Intune 向けの Microsoft Defender Advanced Threat Protection ベースライン設定Microsoft Defender Advanced Threat Protection baseline settings for Intune

Microsoft Intune によってサポートされている Microsoft Defender Advanced Threat Protection ベースライン設定を表示します。View the Microsoft Defender Advanced Threat Protection baseline settings that are supported by Microsoft Intune. Advanced Threat Protection (ATP) ベースラインの既定値は、ATP の推奨される構成を表しており、他のセキュリティ ベースラインのベースラインの既定値と一致しない場合があります。The Advanced Threat Protection (ATP) baseline defaults represent the recommended configuration for ATP, and might not match baseline defaults for other security baselines.

この記事の詳細は、2020 年 4 月 21 日にリリースされた Microsoft Defender ATP ベースラインのバージョン 4 に適用されます。The details in this article apply to version 4 of the Microsoft Defender ATP baseline, which released on April 21, 2020. 以前のバージョンからのこのバージョンのベースラインの変更点を確認するには、このベースラインの [バージョン] ウィンドウを表示すると使用可能になる [ベースラインの比較] 操作を使用します。To understand what's changed with this version of the baseline from previous versions, use the Compare baselines action that's available when viewing the Versions pane for this baseline.

この記事の詳細は、2020 年 3 月 1 日にリリースされた Microsoft Defender ATP ベースラインのバージョン 3 に適用されます。The details in this article apply to version 3 of the Microsoft Defender ATP baseline, which released on March 1, 2020. 以前のバージョンからのこのバージョンのベースラインの変更点を確認するには、このベースラインの [バージョン] ウィンドウを表示すると使用可能になる [ベースラインの比較] 操作を使用します。To understand what's changed with this version of the baseline from previous versions, use the Compare baselines action that's available when viewing the Versions pane for this baseline.

ご使用の環境が Microsoft Defender Advanced Threat Protection を使用するための前提条件を満たしている場合は、Microsoft Defender Advanced Threat Protection ベースラインを使用できます。The Microsoft Defender Advanced Threat Protection baseline is available when your environment meets the prerequisites for using Microsoft Defender Advanced Threat Protection.

このベースラインは、物理デバイス用に最適化されており、現在は仮想マシン (VM) や VDI エンドポイントでの使用は推奨されていません。This baseline is optimized for physical devices and is currently not recommended for use on virtual machines (VMs) or VDI endpoints. 特定のベースライン設定が、仮想化された環境でのリモート対話型セッションに影響を与える可能性があります。Certain baseline settings can impact remote interactive sessions on virtualized environments. 詳細については、Windows ドキュメントの「Increase compliance to the Microsoft Defender ATP security baseline (Microsoft Defender ATP のセキュリティ ベースラインに対するコンプライアンスの強化)」をご覧ください。For more information, see Increase compliance to the Microsoft Defender ATP security baseline in the Windows documentation.

Application GuardApplication Guard

詳細については、Windows のドキュメントの「WindowsDefenderApplicationGuard CSP」を参照してください。For more information, see WindowsDefenderApplicationGuard CSP in the Windows documentation.

Microsoft Edge を使用しているとき、ご利用の環境は Windows Defender Application Guard によって、組織で信頼されていないサイトから保護されます。While using Microsoft Edge, Microsoft Defender Application Guard protects your environment from sites that aren't trusted by your organization. 分離ネットワーク境界のリストに含まれないサイトにユーザーがアクセスすると、そのサイトは Hyper-V 仮想ブラウズ セッションで開きます。When users visit sites that aren't listed in your isolated network boundary, the sites open in a Hyper-V virtual browsing session. 信頼済みサイトは、ネットワーク境界によって定義されます。Trusted sites are defined by a network boundary.

  • Microsoft Edge 向けの Application Guard を有効にする (オプション)Turn on Application Guard for Edge (Options)
    CSP:Settings/AllowWindowsDefenderApplicationGuardCSP: Settings/AllowWindowsDefenderApplicationGuard

    • Edge に対して有効にする (既定値) - Application Guard では未承認のサイトが Hyper-V 仮想ブラウズ コンテナー内で開かれます。Enabled for Edge (default) - Application Guard opens unapproved sites in a Hyper-V virtualized browsing container.
    • 未構成 - サイト (信頼済みおよび信頼されていない) はいずれも仮想化されたコンテナー内ではなくデバイス上で開かれます。Not configured - Any site (trusted and untrusted) opens on the device, and not in a virtualized container.

    [Edge に対して有効にする] に設定すると、 [Block external content from non-enterprise approved sites](承認された非エンタープライズ サイトからの外部コンテンツをブロックする)[クリップボードの動作] を構成できます。When set to Enable for Edge, you can configure Block external content from non-enterprise approved sites and Clipboard behavior.

    • 承認された非エンタープライズ サイトからの外部コンテンツをブロックするBlock external content from non-enterprise approved sites
      CSP:Settings/BlockNonEnterpriseContentCSP: Settings/BlockNonEnterpriseContent

      • はい (既定値) - 未承認の Web サイトからのコンテンツの読み込みをブロックします。Yes (default) - Block content from unapproved websites from loading.
      • [未構成] - デバイス上で非エンタープライズ サイトを開けるようになります。Not configured - Non-enterprise sites can open on the device
    • [クリップボードの動作]Clipboard behavior
      CSP:Settings/ClipboardSettingsCSP: Settings/ClipboardSettings

      ローカル PC と Application Guard 仮想ブラウザー間で許可するコピー/貼り付け操作を選択します。Choose what copy and paste actions are allowed between the local PC and the Application Guard virtual browser. 次のオプションがあります。Options include:

      • 未構成Not Configured
      • PC とブラウザーの間でのコピー/貼り付けをブロックする (既定値) - 両方ともブロックします。Block copy and paste between PC and browser (default) - Block both. PC と仮想ブラウザーの間でデータを転送できません。Data can't transfer between the PC and the virtual browser.
      • ブラウザーから PC へのコピー/貼り付けのみを許可する - PC から仮想ブラウザーにデータを転送できません。Allow copy and paste from browser to PC only - Data can't transfer from the PC into the virtual browser.
      • PC からブラウザーへのコピー/貼り付けのみを許可する - 仮想ブラウザーからホスト PC にデータを転送できません。Allow copy and paste from PC to browser only - Data can't transfer from the virtual browser to the host PC.
      • PC とブラウザーの間でのコピー/貼り付けを許可する - コンテンツに対するブロックは存在しません。Allow copy and paste between PC and browser - No block for content exists.
  • Windows ネットワーク分離ポリシーWindows network isolation policy
    CSP:ポリシー CSP - NetworkIsolationCSP: Policy CSP - NetworkIsolation

    "ネットワーク ドメイン" のリストを指定します。これらは Application Guard がエンタープライズ サイトとして処理するクラウド内でホストされているエンタープライズ リソースです。Specify a list of Network domains, which are Enterprise resources that are hosted in the cloud that Application Guard treats as enterprise sites

    • 構成 (既定値)Configure (default)
    • 未構成Not configured

    [構成] に設定すると、"ネットワーク ドメイン" を定義できるようになります。When set to Configure you can then define Network domains.

    • ネットワーク ドメインNetwork domains
      [追加] を選択し、ドメイン、IP アドレス範囲、およびネットワーク境界を指定します。Select Add and specify domains, IP address ranges, and network boundaries. 既定では securitycenter.windows.com が構成されます。By default, securitycenter.windows.com is configured.

