Microsoft Defender for Businessでポリシーを表示または編集する

Defender for Business では、デバイスに適用されるポリシーを使用してセキュリティ設定を構成します。 セットアップと構成のエクスペリエンスを簡素化するために、Defender for Business には、会社のデバイスがオンボードされるとすぐに保護するのに役立ついくつかの構成済みポリシーが含まれています。 作成できるポリシーには他にも種類があります (「Microsoft Defender for Businessでセキュリティ ポリシーと設定を設定、確認、編集する」を参照してください)。

この記事では、Defender for Business でセキュリティ ポリシーを表示、編集、作成する方法について説明します。

この記事には、次のものが含まれます。

• Defender for Business に含まれる既定のポリシーの一覧 (次世代の保護とファイアウォール)
• Defender for Business で設定できる追加のポリシー (Web コンテンツのフィルター処理、フォルダー アクセスの制御、攻撃面の縮小ルール)
• 既存のポリシーを表示する方法
• 既存のポリシーを編集する方法
• 新しいポリシーを作成する方法

Defender for Business の既定のポリシー

Defender for Business には、会社のデバイスがオンボードされるとすぐに保護するように設計された、2 種類のメインの既定のポリシーがあります。

• 次世代の保護ポリシー。ウイルス対策やその他の脅威保護機能Microsoft Defender構成する方法を決定します。
• ファイアウォール ポリシー。会社のデバイスとの間で送受信できるネットワーク トラフィックを決定します。

次世代の保護 には、コンピューターとモバイル デバイスに対する堅牢なウイルス対策とマルウェア対策保護が含まれます。 既定のポリシーは、生産性を妨げずにデバイスとユーザーを保護するように設計されています。 ただし、ビジネス ニーズに合わせてポリシーをカスタマイズできます。 詳細については、「 次世代の保護ポリシーを確認または編集する」を参照してください。

ファイアウォール ポリシーは、 デバイスとの間のフローが許可されるネットワーク トラフィックを決定する規則を確立することで、デバイスのセキュリティ保護に役立ちます。 ファイアウォール保護を使用して、さまざまな場所のデバイスでの接続を許可するかブロックするかを指定できます。 たとえば、ファイアウォール設定では、会社の内部ネットワークに接続されているデバイスで受信接続を許可できますが、デバイスが信頼されていないデバイスを持つネットワーク上にある場合は接続を禁止できます。 詳細については、「 ファイアウォール」を参照してください。

Defender for Business で設定するポリシー

次世代の保護ポリシーとファイアウォール ポリシーに加えて、Defender for Business で最適な保護を構成するための他の 3 種類のポリシーがあります。

• Web コンテンツのフィルター処理。これにより、organizationの Web 保護が有効になります。
• ランサムウェア保護の重要な部分であるフォルダー アクセスの制御 (セットアップと管理にはIntuneが必要です)
• デバイスの脆弱性を軽減するのに役立つ攻撃面の縮小ルール (設定と管理にはIntuneが必要です)

Web コンテンツ フィルタリング。これにより、セキュリティ チームはコンテンツ カテゴリに基づいて Web サイトへのアクセスを追跡および規制できます。 カテゴリの例としては、成人コンテンツ、高帯域幅コンテンツ、法的責任コンテンツなどがあります。 Web コンテンツ フィルター ポリシーを設定すると、organizationの Web 保護を有効にします。 詳細については、「 Web コンテンツのフィルター処理」を参照してください。

フォルダーアクセスの制御 により、信頼されたアプリのみが Windows デバイス上の保護されたフォルダーにアクセスできます。 この機能はランサムウェアの軽減策と考えてください。 Microsoft Intuneで、制御されたフォルダー アクセス ポリシーを設定または編集できます。 詳細については、「 制御されたフォルダー アクセス ポリシーを設定または編集する」を参照してください。

攻撃面の縮小ルール は、一般的にマルウェアを介して攻撃者によって悪用されるため、危険と見なされる特定のソフトウェア動作を対象としています。 このような動作の例としては、実行可能ファイルの起動や、ファイルのダウンロードまたは実行を試みるスクリプトなどがあります。 攻撃面の縮小ルールは、ソフトウェアベースの危険な動作を制限し、organizationを安全に保つのに役立ちます。 少なくとも、ユーザーの中断を引き起こさずにネットワークを保護するために、標準の保護規則を構成することをお勧めします。 詳細については、「Microsoft Defender for Businessで攻撃面の縮小ルールを有効にする」を参照してください。

