Intuneのエンドポイント セキュリティに対する攻撃対象の縮小ポリシー設定

  • [アーティクル]

エンドポイント セキュリティ ポリシーの一部として、Intuneのエンドポイント セキュリティ ノードで 、攻撃面の縮小 ポリシーのプロファイルで構成できる設定を表示 します

適用対象:

  • Windows 11
  • Windows 10

サポートされているプラットフォームとプロファイル:

  • Windows 10以降 - このプラットフォームは、Intuneで管理されているデバイスに展開するポリシーに使用します。

    • プロファイル: アプリとブラウザーの分離
    • プロファイル: アプリケーション制御
    • プロファイル: 攻撃面の縮小ルール
    • プロファイル: デバイス制御
    • プロファイル: エクスプロイト保護
    • プロファイル: Web 保護 (Microsoft Edge 従来版)

  • Windows 10 以降 (ConfigMgr): Configuration Managerによって管理されるデバイスに展開するポリシーには、このプラットフォームを使用します。

    • プロファイル: Exploit Protection(ConfigMgr)(プレビュー)
    • プロファイル: Web Protection (ConfigMgr)(プレビュー)

攻撃面の縮小 (MDM)

アプリとブラウザーの分離プロファイル

アプリとブラウザーの分離

  • Application Guard を有効にする
    CSP: AllowWindowsDefenderApplicationGuard

    • 未構成 (既定) - Microsoft Edge環境または分離されたWindows環境に対してMicrosoft Defender Application Guardが構成されていません。
    • Edge に対して有効 - Application Guard は、Hyper-V 仮想化ブラウズ コンテナーで未承認のサイトを開きます。
    • 分離されたWindows環境で有効 になっている - Windows内で App Guard が有効になっているすべてのアプリケーションに対して Application Guard が有効になります。
    • Edge 環境と分離されたWindows環境で有効 - Application Guard は両方のシナリオに対して構成されます。

    注意

    Intune経由で application Guard for Microsoft Edgeをデプロイする場合は、Windowsネットワーク分離 ポリシーを前提条件として構成する必要があります。 ネットワーク分離は、Windowsネットワーク 分離設定の 下での App や broswer の分離 など、さまざまなプロファイルを使用して構成できます。

    [エッジに対して有効] または [エッジに対して有効] または [分離されたWindows環境] に設定すると、次の設定を使用できます。これは Edge に適用されます。

    • クリップボードの動作
      CSP: ClipboardSettings

      ローカル PC と Application Guard 仮想ブラウザーから許可されるコピー操作と貼り付けアクションを選択します。

      • 未構成 (既定)
      • PC とブラウザー間のコピーと貼り付けをブロックする
      • ブラウザーから PC へのコピーと貼り付けを許可する
      • PC からブラウザーへのコピーと貼り付けを許可する
      • PC とブラウザー間でのコピーと貼り付けを許可する

    • 企業以外の承認済みサイトから外部コンテンツをブロックする
      CSP: BlockNonEnterpriseContent

      • 未構成 (既定)
      • はい - 未承認の Web サイトのコンテンツの読み込みをブロックします。

    • Application Guard 参照セッション内で発生するイベントのログを収集する
      CSP: AuditApplicationGuard

      • 未構成 (既定)
      • はい - Application Guard 仮想ブラウズ セッション内で発生するイベントのログを収集します。

    • ユーザーが生成したブラウザー データの保存を許可する
      CSP: AllowPersistence

      • 未構成 (既定)
      • はい - Application Guard 仮想閲覧セッション中に作成されたユーザー データの保存を許可します。 ユーザー データの例には、パスワード、お気に入り、Cookie などがあります。

    • ハードウェア グラフィックス アクセラレーションを有効にする
      CSP: AllowVirtualGPU

      • 未構成 (既定)
      • はい - Application Guard 仮想閲覧セッション内で、仮想グラフィックス処理装置を使用して、グラフィックス集中型の Web サイトを高速に読み込みます。

    • ユーザーがホストにファイルをダウンロードできるようにする
      CSP: SaveFilesToHost

      • 未構成 (既定)
      • はい - 仮想化されたブラウザーからホスト オペレーティング システムにファイルをダウンロードできるようにします。

    • Application Guard でカメラとマイクへのアクセスを許可する
      CSP: AllowCameraMicrophoneRedirection

