適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender ウイルス対策
- Microsoft Defender for Business
- Microsoft 365 Business Premium
プラットフォーム
- Windows
Microsoft Defender ポータルで改ざん防止が有効になっている場合、改ざん防止がデバイスに到達するためのデバイス要件は何ですか?
デバイスは、次のすべての要件を満たす必要があります。
- デバイスは、特定のバージョンの Windows または macOS を実行している必要があります。 (「 改ざん防止を有効にできるデバイスについて」を参照してください)
- デバイスをMicrosoft Defender for Endpointにオンボードする必要があります。
- デバイスでは、マルウェア対策プラットフォーム バージョン
4.18.2010.7(またはそれ以降) とマルウェア対策エンジンのバージョン1.1.17600.5(またはそれ以降) を使用している必要があります。 (Microsoft Defenderウイルス対策の更新プログラムを管理し、ベースラインを適用します)。 - クラウド提供の保護 を有効にする必要があります。
Microsoft Defender ポータル (https://security.microsoft.com) で改ざん防止を管理するには、グローバル管理者やセキュリティ管理者などのロールを通じて適切なアクセス許可が割り当てられている必要があります。 (「ロールベースのアクセス制御 (RBAC)Microsoft Defender XDR」を参照してください)。
改ざん防止を構成できる Windows のバージョン
- Windows 11
- Windows 11 Enterprise multi-session
- Windows 10 OS 1709、1803、1809 以降をMicrosoft Defender for Endpointと共に使用します。
- Windows 10 Enterprise マルチセッション
Configuration Manager バージョン 2006 をテナント接続で使用している場合、改ざん防止は R2、Windows Server 2016、Windows Server 2019、および Windows Server 2022 Windows Server 2012まで拡張できます。 「テナントのアタッチ: 管理センターからエンドポイント セキュリティウイルス対策ポリシーをCreateして展開する (プレビュー)」を参照してください。
改ざん防止は、Windows セキュリティ アプリでの Microsoft ウイルス対策以外の登録に影響しますか?
その必要はありません。 Microsoft 以外のウイルス対策サービスは、引き続きWindows セキュリティ アプリケーションに登録されます。
Microsoft Defenderウイルス対策がデバイスでアクティブになっていない場合はどうなりますか?
Microsoft 以外のウイルス対策/マルウェア対策ソフトウェアがデバイスにインストールされている場合、そのデバイスがMicrosoft Defender for Endpointにオンボードされると、Microsoft Defenderウイルス対策は既定でパッシブ モードで実行されます。 改ざん防止は、サービスとその機能を保護します。
Microsoft 以外のウイルス対策/マルウェア対策ソフトウェアがアンインストールされた場合、Microsoft Defenderウイルス対策は自動的にアクティブ モードに切り替わります。 改ざん防止は、サービスとその機能を引き続き保護します。
改ざん防止をオンまたはオフにする操作方法?
Microsoft Intuneを使用して、organizationのウイルス対策設定Microsoft Defender管理することをお勧めします。 Intuneを使用すると、ポリシーを使用して改ざん防止を有効 (または無効) する場所を制御できます。 Microsoft Defenderウイルス対策の除外を保護することもできます。 「改ざん防止: Microsoft Defenderウイルス対策の除外」を参照してください。
Microsoft Defender ポータルまたはConfiguration Managerを使用することもできます。
ホーム ユーザーの場合は、「 個々のデバイスで改ざん防止を管理する」を参照してください。
改ざん防止は 組み込みの保護の一部であり、有効にする必要があります。
改ざん防止はMicrosoft Defenderウイルス対策の除外に適用されますか?
デバイスでウイルス対策の除外Microsoft Defender保護するために、新機能がロールアウトされました。 特定の条件を満たす必要があります。 たとえば、デバイスを管理するには、Intuneのみを使用するか、Configuration Managerのみを使用し、Sense を有効にする必要があります。 「Microsoft Defenderウイルス対策の除外を保護する」を参照してください。
Intuneで改ざん防止を構成すると、グループ ポリシーを使用してウイルス対策Microsoft Defender管理する方法にどのような影響がありますか?
現在、Intuneを使用して改ざん防止を構成および管理している場合は、引き続きIntuneを使用する必要があります。 改ざん防止が有効になっていて、グループ ポリシーを使用してMicrosoft Defenderウイルス対策設定を変更すると、改ざん防止によって保護されるすべての設定は無視されます。
- デバイスに変更を加える必要があり、それらの変更が改ざん防止によってブロックされている場合は、 トラブルシューティング モードを 使用してデバイスの改ざん防止を一時的に無効にすることができます。 トラブルシューティング モードが終了すると、改ざん保護された設定に加えられた変更はすべて、構成済みの状態に戻されます。
- IntuneまたはConfiguration Managerを使用して、デバイスを改ざん防止から除外できます。
- Intuneを介して改ざん防止を管理していて、その他の特定の条件が満たされている場合は、改ざん防止されたウイルス対策の除外を管理できます。
Microsoft Intuneを使用して改ざん防止を構成する場合、organization全体にのみ適用されますか?