BitLockerBitLocker

詳細については、Windows のドキュメントの「BitLocker グループ ポリシー設定」を参照してください。For more information, BitLocker Group Policy settings in the Windows documentation.

  • ストレージ カードの暗号化が必須 (モバイルのみ)Require storage cards to be encrypted (mobile only)
    CSP:RequireStorageCardEncryptionCSP: RequireStorageCardEncryption

    この設定は、Windows Mobile および Mobile Enterprise SKU デバイスにのみ適用されます。This setting only applies to Windows Mobile and Mobile Enterprise SKU devices.

    • はい (既定値) - モバイル デバイスの場合は、ストレージ カードでの暗号化が必須です。Yes (default) - Encryption on storage cards is required for mobile devices.
    • 未構成 - 設定は OS の既定値に戻されます。この場合、ストレージ カードの暗号化は必須ではありません。Not configured - The setting returns to the OS default, which is to not require storage card encryption.
  • OS および固定データ ドライブのディスク全体の暗号化を有効にするEnable full disk encryption for OS and fixed data drives
    CSP:RequireDeviceEncryptionCSP: RequireDeviceEncryption

    このポリシーが適用される前にドライブが暗号化されている場合、特別にアクションは行われません。If the drive was encrypted before this policy applied, no extra action is taken. 暗号化の方法とオプションがこのポリシーのものと一致する場合、構成からは成功が返されます。If the encryption method and options match that of this policy, configuration should return success. インプレース BitLocker 構成オプションがこのポリシーと一致しない場合、構成からエラーが返される可能性があります。If an in-place BitLocker configuration option doesn't match this policy, configuration will likely return an error.

    既に暗号化されているディスクにこのポリシーを適用するには、ドライブの暗号化を解除し、MDM ポリシーを再度適用します。To apply this policy to a disk already encrypted, decrypt the drive and reapply the MDM policy. Windows の既定値では、BitLocker ドライブの暗号化は必要ありませんが、Azure AD Join および Microsoft Account (MSA) では、登録またはログインの自動暗号化が適用され、XTS-AES 128 ビット暗号化で BitLocker が有効にされる可能性があります。Windows default is to not require BitLocker drive encryption, however on Azure AD Join and Microsoft Account (MSA) registration/login automatic encryption may apply enabling BitLocker at XTS-AES 128-bit encryption.

    • はい (既定値) - BitLocker の使用を強制します。Yes (default) - Enforce use of BitLocker.
    • 未構成 - BitLocker は強制されません。Not configured - No BitLocker enforcement takes place.
  • BitLocker システム ドライブ ポリシーBitLocker system drive policy
    BitLocker グループ ポリシー設定BitLocker Group Policy settings

    • 構成 (既定値)Configure (default)
    • 未構成Not configured

    [構成] に設定すると、 [Configure encryption method for Operating System drives](オペレーティング システム ドライブの暗号化方法の構成) を構成できるようになります。When set to Configure, you can then configure Configure encryption method for Operating System drives.

    • [Configure encryption method for Operating System drives](オペレーティング システム ドライブの暗号化方法の構成)Configure encryption method for Operating System drives
      CSP:EncryptionMethodByDriveTypeCSP: EncryptionMethodByDriveType
      この設定は、 [BitLocker システム ドライブポリシー][構成] に設定されている場合に使用できます。This setting is available when BitLocker system drive policy is set to Configure.

      システム ドライブの暗号化の方法と暗号強度を構成します。Configure the encryption method and cipher strength for system drives. XTS - AES 128 ビット は Windows の既定の暗号化方法であり、推奨される値です。XTS- AES 128-bit is the Windows default encryption method and the recommended value.

      • [未構成] ("既定値")Not configured (default)
      • AES 128 ビット CBCAES 128bit CBC
      • AES 256 ビット CBCAES 256bit CBC
      • AES 128 ビット XTSAES 128bit XTS
      • AES 256 ビット XTSAES 256bit XTS
  • BitLocker 固定ドライブ ポリシーBitLocker fixed drive policy
    BitLocker グループ ポリシー設定BitLocker Group Policy settings

    • 構成 (既定値)Configure (default)
    • 未構成Not configured

    [構成] に設定すると、 [Block write access to fixed data-drives not protected by BitLocker](BitLocker で保護されていない固定データドライブへの書き込みアクセスをブロックする) および [固定データドライブの暗号化方法の構成] を構成できるようになります。When set to Configure, you can then configure Block write access to fixed data-drives not protected by BitLocker and Configure encryption method for fixed data-drives.

    • [Block write access to fixed data-drives not protected by BitLocker](BitLocker で保護されていない固定データドライブへの書き込みアクセスをブロックする)Block write access to fixed data-drives not protected by BitLocker
      CSP:FixedDrivesRequireEncryptionCSP: FixedDrivesRequireEncryption
      この設定は、 [BitLocker 固定ドライブ ポリシー][構成] に設定されている場合に使用できます。This setting is available when BitLocker fixed drive policy is set to Configure.

      • 未構成 (既定値) - 暗号化されていない固定ドライブにデータを書き込むことができます。Not configured (default) - Data can be written to non-encrypted fixed drives.
      • はい - Windows では、BitLocker で保護されていない固定ドライブにデータを書き込むことはできません。Yes - Windows will not allow any data to be written to fixed drives that are not BitLocker protected. 固定ドライブが暗号化されていない場合、書き込みアクセス権が付与される前に、ユーザーはドライブに対して BitLocker セットアップ ウィザードを完了する必要があります。If a fixed drive is not encrypted, the user will need to complete the BitLocker setup wizard for the drive before write access is granted.
    • 固定データドライブの暗号化方法の構成Configure encryption method for fixed data-drives
      CSP:EncryptionMethodByDriveTypeCSP: EncryptionMethodByDriveType
      この設定は、 [BitLocker 固定ドライブ ポリシー][構成] に設定されている場合に使用できます。This setting is available when BitLocker fixed drive policy is set to Configure.

      固定データドライブ ディスクの暗号化の方法と暗号強度を構成します。Configure the encryption method and cipher strength for fixed data-drives disks. XTS - AES 128 ビット は Windows の既定の暗号化方法であり、推奨される値です。XTS- AES 128-bit is the Windows default encryption method and the recommended value.

      • [未構成] ("既定値")Not configured (default)
      • AES 128 ビット CBCAES 128bit CBC
      • AES 256 ビット CBCAES 256bit CBC
      • AES 128 ビット XTSAES 128bit XTS
      • AES 256 ビット XTSAES 256bit XTS
  • BitLocker removable drive policy (Bitlocker のリムーバブル ドライブのポリシー)BitLocker removable drive policy
    BitLocker グループ ポリシー設定BitLocker Group Policy settings

    • 構成 (既定値)Configure (default)
    • 未構成Not configured

    [構成] に設定すると、 [Configure encryption method for removable data-drives](リムーバブル データドライブの暗号化方法の構成) および [Block write access to removable data-drives not protected by BitLocker](BitLocker で保護されていないリムーバブル データドライブへの書き込みアクセスをブロックする) を構成できるようになります。When set to Configure, you can then configure Configure encryption method for removable data-drives and Block write access to removable data-drives not protected by BitLocker.

    • [Configure encryption method for removable data-drives](リムーバブル データドライブの暗号化方法の構成)Configure encryption method for removable data-drives
      CSP:EncryptionMethodByDriveTypeCSP: EncryptionMethodByDriveType
      この設定は、 [BitLocker リムーバブル ドライブ ポリシー][構成] に設定されている場合に使用できます。This setting is available when BitLocker removable drive policy is set to Configure.

