制御されたフォルダー アクセスを有効にする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

フォルダー アクセスの制御 は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 フォルダーアクセスの制御は、Windows 10、Windows 11、および Windows Server 2019 に含まれています。 制御されたフォルダー アクセスは 、Windows Server 2012R2 および 2016 の最新の統合ソリューションの一部としても含まれています。

制御されたフォルダー アクセスを有効にするには、次のいずれかの方法を使用します。

• Windows セキュリティアプリ *
• Microsoft Intune
• モバイル デバイス管理 (MDM)
• Microsoft Configuration Manager
• グループ ポリシー
• PowerShell

ヒント

最初は監査モードを使用して、機能の動作を確認し、organizationの通常のデバイス使用状況に影響を与えずにイベントを確認できるようにします。

ローカル管理者リストのマージを無効にするグループ ポリシー設定は、制御されたフォルダー アクセス設定をオーバーライドします。 また、制御されたフォルダー アクセスを通じて、ローカル管理者によって設定された保護されたフォルダーと許可されたアプリもオーバーライドされます。 これらのポリシーには、次のものが含まれます。

• Microsoft Defenderウイルス対策 リストのローカル管理者のマージ動作を構成する
• System Center Endpoint Protection ユーザーによる除外とオーバーライドの追加を許可する

ローカル リストのマージを無効にする方法の詳細については、「ユーザーがウイルス対策ポリシー設定Microsoft Defenderローカルで変更することを禁止または許可する」を参照してください。

Windows セキュリティ アプリを開きます。

1. タスク バーで盾のアイコンを選択して、Windows セキュリティ アプリを開きます。 スタート メニューでWindows セキュリティを検索することもできます。

2. [ ウイルス & 脅威保護 ] タイル (または左側のメニュー バーのシールド アイコン) を選択し、[ ランサムウェア保護] を選択します。

3. [ フォルダー アクセスの制御] のスイッチを [オン] に設定します。

注:

*この方法は、Windows Server 2012R2 または 2016 では使用できません。

制御されたフォルダー アクセスが グループ ポリシー、PowerShell、または MDM CSP で構成されている場合、デバイスの再起動後、Windows セキュリティ アプリの状態が変更されます。 これらのツールを使用して機能が監査モードに設定されている場合、Windows セキュリティ アプリは状態を [オフ] として表示します。 ユーザー プロファイル データを保護する場合は、既定の Windows インストール ドライブにユーザー プロファイルを設定することをお勧めします。

Microsoft Intune

1. Microsoft Intune管理センターにサインインし、[エンドポイント セキュリティ] を開きます。

2. [攻撃面の縮小>ポリシー] に移動します。

3. [プラットフォーム] を選択し、[Windows 10]、[Windows 11]、[Windows Server] を選択し、[攻撃面の縮小ルール>の作成] プロファイルを選択します。

4. ポリシーに名前を付け、説明を追加します。 [次へ] を選択します。

5. 下にスクロールし、[ フォルダー アクセスの制御を有効にする ] ドロップダウンで、 監査モードなどのオプションを選択します。

   organizationでどのように動作するかを確認するには、最初に監査モードで制御されたフォルダー アクセスを有効にすることをお勧めします。 後で 、有効などの別のモードに設定できます。

6. 必要に応じて、保護するフォルダーを追加するには、[ フォルダー アクセスの制御] [保護されたフォルダー ] の順に選択し、フォルダーを追加します。 これらのフォルダー内のファイルは、信頼されていないアプリケーションによって変更または削除することはできません。 既定のシステム フォルダーは自動的に保護されます。 Windows デバイス上のWindows セキュリティ アプリで既定のシステム フォルダーの一覧を表示できます。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessProtectedFolders」を参照してください。

7. 必要に応じて、信頼する必要があるアプリケーションを追加するには、[ フォルダー アクセス許可アプリケーションの制御 ] を選択し、保護されたフォルダーにアクセスできるアプリを追加します。 Microsoft Defenderウイルス対策は、信頼する必要があるアプリケーションを自動的に決定します。 この設定は、追加のアプリケーションを指定する場合にのみ使用します。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessAllowedApplications」を参照してください。