      • 未構成 (既定値) - Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできません。
      • はい - Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできます。
      • いいえ - Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできません。 これは、[ 未構成] と同じ動作です。

  • Application Guard を使用すると、ローカル プリンターへの印刷が許可されます

    • 未構成 (既定)
    • はい - ローカル プリンターへの印刷を許可します。

  • Application Guard を使用すると、ネットワーク プリンターへの印刷が許可されます

    • 未構成 (既定)
    • はい - ネットワーク プリンターへの印刷を許可します。

  • Application Guard で PDF への印刷を許可する

    • 未構成 (既定)
    • はい- PDF への印刷を許可します。

  • Application Guard で XPS への印刷を許可する

    • 未構成 (既定)
    • はい - XPS への印刷を許可します。

  • Application Guard では、ユーザーのデバイスからルート証明機関を使用できます
    CSP: CertificateThumbprints

    一致するルート証明書をMicrosoft Defender Application Guard コンテナーに自動的に転送するように証明書拇印を構成します。

    拇印を 1 つずつ追加するには、[ 追加] を選択します。 Import を使用すると、プロファイルに同時に追加される複数の拇印エントリを含む.CSV ファイルを指定できます。 .CSV ファイルを使用する場合は、各拇印をコンマで区切る必要があります。 例: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    プロファイルに一覧表示されているすべてのエントリがアクティブです。 拇印エントリをアクティブにするために、チェック ボックスをオンにする必要はありません。 代わりに、このチェック ボックスを使用して、プロファイルに追加されたエントリを管理します。 たとえば、1 つ以上の証明書拇印エントリのチェック ボックスをオンにし、1 つのアクションでプロファイルからこれらのエントリを 削除 できます。

  • Windows のネットワークの分離のポリシー

    • 未構成 (既定)
    • はい - ネットワーク分離ポリシー Windows構成します。

    [はい] に設定すると、次の設定を構成できます。

    • IP 範囲
      ドロップダウンを展開し、[ 追加] を選択し、 下位のアドレス上位アドレス を指定します。

    • クラウド リソース
      ドロップダウンを展開し、[ 追加] を選択し、 IP アドレスまたは FQDN とプロキシを指定 します

    • ネットワーク ドメイン
      ドロップダウンを展開し、[ 追加] を選択し、 ネットワーク ドメインを 指定します。

    • プロキシ サーバー
      ドロップダウンを展開し、[ 追加] を選択し、 プロキシ サーバー を指定します。

    • 内部プロキシ サーバー
      ドロップダウンを展開し、[ 追加] を選択し、 内部プロキシ サーバー を指定します。

    • ニュートラル リソース
      ドロップダウンを展開し、[ 追加] を選択し、 ニュートラル リソース を指定します。

    • 他のエンタープライズ プロキシ サーバーの自動検出を無効にする

      • 未構成 (既定)
      • はい - 他のエンタープライズ プロキシ サーバーの自動検出を無効にします。

    • 他のエンタープライズ IP 範囲の自動検出を無効にする

      • 未構成 (既定)
      • はい - 他のエンタープライズ IP 範囲の自動検出を無効にします。

アプリケーション制御プロファイル

Microsoft Defender アプリケーション コントロール

  • アプリ のロッカー アプリケーション制御
    CSP: AppLocker

    • 未構成 (既定)
    • コンポーネントとMicrosoft Store アプリを適用する
    • 監査コンポーネントとMicrosoft Store アプリ
    • コンポーネント、Microsoft Store アプリ、Smartlocker を適用する
    • 監査コンポーネント、Microsoft Store アプリ、Smartlocker

  • ユーザーが SmartScreen 警告を無視できないようにする
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • 未構成 (既定) - ユーザーは、ファイルと悪意のあるアプリに対する SmartScreen 警告を無視できます。
    • はい - SmartScreen が有効になっており、ユーザーはファイルや悪意のあるアプリの警告をバイパスできません。

  • Windows SmartScreenを有効にする
    CSP: SmartScreen/EnableSmartScreenInShell

    • 未構成 (既定値) - 設定を既定Windows返します。SmartScreen を有効にしますが、ユーザーはこの設定を変更できます。 SmartScreen を無効にするには、カスタム URI を使用します。
    • はい - すべてのユーザーに対して SmartScreen の使用を強制します。