      リムーバブル データドライブ ディスクの暗号化方法と暗号強度を構成します。Configure the encryption method and cipher strength for removable data-drives disks. XTS - AES 128 ビット は Windows の既定の暗号化方法であり、推奨される値です。XTS- AES 128-bit is the Windows default encryption method and the recommended value.

      • 未構成Not configured
      • AES 128 ビット CBCAES 128bit CBC
      • AES 256 ビット CBC (既定値)AES 256bit CBC (default)
      • AES 128 ビット XTSAES 128bit XTS
      • AES 256 ビット XTSAES 256bit XTS
    • [Block write access to removable data-drives not protected by BitLocker](BitLocker で保護されていないリムーバブル データドライブへの書き込みアクセスをブロックする)Block write access to removable data-drives not protected by BitLocker
      CSP:RemovableDrivesRequireEncryptionCSP: RemovableDrivesRequireEncryption
      この設定は、 [BitLocker リムーバブル ドライブ ポリシー][構成] に設定されている場合に使用できます。This setting is available when BitLocker removable drive policy is set to Configure.

      • 未構成 (既定値) - 暗号化されていないリムーバブル ドライブにデータを書き込むことができます。Not configured (default) - Data can be written to non-encrypted removable drives.
      • はい - Windows では、BitLocker で保護されていないリムーバブル ドライブにデータを書き込むことはできません。Yes - Windows will not allow any data to be written to removable drives that are not BitLocker protected. リムーバブル ドライブが暗号化されていない場合、書き込みアクセス権が付与される前に、ユーザーはドライブに対して BitLocker セットアップ ウィザードを完了する必要があります。If a removable drive is not encrypted, the user must complete the BitLocker setup wizard for the drive before write access is granted.

ブラウザーBrowser

  • Require SmartScreen for Microsoft Edge (Microsoft Edge で SmartScreen が必要)Require SmartScreen for Microsoft Edge
    CSP:Browser/AllowSmartScreenCSP: Browser/AllowSmartScreen

    • はい (既定値) - SmartScreen を使用してフィッシング詐欺にあう可能性や悪意のあるソフトウェアからユーザーを保護しています。Yes (default) - Use SmartScreen to protect users from potential phishing scams and malicious software.
    • 未構成Not configured
  • Block malicious site access (悪意のあるサイトへのアクセスをブロックする)Block malicious site access
    CSP:Browser/PreventSmartScreenPromptOverrideCSP: Browser/PreventSmartScreenPromptOverride

    • はい (既定値) - ユーザーが Microsoft Defender SmartScreen フィルターの警告を無視できないようにして、サイトへの移動をブロックします。Yes (default) - Block users from ignoring the Microsoft Defender SmartScreen Filter warnings and block them from going to the site.
    • 未構成Not configured
  • Block unverified file download (確認されていないファイルのダウンロードをブロックする)Block unverified file download
    CSP:Browser/PreventSmartScreenPromptOverrideForFilesCSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • はい (既定値) - ユーザーが Microsoft Defender SmartScreen フィルターの警告を無視できないようにして、確認されていないファイルをダウンロードできないようにします。Yes (default) - Block users from ignoring the Microsoft Defender SmartScreen Filter warnings and block them from downloading unverified files.
    • 未構成Not configured

データ保護Data Protection

  • Block direct memory access (ダイレクト メモリ アクセスをブロックする)Block direct memory access
    CSP:DataProtection/AllowDirectMemoryAccessCSP: DataProtection/AllowDirectMemoryAccess

    このポリシー設定は、BitLocker またはデバイスの暗号化が有効な場合にのみ適用されます。This policy setting is only enforced when BitLocker or device encryption is enabled.

    • はい (既定値) - ユーザーが Windows にログインするまで、ホット プラグ可能なすべての PCI ダウンストリーム ポートへの直接メモリ アクセス (DMA) が禁止されます。Yes (default) - Block direct memory access (DMA) for all hot pluggable PCI downstream ports until a user logs into Windows. ユーザーがログインすると、ホスト プラグ PCI ポートに接続されている PCI デバイスが Windows によって列挙されます。After a user logs in, Windows enumerates the PCI devices connected to the host plug PCI ports. ユーザーがコンピューターをロックするたびに、ユーザーが再ログインするまで、子デバイスが接続されていないホット プラグ PCI ポートで DMA がブロックされます。Every time the user locks the machine, DMA is blocked on hot plug PCI ports with no children devices until the user logs in again. コンピューターのロックが解除された際に既に列挙されていたデバイスは、取り外されるまで機能を維持します。Devices that were already enumerated when the machine was unlocked will continue to function until unplugged.
    • 未構成Not configured

[Device Guard]Device Guard

  • Credential Guard を有効にするTurn on credential guard
    CSP: DeviceGuard/ConfigureSystemGuardLaunchCSP: DeviceGuard/ConfigureSystemGuardLaunch

    Credential Guard では、Windows ハイパーバイザーを使用して保護が実現されます。これには、セキュア ブートと DMA 保護が機能する必要があり、そのためにはハードウェア要件が満たされている必要があります。Credential Guard uses Windows Hypervisor to provide protections, which requires Secure Boot and DMA protections to function, which requires that hardware requirements are met.

    • 未構成 - Credential Guard の使用を無効にします。Windows ではこれが既定値です。Not configured - Disable the use of Credential Guard, which is the Windows default.
    • UEFI ロックで有効にする (既定値) - Credential Guard を有効にし、それをリモートで無効にできないようにします。UEFI で永続化された構成は手動でクリアする必要があるためです。Enable with UEFI lock (default) - Enable Credential Guard and not allow it to be disabled remotely, as the UEFI persisted configuration must be manually cleared.
    • UEFI ロックなしで有効にする - Credential Guard を有効にし、コンピューターへの物理的なアクセスなしにオフにすることを許可します。Enable without UEFI lock - Enable Credential Guard and allow it to be turned off without physical access to the machine.

デバイスのインストールDevice Installation

  • Hardware device installation by device identifiers (デバイス識別子を使用してハードウェア デバイスをインストールする)Hardware device installation by device identifiers
    DeviceInstallation/PreventInstallationOfMatchingDeviceIDsDeviceInstallation/PreventInstallationOfMatchingDeviceIDs

    このポリシー設定を使用すると、Windows によるインストールが禁止されているデバイスのプラグ アンド プレイ ハードウェア ID と互換 ID の一覧を指定できます。This policy setting allows you to specify a list of Plug and Play hardware IDs and compatible IDs for devices that Windows is prevented from installing. このポリシー設定は、Windows がデバイスをインストールできるようにするその他のポリシー設定よりも優先されます。This policy setting takes precedence over any other policy setting that allows Windows to install a device. リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。If you enable this policy setting on a remote desktop server, the policy setting affects redirection of the specified devices from a remote desktop client to the remote desktop server.

    • 未構成Not configured
    • ハードウェア デバイスのインストールを許可する - 他のポリシー設定によって許可または禁止されているとおりに、デバイスをインストールおよび更新することができます。Allow hardware device installation - Devices can be installed and updated as allowed or prevented by other policy settings.
    • ハードウェア デバイスのインストールをブロックする (既定値) - ご自分で定義したリスト内に表示されたハードウェア ID または互換性 ID を持つデバイスを Windows でインストールすることはできません。Block hardware device installation (default) - Windows is prevented from installing a device whose hardware ID or compatible ID appears in a list you define.

