Intune Endpoint Protection プロファイルを使用して管理できるWindows設定

注意

Intune では、この記事に記載されている設定よりも多くの設定がサポートされる場合があります。 すべての設定が文書化されているのではなく、文書化されません。 構成できる設定を表示するには、デバイス構成プロファイルを作成し、[カタログ] を設定 します。 詳細については、「設定カタログ」を参照してください。

Microsoft Intuneには、デバイスの保護に役立つ多くの設定が含まれています。 この記事では、デバイス構成 エンドポイント保護 テンプレートの設定について説明します。 デバイス セキュリティを管理するために、デバイス セキュリティのサブセットに直接焦点を当てた エンドポイント セキュリティ ポリシーを使用することもできます。 Microsoft Defender ウイルス対策を構成するには、デバイスの制限Windows参照するか、エンドポイント セキュリティウイルス対策ポリシーを使用します。

開始する前に

エンドポイント保護デバイス構成プロファイルを作成します

構成サービス プロバイダー (CSP) の詳細については、「 構成サービス プロバイダーのリファレンス」を参照してください

Microsoft Defender Application Guard

Microsoft Edgeでは、Microsoft Defender Application Guardは組織から信頼されていないサイトから環境を保護します。 Application Guard を使用すると、分離されたネットワーク境界内にないサイトは、Hyper-V 仮想閲覧セッションで開きます。 信頼されたサイトは、デバイス構成で構成されたネットワーク境界によって定義されます。 詳細については、「Windows デバイスにネットワーク境界を作成する」を参照してください。

Application Guard は、64 ビット Windows デバイスでのみ使用できます。 このプロファイルを使用すると、Win32 コンポーネントがインストールされ、Application Guard がアクティブ化されます。

  • Application Guard
    既定値: 未構成
    Application Guard CSP: 設定/AllowWindowsDefenderApplicationGuard

    • Edge に対して有効 - この機能をオンにします。この機能は、Hyper-V 仮想化ブラウズ コンテナーで信頼されていないサイトを開きます。
    • 未構成 - デバイスでサイト (信頼済みと信頼されていない) を開くことができます。
  • クリップボードの動作
    既定値: 未構成
    Application Guard CSP: 設定/ClipboardSettings

    ローカル PC と Application Guard 仮想ブラウザーの間で許可されるコピー操作と貼り付けアクションを選択します。

    • 未構成
    • PC からブラウザーへのコピーと貼り付けを許可する
    • ブラウザーから PC へのコピーと貼り付けを許可する
    • PC とブラウザー間でのコピーと貼り付けを許可する
    • PC とブラウザー間のコピーと貼り付けをブロックする
  • クリップボードの内容
    この設定は、 クリップボードの動作許可 設定のいずれかに設定されている場合にのみ使用できます。
    既定値: 未構成
    Application Guard CSP: 設定/ClipboardFileType

    許可されているクリップボードの内容を選択します。

    • 未構成
    • Text
    • Images
    • テキストと画像
  • エンタープライズ サイトの外部コンテンツ
    既定値: 未構成
    Application Guard CSP: 設定/BlockNonEnterpriseContent

    • ブロック - 未承認の Web サイトのコンテンツの読み込みをブロックします。
    • 未構成 - 企業以外のサイトは、デバイスで開くことができます。
  • 仮想ブラウザーから印刷する
    既定値: 未構成
    Application Guard CSP: 設定/PrintingSettings

    • 許可 - 仮想ブラウザーから選択したコンテンツの印刷を許可します。
    • 未構成 すべての印刷機能を無効にします。

    印刷を 許可 すると、次の設定を構成できます。

    • 印刷の種類 次のいずれかのオプションを選択します。
      • PDF
      • XPS
      • ローカル プリンター
      • ネットワーク プリンター
  • ログを収集する
    既定値: 未構成
    Application Guard CSP: Audit/AuditApplicationGuard

    • 許可 - Application Guard 参照セッション内で発生するイベントのログを収集します。
    • 未構成 - 閲覧セッション内でログを収集しないでください。
  • ユーザー生成のブラウザー データを保持する
    既定値: 未構成
    Application Guard CSP: 設定/AllowPersistence

    • 許可 Application Guard 仮想閲覧セッション中に作成されたユーザー データ (パスワード、お気に入り、Cookie など) を保存します。
    • 未構成 デバイスの再起動時、またはユーザーがサインアウトしたときに、ユーザーがダウンロードしたファイルとデータを破棄します。
  • グラフィックスアクセラレーション
    既定値: 未構成
    Application Guard CSP: 設定/AllowVirtualGPU

    • 有効 - 仮想グラフィックス処理装置にアクセスすることで、グラフィック集中型の Web サイトとビデオを高速に読み込みます。
    • 未構成 グラフィックスにはデバイスの CPU を使用します。仮想グラフィックス処理装置は使用しないでください。
  • ファイルをホスト ファイル システムにダウンロードする
    既定値: 未構成
    Application Guard CSP: 設定/SaveFilesToHost

    • 有効 - ユーザーは仮想化されたブラウザーからホスト オペレーティング システムにファイルをダウンロードできます。
    • 未構成 - デバイス上のファイルをローカルに保持し、ホスト ファイル システムにファイルをダウンロードしません。

Microsoft Defender ファイアウォール

グローバル設定

これらの設定は、すべてのネットワークの種類に適用されます。

  • ファイル転送プロトコル
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/DisableStatefulFtp

    • ブロック - ステートフル FTP を無効にします。
    • 未構成 - ファイアウォールはステートフル FTP フィルタリングを実行して、セカンダリ接続を許可します。
  • 削除前のセキュリティ アソシエーションのアイドル時間
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/SaIdleTime

    アイドル時間を秒単位で指定します。その後、セキュリティの関連付けが削除されます。

  • 事前共有キー エンコード
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/PresharedKeyEncoding

    • 有効 - UTF-8 を使用して事前に聞いたキーをエンコードします。
    • 未構成 - ローカル ストアの値を使用して、事前読み取り済みキーをエンコードします。
  • IPsec の除外
    既定値: 0 が選択されています
    ファイアウォール CSP: MdmStore/Global/IPsecExempt

    IPsec から除外する次の種類のトラフィックのうち、1 つ以上を選択します。

    • 近隣検出 IPv6 ICMP の種類コード
    • ICMP
    • ルーターが IPv6 ICMP タイプ コードを検出する
    • IPv4 と IPv6 の両方の DHCP ネットワーク トラフィック
  • 証明書失効リストの検証
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/CRLcheck

    デバイスが証明書失効リストを検証する方法を選択します。 オプションは以下のとおりです。

    • CRL 検証を無効にする
    • 失効した証明書でのみ CRL 検証に失敗する
    • 発生したエラーに対して CRL 検証に失敗します
  • キー作成モジュールごとに一致する認証セット
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • 有効 キーモジュールは、サポートされていない認証スイートのみを無視する必要があります。
    • 未構成 のキーモジュールは、セットで指定されたすべての認証スイートをサポートしていない場合、認証セット全体を無視する必要があります。
  • パケット キュー
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/EnablePacketQueue

    IPsec トンネル ゲートウェイシナリオで、暗号化された受信とクリア テキストの転送に対して受信側のソフトウェア スケーリングを有効にする方法を指定します。 この設定は、パケットの順序が保持されていることを確認します。 オプションは以下のとおりです。

    • 未構成
    • すべてのパケット キューを無効にする
    • 受信暗号化されたパケットのみをキューに入れます
    • 暗号化解除後のキュー パケットは、転送専用に実行されます
    • 受信パケットと送信パケットの両方を構成する

ネットワーク設定

この記事では、次の設定をそれぞれ 1 回ずつ一覧表示しますが、すべて 3 つの特定のネットワークの種類に適用されます。

  • ドメイン (ワークプレース) ネットワーク
  • プライベート (検出可能) ネットワーク
  • パブリック (検出不可) ネットワーク

全般設定

  • Microsoft Defender ファイアウォール
    既定値: 未構成
    ファイアウォール CSP: EnableFirewall

    • 有効 - ファイアウォールと高度なセキュリティを有効にします。
    • 未構成 他のポリシー設定に関係なく、すべてのネットワーク トラフィックを許可します。
  • 隠しモード
    既定値: 未構成
    ファイアウォール CSP: DisableStealthMode