攻撃面の減少ルール プロファイル

攻撃面の縮小ルール

注意

このセクションでは、2022 年 4 月 5 日より前に作成された攻撃面縮小規則プロファイルの設定について詳しく説明します。 その日以降に作成されたプロファイルでは、設定 カタログにある新しい設定形式が使用されます。 この変更により、古いプロファイルの新しいバージョンを作成できなくなり、開発されなくなりました。 以前のプロファイルの新しいインスタンスを作成することはできなくなりましたが、以前に作成したインスタンスを引き続き編集して使用できます。

新しい設定形式を使用するプロファイルの場合、Intuneは各設定の一覧を名前で保持しなくなりました。 代わりに、各設定の名前、構成オプション、およびMicrosoft エンドポイント マネージャー管理センターに表示される説明テキストは、設定権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、[ 詳細情報] リンクを使用してそのコンテンツを開くことができます。

  • WMI イベント サブスクリプションを使用して永続化をブロックする
    攻撃面の縮小ルールを使用して攻撃面を減らす

    この攻撃表面の縮小 (ASR) 規則は、次の GUID を使用して制御されます: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    この規則により、マルウェアが WMI を悪用してデバイスでの永続性を獲得するのを防ぎます。 ファイルレス脅威は、さまざまな戦術を採用して潜伏し、ファイル システムに見つからないようにして、定期的に実行制御を獲得します。 脅威の中には、WMI リポジトリとイベント モデルを悪用して、潜伏できるものがあります。

    • 未構成 (既定値) – この設定は既定のWindowsに戻ります。これはオフで、永続化はブロックされません。
    • ブロック – WMI による永続化をブロックします。
    • 監査 – 有効になっている場合 (ブロックに設定)、この規則が組織に与える影響を評価します。
    • 無効 - この規則をオフにします。 永続化はブロックされません。

    この設定の詳細については、「 WMI イベント サブスクリプションを使用して永続化をブロックする」を参照してください。

  • Windowsローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)
    エクスプロイトからデバイスを保護する

    この攻撃表面の縮小 (ASR) 規則は、次の GUID を使用して制御されます: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ユーザー定義
    • 有効 - lsass.exe経由で資格情報を盗もうとする試行はブロックされます。
    • 監査モード - ユーザーは危険なドメインからブロックされず、代わりにWindowsイベントが発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。

  • Adobe Reader による子プロセスの作成をブロックする
    攻撃面の縮小ルールを使用して攻撃面を減らす

    この ASR 規則は、7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c を使用して制御されます。

    • 未構成 (既定値) - 既定Windows復元され、子プロセスの作成がブロックされないようにします。
    • ユーザー定義
    • 有効 - Adobe Reader は子プロセスの作成をブロックされます。
    • 監査モード - 子プロセスをブロックする代わりに、Windows イベントが発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。

  • アプリケーションOfficeコードを他のプロセスに挿入できないようにブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - Office アプリケーションが他のプロセスにコードを挿入するのをブロックします。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • アプリケーションOffice実行可能コンテンツの作成をブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、3B576869-A4EC-4529-8536-B80A7769E899 によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - Office アプリケーションは実行可能コンテンツの作成をブロックされます。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • すべてのOffice アプリケーションによる子プロセスの作成をブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、D4F940AB-401B-4EFC-AADC-AD5F3C50688A によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - アプリケーションOffice子プロセスの作成がブロックされます。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • マクロからの Win32 API 呼び出しOfficeブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - Office マクロは Win32 API 呼び出しの使用をブロックされます。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • 通信アプリOffice子プロセスの作成をブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、26190899-1602-49e8-8b27-eb1d0a1ce869 によって制御されます。

    • 未構成 (既定値) - Windowsの既定値が復元されます。これは、子プロセスの作成をブロックしません。
    • ユーザー定義
    • 有効 - 通信アプリケーションOffice子プロセスの作成がブロックされます。
    • 監査モード - 子プロセスをブロックする代わりに、Windows イベントが発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。