注:

Intuneは、制御されたフォルダー アクセスと攻撃面の縮小ルールを構成するために必要です。 Intuneは Defender for Business のスタンドアロン バージョンには含まれていませんが、サブスクリプションに追加できます。

既存のポリシーを表示する

既存のポリシーは、Microsoft Defender ポータル (https://security.microsoft.com) またはIntune管理センター () (https://intune.microsoft.comIntuneを使用している場合) で表示できます。

Microsoft Defender ポータル

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで、[ 構成管理>] [デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護] や [ファイアウォール] など) ごとに分類されています。

3. [オペレーティング システム] タブ ( Windows クライアントなど) を選択し、各カテゴリ ( 次世代保護 やファイアウォールなど) の下にあるポリシーの一覧を確認 します。

4. ポリシーの詳細を表示するには、その名前を選択します。 サイド ウィンドウが開き、そのポリシーに関する詳細情報 (そのポリシーで保護されているデバイスなど) が表示されます。

管理センター Intune

1. Intune管理センター (https://intune.microsoft.com/) に移動し、サインインします。

2. ナビゲーション ウィンドウで [ エンドポイント セキュリティ] を選択し、 ウイルス対策、ファイアウォールなどのカテゴリを選択 します。 または 攻撃面の縮小。

3. 選択したカテゴリの既存のポリシーが一覧表示されます。 ポリシーの詳細を表示するには、その名前を選択します。

既存のポリシーを編集する

既存のポリシーは、Microsoft Defender ポータル (https://security.microsoft.com) またはIntune管理センター () (https://intune.microsoft.comIntuneを使用している場合) で表示できます。

Microsoft Defender ポータル

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで、[デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護] や [ファイアウォール] など) ごとに分類されています。

3. オペレーティング システムのタブ ([Windows クライアント] など) を選択し、[次世代保護] と [ファイアウォール] のカテゴリでポリシーの一覧を確認します。

4. ポリシーを編集するには、その名前を選択し、[編集] を選択します。

5. [全般情報] タブで情報を確認します。 必要に応じて、説明を編集できます。 [次へ] を選択します。

6. [デバイス グループ] タブで、このポリシーを受け取るデバイス グループを決定します。

   • 選択したデバイス グループをそのままにするには、[次へ] を選択します。
   • ポリシーからデバイス グループを削除するには、[削除] を選択 します。
   • 新しいデバイス グループを設定するには、[新しいグループの作成] を選択し、デバイス グループを設定します。 (このタスクに関するヘルプを表示するには、「 デバイス グループ」を参照してください)。
   • ポリシーを別のデバイス グループに適用するには、[既存のグループを使用] を選択します。

   ポリシーを受け取るデバイス グループを指定したら、[次へ] を選択します。

7. [構成の設定] タブで設定を確認します。 必要に応じて、ポリシーの設定を編集できます。 このタスクのヘルプについては、次の記事を参照してください。

   • 次世代の構成設定を理解する
   • ファイアウォールの設定

   次世代の保護設定を指定したら、[次へ] を選択します。

8. [ポリシーの確認] タブで、一般情報、対象デバイス、および構成設定を確認します。

   • [編集] を選択して、必要な変更を加えます。
   • 続行する準備ができたら、[ ポリシーの更新] を選択します。

管理センター Intune

1. Intune管理センター (https://intune.microsoft.com/) に移動し、サインインします。

2. ナビゲーション ウィンドウで [ エンドポイント セキュリティ] を選択し、 ウイルス対策、ファイアウォールなどのカテゴリを選択 します。 または 攻撃面の縮小。

3. 既存のポリシーが一覧表示されます。 ポリシーを選択して、詳細を表示します。

4. [構成の設定] の横にある [編集] を選択します。

   このタスクに関するヘルプについては、「Intuneでポリシーを編集する」を参照してください。

新しいポリシーの作成

Microsoft Defender ポータル

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで、[デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護] や [ファイアウォール] など) ごとに分類されています。