    • 未構成
    • ブロック - ファイアウォールは、隠しモードで動作しないようにブロックされます。 隠しモードをブロックすると、 IPsec セキュリティで保護されたパケットの除外 もブロックできます。
    • 許可 - ファイアウォールは、プローブ要求への応答を防ぐのに役立つ、隠しモードで動作します。
  • IPsec でセキュリティで保護されたパケットの除外 (隠しモード)
    既定値: 未構成
    ファイアウォール CSP: DisableStealthModeIpsecSecuredPacketExemption

    [隠しモード][ブロック] に設定されている場合、このオプションは無視されます。

    • 未構成
    • ブロック - IPSec セキュリティで保護されたパケットは除外を受け取りません。
    • 許可 - 除外を有効にします。 ファイアウォールの隠しモードでは、ホスト コンピューターが IPsec によってセキュリティで保護されている未承諾のネットワーク トラフィックに応答しないようにする必要があります。
  • シールド
    既定値: 未構成
    ファイアウォール CSP: シールド済み

    • 未構成
    • ブロック - Microsoft Defender ファイアウォールがオンになっていて、この設定が [ブロック] に設定されている場合、他のポリシー設定に関係なく、すべての受信トラフィックがブロックされます。
    • 許可 - [許可] に設定すると、この設定はオフになり、他のポリシー設定に基づいて受信トラフィックが許可されます。
  • マルチキャスト ブロードキャストに対するユニキャスト応答
    既定値: 未構成
    ファイアウォール CSP: DisableUnicastResponsesToMulticastBroadcast

    通常、マルチキャスト メッセージまたはブロードキャスト メッセージに対するユニキャスト応答を受け取る必要はありません。 これらの応答は、サービス拒否 (DOS) 攻撃、または既知のライブ コンピューターをプローブしようとしている攻撃者を示している可能性があります。

    • 未構成
    • ブロック - マルチキャスト ブロードキャストに対するユニキャスト応答を無効にします。
    • 許可 - マルチキャスト ブロードキャストへのユニキャスト応答を許可します。
  • 受信通知
    既定値: 未構成
    ファイアウォール CSP: DisableInboundNotifications

    • 未構成
    • ブロック - アプリがポートでのリッスンをブロックされたときに使用する通知を非表示にします。
    • 許可 - この設定を有効にし、アプリがポートでのリッスンをブロックされたときにユーザーに通知を表示する場合があります。
  • 送信接続の既定のアクション
    既定値: 未構成
    ファイアウォール CSP: DefaultOutboundAction

    送信接続でファイアウォールが実行する既定のアクションを構成します。 この設定は、Windows バージョン 1809 以降に適用されます。

    • 未構成
    • ブロック - 既定のファイアウォール アクションは、ブロックしないように明示的に指定されていない限り、送信トラフィックでは実行されません。
    • 許可 - 既定のファイアウォール アクションは送信接続で実行されます。
  • 受信接続の既定のアクション
    既定値: 未構成
    ファイアウォール CSP: DefaultInboundAction

    • 未構成
    • ブロック - 既定のファイアウォール アクションは受信接続では実行されません。
    • 許可 - 既定のファイアウォール アクションは受信接続で実行されます。

ルールのマージ

  • ローカル ストアから承認されたアプリケーション Microsoft Defender ファイアウォール規則
    既定値: 未構成
    ファイアウォール CSP: AuthAppsAllowUserPrefMerge

    • 未構成
    • ブロック - ローカル ストア内の承認されたアプリケーション ファイアウォール規則は無視され、適用されません。
    • 許可 - ローカル ストアでファイアウォール規則を 有効にして 、それらが認識され、適用されるようにします。
  • ローカル ストアからのグローバル ポート Microsoft Defender ファイアウォール規則
    既定値: 未構成
    ファイアウォール CSP: GlobalPortsAllowUserPrefMerge

    • 未構成
    • ブロック - ローカル ストア内のグローバル ポート ファイアウォール規則は無視され、適用されません。
    • 許可 - ローカル ストアでグローバル ポート ファイアウォール規則を適用し、認識して適用します。
  • ローカル ストアからの Microsoft Defender ファイアウォール規則
    既定値: 未構成
    ファイアウォール CSP: AllowLocalPolicyMerge

    • 未構成
    • ブロック - ローカル ストアからのファイアウォール規則は無視され、適用されません。
    • 許可 - ローカル ストアにファイアウォール規則を適用し、認識して適用します。
  • ローカル ストアからの IPsec 規則
    既定値: 未構成
    ファイアウォール CSP: AllowLocalIpsecPolicyMerge

    • 未構成
    • ブロック - スキーマのバージョンと接続セキュリティ規則のバージョンに関係なく、ローカル ストアからの接続セキュリティ規則は無視され、適用されません。
    • 許可 - スキーマまたは接続セキュリティ規則のバージョンに関係なく、ローカル ストアから接続セキュリティ規則を適用します。

ファイアウォール規則

1 つ以上のカスタム ファイアウォール規則を 追加 できます。 詳細については、「Windows デバイスのカスタム ファイアウォール規則を追加する」を参照してください。

カスタム ファイアウォール規則では、次のオプションがサポートされています。

全般設定:

  • 名前
    既定値: 名前なし

    ルールのフレンドリ名を指定します。 この名前は、ルールを識別するのに役立つルールの一覧に表示されます。

  • 説明
    既定値: 説明なし

    ルールの説明を入力します。

  • 方向
    既定値: 未構成
    ファイアウォール CSP: FirewallRules/FirewallRuleName/Direction

    この規則を 受信 トラフィックまたは送信トラフィックに適用するかどうかを指定 します[未構成] に設定すると、ルールは送信トラフィックに自動的に適用されます。

  • 操作
    既定値: 未構成
    ファイアウォール CSP: FirewallRules/FirewallRuleName/ActionFirewallRules/FirewallRuleName/Action/Type

    [許可] または [ブロック] から選択 します[未構成] に設定すると、ルールは既定でトラフィックを許可します。

  • [ネットワークの種類]
    既定値: 0 が選択されています
    ファイアウォール CSP: FirewallRules/FirewallRuleName/Profiles

    このルールが属するネットワークの種類を最大 3 種類選択します。 オプションには、 ドメインプライベートパブリック が含まれます。 ネットワークの種類が選択されていない場合、ルールは 3 つのネットワークの種類すべてに適用されます。

アプリケーションの設定

  • アプリケーション
    既定値: すべて

    アプリまたはプログラムの接続を制御します。 アプリとプログラムは、 ファイル パスパッケージ ファミリ名、または サービス名 で指定できます。

    • パッケージ ファミリ名 – パッケージ ファミリ名を指定します。 パッケージ ファミリ名を見つけるには、PowerShell コマンド Get-AppxPackage を使用します
      ファイアウォール CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • ファイル パス – クライアント デバイス上のアプリへのファイル パス (絶対パスまたは相対パス) を指定する必要があります。 たとえば、C:\Windows\System\Notepad.exeまたは %WINDIR%\Notepad.exe。
      ファイアウォール CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows サービス – トラフィックを送受信するアプリケーションではなく、サービスである場合は、Windows サービスの短い名前を指定します。 サービスの短い名前を見つけるには、PowerShell コマンド Get-Service を使用します。
      ファイアウォール CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • すべて- 構成は必要ありません

IP アドレスの設定

この規則を適用するローカル アドレスとリモート アドレスを指定します。

  • ローカル アドレス
    既定値: 任意のアドレス
    ファイアウォール CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    [任意のアドレス] または [指定したアドレス] を選択します

    指定したアドレス を使用する場合は、ルールでカバーされているローカル アドレスのコンマ区切りリストとして 1 つ以上のアドレスを追加します。 有効なトークンは次のとおりです。