8. プロファイルの [割り当て] を選択し、[ すべてのユーザー] & [すべてのデバイス] に割り当て、[保存] を選択 します。

9. [ 次へ ] を選択して開いている各ブレードを保存し、[作成] を 選択します。

注:

ワイルドカードはアプリケーションではサポートされますが、フォルダーではサポートされません。 サブフォルダーは保護されません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

モバイル デバイス管理 (MDM)

./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 構成サービス プロバイダー (CSP) を使用して、アプリが保護されたフォルダーに変更を加えることを許可します。

Microsoft 構成マネージャー

1. Microsoft Configuration Manager で、[資産とコンプライアンス]>[エンドポイントの保護]>[Windows Defender Exploit Guard] に移動します。

2. [ホーム] > [Exploit Guard ポリシーの作成] を選択します。

3. 名前と説明を入力し、[ フォルダー アクセスの制御] を選択し、[ 次へ] を選択します。

4. 変更をブロックするか監査するか、他のアプリを許可するか、他のフォルダーを追加するかを選択し、[ 次へ] を選択します。

   注:

   ワイルドカードはアプリケーションではサポートされていますが、フォルダーではサポートされていません。 サブフォルダーは保護されません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

5. 設定を確認し、[ 次へ ] を選択してポリシーを作成します。

6. ポリシーが作成されたら、[ 閉じる] を選択します。

グループ ポリシー

1. グループ ポリシー管理デバイスで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択します。

2. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. Exploit Guard > の制御されたフォルダー アクセスMicrosoft Defenderウイルス対策>Microsoft Defender Windows コンポーネント>にツリーを展開します。

4. [ フォルダー アクセスの制御の構成 ] 設定をダブルクリックし、オプションを [有効] に設定します。 [オプション] セクションで、次のいずれかのオプションを指定する必要があります。

   • [有効] - 悪意のあるアプリと疑わしいアプリは、保護されたフォルダー内のファイルに変更を加えることはできません。 通知が Windows イベント ログに表示されます。
   • 無効 (既定値) - フォルダーアクセスの制御機能は機能しません。 すべてのアプリは、保護されたフォルダー内のファイルに変更を加えることができます。
   • 監査モード - 悪意のあるアプリまたは疑わしいアプリが保護されたフォルダー内のファイルを変更しようとすると、変更が許可されます。 ただし、Organizationへの影響を評価できる Windows イベント ログに記録されます。
   • ディスクの変更のみをブロック する - 信頼されていないアプリがディスク セクターに書き込もうとすると、Windows イベント ログに記録されます。 これらのログは、「アプリケーションおよびサービス ログ> Microsoft > Windows > Windows Defender > Operational ID 1123」>にあります。
   • 監査ディスクの変更のみ - 保護されたディスク セクターへの書き込み試行のみが Windows イベント ログに記録されます ([アプリケーションとサービス ログ>] Microsoft>Windows>Windows Defender>Operational>ID 1124)。 保護されたフォルダー内のファイルを変更または削除しようとしても記録されません。

   

重要

制御されたフォルダー アクセスを完全に有効にするには、グループ ポリシー オプションを [有効] に設定し、[オプション] ドロップダウン メニューの [ブロック] を選択する必要があります。

PowerShell

1. スタート メニューに「powershell」と入力し、[Windows PowerShell] を右クリックして [管理者として実行] を選択します。

2. 次のコマンドレットを入力します。

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

ではなく を指定することで、監査モードでEnabled機能をAuditMode有効にすることができます。

を使用して Disabled 機能をオフにします。

関連項目

• フォルダーへのアクセス制御で重要なフォルダーを保護する
• 制御されたフォルダー アクセスをカスタマイズする
• Microsoft Defender for Endpoint の評価

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。