  • 難読化される可能性があるスクリプトの実行をブロックする (js/vbs/ps)
    エクスプロイトからデバイスを保護する

    この ASR 規則は、5BEB7EFE-FD9A-4556-801D-275E5FFC04CC によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - Defender は難読化されたスクリプトの実行をブロックします。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • ダウンロードした実行可能コンテンツの起動から JavaScript または VBScript をブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、D3E037E1-3EB8-44C8-A917-57927947596D によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - Defender は、インターネットからダウンロードされた JavaScript または VBScript ファイルが実行されないようにブロックします。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 無効 - この設定はオフです。

  • PSExec コマンドと WMI コマンドから生成されたプロセス作成をブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、d1e49aac-8f56-4280-b9ba-993a6d77406c によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - PSExec または WMI コマンドによるプロセス作成がブロックされます。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、次の GUID を使用して制御されます。b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - USB ドライブから実行される信頼されていないプロセスと署名されていないプロセスはブロックされます。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • 実行可能ファイルが有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、01443614-cd74-433a-b99e-2ecdc07bfc25e によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • Block
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • 電子メールクライアントと Webmail クライアントからの実行可能コンテンツのダウンロードをブロックする
    エクスプロイトからデバイスを保護する

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ブロック - 電子メールおよび Web メール クライアントからダウンロードされた実行可能コンテンツはブロックされます。
    • 監査モード - Windows イベントはブロックの代わりに発生します。
    • 警告 - Windows 10 バージョン 1809 以降およびWindows 11の場合、デバイス ユーザーは設定の ブロック をバイパスできるというメッセージを受け取ります。 以前のバージョンのWindows 10を実行しているデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフです。

  • ランサムウェアに対する高度な保護を使用する
    エクスプロイトからデバイスを保護する

    この ASR 規則は、c1db55ab-c21a-4637-bb3f-a12568109d35 によって制御されます。

    • 未構成 (既定値) - この設定は既定のWindowsに戻ります。これはオフです。
    • ユーザー定義
    • Enable
    • 監査モード - Windows イベントはブロックの代わりに発生します。

  • フォルダー保護を有効にする
    CSP: EnableControlledFolderAccess

    • 未構成 (既定値) - この設定は既定値に戻り、読み取りまたは書き込みはブロックされません。
    • 有効 - 信頼されていないアプリの場合、Defender ブロックは、保護されたフォルダー内のファイルの変更または削除、またはディスク セクターへの書き込みを試行します。 Defender は、信頼できるアプリケーションを自動的に決定します。 または、信頼されたアプリケーションの独自の一覧を定義することもできます。
    • 監査モード - 信頼されていないアプリケーションが制御されたフォルダーにアクセスするが、ブロックが適用されていない場合、Windows イベントが発生します。
    • ディスクの変更をブロック する - ディスク セクターへの書き込み試行のみがブロックされます。
    • ディスク変更の監査 - ディスク セクターへの書き込み試行をブロックする代わりに、Windows イベントが発生します。

  • 保護する必要があるその他のフォルダーの一覧
    CSP: ControlledFolderAccessProtectedFolders

    信頼されていないアプリケーションから保護されるディスクの場所の一覧を定義します。

  • 保護されたフォルダーにアクセスできるアプリの一覧
    CSP: ControlledFolderAccessAllowedApplications

    制御された場所への読み取り/書き込みにアクセスできるアプリの一覧を定義します。

  • 攻撃対象の縮小ルールからファイルとパスを除外する
    CSP: AttackSurfaceReductionOnlyExclusions

    ドロップダウンを展開し、[ 追加] を選択して、攻撃対象の縮小ルールから除外するファイルまたはフォルダーへの パス を定義します。

デバイス制御プロファイル

デバイス コントロール

注意

このセクションでは、2022 年 5 月 23 日より前に作成されたデバイス制御プロファイルで見つかった設定について詳しく説明します。 その日以降に作成されたプロファイルでは、設定 カタログにある新しい設定形式が使用されます。 元のプロファイルの新しいインスタンスを作成することはできなくなりましたが、既存のプロファイルを引き続き編集して使用できます。

新しい設定形式を使用するプロファイルの場合、Intuneは各設定の一覧を名前で保持しなくなりました。 代わりに、各設定の名前、構成オプション、およびMicrosoft エンドポイント マネージャー管理センターに表示される説明テキストは、設定権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、[ 詳細情報] リンクを使用してそのコンテンツを開くことができます。