    • 任意 のローカル アドレスにアスタリスク*を使用します。 アスタリスクを使用する場合は、使用する唯一のトークンである必要があります。
    • サブネット マスクまたはネットワーク プレフィックス表記でサブネットを指定します。 サブネット マスクまたはネットワーク プレフィックスが指定されていない場合、サブネット マスクの既定値は 255.255.255.255 です。
    • 有効な IPv6 アドレス。
    • スペースを含まない "開始アドレス - 終了アドレス" 形式の IPv4 アドレス範囲。
    • スペースを含まない"開始アドレス - 終了アドレス" 形式の IPv6 アドレス範囲。
  • リモート アドレス
    既定値: 任意のアドレス
    ファイアウォール CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    [任意のアドレス] または [指定したアドレス] を選択します

    指定したアドレス を使用する場合は、ルールの対象となるリモート アドレスのコンマ区切りリストとして 1 つ以上のアドレスを追加します。 トークンでは大文字と小文字は区別されません。 有効なトークンは次のとおりです。

    • 任意 のリモート アドレスにアスタリスク "*" を使用します。 アスタリスクを使用する場合は、使用する唯一のトークンである必要があります。
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet(Windows バージョン 1809 以降でサポート)
    • RmtIntranet(Windows バージョン 1809 以降でサポート)
    • Internet(Windows バージョン 1809 以降でサポート)
    • Ply2Renders(Windows バージョン 1809 以降でサポート)
    • LocalSubnet は、ローカル サブネット上の任意のローカル アドレスを示します。
    • サブネット マスクまたはネットワーク プレフィックス表記でサブネットを指定します。 サブネット マスクまたはネットワーク プレフィックスが指定されていない場合、サブネット マスクの既定値は 255.255.255.255 です。
    • 有効な IPv6 アドレス。
    • スペースを含まない "開始アドレス - 終了アドレス" 形式の IPv4 アドレス範囲。
    • スペースを含まない"開始アドレス - 終了アドレス" 形式の IPv6 アドレス範囲。

ポートとプロトコルの設定

この規則が適用されるローカル ポートとリモート ポートを指定します。

  • プロトコル
    既定値: 任意
    ファイアウォール CSP: FirewallRules/FirewallRuleName/Protocol
    次から選択し、必要な構成を完了します。
    • すべて – 構成は使用できません。
    • TCP – ローカル ポートとリモート ポートを構成します。 どちらのオプションも、すべてのポートまたは指定されたポートをサポートします。 コンマ区切りリストを使用して、指定したポートを入力します。
    • UDP – ローカル ポートとリモート ポートを構成します。 どちらのオプションも、すべてのポートまたは指定されたポートをサポートします。 コンマ区切りリストを使用して、指定したポートを入力します。
    • カスタム – 0 ~ 255 のカスタム プロトコル 番号を指定します。

高度な構成

  • インターフェイスの種類
    既定値: 0 が選択されています
    ファイアウォール CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    次のオプションから選択します。

    • リモート アクセス
    • ワイヤレス
    • ローカル エリア ネットワーク
  • これらのユーザーからの接続のみを許可する
    既定値: すべてのユーザー (リストが指定されていない場合に既定値が使用されます)
    ファイアウォール CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    このルールに対して承認されたローカル ユーザーの一覧を指定します。 この規則がWindows サービスに適用される場合、承認されたユーザーの一覧を指定することはできません。

Microsoft Defender SmartScreen設定

Microsoft Edgeはデバイスにインストールする必要があります。

  • アプリとファイルの SmartScreen
    既定値: 未構成
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • 未構成 - SmartScreen の使用を無効にします。
    • 有効 - ファイルの実行とアプリの実行に対して SmartScreen Windows有効にします。 SmartScreen は、クラウドベースのフィッシング対策とマルウェア対策コンポーネントです。
  • 未検証ファイルの実行
    既定値: 未構成
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • 未構成 - この機能を無効にし、検証されていないファイルをエンド ユーザーが実行できるようにします。
    • ブロック - Windows SmartScreen で確認されていないファイルをエンド ユーザーが実行できないようにします。

Windows 暗号化

Windows 設定

  • デバイスを暗号化する
    既定値: 未構成
    BitLocker CSP: RequireDeviceEncryption

    • 必須 - デバイス暗号化を有効にするようユーザーに求めます。 Windowsエディションとシステム構成によっては、ユーザーに次のメッセージが表示される場合があります。
      • 別のプロバイダーからの暗号化が有効になっていないことを確認するには。
      • BitLocker ドライブ暗号化をオフにしてから、BitLocker を再度有効にする必要があります。
    • 未構成

    別の暗号化方法がアクティブな間にWindows暗号化が有効になっていると、デバイスが不安定になる可能性があります。

BitLocker の基本設定

基本設定は、すべての種類のデータ ドライブに対するユニバーサル BitLocker 設定です。 これらの設定は、エンド ユーザーがあらゆる種類のデータ ドライブで変更できるドライブ暗号化タスクまたは構成オプションを管理します。

  • その他のディスク暗号化に関する警告
    既定値: 未構成
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • ブロック - 別のディスク暗号化サービスがデバイス上にある場合は、警告プロンプトを無効にします。
    • 未構成 - 他のディスク暗号化を表示するための警告を許可します。

    ヒント

    1809 以降に参加して実行Azure ADデバイスに BitLocker Windows を自動的かつサイレント モードでインストールするには、この設定を [ブロック] に設定する必要があります。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください

    [ブロック] に設定すると、次の設定を構成できます。

    • Azure AD参加中に標準ユーザーが暗号化を有効にすることを許可する
      この設定は、Azure Active Directory Joined (Azure ADJ) デバイスにのみ適用され、前の設定Warning for other disk encryptionによって異なります。
      既定値: 未構成
      BitLocker CSP: AllowStandardUserEncryption

      • 許可 - Standard ユーザー (管理者以外) は、サインイン時に BitLocker 暗号化を有効にすることができます。
      • 構成されていない のは、管理者のみがデバイスで BitLocker 暗号化を有効にできます。

    ヒント

    1809 以降に参加して実行Azure ADデバイスに BitLocker Windows を自動的かつサイレント モードでインストールするには、この設定を [許可] に設定する必要があります。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください

  • 暗号化方法を構成する
    既定値: 未構成
    BitLocker CSP: EncryptionMethodByDriveType

    • 有効化 - オペレーティング システム、データ、リムーバブル ドライブの暗号化アルゴリズムを構成します。
    • 未構成 - BitLocker では、既定の暗号化方法として XTS-AES 128 ビットを使用するか、セットアップ スクリプトで指定された暗号化方法を使用します。

    [有効] に設定すると、次の設定を構成できます。

    • オペレーティング システム ドライブの暗号化
      既定値: XTS-AES 128 ビット

      オペレーティング システム ドライブの暗号化方法を選択します。 XTS-AES アルゴリズムを使用することをお勧めします。

      • AES-CBC 128 ビット
      • AES-CBC 256 ビット
      • XTS-AES 128 ビット
      • XTS-AES 256 ビット
    • 固定データ ドライブの暗号化
      既定値: AES-CBC 128 ビット

      固定 (組み込み) データ ドライブの暗号化方法を選択します。 XTS-AES アルゴリズムを使用することをお勧めします。

      • AES-CBC 128 ビット
      • AES-CBC 256 ビット
      • XTS-AES 128 ビット
      • XTS-AES 256 ビット
    • リムーバブル データ ドライブの暗号化
      既定値: AES-CBC 128 ビット

      リムーバブル データ ドライブの暗号化方法を選択します。 リムーバブル ドライブが Windows 10/11 を実行していないデバイスで使用されている場合は、AES-CBC アルゴリズムを使用することをお勧めします。

      • AES-CBC 128 ビット
      • AES-CBC 256 ビット
      • XTS-AES 128 ビット
      • XTS-AES 256 ビット

