デバイス制御を手動で展開および管理する

[アーティクル]
04/30/2024

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Microsoft Defender for Endpointデバイス制御機能を使用すると、リムーバブルストレージへの読み取り、書き込み、または実行アクセスを監査、許可、または防止でき、除外の有無にかかわらず iOS およびポータブルデバイスと Bluetooth メディアを管理できます。

ライセンスの要件

リムーバブルストレージ Access Controlの使用を開始する前に、Microsoft 365 サブスクリプションを確認する必要があります。リムーバブル記憶域Access Controlにアクセスして使用するには、Microsoft 365 E3が必要です。

重要

この記事には、サードパーティ製ツールに関する情報が含まれています。これは統合シナリオの完了に役立ちますが、Microsoft ではサードパーティ製ツールのトラブルシューティングサポートを提供していません。
サポートについては、サードパーティベンダーにお問い合わせください。

ポリシーを手動で展開する

この方法は、運用前環境でのみ推奨されます。バージョン 101.23082.0018 以降で使用できます。ポリシー JSON を作成し、すべてのユーザーに MDM 経由でデプロイする前に、1 台のコンピューターで試すことができます。 Microsoft では、運用環境に MDM を使用することをお勧めします。

ポリシーは、MDM (マネージド構成として) を使用して設定されていない場合にのみ、手動で設定できます。

手順 1: ポリシー JSON をCreateする

これで、 groups、 rules、 settings、それらを 1 つの JSON に結合します。デモファイルは、メインの mdatp-devicecontrol/deny_removable_media_except_kingston.json - microsoft/mdatp-devicecontrol (github.com) です。ポリシー形式が正しいことを確認するには、JSON スキーマを使用してポリシーを検証してください。mdatp-devicecontrol/device_control_policy_schema.json (メイン - microsoft/mdatp-devicecontrol (github.com))。

設定、ルール、およびグループの詳細については、「 macOS のデバイス制御」を参照してください。

手順 2: ポリシーを適用する

を使用して mdatp config device-control policy set --path <full-path-to-policy.json> ポリシーを適用します。保護された操作を試すか、通常 mdatp device-control のコマンドを使用して有効なポリシーを検査できるようになりました。

> mdatp device-control policy preferences list
.Preferences
|-o UX
| |-o Navigation Target: "https://www.microsoft.com"
|-o Features
| |-o Removable Media
|   |-o Disable: false
|-o Global
  |-o Default Enforcement: "allow"

ポリシーファイルを編集して再適用し、変更をすぐに確認できます。

手順 3: 変更を元に戻す

ポリシーをクリアするには、を使用します mdatp config device-control policy reset。

Share via