3. オペレーティング システムのタブ ([Windows クライアント] など) を選択し、[次世代保護] ポリシーの一覧を確認します。

4. [次世代保護] または [ファイアウォール] で、[+ 追加] を選択します。

5. [全般情報] タブで次の手順を実行します。

   1. 名前と説明を入力します。 この情報は、後で自分とチームがポリシーを特定するのに役立ちます。
   2. ポリシーの順序を確認し、必要に応じて編集します。 (詳細については、「ポリシーの順序」を参照してください)。
   3. 次へを選択します。

6. [デバイス グループ] タブで、新しいデバイス グループを作成するか、既存のグループを使用します。 ポリシーは、デバイス グループを介してデバイスに割り当てられます。 留意事項がいくつかあります。

   • 最初は、会社のユーザーが会社のデータや電子メールにアクセスするために使用しているデバイスを含む、既定のデバイス グループのみを使用できます。 既定のデバイス グループを残して使用することができます。
   • 既定のポリシーとは異なる特定の設定でポリシーを適用するには、新しいデバイス グループを作成します。
   • デバイス グループを設定するときは、オペレーティング システムのバージョンなど、特定の条件を指定します。 条件を満たすデバイスは、除外しない限り、そのデバイス グループに含まれます。
   • 定義した既定のデバイス グループとカスタム デバイス グループを含むすべてのデバイス グループは、Microsoft Entra IDに格納されます。

   デバイス グループの詳細については、「 デバイス グループ」を参照してください。

7. [構成設定] タブで、ポリシーの設定を指定し、[次へ] を選択します。 個々の設定の詳細については、「 Defender for Business の構成設定」を参照してください。

8. [ポリシーの確認] タブで、一般情報、対象デバイス、および構成設定を確認します。

   • [編集] を選択して、必要な変更を加えます。
   • 続行する準備ができたら、[ポリシーのCreate] を選択します。

管理センター Intune

1. Intune管理センター (https://intune.microsoft.com/) に移動し、サインインします。

2. ナビゲーション ウィンドウで [ エンドポイント セキュリティ] を選択し、 ウイルス対策、ファイアウォールなどのカテゴリを選択 します。 または 攻撃面の縮小。

3. [+ Create ポリシー] を選択します。

   • ポリシーが Windows デバイス用の場合は、[プラットフォーム] ボックスの一覧で[Windows 10]、[Windows 11]、[Windows Server] の順に選択します。
   • ポリシーが Mac 用の場合は、[ プラットフォーム ] の一覧で [ macOS] を選択します。

4. [プロファイル] ボックスの一覧でプロファイルを選択し、[Create] を選択します。

   プロファイルの一覧は、次の表に示すように、[プラットフォーム] で選択した内容によって異なります。

   プラットフォーム	プロファイル	説明
   Windows 10、Windows 11 および Windows Server	Microsoft Defender ウイルス対策の除外	このテンプレートを選択して、Microsoft Defenderウイルス対策の除外を定義します。
   Windows 10、Windows 11 および Windows Server	Microsoft Defender ウイルス対策	次世代の保護ポリシーを設定するには、このテンプレートを選択します。
   Windows 10、Windows 11 および Windows Server	Windows セキュリティ エクスペリエンス	改ざん防止を有効にし、コンピューター上のWindows セキュリティ アプリでユーザーが表示または実行できる操作を構成するには、このテンプレートを選択します。
   macOS	ウイルス対策	macOS を実行しているデバイスの 次世代保護ポリシー を設定するには、このテンプレートを選択します。
   Windows 10、Windows 11 および Windows Server	Microsoft Defender ファイアウォール	ファイアウォール保護ポリシーを設定するには、このテンプレートを選択します。
   Windows 10、Windows 11 および Windows Server	Microsoft Defender ファイアウォール ルール	ファイアウォール ポリシーの例外を設定するには、このテンプレートを選択します。 これらの例外は、 カスタム ルールを使用して定義されます。
   Windows 10、Windows 11 および Windows Server	攻撃面の縮小ルール	攻撃面の縮小ルールまたは制御されたフォルダー アクセスを設定するには、このテンプレートを選択します。

5. ウィザードを使用してポリシーを設定します。 ヘルプについては、「Microsoft Intuneのエンドポイント セキュリティ ポリシーを使用してデバイス セキュリティを管理する」を参照してください。

関連項目

• ポリシーの順序について
• セキュリティ ポリシーと設定を設定する