BitLocker OS ドライブの設定

これらの設定は、オペレーティング システム データ ドライブに特に適用されます。

  • 起動時の追加認証
    既定値: 未構成
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • 必須 - トラステッド プラットフォーム モジュール (TPM) の使用を含め、コンピューターの起動に関する認証要件を構成します。
    • 未構成 - TPM を使用するデバイスの基本オプションのみを構成します。

    [必須] に設定すると、次の設定を構成できます。

    • 互換性のない TPM チップを備えた BitLocker
      既定値: 未構成

      • ブロック - デバイスに互換性のある TPM チップがない場合は、BitLocker の使用を無効にします。
      • 未構成 - ユーザーは、互換性のある TPM チップなしで BitLocker を使用できます。 BitLocker には、パスワードまたはスタートアップ キーが必要な場合があります。
    • 互換性のある TPM スタートアップ
      既定値: TPM を許可する

      TPM が許可されているか、必須か、許可されないか構成します。

      • TPM を許可する
      • TPM を許可しない
      • TPM を要求する
    • 互換性のある TPM スタートアップ PIN
      既定値: TPM でスタートアップ PIN を許可する

      TPM チップでスタートアップ PIN を許可するか、許可しないか、または使用する必要があります。 スタートアップ PIN を有効にするには、エンド ユーザーとの対話が必要です。

      • TPM でスタートアップ PIN を許可する
      • TPM でスタートアップ PIN を許可しない
      • TPM を使用してスタートアップ PIN を要求する

      ヒント

      1809 以降に参加して実行Azure ADデバイスに BitLocker Windows を自動的かつサイレント モードでインストールするには、この設定を [TPM でスタートアップ PIN を必要とする] に設定しないでください。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください

    • 互換性のある TPM スタートアップ キー
      既定値: TPM でスタートアップ キーを許可する

      TPM チップでスタートアップ キーを許可するか許可しないか、または使用する必要があります。 スタートアップ キーを有効にするには、エンド ユーザーとの対話が必要です。

      • TPM でスタートアップ キーを許可する
      • TPM でスタートアップ キーを許可しない
      • TPM を使用してスタートアップ キーを必要とする

      ヒント

      1809 以降に参加して実行Azure ADデバイスに BitLocker Windows を自動的かつサイレント モードでインストールするには、この設定を [TPM でスタートアップ キーを必要とする] に設定しないでください。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください

    • 互換性のある TPM スタートアップ キーと PIN
      既定値: TPM でスタートアップ キーと PIN を許可する

      TPM チップでスタートアップ キーと PIN を許可するか許可しないか、または使用する必要があります。 スタートアップ キーと PIN を有効にするには、エンド ユーザーとの対話が必要です。

      • TPM でスタートアップ キーと PIN を許可する
      • TPM でスタートアップ キーと PIN を許可しない
      • TPM でスタートアップ キーと PIN を必要とする

      ヒント

      1809 以降に参加して実行Azure ADデバイスに BitLocker Windows を自動的かつサイレント モードでインストールするには、この設定を [スタートアップ キーと TPM を使用して PIN を要求する] に設定しないでください。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください

  • PIN の最小長
    既定値: 未構成
    BitLocker CSP: SystemDrivesMinimumPINLength

    • 有効 TPM スタートアップ PIN の最小長を構成します。
    • 未構成 - ユーザーは、6 ~ 20 桁の任意の長さのスタートアップ PIN を構成できます。

    [有効] に設定すると、次の設定を構成できます。

    • 最小文字数
      既定値: BitLocker CSP が未構成 : SystemDrivesMinimumPINLength

      スタートアップ PIN に必要な文字数を 420- から入力します。

  • OS ドライブの回復
    既定値: 未構成
    BitLocker CSP: SystemDrivesRecoveryOptions

    • 有効 - 必要なスタートアップ情報が利用できない場合に BitLocker で保護されたオペレーティング システム ドライブを回復する方法を制御します。
    • 未構成 - 既定の回復オプションは、DRA を含めてサポートされています。 エンド ユーザーは、回復オプションを指定できます。 回復情報は AD DS にバックアップされません。

    [有効] に設定すると、次の設定を構成できます。

    • 証明書ベースのデータ復旧エージェント
      既定値: 未構成

      • ブロック - BitLocker で保護された OS ドライブでデータ復旧エージェントを使用できないようにします。
      • 未構成 - BitLocker で保護されたオペレーティング システム ドライブでデータ復旧エージェントを使用できるようにします。
    • 回復パスワードのユーザー作成
      既定値: 48 桁の回復パスワードを許可する

      ユーザーが 48 桁の回復パスワードを生成できるかどうかを選択します。

      • 48 桁の回復パスワードを許可する
      • 48 桁の回復パスワードを許可しない
      • 48 桁の回復パスワードが必要
    • 回復キーのユーザー作成
      既定値: 256 ビット回復キーを許可する

      ユーザーが 256 ビットの回復キーを生成できるかどうかを選択します。

      • 256 ビット回復キーを許可する
      • 256 ビット回復キーを許可しない
      • 256 ビット回復キーが必要
    • BitLocker セットアップ ウィザードの回復オプション
      既定値: 未構成

      • ブロック - ユーザーは回復オプションを表示および変更できません。 に設定する場合
      • 未構成 - ユーザーは、BitLocker を有効にすると、回復オプションを表示および変更できます。
    • BitLocker 回復情報をAzure Active Directoryに保存する
      既定値: 未構成

      • 有効 - BitLocker の回復情報をAzure Active Directory (Azure AD) に保存します。
      • 未構成 - BitLocker の回復情報はAzure ADに格納されません。
    • Azure Active Directoryに格納されている BitLocker 回復情報
      既定値: バックアップ回復パスワードとキー パッケージ

      Azure ADに格納される BitLocker 回復情報の一部を構成します。 次から選択します。

      • バックアップ回復パスワードとキー パッケージ
      • バックアップ回復パスワードのみ
    • クライアント主導の復旧パスワードローテーション
      既定値: Azure AD参加しているデバイスでキーローテーションが有効になっている
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      この設定は、OS ドライブの復旧後 (bootmgr または WinRE を使用して) クライアントドリブンの復旧パスワードローテーションを開始します。

      • 未構成
      • キーローテーションが無効になっている
      • Azure AD結合された deice に対して有効なキーローテーション
      • Azure ADおよびハイブリッド参加済みデバイスで有効になっているキーローテーション
    • BitLocker を有効にする前に、Azure Active Directoryに回復情報を保存する
      既定値: 未構成

      コンピューターが BitLocker 回復情報をAzure Active Directoryに正常にバックアップしない限り、ユーザーが BitLocker を有効にできないようにします。

      • 必須 - BitLocker 回復情報が正常にAzure ADに保存されない限り、ユーザーが BitLocker を有効にしないようにします。
      • 未構成 - 回復情報がAzure ADに正常に保存されていない場合でも、ユーザーは BitLocker を有効にすることができます。
  • 起動前の回復メッセージと URL
    既定値: 未構成
    BitLocker CSP: SystemDrivesRecoveryMessage

    • 有効 - 起動前キーの回復画面に表示されるメッセージと URL を構成します。
    • 未構成 - この機能を無効にします。

    [有効] に設定すると、次の設定を構成できます。

    • 起動前の回復メッセージ
      既定値: 既定の回復メッセージと URL を使用する

      起動前の回復メッセージをユーザーに表示する方法を構成します。 次から選択します。

      • 既定の回復メッセージと URL を使用する
      • 空の回復メッセージと URL を使用する
      • カスタム回復メッセージを使用する
      • カスタム復旧 URL を使用する

BitLocker 固定データ ドライブ設定

これらの設定は、固定データ ドライブに特に適用されます。

  • BitLocker で保護されていない固定データ ドライブへの書き込みアクセス
    既定値: 未構成
    BitLocker CSP: FixedDrivesRequireEncryption

    • ブロック - BitLocker で保護されていないデータ ドライブへの読み取り専用アクセス権を付与します。
    • 未構成 - 既定では、暗号化されていないデータ ドライブへの読み取りおよび書き込みアクセス権。
  • ドライブの復旧を修正しました
    既定値: 未構成
    BitLocker CSP: FixedDrivesRecoveryOptions