    [ハードウェア デバイスのインストールをブロックする] に設定すると、 [一致するハードウェア デバイスを削除する] および [ブロックされているハードウェア デバイス ID] を構成できるようになります。When set to Block hardware device installation you can configure Remove matching hardware devices and Hardware device identifiers that are blocked.

    • Remove matching hardware devices (一致するハードウェア デバイスを削除する)Remove matching hardware devices

      この設定は [Hardware device installation by device identifiers](デバイス識別子でハードウェア デバイスをインストールする)[Block hardware device installation](ハードウェア デバイスのインストールをブロックする) に設定されているときのみ使用できます。This setting is available only when Hardware device installation by device identifiers is set to Block hardware device installation.

      • ありYes
      • 未構成Not configured
    • Hardware device identifiers that are blocked (ブロックされているハードウェア デバイス識別子)Hardware device identifiers that are blocked

      この設定は [Hardware device installation by device identifiers](デバイス識別子でハードウェア デバイスをインストールする)[Block hardware device installation](ハードウェア デバイスのインストールをブロックする) に設定されているときのみ使用できます。This setting is available only when Hardware device installation by device identifiers is set to Block hardware device installation.

      [追加] を選択して、ブロックするハードウェア デバイスの識別子を指定します。Select Add, and then specify the hardware device identifier you want to block.

  • Hardware device installation by setup classes (セットアップ クラスを使用してハードウェア デバイスをインストールする)Hardware device installation by setup classes
    CSP: DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClassesCSP: DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

    このポリシー設定を使用すると、Windows によるインストールが禁止されているデバイス ドライバーのデバイス セットアップ クラス GUID (グローバル一意識別子) の一覧を指定できます。This policy setting allows you to specify a list of device setup class globally unique identifiers (GUIDs) for device drivers that Windows is prevented from installing. このポリシー設定は、Windows がデバイスをインストールできるようにするその他のポリシー設定よりも優先されます。This policy setting takes precedence over any other policy setting that allows Windows to install a device. リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。If you enable this policy setting on a remote desktop server, the policy setting affects redirection of the specified devices from a remote desktop client to the remote desktop server.

    • 未構成Not configured
    • ハードウェア デバイスのインストールを許可する - Windows では他のポリシー設定によって許可または禁止されているとおりに、デバイスをインストールおよび更新することができます。Allow hardware device installation - Windows can install and update devices as allowed or prevented by other policy settings.
    • ハードウェア デバイスのインストールをブロックする (既定値) - ご自分で定義したリスト内に表示されたセットアップ クラス GUID を持つデバイスを Windows でインストールすることはできません。Block hardware device installation (default) - Windows is prevented from installing a device whose setup class GUIDs appear in a list you define.

    [ハードウェア デバイスのインストールをブロックする] に設定すると、 [一致するハードウェア デバイスを削除する] および [ブロックされているハードウェア デバイス ID] を構成できるようになります。When set to Block hardware device installation you can configure Remove matching hardware devices and Hardware device identifiers that are blocked.

    • Remove matching hardware devices (一致するハードウェア デバイスを削除する)Remove matching hardware devices

      この設定は [Hardware device installation by device identifiers](デバイス識別子でハードウェア デバイスをインストールする)[Block hardware device installation](ハードウェア デバイスのインストールをブロックする) に設定されているときのみ使用できます。This setting is available only when Hardware device installation by device identifiers is set to Block hardware device installation.

      • ありYes
      • 未構成Not configured
    • Hardware device identifiers that are blocked (ブロックされているハードウェア デバイス識別子)Hardware device identifiers that are blocked

      この設定は [Hardware device installation by device identifiers](デバイス識別子でハードウェア デバイスをインストールする)[Block hardware device installation](ハードウェア デバイスのインストールをブロックする) に設定されているときのみ使用できます。This setting is available only when Hardware device installation by device identifiers is set to Block hardware device installation.

      [追加] を選択して、ブロックするハードウェア デバイスの識別子を指定します。Select Add, and then specify the hardware device identifier you want to block.

DMA ガードDMA Guard

  • Kernel DMA Protection と互換性のない外部デバイスの列挙Enumeration of external devices incompatible with Kernel DMA Protection
    CSP: DmaGuard/DeviceEnumerationPolicyCSP: DmaGuard/DeviceEnumerationPolicy

    このポリシーでは、外部 DMA 対応デバイスに対して追加のセキュリティを提供することができます。This policy can provide additional security against external DMA capable devices. これにより、DMA の再マッピング/デバイス メモリの分離およびサンドボックス化と互換性のない外部 DMA 対応デバイスの列挙をより詳細に制御できます。It allows for more control over the enumeration of external DMA capable devices incompatible with DMA Remapping/device memory isolation and sandboxing.

    このポリシーが有効になるのは、Kernel DMA Protection がシステム ファームウェアによってサポートされていて、それによって有効にされた場合のみです。This policy only takes effect when Kernel DMA Protection is supported and enabled by the system firmware. カーネル DMA 保護は、製造時にシステムによってサポートされる必要があるプラットフォーム機能です。Kernel DMA Protection is a platform feature that must be supported by the system at the time of manufacturing. システムで Kernel DMA Protection がサポートされているかどうかを確認するには、MSINFO32.exe の概要ページにある Kernel DMA Protection フィールドを調べます。To check if the system supports Kernel DMA Protection, check the Kernel DMA Protection field in the Summary page of MSINFO32.exe.

    • 未構成 - (既定値)Not configured - (default)
    • すべてブロックするBlock all
    • すべて許可Allow all

エンドポイントの検出と応答Endpoint Detection and Response

次の設定の詳細については、Windows ドキュメント内の「WindowsAdvancedThreatProtection CSP」を参照してください。For more information about the following settings, see WindowsAdvancedThreatProtection CSP in the Windows documentation.

  • すべてのファイルのサンプル共有:Sample sharing for all files
    CSP: Configuration/SampleSharingCSP: Configuration/SampleSharing

    Microsoft Defender Advanced Threat Protection サンプル共有の構成パラメーターを返すか設定します。Returns or sets the Microsoft Defender Advanced Threat Protection Sample Sharing configuration parameter.

    • はい (既定値):Yes (default)
    • 未構成Not configured
  • テレメトリの報告頻度を早める:Expedite telemetry reporting frequency
    CSP: Configuration/TelemetryReportingFrequencyCSP: Configuration/TelemetryReportingFrequency

    Microsoft Defender Advanced Threat Protection テレメトリの報告頻度を早めます。Expedite Microsoft Defender Advanced Threat Protection telemetry reporting frequency.

    • はい (既定値):Yes (default)
    • 未構成Not configured

ファイアウォールFirewall

詳細については、Windows のドキュメントの「Firewall CSP」 (ファイアウォール CSP) を参照してください。For more information, see Firewall CSP in the Windows documentation.

