Microsoft Defender for Endpointのデバイス制御ポリシー

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

この記事では、デバイス制御ポリシー、ルール、エントリ、グループ、および高度な条件について説明します。 基本的に、デバイス制御ポリシーは、一連のデバイスのアクセスを定義します。 スコープ内のデバイスは、含まれているデバイス グループの一覧と除外されたデバイス グループの一覧によって決まります。 ポリシーは、デバイスが含まれるすべてのデバイス グループ内にあり、除外されたデバイス グループに存在しない場合に適用されます。 ポリシーが適用されない場合は、既定の適用が適用されます。

既定ではデバイス制御が無効になっているため、すべての種類のデバイスへのアクセスが許可されます。 デバイス制御の詳細については、「Microsoft Defender for Endpointのデバイス制御」を参照してください。

既定の動作の制御

デバイス制御が有効になっている場合、既定では、すべてのデバイスの種類に対して有効になります。 既定の適用は、[許可] から [拒否] に変更することもできます。 セキュリティ チームは、デバイスコントロールが保護するデバイスの種類を構成することもできます。 次の表は、さまざまな設定の組み合わせによってアクセス制御の決定がどのように変わるかを示しています。

デバイス制御は有効になっていますか?	既定の動作	デバイスの種類
いいえ	アクセスが許可されている	- CD/DVD ドライブ -プリンター - リムーバブル メディア デバイス - Windows ポータブル デバイス
はい	(指定なし) アクセスが許可されている	- CD/DVD ドライブ -プリンター - リムーバブル メディア デバイス - Windows ポータブル デバイス
はい	拒否	- CD/DVD ドライブ -プリンター - リムーバブル メディア デバイス - Windows ポータブル デバイス
はい	リムーバブル メディア デバイスとプリンターを拒否する	- プリンターとリムーバブル メディア デバイス (ブロック) - CD/DVD ドライブと Windows ポータブル デバイス (許可)

デバイスの種類が構成されている場合、Defender for Endpoint のデバイス制御は、他のデバイス ファミリへの要求を無視します。

詳細については、次の記事を参照してください。

• Intuneを使用してデバイス制御をデプロイおよび管理する
• グループ ポリシーを使用してデバイス制御をデプロイおよび管理する

ポリシー

デバイスへのアクセスをさらに絞り込むために、デバイス制御ではポリシーが使用されます。 ポリシーは、一連のルールとグループです。 ルールとグループの定義方法は、次の表に示すように、管理エクスペリエンスとオペレーティング システムによって若干異なります。

管理ツール	オペレーティング システム	ルールとグループの管理方法
Intune – デバイス制御ポリシー	Windows	デバイスとプリンター グループは、再利用可能な設定として管理し、ルールに含めることができます。 すべての機能がデバイス制御ポリシーで使用できるわけではありません (「Microsoft Intuneを使用してデバイス制御を展開および管理する」を参照してください)
Intune – カスタム	Windows	各グループ/ルールは、カスタム構成ポリシーに XML 文字列として格納されます。 OMA-URI には、グループ/ルールの GUID が含まれています。 GUID を生成する必要があります。
グループ ポリシー	Windows	グループとルールは、グループ ポリシー オブジェクトの個別の XML 設定で定義されます (「グループ ポリシーを使用したデバイスコントロールのデプロイと管理」を参照してください)。
Intune	Mac	ルールとポリシーは 1 つの JSON に組み合わされ、Intuneを使用してデプロイされるファイルに含まれますmobileconfig。
JAMF	Mac	ルールとポリシーは 1 つの JSON に結合され、デバイス制御ポリシーとして JAMF を使用して構成されます ( 「macOS のデバイス制御」を参照してください)

ルールとグループは、グローバル一意 ID (GUID) によって識別されます。 Intune以外の管理ツールを使用してデバイス制御ポリシーを展開する場合は、GUID を生成する必要があります。 PowerShell を使用して GUID を生成できます。

スキーマの詳細については、「 Mac 用 JSON スキーマ」を参照してください。

ユーザー

デバイス制御ポリシーは、ユーザーまたはユーザー グループに適用できます。

注:

デバイス制御に関連する記事では、ユーザーのグループを ユーザー グループと呼びます。 " グループ " という用語は、デバイス制御ポリシーで定義されている グループ を指します。

Intuneを使用して、Mac と Windows のいずれかで、デバイス制御ポリシーを Entra Id で定義されたユーザー グループを対象にすることができます。

Windows では、ユーザーまたはユーザー グループは、ポリシー内の エントリ の条件にすることができます。

ユーザーまたはユーザー グループを含むエントリは、Entra ID またはローカル Active Directory からオブジェクトを参照できます。

ユーザーとユーザー グループでデバイス制御を使用するためのベスト プラクティス

• Windows で個々のユーザーのルールを作成するには、ルール内で foreach ユーザーの条件を持 Sid つエントリを作成 します

• Windows および Intune でユーザー グループのルールを作成するには、[ルール] 内の各ユーザー グループの条件を含むSidエントリを作成し、Intune内のマシン グループにポリシーをターゲットにするか、条件のないルールを作成し、ユーザー グループにIntuneポリシーをターゲットにします。

• Mac では、Intuneを使用し、Entra Id のユーザー グループにポリシーをターゲットにします。

警告

ルールではユーザー/ユーザー グループの条件と、Intuneでのユーザー グループのターゲット設定の両方を使用しないでください。

注:

ネットワーク接続が問題である場合は、ターゲットIntuneユーザー グループまたはローカル Active Directory グループを使用します。 Entra Id を参照するユーザー/ユーザー グループの条件は、Entra ID への信頼できる接続を持つ環境 でのみ 使用する必要があります。

ルール

ルールは、含まれるグループの一覧と除外されたグループの一覧を定義します。 ルールを適用するには、デバイスが含まれるすべてのグループに存在し、除外されたグループは存在しない必要があります。 デバイスがルールと一致する場合、そのルールのエントリが評価されます。 エントリは、要求が条件と一致する場合に適用されるアクションと通知オプションを定義します。 規則が適用されない場合、または要求に一致するエントリがない場合は、既定の適用が適用されます。

たとえば、一部の USB デバイスに対して書き込みアクセスを許可し、他のすべての USB デバイスに対する読み取りアクセスを許可するには、既定の適用が拒否に設定されている次のポリシー、グループ、エントリを使用します。

Group	説明
すべてのリムーバブル 記憶域デバイス	リムーバブル 記憶域デバイス
書き込み可能な USB	書き込みアクセスが許可されている USB の一覧

Rule	含まれるデバイス グループ	除外されたデバイス グループ	エントリ
USB の読み取り専用アクセス	すべてのリムーバブル 記憶域デバイス	書き込み可能な USB	読み取り専用アクセス
USB の書き込みアクセス	書き込み可能な USB		書き込みアクセス

レポート用のポータルとユーザーへのトースト通知にルールの名前が表示されるので、ルールにわかりやすい名前を付けてください。

ルールを構成するには、Intuneでポリシーを編集するか、Windows の XML ファイルを使用するか、Mac の JSON ファイルを使用します。 詳細については、各タブを選択してください。

Intune

次の図は、Intuneのデバイス制御ポリシーの構成設定を示しています。

スクリーンショットの [含める ID] と [除外された ID] は、含まれている再利用可能な設定グループと除外された設定グループへの参照です。 1 つのポリシーに複数のルールを設定できます。

Intuneはルールの順序を考慮しません。 ルールは任意の順序で評価できるため、ルールのスコープ内にないデバイスのグループを明示的に除外してください。

XML (Windows)

次のコード スニペットは、XML のデバイス制御ポリシー 規則の構文を示しています。

<PolicyRule Id="{75a4e33a-5268-4552-bef2-e34dd0c39cb1}">
  <Name>Read Only Access for USBs</Name>
  <IncludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171694}</GroupId>
  </IncludedIdList>
  <ExcludedIdList>
      <GroupId>{3f5253e4-0e73-4587-bb9e-bb29a2171695}</GroupId>
  <ExcludedIdList>
  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
   ...
  </Entry>
  <Entry Id="{34413b98-8198-4e16-accf-c95c3c775ba3}">
    ...
  </Entry>
</PolicyRule>