    • 有効 - 必要なスタートアップ情報が利用できない場合に BitLocker で保護された固定ドライブを回復する方法を制御します。
    • 未構成 - この機能を無効にします。

    [有効] に設定すると、次の設定を構成できます。

    • データ復旧エージェント
      既定値: 未構成

      • ブロック - BitLocker で保護された固定ドライブ ポリシー エディターでデータ回復エージェントを使用できないようにします。
      • 未構成 - BitLocker で保護された固定ドライブでデータ復旧エージェントを使用できるようにします。
    • 回復パスワードのユーザー作成
      既定値: 48 桁の回復パスワードを許可する

      ユーザーが 48 桁の回復パスワードを生成できるかどうかを選択します。

      • 48 桁の回復パスワードを許可する
      • 48 桁の回復パスワードを許可しない
      • 48 桁の回復パスワードが必要
    • 回復キーのユーザー作成
      既定値: 256 ビット回復キーを許可する

      ユーザーが 256 ビットの回復キーを生成できるかどうかを選択します。

      • 256 ビット回復キーを許可する
      • 256 ビット回復キーを許可しない
      • 256 ビット回復キーが必要
    • BitLocker セットアップ ウィザードの回復オプション
      既定値: 未構成

      • ブロック - ユーザーは回復オプションを表示および変更できません。 に設定する場合
      • 未構成 - ユーザーは、BitLocker を有効にすると、回復オプションを表示および変更できます。
    • BitLocker 回復情報をAzure Active Directoryに保存する
      既定値: 未構成

      • 有効 - BitLocker の回復情報をAzure Active Directory (Azure AD) に保存します。
      • 未構成 - BitLocker の回復情報はAzure ADに格納されません。
    • Azure Active Directoryに格納されている BitLocker 回復情報
      既定値: バックアップ回復パスワードとキー パッケージ

      Azure ADに格納される BitLocker 回復情報の一部を構成します。 次から選択します。

      • バックアップ回復パスワードとキー パッケージ
      • バックアップ回復パスワードのみ
    • BitLocker を有効にする前に、Azure Active Directoryに回復情報を保存する
      既定値: 未構成

      コンピューターが BitLocker 回復情報をAzure Active Directoryに正常にバックアップしない限り、ユーザーが BitLocker を有効にできないようにします。

      • 必須 - BitLocker 回復情報が正常にAzure ADに保存されない限り、ユーザーが BitLocker を有効にしないようにします。
      • 未構成 - 回復情報がAzure ADに正常に保存されていない場合でも、ユーザーは BitLocker を有効にすることができます。

BitLocker リムーバブル データ ドライブの設定

これらの設定は、リムーバブル データ ドライブに特に適用されます。

  • BitLocker で保護されていないリムーバブル データ ドライブへの書き込みアクセス
    既定値: 未構成
    BitLocker CSP: RemovableDrivesRequireEncryption

    • ブロック - BitLocker で保護されていないデータ ドライブへの読み取り専用アクセス権を付与します。
    • 未構成 - 既定では、暗号化されていないデータ ドライブへの読み取りおよび書き込みアクセス権。

    [有効] に設定すると、次の設定を構成できます。

    • 別の組織で構成されているデバイスへの書き込みアクセス
      既定値: 未構成

      • ブロック - 別の組織で構成されているデバイスへの書き込みアクセスをブロックします。
      • 未構成 - 書き込みアクセスを拒否します。

Microsoft Defender Exploit Guard

エクスプロイト保護を使用して、従業員が使用するアプリの攻撃面を管理し、軽減します。

攻撃面の縮小

攻撃表面の縮小ルールは、マルウェアが悪意のあるコードでコンピューターに感染するためによく使用する動作を防ぐのに役立ちます。

攻撃面の縮小ルール

詳細については、Microsoft Defender for Endpoint のドキュメントの「攻撃面の縮小ルール」を参照してください。

Intuneの攻撃面縮小ルールのマージ動作:

攻撃表面の縮小ルールは、さまざまなポリシーの設定の統合をサポートし、デバイスごとにポリシーのスーパーセットを作成します。 競合していない設定のみがマージされますが、競合している設定はルールのスーパーセットに追加されません。 以前は、2 つのポリシーに 1 つの設定の競合が含まれていた場合、両方のポリシーに競合のフラグが設定され、どちらのプロファイルの設定も展開されませんでした。

攻撃対象の縮小ルールのマージ動作は次のとおりです。

  • 次のプロファイルの攻撃表面の縮小ルールは、ルールが適用されるデバイスごとに評価されます。
    • デバイス>構成ポリシー>エンドポイント保護プロファイル> Microsoft Defender Exploit Guard >攻撃面の縮小
    • エンドポイント セキュリティ>攻撃面の縮小ポリシー> 攻撃面の縮小ルール
    • エンドポイント セキュリティ> セキュリティ ベースライン> Microsoft Defender for Endpointベースライン>攻撃面の縮小規則
  • 競合のない設定は、デバイスのポリシーのスーパーセットに追加されます。
  • 2 つ以上のポリシーに競合する設定がある場合、競合する設定は結合されたポリシーに追加されません。 競合しない設定は、デバイスに適用されるスーパーセット ポリシーに追加されます。
  • 競合する設定の構成のみが保持されます。

このプロファイルの設定:

Office マクロの脅威を防ぐルール

Office アプリが次のアクションを実行できないようにブロックします。

スクリプトの脅威を防止するためのルール

スクリプトの脅威を防ぐには、次をブロックします。

電子メールの脅威を防ぐためのルール

電子メールの脅威を防ぐために、次をブロックします。

  • 電子メール (webmail/メール クライアント) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行 (例外なし)
    既定値: 未構成
    ルール: 電子メール クライアントと webmail から実行可能コンテンツをブロックする

    • 未構成
    • ブロック - 電子メール (webmail/mail-client) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行をブロックします。
    • 監査のみ

ランサムウェアから保護するためのルール

攻撃面の縮小の例外

  • 攻撃対象の縮小ルールから除外するファイルとフォルダー
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • 攻撃対象の縮小ルールから除外するファイルとフォルダーを含む.csv ファイルを インポート します。
    • ローカル ファイルまたはフォルダーを手動で 追加 します。

重要

LOB Win32 アプリの適切なインストールと実行を許可するには、マルウェア対策設定で次のディレクトリをスキャン対象から除外する必要があります。
X64 クライアント マシンの場合:
C:\Program Files (x86)\Microsoft Intune Management 拡張機能\Content
C:\windows\IMECache

X86 クライアント マシンの場合:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

詳細については、「現在サポートされているバージョンのWindowsを実行しているEnterprise コンピューターのウイルス スキャンに関する推奨事項」を参照してください。

コントロールされたフォルダー アクセス

ランサムウェアなどの悪意のあるアプリや脅威から 貴重なデータを保護 するのに役立ちます。

  • フォルダー保護
    既定値: 未構成
    Defender CSP: EnableControlledFolderAccess

    不正なアプリによる未承認の変更からファイルとフォルダーを保護します。

    • 未構成
    • Enable
    • 監査のみ
    • ディスクの変更をブロックする
    • ディスクの変更を監査する

    [未構成] 以外の構成を選択すると、次のように構成できます。

    • 保護されたフォルダーにアクセスできるアプリの一覧
      Defender CSP: ControlledFolderAccessAllowedApplications

      • アプリの一覧を含む.csv ファイルを インポート します。
      • この一覧にアプリを手動で 追加 します。
    • 保護する必要があるその他のフォルダーの一覧
      Defender CSP: ControlledFolderAccessProtectedFolders

      • フォルダー一覧を含む.csv ファイルを インポート します。
      • この一覧にフォルダーを手動で 追加 します。

ネットワーク フィルター処理

評判の低い任意のアプリから IP アドレスまたはドメインへの送信接続をブロックします。 ネットワーク フィルター処理は、監査モードとブロック モードの両方でサポートされています。

