Intune でエンドポイント保護設定を追加する

Intune でデバイスの構成プロファイルを使用し、次などのデバイスで、共通のエンドポイント保護セキュリティ機能を管理できます。

  • ファイアウォール
  • BitLocker
  • アプリの許可とブロック
  • Microsoft Defender と暗号化

たとえば、macOS ユーザーに Mac App Store からのみアプリのインストールを許可するエンドポイント保護プロファイルを作成できます。 あるいは、Windows 10/11 デバイスでアプリを実行しているとき、Windows SmartScreen を有効にします。

プロファイルを作成する前に、サポート対象のそれぞれのプラットフォームで Intune が管理できる、エンドポイント保護設定の詳細が記述されている次の記事を確認してください。

エンドポイント保護設定を含むデバイス プロファイルを作成する

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス] > [構成プロファイル] > [プロファイルの作成] の順に選択します。

  3. 次のプロパティを入力します。

    • プラットフォーム: デバイスのプラットフォームを選択します。 次のようなオプションがあります。

      • macOS
      • Windows 10 以降
    • [プロファイル]: [テンプレート] > [エンドポイント保護] を選択します。

  4. [作成] を選択します。

  5. [基本] で次のプロパティを入力します。

    • [名前]: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、プロファイルの種類とプラットフォームを含めるとわかりやすいポリシー名になります。
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。

    [次へ] を選択します。

  6. [構成設定] では、選択したプラットフォームによって構成できる設定が変わります。 詳細な設定については、お使いのプラットフォームを選択してください。

  7. [次へ] を選択します。

  8. [割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  9. [適用性ルール] で、[ルール][プロパティ][値] オプションを使用して、割り当てられたグループ内でこのプロファイルを適用する方法を定義します。 Intune は、入力したルールを満たすデバイスにプロファイルを適用します。 適用性ルールの詳細については、適用性ルールに関するページを参照してください。

    [次へ] を選択します。

  10. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

Windows 10/11 デバイスのカスタム ファイアウォール規則を追加する

Windows 10/11 のエンドポイント保護規則を含むプロファイルの一部として Microsoft Defender ファイアウォールを構成する場合は、ファイアウォールのカスタム規則を構成できます。 カスタム規則を使用すると、Windows デバイスでサポートされているファイアウォール規則の定義済みセットを拡張できます。

カスタム ファイアウォール規則を含むプロファイルを計画する場合は、次の情報を考慮してください。これは、プロファイルでファイアウォール規則をグループ化する際に選択する方法に影響する可能性があります。

  • 各プロファイルでは、最大 150 個のファイアウォール規則がサポートされます。 150 個を超える規則を使用する場合は、それぞれ 150 個の規則に限定された、追加のプロファイルを作成します。

  • プロファイルごとに、単一の規則を適用できなかった場合、そのプロファイルのすべての規則が失敗し、デバイスにはどの規則も適用されません。

  • 規則を適用できなかったときは、プロファイル内のすべての規則が失敗として報告されます。 Intune では、失敗した個々の規則を識別することはできません。

Intune で管理できるファイアウォール規則については、Windows のファイアウォール構成サービス プロバイダー (CSP) に関するページで詳しく説明されています。 Intune でサポートされる Windows デバイスのカスタム ファイアウォール設定のリストを確認する場合は、カスタム ファイアウォール規則に関するセクションを参照してください。

Endpoint Protection プロファイルにカスタム ファイアウォール規則を追加するには

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス] > [構成プロファイル] > [プロファイルの作成] の順に選択します。

  3. 次のプロパティを入力します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。

    • [プロファイル]: [テンプレート] > [エンドポイント保護] を選択します。

  4. [作成] を選択します。

  5. [基本] で次のプロパティを入力します。

    • [名前]: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、プロファイルの種類とプラットフォームを含めるとわかりやすいポリシー名になります。
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。

    [次へ] を選択します。

  6. [構成設定] で、[Microsoft Defender ファイアウォール] を展開します。 次に、[ファイアウォール規則] では、[追加] を選択して [ルールの作成] ページを開きます。

  7. ファイアウォール規則の設定を指定し、[保存] を選択して保存します。 ドキュメントで利用可能なカスタム ファイアウォール規則のオプションを確認する場合は、カスタム ファイアウォール規則に関するセクションを参照してください。

    1. 規則は、[Microsoft Defender ファイアウォール] ページの規則の一覧に表示されます。
    2. 規則を変更するには、リストから規則を選択して [規則の編集] ページを開きます。
    3. プロファイルから規則を削除するには、その規則の省略記号 (...) を選択し、[削除] を選びます。
    4. 規則の表示順序を変更するには、規則リストの上部にある 上矢印、下矢印 アイコンを選択します。

    [次へ] を選択します。

  8. [割り当て] で、このプロファイルを受け取るデバイス グループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  9. [適用性ルール] で、[ルール][プロパティ][値] オプションを使用して、割り当てられたグループ内でこのプロファイルを適用する方法を定義します。 Intune は、入力したルールを満たすデバイスにプロファイルを適用します。 適用性ルールの詳細については、適用性ルールに関するページを参照してください。

    [次へ] を選択します。

  10. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

次の手順

プロファイルの状態を監視する