次の表は、XML コード スニペットのより多くのコンテキストを示しています。

プロパティ名	説明	オプション
PolicyRule Id	一意の ID である GUID はポリシーを表し、レポートとトラブルシューティングで使用されます。	POWERShell を使用して ID を生成できます。
Name	文字列。ポリシーの名前であり、ポリシー設定に基づいてトーストに表示されます。
IncludedIdList	ポリシーが適用されるグループ。 複数のグループを追加する場合、メディアはリスト内の各グループのメンバーである必要があります。	このインスタンスでは、グループ ID/GUID を使用する必要があります。 次の例は、GroupID の使用方法を示しています。 <IncludedIdList> <GroupId> {EAA4CCE5-F6C9-4760-8BAD-FDCC76A2ACA1}</GroupId> </IncludedIdList>
ExcludedIDList	ポリシーが適用されないグループ。 複数のグループを追加する場合、メディアは除外するリスト内のグループのメンバーである必要があります。	このインスタンスでは、グループ ID/GUID を使用する必要があります。
Entry	1 つの PolicyRule に複数のエントリを含めることができます。一意の GUID を持つ各エントリは、デバイスコントロールに 1 つの制限を伝えます。	詳細については、以下の「エントリ のプロパティ」の表を参照してください。

JSON (Mac)

次のコード スニペットは、macOS 用 JSON のデバイス制御ポリシー 規則の構文を示しています。

{
      "id": "75a4e33a-5268-4552-bef2-e34dd0c39cb1",
      "name": "Read Only Access for USBs",
      "includeGroups": [
        "3f5253e4-0e73-4587-bb9e-bb29a2171694"
      ],
      "includedGroups":[
         "3f5253e4-0e73-4587-bb9e-bb29a2171695"
      ]
      "entries": [
        ...
      ]
    }

次の表は、XML コード スニペットのより多くのコンテキストを示しています。

プロパティ名	説明	オプション
id	一意の ID である GUID はルールを表し、ポリシーで使用されます。	New-Guid (Microsoft.PowerShell.Utility) - PowerShell<br/>uuidgen
name	文字列、ポリシーの名前、およびポリシー設定に基づいてトーストに表示されます。
includeGroups	ポリシーが適用されるグループ。 複数のグループが指定されている場合、ポリシーはそれらのすべてのグループ内の任意のメディアに適用されます。 指定しない場合、ルールはすべてのデバイスに適用されます。	このインスタンスでは、グループ内の ID 値を使用する必要があります。 includeGroups に複数のグループがある場合は です AND。 "includeGroups": ["3f082cd3-f701-4c21-9a6a-ed115c28e217"]
excludeGroups	ポリシーが適用されないグループ。	このインスタンスでは id 、グループ内の値を使用する必要があります。 excludeGroups に複数のグループがある場合は です OR。
entries	1 つのルールに複数のエントリを含めることができます。一意の GUID を持つ各エントリは、Device Control に 1 つの制限を示します。	詳細については、この記事の後半の「エントリ プロパティ テーブル」を参照してください。

Entries

デバイス制御ポリシーは、一連のデバイスのアクセス (エントリと呼ばれます) を定義します。 エントリは、ポリシーとエントリで定義されている条件に一致するデバイスのアクションと通知のオプションを定義します。

エントリ設定	オプション
AccessMask	アクセス操作がアクセス マスクと一致する場合にのみアクションを適用します。アクセス マスクは、アクセス値のビットごとの OR です。 1 - デバイスの読み取り 2 - デバイス書き込み 4 - デバイス実行 8 - ファイルの読み取り 16 - ファイル書き込み 32 - ファイルの実行 64 - 印刷 以下に例を示します。 デバイスの読み取り、書き込み、実行 = 7 (1+2+4) デバイスの読み取り、ディスクの読み取り = 9 (1 + 8)
アクション	許可 拒否 AuditAllow AuditDeny
Notification	なし (既定値) イベントが生成される ユーザーが通知を受け取る ファイルの証拠がキャプチャされる