  • デバイス識別子によるハードウェア デバイスのインストールを許可する

    • 未構成 (既定)
    • はい - Windowsは、別のポリシー設定で特にそのインストールが禁止されていない限り、作成した一覧にプラグ アンド プレイハードウェア ID または互換性のある ID が表示されるすべてのデバイスをインストールまたは更新できます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定はリモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 許可リスト - 追加インポートおよびエクスポート を使用して、デバイス識別子の一覧を管理します。

  • デバイス識別子によってハードウェア デバイスのインストールをブロックする
    CSP: AllowInstallationOfMatchingDeviceIDs

    • 未構成 (既定)
    • はい - Windowsがインストールできないデバイスのプラグ アンド プレイハードウェア ID と互換性のある ID の一覧を指定します。 このポリシーは、Windowsがデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定はリモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 一致するハードウェア デバイスを削除する

      • はい
      • 未構成 (既定)

    • ブロック リスト - デバイス識別子の一覧を管理するには、 追加インポートおよびエクスポート を使用します。

  • セットアップ クラスによるハードウェア デバイスのインストールを許可する

    • 未構成 (既定)
    • はい - Windowsは、別のポリシー設定で特にそのインストールが禁止されていない限り、デバイス セットアップ クラス GUID が作成した一覧に表示されるデバイス ドライバーをインストールまたは更新できます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定はリモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 許可リスト - 追加インポートおよびエクスポート を使用して、デバイス識別子の一覧を管理します。

  • セットアップ クラスによるハードウェア デバイスのインストールをブロックする
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • 未構成 (既定)
    • はい - デバイス ドライバーのデバイス セットアップ クラスのグローバル一意識別子 (GUID) の一覧を指定Windowsインストールできません。 このポリシー設定は、デバイスのインストールWindows許可する他のポリシー設定よりも優先されます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定はリモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 一致するハードウェア デバイスを削除する

      • はい
      • 未構成 (既定)

    • ブロック リスト - デバイス識別子の一覧を管理するには、 追加インポートおよびエクスポート を使用します。

  • デバイス インスタンス識別子によるハードウェア デバイスのインストールを許可する

    • 未構成 (既定)
    • はい - Windowsは、別のポリシー設定で特にそのインストールが禁止されていない限り、作成した一覧にプラグ アンド プレイデバイス インスタンス ID が表示されるすべてのデバイスをインストールまたは更新できます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定はリモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 許可リスト - 追加インポートおよびエクスポート を使用して、デバイス識別子の一覧を管理します。

  • デバイス インスタンス識別子によるハードウェア デバイスのインストールをブロックする
    リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定はリモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。

    • 未構成 (既定)
    • はい - Windowsがインストールできないデバイスのプラグ アンド プレイハードウェア ID と互換性のある ID の一覧を指定します。 このポリシーは、Windowsがデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定はリモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 一致するハードウェア デバイスを削除する

      • はい
      • 未構成 (既定)

    • ブロック リスト - デバイス識別子の一覧を管理するには、 追加インポートおよびエクスポート を使用します。

  • リムーバブル ストレージへの書き込みアクセスをブロックする
    CSP: RemovableDiskDenyWriteAccess

    • 未構成 (既定)
    • はい - リムーバブル ストレージへの書き込みアクセスが拒否されます。
    • いいえ - 書き込みアクセスは許可されます。

  • フル スキャン中にリムーバブル ドライブをスキャンする
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • 未構成 (既定値) - この設定は、リムーバブル ドライブをスキャンするクライアントの既定値に戻りますが、ユーザーはこのスキャンを無効にすることができます。
    • はい - フル スキャン中に、リムーバブル ドライブ (USB フラッシュ ドライブなど) がスキャンされます。

  • 直接メモリ アクセスをブロックする
    CSP: DataProtection/AllowDirectMemoryAccess

    このポリシー設定は、BitLocker またはデバイス暗号化が有効になっている場合にのみ適用されます。

    • 未構成 (既定)
    • はい - ユーザーがWindowsにログインするまで、すべてのホット プラグ可能 PCI ダウンストリーム ポートのダイレクト メモリ アクセス (DMA) をブロックします。 ユーザーがログインした後、ホスト プラグ PCI ポートに接続されている PCI デバイスを列挙Windows。 ユーザーがマシンをロックするたびに、ユーザーが再びログインするまで、子デバイスのないホット プラグ PCI ポートで DMA がブロックされます。 マシンのロックが解除されたときに既に列挙されたデバイスは、接続が解除されるまで引き続き機能します。