  • ステートフル ファイル転送プロトコル (FTP) を無効にするDisable stateful File Transfer Protocol (FTP)
    CSP:MdmStore/Global/DisableStatefulFtpCSP: MdmStore/Global/DisableStatefulFtp

    • はい (既定値):Yes (default)
    • 未構成 - ファイアウォールでは FTP を使用して、セカンダリ ネットワーク接続が検査およびフィルター処理されます。これにより、ご利用のファイアウォール規則は無視される可能性があります。Not configured - The firewall will use FTP to inspect and filter secondary network connections, which could cause your firewall rules to be ignored.
  • セキュリティ アソシエーションが削除されるまでのアイドル状態の秒数Number of seconds a security association can be idle before it's deleted
    CSP:MdmStore/Global/SaIdleTimeCSP: MdmStore/Global/SaIdleTime

    ネットワーク トラフィックが表示されなくなった後に、セキュリティ アソシエーションを保持する期間を指定します。Specify how long the security associations are kept after network traffic is no longer seen. 構成しない場合、300 秒 (既定値) のアイドル期間を経て、セキュリティアソシエーションはシステムによって削除されます。When not configured, the system deletes a security association after it's been idle for 300 seconds (the default).

    数値は、300 から 3600 秒とする必要があります。The number must be from 300 to 3600 seconds.

  • 事前共有キーのエンコードPreshared key encoding
    CSP:MdmStore/Global/PresharedKeyEncodingCSP: MdmStore/Global/PresharedKeyEncoding

    UTF-8 を必要としない場合、事前共有キーが最初に UTF-8 を使用してエンコードされます。If you don't require UTF-8, preshared keys will initially be encoded using UTF-8. その後、デバイス ユーザーは別のエンコード方法を選択できます。After that, device users can choose another encoding method.

    • 未構成Not configured
    • なしNone
    • UTF8 (既定値)UTF8 (default)
  • 証明書失効リスト (CRL) の検証Certificate revocation list (CRL) verification
    CSP:MdmStore/Global/CRLcheckCSP: MdmStore/Global/CRLcheck

    証明書失効リスト (CRL) の検証をどのように適用するかを指定します。Specify how certificate revocation list (CRL) verification is enforced.

    • 未構成 (既定値) - CRL 検証は無効にされます。Not configured (default) - CRL verification is disabled.
    • なしNone
    • 試行回数Attempt
    • 必要Require
  • [パケット キュー]Packet queuing
    CSP:MdmStore/Global/EnablePacketQueueCSP: MdmStore/Global/EnablePacketQueue

    IPsec トンネル ゲートウェイのシナリオで、暗号化された受信とクリア テキストの転送について受信側のソフトウェアのスケーリングを有効にする方法を指定します。Specify how scaling for the software on the receive side is enabled for the encrypted receive and clear text forward for the IPsec tunnel gateway scenario. この設定により、パケットの順序が確実に保持されます。This setting ensures that the packet order is preserved.

    • 未構成 (既定値) - パケット キューはクライアントの既定値に戻され、無効になります。Not configured (default) - Packet queuing returns to the client default, which is disabled.
    • [無効]Disabled
    • インバウンドをキューに入れるQueue Inbound
    • アウトバウンドをキューに入れるQueue Outbound
    • 両方をキューに入れるQueue Both
  • ファイアウォール プロファイル プライベートFirewall profile private
    2.2.2 FW_PROFILE_TYPE2.2.2 FW_PROFILE_TYPE

    • 構成 (既定値)Configure (default)
    • 未構成Not configured

    [構成] に設定すると、次の追加設定を構成できます。When set to Configure, you can configure the following additional settings.

  • ファイアウォール プロファイル パブリックFirewall profile public
    2.2.2 FW_PROFILE_TYPE2.2.2 FW_PROFILE_TYPE

    • 構成 (既定値)Configure (default)
    • 未構成Not configured

    [構成] に設定すると、次の追加設定を構成できます。When set to Configure, you can configure the following additional settings.

  • ファイアウォール プロファイル ドメインFirewall profile domain
    CSP: 2.2.2 FW_PROFILE_TYPECSP: 2.2.2 FW_PROFILE_TYPE

Microsoft DefenderMicrosoft Defender

  • Run daily quick scan at (毎日スキャンを実行する時刻)Run daily quick scan at
    CSP: Defender/ScheduleQuickScanTimeCSP: Defender/ScheduleQuickScanTime

    毎日のクイック スキャンを実行する時刻を構成します。Configure when the daily quick scan runs. 既定では、スキャンの実行は [午前 2:00] に設定されます。By default, the scan run is set to 2 AM.

  • スケジュールされたスキャンの開始時間Scheduled scan start time

    既定では、これは [午前 2:00] に設定されます。By default, this is set to 2 AM.

  • スケジュールされたスキャン用に低い CPU 優先度を構成Configure low CPU priority for scheduled scans
    CSP: Defender/EnableLowCPUPriorityCSP: Defender/EnableLowCPUPriority

    -はい (既定値)-Yes (default)

    • 未構成Not configured
  • Office 通信アプリによる子プロセスの作成をブロックするBlock Office communication apps from creating child processes
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます。26190899-1602-49e8-8b27-eb1d0a1ce869。This ASR rule is controlled via the following GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • 未構成 - Windows の既定値が復元され、子プロセスの作成がブロックされることはありません。Not configured - The Windows default is restored, which is to not block creation of child processes.
    • ユーザー定義User defined
    • 有効 (既定値) - Office 通信アプリケーションによる子プロセスの作成がブロックされます。Enable (default) - Office communication applications are blocked from creating child processes.
    • 監査モード - 子プロセスをブロックするのでなく、Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking child processes.
  • Adobe Reader による子プロセスの作成をブロックするBlock Adobe Reader from creating child processes
    攻撃の回避規則を使用した攻撃の回避Reduce attack surfaces with attack surface reduction rules

    • 未構成 - Windows の既定値が復元され、子プロセスの作成がブロックされることはありません。Not configured - The Windows default is restored, is to not block creation of child processes.
    • ユーザー定義User defined
    • 有効 (既定値) - Adobe Reader による子プロセスの作成がブロックされます。Enable (default) - Adobe Reader is blocked from creating child processes.
    • 監査モード - 子プロセスをブロックするのでなく、Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking child processes.
  • 受信メール メッセージをスキャンするScan incoming email messages
    CSP: Defender/AllowEmailScanningCSP: Defender/AllowEmailScanning

    • はい (既定値) - メールのメールボックスとメール ファイル (PST、DBX、MNX、MIME、BINHEX など) がスキャンされます。Yes (default) - E-mail mailbox and mail files such as PST, DBX, MNX, MIME, and BINHEX are scanned.
    • 未構成 - 設定はクライアントの既定値に戻され、メール ファイルはスキャンされません。Not configured - The setting returns to the client default of e-mail files not being scanned.
  • リアルタイム保護を有効にするTurn on real-time protection
    CSP: Defender/AllowRealtimeMonitoringCSP: Defender/AllowRealtimeMonitoring

    • はい (既定値) - リアルタイム監視が適用されます。ユーザーはこれを無効にすることはできません。Yes (default) - Real-time monitoring is enforced and the user cannot disable it.
    • 未構成 - 設定はクライアントの既定値 (有効) に戻されますが、ユーザーはこれを変更できます。Not configured - The setting is returned to client default, which is on, but the user can change it. リアルタイム監視を無効にするには、カスタム URI を使用します。To disable real-time monitoring, use a custom URI.
  • Number of days (0-90) to keep quarantined malware (検査されたマルウェアを保持する日数 (0-90))Number of days (0-90) to keep quarantined malware
    CSP: Defender/DaysToRetainCleanedMalwareCSP: Defender/DaysToRetainCleanedMalware

    項目が削除されるまでの [検疫] フォルダーでの保管日数を構成します。Configure the number of days items should be kept in the quarantine folder before being removed. 既定値はゼロ (0) です。この場合、検疫されたファイルは削除されません。The default is zero (0), which results in quarantined files never being removed.

