフォルダーの作成がブロックされないのはなぜですか?

グループポリシーとIntuneの両方のデプロイポリシーを使用できますか?