Intuneを使用して改ざん防止を構成および管理している場合は、必ずしもorganization全体に改ざん防止を適用する必要はありません。 Intuneでは、organization全体に改ざん防止を適用するか、特定のデバイスまたはユーザー グループを選択して改ざん防止を受けることができます。 改ざん防止から特定のデバイスを除外することもできます。
改ざん防止を有効にした場合に変更できない設定は何ですか?
改ざん防止を有効にすると、次のセキュリティ設定が変更されないように保護されます。
- ウイルスと脅威の保護は引き続き有効です。
- リアルタイム保護はオンのままです。
- 動作の監視はオンのままです。
- IOfficeAntivirus (IOAV) を含むウイルス対策保護は有効のままです。
- クラウド保護は引き続き有効です。
- セキュリティ インテリジェンスの更新は引き続き行われます。
- 検出された脅威に対して自動アクションが実行されます。
- 通知は、Windows デバイスのWindows セキュリティ アプリに表示されます。
- アーカイブされたファイルがスキャンされます。
詳細については、「 改ざん防止が有効になっているとどうなるか」を参照してください。
Microsoft Defender XDRで改ざん防止が有効になっている場合、Intuneの設定を上書きConfiguration Managerできますか?
Microsoft Defender ポータル (https://security.microsoft.com) で改ざん防止を有効にすると、テナント全体で改ざん防止が有効になります。 ただし、IntuneまたはConfiguration Managerで定義されているポリシーは、Microsoft Defender ポータルの設定をオーバーライドできます。 たとえば、特定のデバイスを改ざん防止から除外するポリシーをIntuneまたはConfiguration Managerで定義できます。
DisableLocalAdminMerge をデプロイ操作方法ですか?
Intuneを使用して DisableLocalAdminMerge をデプロイします。
Windows デバイスで除外が改ざん保護されているかどうかを確認するにはどうすればよいですか?
改ざん防止されたウイルス対策の除外の管理に関するページのガイダンスに従ってください。
除外に対して改ざん防止が有効になっている場合、IntuneまたはConfiguration Managerから新しい除外ポリシー設定を適用するために無効にする必要がありますか?
その必要はありません。 除外の改ざん防止が有効になっている場合は、新しい除外を適用するために無効にする必要はありません。
Configuration Managerで改ざん防止を構成できますか?
はい。 Intuneの使用と同様に、organization全体、または特定のユーザーやデバイスに改ざん防止を適用できます。 詳細については、次のリソースを参照してください。
私はエンタープライズ顧客です。 ローカル管理者はデバイスの改ざん防止を変更できますか?
一般に、改ざん防止は、ユーザーがデバイス上でセキュリティ設定を直接変更できないように保護するのに役立ちます。 改ざん防止は、 標準的な保護攻撃面の縮小ルールを含む改ざん防止機能の一部です。 カーネルでマルウェアが実行されないようにするには、 Windows 用アプリケーションコントロールでドライバー ブロック規則を使用することを検討してください。
デバイスがMicrosoft Defender for Endpointでオンボードされ、オンボード状態になった場合はどうなりますか?
デバイスがMicrosoft Defender for Endpointからオフボードされている場合、アンマネージド デバイスの既定の状態である改ざん防止がオンになります。
改ざん防止の状態が変更された場合、アラートはMicrosoft Defender ポータルに表示されますか?
アラートは、Microsoft Defender ポータルの [アラート] の下に一覧表示する必要があります。
セキュリティ運用チームは、次の例のようなハンティング クエリを使用することもできます。
AlertInfo|where Title == "Tamper Protection bypass"
改ざん防止を構成するためのオプションは何ですか?
次のいずれかの方法を使用して、改ざん防止を構成できます。
- Microsoft Defender ポータル (改ざん防止のオン/オフ、テナント全体)
- Intune (改ざん防止をオンまたはオフにし、一部またはすべてのユーザーの改ざん防止を構成する)
- Configuration Manager (テナントアタッチを使用して、Windows セキュリティ エクスペリエンス プロファイルを使用して、一部またはすべてのデバイスの改ざん防止を構成できます)。
- Windows セキュリティアプリ (自宅で使用される個々のデバイス、またはセキュリティ チームがデバイスを管理していない状況で使用する場合)
注:
organization全体で改ざん防止をオンにしておくことをお勧めします。 改ざん防止によって、IT チームまたはセキュリティ チームがデバイスで必要なタスクを実行できなくなる場合は、改ざん防止を無効にする代わりに トラブルシューティング モード を使用することを検討してください。