  • Defender システム スキャンのスケジュールDefender system scan schedule
    CSP:Defender/ScheduleScanDayCSP: Defender/ScheduleScanDay

    Defender がデバイスをスキャンする曜日をスケジュールします。Schedule on which day Defender scans devices. 既定では、スキャンは [ユーザー定義] になっています。その設定は [毎日] にすることも、曜日にすることも、 [スケジュールされたスキャンはありません] とすることもできます。By default the scan is User defined but can be set to Everyday, any day of the week, or to have No scheduled scan.

  • クラウド保護のタイムアウトを延長する追加の時間 (0 から 50 秒)Additional amount of time (0-50 seconds) to extend cloud protection timeout
    CSP: Defender/CloudExtendedTimeoutCSP: Defender/CloudExtendedTimeout

    Defender ウイルス対策を使用すると、疑わしいファイルが 10 秒間自動的にブロックされ、クラウド内のファイルがスキャンされ、安全であることを確認されます。Defender Antivirus automatically blocks suspicious files for 10 seconds so it can scan the files in the cloud to make sure they're safe. この設定では、このタイムアウトに最大 50 秒を追加できます。With this setting, you can add up to 50 additional seconds to this timeout. 既定では、タイムアウトはゼロ (0) に設定されます。By default, the timeout is set to zero (0).

  • フル スキャン中に、マップされたネットワーク ドライブをスキャンするScan mapped network drives during a full scan
    CSP:Defender/AllowFullScanOnMappedNetworkDrivesCSP: Defender/AllowFullScanOnMappedNetworkDrives

    • はい (既定値) - フルスキャン時に、マップされたネットワーク ドライブが含められます。Yes (default) - During a full scan, mapped network drives are included.
    • 未構成 - クライアントはその既定値に戻されます。これにより、マップされたネットワーク ドライブに対するスキャンは無効にされます。Not configured - The client returns to its default, which disables scanning on mapped network drives.
  • Turn on network protection (ネットワーク保護を有効にする)Turn on network protection
    CSP: Defender/EnableNetworkProtectionCSP: Defender/EnableNetworkProtection

    • はい (既定値) - Network Inspection System (NIS) で署名によって検出された悪意のあるトラフィックをブロックします。Yes (default) - Block malicious traffic detected by signatures in the Network Inspection System (NIS).
    • 未構成Not configured
  • すべてのダウンロード ファイルと添付ファイルをスキャンするScan all downloaded files and attachments
    CSP:Defender/AllowIOAVProtectionCSP: Defender/AllowIOAVProtection

    • はい (既定値) - ダウンロードされたファイルと添付ファイルがすべてスキャンされます。Yes (default) - All downloaded files and attachments are scanned. 設定はクライアントの既定値 (有効) に戻されますが、ユーザーはこれを変更できます。The setting is returned to client default, which is on, but the user can change it. この設定を無効にするには、カスタム URI を使用します。To disable this setting, use a custom URI.
    • 未構成 - 設定はクライアントの既定値 (有効) に戻されますが、ユーザーはこれを変更できます。Not configured - The setting is returned to client default, which is on, but the user can change it. この設定を無効にするには、カスタム URI を使用します。To disable this setting, use a custom URI.
  • ブラウザー スクリプトをスキャンするScan browser scripts
    CSP: Defender/AllowScriptScanningCSP: Defender/AllowScriptScanning

    • はい (既定値) - Microsoft Defender のスクリプト スキャン機能が適用され、ユーザーはこれを無効にすることはできません。Yes (default) - The Microsoft Defender Script Scanning functionality is enforced and the user cannot turn them off.
    • 未構成 - この設定は、クライアントの既定値 (スクリプト スキャンを有効にする) に戻されます。ただし、ユーザーはこれを無効にすることができます。Not configured - The setting is returned to client default, which is to enable script scanning, however the user can turn it off.
  • Microsoft Defender アプリへのユーザー アクセスをブロックするBlock user access to Microsoft Defender app
    CSP: Defender/AllowUserUIAccessCSP: Defender/AllowUserUIAccess

    • はい (既定値) - Microsoft Defender ユーザー インターフェイス (UI) にアクセスできず、通知は抑制されます。Yes (default) - The Microsoft Defender User Interface (UI) is inaccessible and notifications are surprised
    • 未構成 [はい] に設定すると、Windows Defender ユーザー インターフェイス (UI) にアクセスできなくなり、通知は抑制されます。Not configured When set to Yes, the Windows Defender User Interface (UI) will be inaccessible and notifications will be surprised. [未構成] に設定すると、設定はクライアントの既定値に戻され、通知は許可されます。When set to Not configured, the setting will return to client default in which UI and notifications will be allowed
  • スキャンあたりの最大許容 CPU 使用率 (0 から 100%)Maximum allowed CPU usage (0-100 percent) per scan
    CSP: Defender/AvgCPULoadFactorCSP: Defender/AvgCPULoadFactor

    スキャンに対する CPU の最大使用量をパーセントで指定します。Specify as a percentage the maximum amount of CPU to use for a scan. 既定値は 50 です。The default is 50.

  • スキャンの種類Scan type
    CSP: Defender/ScanParameterCSP: Defender/ScanParameter

    • ユーザー定義User defined
    • [無効]Disabled
    • クイック スキャン (既定値)Quick scan (default)
    • フル スキャンFull scan
  • Enter how often (0-24 hours) to check for security intelligence updates (セキュリティ インテリジェンスの更新を確認する頻度 (0-24 時間) の入力)Enter how often (0-24 hours) to check for security intelligence updates
    CSP: Defender/SignatureUpdateIntervalCSP: Defender/SignatureUpdateInterval

    署名の更新を確認する頻度を時間単位で指定します。Specify how often to check for updated signatures, in hours. たとえば、値を 1 とすると 1 時間ごとに確認されます。For example, a value of 1 will check each hour. 値が 2 の場合、2 時間ごとに確認されます。A value of 2 will check every two hours, and so on.

    値が定義されていない場合、デバイスでは、クライアントの既定値である 8 時間が使用されます。If no value is defined, devices use the client default of 8 hours.

  • Defender サンプル送信の同意Defender sample submission consent
    CSP: Defender/SubmitSamplesConsentCSP: Defender/SubmitSamplesConsent

    Microsoft Defender でデータを送信するためのユーザーの同意レベルを確認します。Checks for the user consent level in Microsoft Defender to send data. 必要な同意が既に与えられている場合、Microsoft Defender からそれらが送信されます。If the required consent has already been granted, Microsoft Defender submits them. それ以外の場合 (かつユーザーが "確認しない" を指定した場合)、( [クラウドによる保護][はい] に設定されている場合は) データを送信する前にユーザーの同意を求める UI が起動します。If not (and if the user has specified never to ask), the UI is launched to ask for user consent (when Cloud-delivered protection is set to Yes) before sending data.

    • 安全なサンプルを自動的に送信する (既定値)Send safe samples automatically (default)
    • [常に確認する]Always prompt
    • 送信しないNever send
    • すべてのサンプルを自動的に送信するSend all samples automatically
  • Cloud-delivered protection level (クラウドによる保護レベル)Cloud-delivered protection level
    CSP:CloudBlockLevelCSP: CloudBlockLevel

    疑わしいファイルのブロック時とスキャン時に適用する Defender ウイルス対策の度合いを構成します。Configure how aggressive Defender Antivirus is in blocking and scanning suspicious files.