  • ネットワーク保護
    既定値: 未構成
    Defender CSP: EnableNetworkProtection

    この設定の目的は、フィッシング詐欺、悪用ホスティング サイト、インターネット上の悪意のあるコンテンツにアクセスできるアプリからエンド ユーザーを保護することです。 また、サード パーティのブラウザーが危険なサイトに接続するのを防ぎます。

    • 未構成 - この機能を無効にします。 ユーザーとアプリは、危険なドメインへの接続をブロックされません。 管理者は、Microsoft Defender セキュリティ センターでこのアクティビティを表示できません。
    • 有効 - ネットワーク保護を有効にし、ユーザーとアプリが危険なドメインに接続できないようにします。 管理者は、Microsoft Defender セキュリティ センターでこのアクティビティを確認できます。
    • 監査のみ: ユーザーとアプリは、危険なドメインへの接続をブロックされません。 管理者は、Microsoft Defender セキュリティ センターでこのアクティビティを確認できます。

エクスプロイト保護

  • アップロード XML
    既定値: 未構成

    Exploit Protection を使用して デバイスを悪用から保護するには、必要なシステムとアプリケーションの軽減設定を含む XML ファイルを作成します。 XML ファイルを作成するには、次の 2 つの方法があります。

    • PowerShell - Get-ProcessMitigation、Set-ProcessMitigationConvertTo-ProcessMitigationPolicy PowerShell コマンドレットの 1 つ以上を使用します。 コマンドレットは軽減策の設定を構成し、それらの XML 表現をエクスポートします。

    • MICROSOFT DEFENDER セキュリティ センター UI - Microsoft Defender セキュリティ センターで 、App &ブラウザー コントロール を選択し、結果の画面の下部までスクロールして Exploit Protection を見つけます。 まず、[システム設定] タブと [プログラム設定] タブを使用して軽減策の設定を構成します。 次に、画面の下部にある [設定のエクスポート] リンクを見つけて、それらの XML 表現をエクスポートします。

  • エクスプロイト保護インターフェイスのユーザー編集
    既定値: 未構成
    ExploitGuard CSP: ExploitProtectionSettings

    • ブロック - メモリ、制御フロー、ポリシーの制限を構成できる XML ファイルをアップロードします。 XML ファイルの設定を使用して、アプリケーションの悪用をブロックできます。
    • 未構成 - カスタム構成は使用されません。

Microsoft Defender アプリケーション コントロール

監査対象のアプリ、または Microsoft Defender アプリケーション コントロールによって実行される信頼できるアプリを選択します。 Windows コンポーネントと、Windows ストアのすべてのアプリは、実行に自動的に信頼されます。

  • アプリケーション制御コード整合性ポリシー
    既定値: 未構成
    CSP: AppLocker CSP

    • 適用 - ユーザーのデバイスのアプリケーション制御コード整合性ポリシーを選択します。

      デバイスで有効にした後は、モードを [適用] から [ 監査のみ] に変更することによってのみ、アプリケーション制御を無効にできます。 モードを [適用] から [未構成] に変更すると、割り当てられたデバイスにアプリケーション制御が引き続き適用されます。

    • 未構成 - アプリケーション制御はデバイスに追加されません。 ただし、以前に追加された設定は、割り当てられたデバイスに引き続き適用されます。

    • 監査のみ - アプリケーションはブロックされません。 すべてのイベントは、ローカル クライアントのログに記録されます。

      注意

      この設定を使用する場合、AppLocker CSP の動作により、現在、ポリシーの展開時にエンド ユーザーにマシンの再起動を求めるメッセージが表示されます。

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard は、資格情報盗難攻撃から保護します。 特権を持つシステム ソフトウェアのみがシークレットにアクセスできるように、シークレットを分離します。

  • Credential Guard
    既定値: 無効
    DeviceGuard CSP

    • 無効 - UEFI ロックなしで有効 にしたオプションで以前に有効にされていた場合は、リモートで Credential Guard をオフにします。

    • UEFI ロックで有効にする - レジストリ キーまたはグループ ポリシーを使用して、Credential Guard をリモートで無効にすることはできません。

      注意

      この設定を使用し、後で Credential Guard を無効にする場合は、グループ ポリシーを 無効 に設定する必要があります。 また、各コンピューターから UEFI 構成情報を物理的に消去します。 UEFI 構成が保持されている限り、Credential Guard が有効になります。

    • UEFI ロックなしで有効にする - グループ ポリシーを使用して、Credential Guard をリモートで無効にすることができます。 この設定を使用するデバイスは、バージョン 1511 以降またはWindows 11 Windows 10実行されている必要があります。

    Credential Guard を有効にすると 、次の必要な機能も有効になります。

    • 仮想化ベースのセキュリティ (VBS)
      次の再起動中にオンになります。 仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用して、セキュリティ サービスのサポートを提供します。
    • ディレクトリ メモリ アクセスを使用したセキュア ブート
      セキュア ブートとダイレクト メモリ アクセス (DMA) 保護を使用して VBS をオンにします。 DMA 保護にはハードウェアのサポートが必要であり、正しく構成されたデバイスでのみ有効になります。

Microsoft Defender セキュリティ センター

Microsoft Defender セキュリティ センターは、個々の機能とは別のアプリまたはプロセスとして動作します。 アクション センターを通じて通知が表示されます。 これは、コレクターまたは 1 つの場所として機能し、状態を確認し、各機能に対していくつかの構成を実行します。 詳細については、 Microsoft Defender のドキュメントを参照してください。

アプリと通知をMicrosoft Defender セキュリティ センターする

Microsoft Defender セキュリティ センター アプリのさまざまな領域へのエンド ユーザー アクセスをブロックします。 セクションを非表示にすると、関連する通知もブロックされます。

  • ウイルスと脅威の保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    エンド ユーザーがMicrosoft Defender セキュリティ センターの [ウイルスと脅威の保護] 領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ウイルスと脅威の保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • ランサムウェアの保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    エンド ユーザーがMicrosoft Defender セキュリティ センターでランサムウェア保護領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ランサムウェア保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • アカウントの保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    エンド ユーザーがMicrosoft Defender セキュリティ センターの [アカウント保護] 領域を表示できるかどうかを構成します。 このセクションを非表示にすると、アカウント保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • ファイアウォールとネットワーク保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    エンド ユーザーが Microsoft Defender セキュリティ センターでファイアウォールとネットワーク保護領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ファイアウォールとネットワーク保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • アプリとブラウザーのコントロール
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    エンド ユーザーが Microsoft Defender セキュリティ センターでアプリとブラウザーの制御領域を表示できるかどうかを構成します。 このセクションを非表示にすると、アプリとブラウザーコントロールに関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • ハードウェア保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    エンド ユーザーがMicrosoft Defender セキュリティ センターのハードウェア保護領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ハードウェア保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • デバイスのパフォーマンスと正常性
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    エンド ユーザーが Microsoft Defender セキュリティ センターでデバイスのパフォーマンスと正常性領域を表示できるかどうかを構成します。 このセクションを非表示にすると、デバイスのパフォーマンスと正常性に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • ファミリ オプション
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    エンド ユーザーが Microsoft Defender セキュリティ センターの [ファミリ オプション] 領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ファミリ オプションに関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • アプリの表示領域からの通知
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    エンド ユーザーに表示する通知を選択します。 重要でない通知には、スキャンが完了したときの通知など、Microsoft Defender ウイルス対策 アクティビティの概要が含まれます。 その他のすべての通知は重要と見なされます。

    • 未構成
    • 重要でない通知をブロックする
    • すべての通知をブロックする
  • システム トレイの [センター] アイコンをWindows セキュリティする
    既定値: 未構成

    通知領域コントロールの表示を構成します。 この設定を有効にするには、ユーザーがサインアウトしてサインインするか、コンピューターを再起動する必要があります。

    • 未構成
    • Hide
  • TPM のクリア ボタン
    既定値: 未構成

    [TPM のクリア] ボタンの表示を構成します。

    • 未構成
    • Disable
  • TPM ファームウェア更新プログラムの警告
    既定値: 未構成

    脆弱なファームウェアが検出されたときに、TPM ファームウェアの更新プログラムの表示を構成します。

    • 未構成
    • Hide
  • 改ざん防止
    既定値: 未構成

    デバイスで改ざん防止をオンまたはオフにします。 改ざん防止を使用するには、Microsoft Defender for EndpointとIntuneを統合し、E5 ライセンスをEnterprise Mobility + Securityする必要があります。