  • カーネル DMA 保護と互換性のない外部デバイスの列挙
    CSP: DmaGuard/DeviceEnumerationPolicy

    このポリシーは、外部 DMA 対応デバイスに対して追加のセキュリティを提供できます。 これにより、DMA Remapping/device memory isolation and Sandboxing と互換性のない外部 DMA 対応デバイスの列挙をより詳細に制御できます。

    このポリシーは、カーネル DMA Protection がサポートされ、システム ファームウェアによって有効になっている場合にのみ有効になります。 カーネル DMA Protection は、製造時にシステムでサポートする必要があるプラットフォーム機能です。 システムがカーネル DMA 保護をサポートしているかどうかを確認するには、MSINFO32.exeの [概要] ページの [カーネル DMA 保護] フィールドを確認します。

    • 未構成 - (既定)
    • すべてブロックする
    • すべて許可する

  • Bluetooth 接続をブロックする
    CSP: Bluetooth/AllowDiscoverableMode

    • 未構成 (既定)
    • はい - デバイスとの間の Bluetooth 接続をブロックします。

  • Bluetooth の検出可能性をブロックする
    CSP: Bluetooth/AllowDiscoverableMode

    • 未構成 (既定)
    • はい - デバイスが他のBluetooth対応デバイスで検出できないようにします。

  • Bluetooth 事前ペアリングをブロックする
    CSP: Bluetooth/AllowPrepairing

    • 未構成 (既定)
    • はい - 特定のBluetooth デバイスがホスト デバイスと自動的にペアリングされないようにします。

  • Bluetooth 広告をブロックする
    CSP: Bluetooth/AllowAdvertising

    • 未構成 (既定)
    • はい - デバイスがBluetooth提供情報を送信できないようにします。

  • Bluetooth の近位接続をブロックする
    CSP: Bluetooth/AllowPromptedProximalConnections ユーザーがクイック ペアリングやその他の近接ベースのシナリオを使用できないようにする

    • 未構成 (既定)
    • はい - デバイス ユーザーがクイック ペアリングやその他の近接ベースのシナリオを使用できないようにします。

    Bluetooth/AllowPromptedProximalConnections CSP

  • 許可されたサービスBluetooth
    CSP: Bluetooth/ServicesAllowedList
    サービス一覧の詳細については、「ServicesAllowedList の使用ガイド」を参照してください。

    • 追加 - 許可されているBluetoothサービスとプロファイルを 16 進文字列として指定します (例: {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • インポート - Bluetooth サービスとプロファイルの一覧を含む.csv ファイルを 16 進数の文字列としてインポートします(例: {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • リムーバブル記憶域
    CSP: Storage/RemovableDiskDenyWriteAccess

    • ブロック (既定) - ユーザーがデバイスで SD カードなどの外部ストレージ デバイスを使用できないようにします。
    • 未構成

  • USB 接続 (HoloLensのみ)
    CSP: Connectivity/AllowUSBConnection

    • ブロック - デバイスとコンピューター間の USB 接続を使用してファイルを同期したり、開発者ツールを使用してアプリケーションをデプロイまたはデバッグしたりできないようにします。 USB の充電には影響しません。
    • 未構成 (既定)

エクスプロイト保護プロファイル

エクスプロイト保護

注意

このセクションでは、2022 年 4 月 5 日より前に作成された Exploit Protection プロファイルで確認できる設定について詳しく説明します。 その日以降に作成されたプロファイルでは、設定 カタログにある新しい設定形式が使用されます。 この変更により、古いプロファイルの新しいバージョンを作成できなくなり、開発されなくなりました。 以前のプロファイルの新しいインスタンスを作成することはできなくなりましたが、以前に作成したインスタンスを引き続き編集して使用できます。

新しい設定形式を使用するプロファイルの場合、Intuneは各設定の一覧を名前で保持しなくなりました。 代わりに、各設定の名前、構成オプション、およびMicrosoft エンドポイント マネージャー管理センターに表示される説明テキストは、設定権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、[ 詳細情報] リンクを使用してそのコンテンツを開くことができます。