    • 未構成 (既定値) - 既定の Defender のブロック レベル。Not configured (default) - Default Defender blocking level.
    • - クライアントのパフォーマンスを最適化しながら未知のものを積極的にブロックします。この場合、誤検知の可能性が高くなります。High - Aggressively block unknowns while optimizing client performance, which includes a greater chance of false positives.
    • 高+ - 不明なファイルを積極的にブロックし、追加の保護策を適用します。これはクライアントのパフォーマンスに影響を及ぼす可能性があります。High plus - Aggressively block unknowns and apply additional protection measures that might impact client performance.
    • ゼロ トレランス - 不明な実行可能ファイルをすべてブロックします。Zero tolerance - Block all unknown executable files.
  • アーカイブ ファイルをスキャンするScan archive files
    CSP: Defender/AllowArchiveScanningCSP: Defender/AllowArchiveScanning

    • はい (既定値) - ZIP ファイルや CAB ファイルなどのアーカイブ ファイルのスキャンが適用されます。Yes (default) - Scanning of archive files such as ZIP or CAB files is enforced.
    • 未構成 - 設定はクライアントの既定値 (アーカイブされたファイルをスキャン) に戻されますが、ユーザーはスキャンを無効にすることができます。Not configured - The setting will be returned back to client default, which is to scan archived files, however the user may disable scanning.
  • 動作の監視を有効にするTurn on behavior monitoring
    CSP: Defender/AllowBehaviorMonitoringCSP: Defender/AllowBehaviorMonitoring

    • はい (既定値) - 動作の監視が適用され、ユーザーはこれを無効にすることはできません。Yes (default) - Behavior monitoring is enforced and the user cannot disable it.
    • 未構成 - 設定はクライアントの既定値 (有効) に戻されますが、ユーザーはこれを変更できます。Not configured - The setting is returned to client default, which is on, but the user can change it. リアルタイム監視を無効にするには、カスタム URI を使用します。To disable real-time monitoring, use a custom URI.
  • フル スキャン中にリムーバブル ドライブをスキャンするScan removable drives during full scan
    CSP: Defender/AllowFullScanRemovableDriveScanningCSP: Defender/AllowFullScanRemovableDriveScanning

    • はい (既定値) - フル スキャン中に、リムーバブル ドライブ (USB フラッシュ ドライブなど) がスキャンされます。Yes (default) - During a full scan, removable drives (like USB flash drives) are scanned.
    • 未構成 - 設定は、クライアントの既定値 (リムーバブル ドライブをスキャン) に戻されますが、ユーザーはこのスキャンを無効にすることができます。Not configured - The setting returns to client default, which scans removable drives, however the user can disable this scan.
  • ネットワーク ファイルをスキャンするScan network files
    CSP:Defender/AllowScanningNetworkFilesCSP: Defender/AllowScanningNetworkFiles

    • はい (既定値) - Microsoft Defender によってネットワーク ファイルがスキャンされます。Yes (default) - Microsoft Defender scans network files.
    • 未構成 - クライアントはその既定値に戻されます。これにより、ネットワーク ファイルのスキャンが無効にされます。Not configured - The client returns to its default, which disables scanning of network files.
  • Defender potentially unwanted app action (Defender の望ましくないアプリに対するアクション)Defender potentially unwanted app action
    CSP: Defender/PUAProtectionCSP: Defender/PUAProtection

    望ましくない可能性のあるアプリケーション (PUA) の検出レベルを指定します。Specify the level of detection for potentially unwanted applications (PUAs). 望ましくない可能性のあるソフトウェアをダウンロードするか、デバイスにインストールしようとすると、Defender からユーザーに警告されます。Defender alerts users when potentially unwanted software is being downloaded or attempts to install on a device.

    • デバイスの既定Device default
    • ブロック (既定値) - 検出された項目はブロックされ、履歴に他の脅威と共に表示されます。Block (default) - Detected items are blocked, and show in history along with other threats.
    • 監査 - Defender で、望ましくない可能性のあるアプリケーションが検出されますが、対策は何も行われません。Audit - Defender detects potentially unwanted applications, but takes no action. イベント ビューアーで Defender によって作成されたイベントを検索することで、Defender でアプリケーションに対して実行されたアクションに関する情報を確認できます。You can review information about the applications Defender would have taken action against by searching for events that are created by Defender in the Event Viewer.
  • Turn on cloud-delivered protection (クラウドによる保護を有効にする)Turn on cloud-delivered protection
    CSP:AllowCloudProtectionCSP: AllowCloudProtection

    既定では、Windows 10 デスクトップ デバイス上の Defender から、検出された問題に関する情報が Microsoft に送信されます。By default, Defender on Windows 10 desktop devices sends information to Microsoft about any problems it finds. Microsoft ではその情報を分析し、お客様や他のユーザーに影響する問題の詳細を把握して、改善されたソリューションを提供しています。Microsoft analyzes that information to learn more about problems affecting you and other customers, to offer improved solutions.

    • はい (既定値) - クラウドで提供される保護が有効になります。Yes (default) - Cloud-delivered protection is turned on. デバイス ユーザーはこの設定を変更できません。Device users can't change this setting.
    • 未構成 - 設定はシステムの既定値に復元されますNot configured - The setting is restored to the system default.
  • Office アプリケーションによる他のプロセスへのコード挿入をブロックするBlock Office applications from injecting code into other processes
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます。75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84This ASR rule is controlled via the following GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured - The setting returns to the Windows default, which is off.
    • ブロック (既定値) - Office アプリケーションは、その他のプロセスへのコードの挿入をブロックされます。Block (default) - Office applications are blocked from injecting code into other processes.
    • 監査モード - ブロックするのでなく Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking.
  • Office アプリケーションによる実行可能なコンテンツの作成をブロックするBlock Office applications from creating executable content
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます。3B576869-A4EC-4529-8536-B80A7769E899This ASR rule is controlled via the following GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured - The setting returns to the Windows default, which is off.
    • ブロック (既定値) - Office アプリケーションは実行可能なコンテンツの作成をブロックされます。Block (default) - Office applications are blocked from create executable content.
    • 監査モード - ブロックするのでなく Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking.
  • JavaScript または VBScript による、ダウンロードされた実行可能なコンテンツの起動をブロックするBlock JavaScript or VBScript from launching downloaded executable content
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます。D3E037E1-3EB8-44C8-A917-57927947596DThis ASR rule is controlled via the following GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured - The setting returns to the Windows default, which is off.
    • ブロック (既定値) - Defender は、インターネットからダウンロードされた JavaScript または VBScript ファイルの実行をブロックされます。Block (default) - Defender blocks JavaScript or VBScript files that have been downloaded from the Internet from being executed.
    • 監査モード - ブロックするのでなく Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking.
  • ネットワーク保護を有効にするEnable network protection
    CSP: Defender/EnableNetworkProtectionCSP: Defender/EnableNetworkProtection