    • 未構成 - デバイス設定は変更されません。
    • 有効 - 改ざん防止が有効になり、デバイスに制限が適用されます。
    • 無効 - 改ざん防止が無効になり、制限が適用されません。

IT の連絡先情報

Microsoft Defender セキュリティ センター アプリとアプリ通知に表示される IT 連絡先情報を指定します。

[アプリと通知に表示]、[アプリ でのみ表示]、[通知でのみ表示]、または [表示しない] の順に選択できます。 IT 組織名 と、次のいずれかの連絡先オプションを入力します。

  • IT 連絡先情報
    既定値: 表示しない
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    エンド ユーザーに IT 連絡先情報を表示する場所を構成します。

    • アプリと通知に表示する
    • アプリでのみ表示する
    • 通知でのみ表示する
    • 表示しない

    表示するように構成されている場合は、次の設定を構成できます。

    • IT 組織名
      既定値: 未構成
      WindowsDefenderSecurityCenter CSP: CompanyName

    • IT 部門の電話番号またはSkype ID
      既定値: 未構成
      WindowsDefenderSecurityCenter CSP: 電話

    • IT 部門の電子メール アドレス
      既定値: 未構成
      WindowsDefenderSecurityCenter CSP: 電子メール

    • IT サポート Web サイトの URL
      既定値: 未構成
      WindowsDefenderSecurityCenter CSP: URL

ローカル デバイス のセキュリティ オプション

これらのオプションを使用して、Windows 10/11 デバイスでローカル セキュリティ設定を構成します。

アカウント

  • 新しい Microsoft アカウントを追加する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

    • ブロック ユーザーが新しい Microsoft アカウントをデバイスに追加できないようにします。
    • 未構成 - ユーザーはデバイスで Microsoft アカウントを使用できます。
  • パスワードなしでリモート ログオンする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • ブロック - デバイスのキーボードを使用してサインインするには、空のパスワードを持つローカル アカウントのみを許可します。
    • 未構成 - 空のパスワードを持つローカル アカウントが物理デバイス以外の場所からサインインすることを許可します。

管理者

  • ローカル管理者アカウント
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • ブロック ローカル管理者アカウントの使用を禁止します。
    • 未構成
  • 管理者アカウントの名前を変更する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

    アカウント "Administrator" のセキュリティ識別子 (SID) に関連付ける別のアカウント名を定義します。

Guest

  • ゲスト アカウント
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • ブロック - ゲスト アカウントの使用を禁止します。
    • 未構成
  • ゲスト アカウントの名前を変更する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    アカウント "Guest" のセキュリティ識別子 (SID) に関連付ける別のアカウント名を定義します。

デバイス

  • ログオンなしでデバイスをドッキング解除する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • ブロック - ユーザーはデバイスにサインインし、デバイスをドッキング解除するアクセス許可を受け取る必要があります。
    • 未構成 - ユーザーはドッキングされたポータブル デバイスの物理的な取り出しボタンを押して、デバイスを安全にドッキング解除できます。
  • 共有プリンターのプリンター ドライバーをインストールする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • 有効 - すべてのユーザーは、共有プリンターへの接続の一環としてプリンター ドライバーをインストールできます。
    • 未構成 - 管理者のみが、共有プリンターへの接続の一環としてプリンター ドライバーをインストールできます。
  • ローカル アクティブ ユーザーへの CD-ROM アクセスを制限する
    既定値: 未構成
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • 有効 - 対話型ログオン ユーザーのみが CD-ROM メディアを使用できます。 このポリシーが有効になっていて、誰も対話的にログオンしていない場合、CD-ROM はネットワーク経由でアクセスされます。
    • 未構成 - だれでも CD-ROM にアクセスできます。
  • リムーバブル メディアの書式設定と取り出し
    既定値: 管理者
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    リムーバブル NTFS メディアの書式設定と取り出しを許可するユーザーを定義します。

    • 未構成
    • Administrators
    • 管理者と Power Users
    • 管理者と対話型ユーザー

対話型ログオン

  • スクリーン セーバーがアクティブになるまでロック画面の非アクティブ時間 (分)
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    スクリーンセーバーがアクティブになるまで非アクティブな最大分数を入力します。 (0 - 99999)

  • ログオンするには Ctrl + Alt + DEL が必要
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • 有効 - Windowsにログオンする前に、ユーザーに Ctrl + Alt + DEL キーを押す必要があります。
    • 未構成 - ユーザーがサインインするには、Ctrl + Alt + DEL キーを押す必要はありません。
  • スマート カードの削除動作
    既定値: ワークステーションをロックする
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    ログオンしているユーザーのスマート カードがスマート カード リーダーから削除された場合の動作を決定します。 次のようなオプションがあります。

    • ワークステーションのロック - スマート カードが削除されると、ワークステーションはロックされます。 このオプションを使用すると、ユーザーは領域を離れ、スマート カードを持ち出し、保護されたセッションを維持することができます。
    • アクションなし
    • 強制ログオフ - スマート カードが削除されると、ユーザーは自動的にログオフされます。
    • リモート デスクトップ サービス セッションの場合は切断 する - スマート カードを削除すると、ユーザーをログオフせずにセッションが切断されます。 このオプションを使用すると、ユーザーはスマート カードを挿入し、後で、または別のスマート カード リーダー搭載のコンピューターで、もう一度サインインしなくてもセッションを再開できます。 セッションがローカルの場合、このポリシーはロック ワークステーションと同じように機能します。

ディスプレイ

  • ロック画面のユーザー情報
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    セッションがロックされたときに表示されるユーザー情報を構成します。 構成されていない場合は、ユーザーの表示名、ドメイン、ユーザー名が表示されます。

    • 未構成
    • ユーザーの表示名、ドメイン、ユーザー名
    • ユーザー表示名のみ
    • ユーザー情報を表示しない
  • 最後にサインインしたユーザーを非表示にする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • 有効 - ユーザー名を非表示にします。
    • 未構成 - 最後のユーザー名を表示します。
  • サインイン時にユーザー名を 非表示にする 既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • 有効 - ユーザー名を非表示にします。
    • 未構成 - 最後のユーザー名を表示します。
  • ログオン メッセージのタイトル
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    サインインするユーザーのメッセージ タイトルを設定します。

  • ログオン メッセージ テキスト
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    サインインするユーザーのメッセージ テキストを設定します。

ネットワーク アクセスとセキュリティ

  • 名前付きパイプと共有への匿名アクセス
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • 未構成 - 共有および名前付きパイプの設定への匿名アクセスを制限します。 匿名でアクセスできる設定に適用されます。
    • ブロック - このポリシーを無効にして、匿名アクセスを使用できるようにします。
  • SAM アカウントの匿名列挙
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • 未構成 - 匿名ユーザーは SAM アカウントを列挙できます。
    • ブロック - SAM アカウントの匿名列挙を禁止します。
  • SAM アカウントと共有の匿名列挙体
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • 未構成 - 匿名ユーザーは、ドメイン アカウントとネットワーク共有の名前を列挙できます。
    • ブロック - SAM アカウントと共有の匿名列挙を禁止します。
  • パスワード変更に格納されている LAN Manager ハッシュ値
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    次回パスワードが変更されるときに、パスワードのハッシュ値が格納されているかどうかを確認します。

    • 未構成 - ハッシュ値は格納されません
    • ブロック - LAN マネージャー (LM) は、新しいパスワードのハッシュ値を格納します。
  • PKU2U 認証要求
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • 未構成- PU2U 要求を許可します。
    • ブロック - デバイスへの PKU2U 認証要求をブロックします。
  • SAM へのリモート RPC 接続を制限する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • 未構成 - 既定のセキュリティ記述子を使用します。これにより、ユーザーとグループが SAM に対してリモート RPC 呼び出しを行うことができます。