  • アップロード XML
    CSP: ExploitProtectionSettings

    IT 管理者が、目的のシステムとアプリケーションの軽減オプションを表す構成を組織内のすべてのデバイスにプッシュできるようにします。 構成は XML ファイルで表されます。 エクスプロイト保護は、悪用を使用して拡散および感染するマルウェアからデバイスを保護するのに役立ちます。 Windows セキュリティ アプリまたは PowerShell を使用して、一連の軽減策 (構成と呼ばれます) を作成します。 その後、この構成を XML ファイルとしてエクスポートし、ネットワーク上の複数のマシンと共有して、すべて同じ軽減設定のセットを持つことができます。 また、既存の EMET 構成 XML ファイルをエクスプロイト保護構成 XML に変換してインポートすることもできます。

    [ XML ファイルの選択] を選択 し、XML ファイルのアップロードを指定して、[ 選択] をクリックします。

    • 未構成 (既定)
    • はい

  • Exploit Guard 保護インターフェイスの編集からユーザーをブロックする
    CSP: DisallowExploitProtectionOverride

    • 未構成 (既定) - ローカル ユーザーは、エクスプロイト保護設定領域で変更を加えることができます。
    • はい - ユーザーがMicrosoft Defender セキュリティ センターのエクスプロイト保護設定領域を変更できないようにします。

Web 保護 (Microsoft Edge 従来版) プロファイル

Web Protection (Microsoft Edge 従来版)

  • ネットワーク保護を有効にする
    CSP: EnableNetworkProtection

    • 未構成 (既定値) - この設定は既定のWindowsに戻り、無効になっています。
    • ユーザー定義
    • 有効 - システム上のすべてのユーザーに対してネットワーク保護が有効になります。
    • 監査モード - ユーザーは危険なドメインからブロックされず、代わりにWindowsイベントが発生します。

  • Microsoft Edgeに SmartScreen を必要とする
    CSP: Browser/AllowSmartScreen

    • はい - SmartScreen を使用して、潜在的なフィッシング詐欺や悪意のあるソフトウェアからユーザーを保護します。
    • 未構成 (既定)

  • 悪意のあるサイト へのアクセスをブロックする
    CSP: Browser/PreventSmartScreenPromptOverride

    • はい - ユーザーがMicrosoft Defender SmartScreenフィルターの警告を無視しないようにブロックし、サイトへのアクセスをブロックします。
    • 未構成 (既定)

  • 未検証ファイルのダウンロードをブロックする
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • はい - ユーザーがMicrosoft Defender SmartScreenフィルターの警告を無視しないようにブロックし、未検証ファイルのダウンロードをブロックします。
    • 未構成 (既定)

攻撃面の縮小 (ConfigMgr)

Exploit Protection (ConfigMgr)(Preview) プロファイル

Exploit Protection

  • アップロード XML
    CSP: ExploitProtectionSettings

    IT 管理者が、目的のシステムとアプリケーションの軽減オプションを表す構成を組織内のすべてのデバイスにプッシュできるようにします。 構成は XML ファイルで表されます。 エクスプロイト保護は、悪用を使用して拡散および感染するマルウェアからデバイスを保護するのに役立ちます。 Windows セキュリティ アプリまたは PowerShell を使用して、一連の軽減策 (構成と呼ばれます) を作成します。 その後、この構成を XML ファイルとしてエクスポートし、ネットワーク上の複数のマシンと共有して、すべて同じ軽減設定のセットを持つことができます。 また、既存の EMET 構成 XML ファイルをエクスプロイト保護構成 XML に変換してインポートすることもできます。

    [ XML ファイルの選択] を選択 し、XML ファイルのアップロードを指定して、[ 選択] をクリックします。

  • Exploit Protection オーバーライドを禁止する
    CSP: DisallowExploitProtectionOverride

    • 未構成 (既定)
    • (無効にする) ローカル ユーザーは、エクスプロイト保護の設定領域で変更を加える必要があります
    • (有効にする)ローカル ユーザーがエクスプロイト保護設定領域を変更できない

Web Protection (ConfigMgr)(Preview) プロファイル

Web Protection

次の手順

ASR のエンドポイント セキュリティ ポリシー