    • 未構成 - 設定は Windows の既定値に戻され、無効になります。Not configured - The setting returns to the Windows default, which is disabled.
    • ユーザー定義User defined
    • 有効 - システム上のすべてのユーザーを対象にネットワーク保護が有効にされます。Enable - Network protection is enabled for all users on the system.
    • 監査モード (既定値) - 危険なドメインからユーザーがブロックされるのでなく、Windows イベントが発生します。Audit mode (default) - Users aren't blocked from dangerous domains and Windows events are raised instead.
  • USB から実行された信頼されていない署名なしのプロセスをブロックするBlock untrusted and unsigned processes that run from USB
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4This ASR rule is controlled via the following GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured - The setting returns to the Windows default, which is off.
    • ブロック (既定値) - USB ドライブから実行される信頼されていないプロセスおよび無署名プロセスがブロックされます。Block (default) - Untrusted and unsigned processes that run from a USB drive are blocked.
    • 監査モード - ブロックするのでなく Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking.
  • Windows ローカル セキュリティ機関サブシステム (lsass.exe) からの資格情報の盗難をブロックするBlock credential stealing from the Windows local security authority subsystem (lsass.exe)
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます。9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2This ASR rule is controlled via the following GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured -The setting returns to the Windows default, which is off.
    • ユーザー定義User defined
    • 有効 (既定値) - lsass.exe を介して資格情報を盗もうとする試みがブロックされます。Enable (default) - Attempts to steal credentials via lsass.exe are blocked.
    • 監査モード - 危険なドメインからユーザーはブロックされず、代わりに Windows イベントが発生します。Audit mode - Users aren't blocked from dangerous domains and Windows events are raised instead.
  • 電子メールおよび Web メールのクライアントからの実行可能なコンテンツをブロックするBlock executable content download from email and webmail clients
    悪用からデバイスを保護するProtect devices from exploits

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured - The setting returns to the Windows default, which is off.
    • ブロック (既定値) - 電子メールおよび Web メールのクライアントからダウンロードした実行可能なコンテンツはブロックされます。Block (default) - Executable content downloaded from email and webmail clients is blocked.
    • 監査モード - ブロックするのでなく Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking.
  • すべての Office アプリケーションによる子プロセスの作成をブロックするBlock all Office applications from creating child processes
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます。D4F940AB-401B-4EFC-AADC-AD5F3C50688AThis ASR rule is controlled via the following GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured - The setting returns to the Windows default, which is off.
    • ブロック (既定値)Block (default)
    • 監査モード - ブロックするのでなく Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking.
  • 難読化されている可能性のあるスクリプト (js/vbs/ps) の実行をブロックするBlock execution of potentially obfuscated scripts (js/vbs/ps)
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます。5BEB7EFE-FD9A-4556-801D-275E5FFC04CCThis ASR rule is controlled via the following GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured - The setting returns to the Windows default, which is off.
    • ブロック (既定値) - 難読化されたスクリプトの実行が Defender によってブロックされます。Block (default) - Defender will block execution of obfuscated scripts.
    • 監査モード - ブロックするのでなく Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking.
  • Office マクロからの Win32 API 呼び出しをブロックするBlock Win32 API calls from Office macro
    悪用からデバイスを保護するProtect devices from exploits

    この ASR 規則は、次の GUID を使用して制御されます。92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7BThis ASR rule is controlled via the following GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • 未構成 - 設定は Windows の既定値 (無効) に戻されます。Not configured - The setting returns to the Windows default, which is off.
    • ブロック (既定値) - Office マクロは Win32 API 呼び出しの使用をブロックされます。Block (default) - Office macro's will be blocked from using Win32 API calls.
    • 監査モード - ブロックするのでなく Windows イベントが発生します。Audit mode - Windows events are raised instead of blocking.

Microsoft Defender セキュリティ センターMicrosoft Defender Security Center

  • ユーザーが Exploit Guard 保護インターフェイスを編集することをブロックするBlock users from editing the Exploit Guard protection interface
    CSP:WindowsDefenderSecurityCenter/DisallowExploitProtectionOverrideCSP: WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride

    • はい (既定値) - Microsoft Defender Security Center 内の悪用に対する保護設定の領域に対してユーザーは変更を加えることができなくなります。Yes (default) - Prevent users from making changes to the exploit protection settings area in the Microsoft Defender Security Center.
    • 未構成 - ローカル ユーザーは悪用に対する保護設定の領域に対して変更を加えることができます。Not configured - Local users can make changes in the exploit protection settings area.

スマート スクリーンSmart Screen

  • ユーザーが SmartScreen 警告を無視できないようにするBlock users from ignoring SmartScreen warnings
    CSP:SmartScreen/PreventOverrideForFilesInShellCSP: SmartScreen/PreventOverrideForFilesInShell

    この設定では、[Windows SmartScreen の有効化] 設定を [はい] にする必要があります。This setting requires the 'Turn on Windows SmartScreen' setting be set to Yes.

    • [はい] ("既定") - SmartScreen は有効になっており、ファイルや悪意のあるアプリに関する警告をユーザーは無視できません。Yes (default) - SmartScreen is enabled and users cannot bypass warnings for files or malicious apps.
    • [未構成] - ユーザーはファイルや悪意のあるアプリに関する SmartScreen の警告を無視できます。Not configured - Users can ignore SmartScreen warnings for files and malicious apps.
  • ストアからのアプリのみを要求するRequire apps from store only

    • はい (既定値):Yes (default)
    • 未構成Not configured
  • Windows SmartScreen を有効にするTurn on Windows SmartScreen
    CSP:SmartScreen/EnableSmartScreenInShellCSP: SmartScreen/EnableSmartScreenInShell

    • はい (既定値) - SmartScreen の使用をすべてのユーザーに強制します。Yes (default) - Enforce the use of SmartScreen for all users.
    • 未構成 - 設定を Windows の既定値に戻します。これにより、SmartScreen は有効にされますが、ユーザーはこの設定を変更できます。Not configured - Return the setting to Windows default, which is to enable SmartScreen, however users may change this setting. SmartScreen を無効にするには、カスタム URI を使用します。To disable SmartScreen, use a custom URI.

Windows Hello for BusinessWindows Hello for Business

詳細については、Windows のドキュメントの「PassportForWork CSP」を参照してください。For more information, see PassportForWork CSP in the Windows documentation.

  • Windows Hello for Business をブロックするBlock Windows Hello for Business

    Windows Hello for Business は、パスワード、スマート カード、および仮想スマート カードを置き換えることで Windows にサインインする代替方法です。Windows Hello for Business is an alternative method for signing into Windows by replacing passwords, Smart Cards, and Virtual Smart Cards.

    • 未構成 - デバイスによって Windows Hello for Business がデバイス プロビジョニングされます。これは Windows の既定値です。Not configured - Devices device provision Windows Hello for Business, which is the Windows default.
    • 無効 (既定値) - デバイスによって Windows Hello for Business がプロビジョニングされます。Disabled (default) - Devices provision Windows Hello for Business.
    • 有効 - デバイスでは、どのユーザーに対しても Windows Hello for Business がプロビジョニングされません。Enabled - Devices do not provision Windows Hello for Business for any user.

    [無効] に設定すると、次の設定を構成できます。When set to Disabled, you can configure the following settings:

    • [PIN での小文字の使用]Lowercase letters in PIN

      • 許可しないNot allowed
      • 必須Required
      • 許可 (既定値)Allowed (default)
    • [PIN での特殊文字の使用]Special characters in PIN

      • 許可しないNot allowed
      • 必須Required
      • 許可 (既定値)Allowed (default)
    • [PIN での大文字の使用]Uppercase letters in PIN

      • 許可しないNot allowed
      • 必須Required
      • 許可 (既定値)Allowed (default)

次のステップNext steps