    • 許可 - ユーザー アカウントとパスワードを格納する Security Accounts Manager (SAM) へのリモート RPC 呼び出しを行うユーザーとグループを拒否します。 Allow では、既定のセキュリティ記述子定義言語 (SDDL) 文字列を変更して、これらのリモート呼び出しを行うユーザーとグループを明示的に許可または拒否することもできます。

      • セキュリティ記述子
        既定値: 未構成
  • NTLM SSP ベースのクライアントの最小セッション セキュリティ
    既定値: なし
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    このセキュリティ設定により、サーバーは 128 ビット暗号化または NTLMv2 セッション セキュリティのネゴシエーションを要求できます。

    • なし
    • NTLMv2 セッション セキュリティを要求する
    • 128 ビット暗号化が必要
    • NTLMv2 および 128 ビット暗号化
  • NTLM SSP ベースのサーバーの最小セッション セキュリティ
    既定値: なし
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    このセキュリティ設定は、ネットワーク ログオンに使用されるチャレンジ/応答認証プロトコルを決定します。

    • なし
    • NTLMv2 セッション セキュリティを要求する
    • 128 ビット暗号化が必要
    • NTLMv2 および 128 ビット暗号化
  • LAN Manager 認証レベル
    既定値: LM と NTLM
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM と NTLM
    • LM、NTLM、NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 ではなく LM
    • NTLMv2 と LM または NTLM ではない
  • 安全でないゲスト ログオン
    既定値: 未構成
    LanmanWorkstation CSP: LanmanWorkstation

    この設定を有効にすると、SMB クライアントは安全でないゲスト ログオンを拒否します。

    • 未構成
    • ブロック - SMB クライアントは、安全でないゲスト ログオンを拒否します。

回復コンソールとシャットダウン

  • シャットダウン時に仮想メモリ のページファイルをクリアする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • 有効 - デバイスの電源が切れたときに仮想メモリ のページファイルをクリアします。
    • 未構成 - 仮想メモリをクリアしません。
  • ログオンせずにシャットダウンする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • [ブロック] - Windowsサインイン画面でシャットダウン オプションを非表示にします。 ユーザーはデバイスにサインインし、シャットダウンする必要があります。
    • 未構成 - ユーザーがWindowsサインイン画面からデバイスをシャットダウンできるようにします。

ユーザー アカウント制御

  • セキュリティで保護された場所のない UIA 整合性
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • ブロック - ファイル システム内のセキュリティで保護された場所にあるアプリは、UIAccess 整合性でのみ実行されます。
    • 未構成 - アプリがファイル システム内の安全な場所にない場合でも、アプリを UIAccess 整合性で実行できるようにします。
  • ファイルとレジストリの書き込みエラーをユーザーごとの場所に仮想化する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • 有効 - 保護された場所にデータを書き込むアプリケーションが失敗します。
    • 未構成 - アプリケーション書き込みエラーは、実行時にファイル システムとレジストリの定義済みユーザーの場所にリダイレクトされます。
  • 署名および検証された実行可能ファイルのみを昇格させる
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • 有効 - 実行可能ファイルを実行する前に、PKI 証明書パスの検証を適用します。
    • 未構成 - 実行可能ファイルを実行する前に PKI 証明書パスの検証を適用しないでください。

UIA 昇格プロンプトの動作

  • 管理者の昇格プロンプト
    既定値: Windows 以外のバイナリに対する同意を求めるプロンプト
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    管理者承認モードで管理者に対する昇格プロンプトの動作を定義します。

    • 未構成
    • プロンプトを表示せずに昇格する
    • セキュリティで保護されたデスクトップで資格情報の入力を求める
    • 資格情報の入力を求める
    • 同意を求めるプロンプト
    • Windows以外のバイナリの同意を求める
  • 標準ユーザーの昇格プロンプト
    既定値: 資格情報の入力を求める
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    標準ユーザーの昇格プロンプトの動作を定義します。

    • 未構成
    • 昇格要求を自動的に拒否する
    • セキュリティで保護されたデスクトップで資格情報の入力を求める
    • 資格情報の入力を求める
  • 昇格のプロンプトをユーザーの対話型デスクトップにルーティングする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • 有効 - セキュリティで保護されたデスクトップではなく対話型ユーザーのデスクトップに移動するすべての昇格要求。 管理者と標準ユーザーに対するプロンプト動作ポリシー設定が使用されます。
    • 未構成 - 管理者と標準ユーザーのプロンプト動作ポリシー設定に関係なく、すべての昇格要求をセキュリティで保護されたデスクトップに強制的に移動します。
  • アプリのインストールに対する管理者特権のプロンプト
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • 有効 - アプリケーション インストール パッケージが検出されないか、昇格を求めるメッセージが表示されません。
    • 未構成 - アプリケーション インストール パッケージに管理者特権が必要な場合、管理者ユーザー名とパスワードの入力を求められます。
  • セキュリティで保護されたデスクトップを使用しない UIA 昇格プロンプト
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • 有効 - セキュリティで保護されたデスクトップを使用せずに、UIAccess アプリが昇格を求めることを許可します。

  • 未構成 - 昇格のプロンプトでは、セキュリティで保護されたデスクトップが使用されます。

管理者承認モード

  • 組み込み管理者の管理者承認モード
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • 有効 - 組み込みの管理者アカウントで管理者承認モードを使用できるようにします。 特権の昇格を必要とする操作は、ユーザーに操作の承認を求めます。
    • 未構成 - 完全な管理者特権を持つすべてのアプリを実行します。
  • 管理者承認モードですべての管理者を実行する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • 有効 - 管理者承認モードを有効にします。
    • 未構成 - 管理者承認モードと関連するすべての UAC ポリシー設定を無効にします。

Microsoft Network Client

  • 通信にデジタル署名する (サーバーが同意した場合)
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    SMB クライアントが SMB パケット署名をネゴシエートするかどうかを決定します。

    • ブロック - SMB クライアントが SMB パケット署名をネゴシエートすることはありません。
    • 未構成 - Microsoft ネットワーク クライアントは、セッションのセットアップ時に SMB パケット署名を実行するようにサーバーに要求します。 サーバーでパケット署名が有効になっている場合は、パケット署名がネゴシエートされます。
  • 暗号化されていないパスワードをサード パーティの SMB サーバーに送信する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • ブロック - サーバー メッセージ ブロック (SMB) リダイレクターは、認証時にパスワード暗号化をサポートしていない Microsoft 以外の SMB サーバーにプレーンテキスト パスワードを送信できます。
    • 未構成 - プレーンテキスト パスワードの送信をブロックします。 パスワードは暗号化されます。
  • 通信にデジタル署名する (常に)
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • 有効 - Microsoft ネットワーク クライアントは、そのサーバーが SMB パケット署名に同意しない限り、Microsoft ネットワーク サーバーと通信しません。
    • 未構成 - SMB パケット署名は、クライアントとサーバーの間でネゴシエートされます。

Microsoft Network Server

  • 通信にデジタル署名する (クライアントが同意した場合)
    既定値: 未構成
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • 有効 - Microsoft ネットワーク サーバーは、クライアントから要求された SMB パケット署名をネゴシエートします。 つまり、クライアントでパケット署名が有効になっている場合、パケット署名はネゴシエートされます。
    • 未構成 - SMB クライアントは SMB パケット署名をネゴシエートしません。
  • 通信にデジタル署名する (常に)
    既定値: 未構成
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • 有効 - Microsoft ネットワーク サーバーは、そのクライアントが SMB パケット署名に同意しない限り、Microsoft ネットワーク クライアントと通信しません。
    • 未構成 - SMB パケット署名は、クライアントとサーバーの間でネゴシエートされます。

Xbox サービス

次の手順

プロファイルは作成されますが、まだ何も行っていません。 次 に、プロファイルを割り当てその状態を監視します

macOS デバイスでエンドポイント保護設定を構成します。