警告

2024 年 2 月のリリースでは、ディスク/デバイス レベルのアクセス権のみを持つリムーバブル メディア ポリシー (7 以下のマスク) を使用しているデバイス コントロールのお客様に対して一貫性のない結果が発生します。 強制が期待どおりに機能しない可能性があります。 この問題を軽減するには、以前のバージョンにロールバックすることをお勧めします。

デバイス制御が構成されていて、ユーザーが許可されていないデバイスを使用しようとすると、ユーザーはデバイスコントロールポリシーの名前とデバイスの名前を含む通知を受け取ります。 通知は、初回アクセスが拒否された後、1 時間に 1 回表示されます。

エントリは、次の省略可能な条件をサポートします。

• ユーザー/ユーザー グループの条件: SID によって識別されるユーザー/ユーザー グループにのみアクションを適用します

注:

Microsoft Entra ID に格納されているユーザー グループとユーザーの場合は、条件で オブジェクト ID を使用します。 ローカルに格納されているユーザー グループとユーザーの場合は、セキュリティ識別子 (SID) を使用します。

注:

Windows では、PowerShell コマンド whoami /userを実行することで、サインインしているユーザーの SID を取得できます。

• マシンの条件: SID によって識別されるデバイス/グループにのみアクションを適用します
• パラメーター条件: パラメーターが一致する場合にのみアクションを適用します (詳細条件を参照してください)

エントリは、特定のユーザーとデバイスにさらにスコープを設定できます。 たとえば、このデバイスでのみ、このユーザーに対してこれらの USB への読み取りアクセスを許可します。

ポリシー	含まれるデバイス グループ	除外されたデバイス グループ	Entry(ies)
USB の読み取り専用アクセス	すべてのリムーバブル 記憶域デバイス	書き込み可能な USB	読み取り専用アクセス
USB の書き込みアクセス	書き込み可能な USB		ユーザー 1 の書き込みアクセス デバイス グループ A のユーザー 2 の書き込みアクセス

アクションを適用するには、エントリ内のすべての条件が true である必要があります。

エントリは、Intune、Windows の XML ファイル、または Mac 上の JSON ファイルを使用して構成できます。 詳細については、各タブを選択してください。

Intune

Intuneの [アクセス マスク] フィールドには、次のようなオプションがあります。

• 読み取り (ディスク レベルの読み取り = 1)
• 書き込み (ディスク レベルの書き込み = 2)
• 実行 (ディスク レベルの実行 = 4)
• Print (Print = 64)。

すべての機能が Intune ユーザー インターフェイスに表示されるわけではありません。 詳細については、「Intuneを使用したデバイス制御のデプロイと管理」を参照してください。

XML (Windows)

次のコード スニペットは、XML のデバイス コントロール エントリの構文を示しています。

  <Entry Id="{e3837e60-5e56-43ce-8095-043ccd793eac}">
    <Type>Allow</Type>
    <Options>0</Options>
    <AccessMask>1</AccessMask>
  </Entry>

次の表は、XML コード スニペットのより多くのコンテキストを示しています。

プロパティ名	説明	オプション
Entry Id	一意の ID である GUID はエントリを表し、レポートとトラブルシューティングで使用されます。	POWERShell を使用して GUID を生成できます。
Type	でリムーバブル 記憶域グループのアクションを IncludedIDList定義します。 - Allow - Deny - AuditAllowed: アクセスが許可されている場合の通知とイベントを定義します。 - AuditDenied: アクセスが拒否されたときの通知とイベントを定義します。はエントリと連携します Deny 。 同じメディアに競合の種類がある場合、システムはポリシーの最初の種類を適用します。 競合の種類の例として、 と DenyがありますAllow。	- Allow - Deny - AuditAllowed - AuditDenied
Option	型が Allow	- 0：何もない - 4: このエントリの と AuditDenied を無効にしますAuditAllowed。 が発生し、設定がAuditAllowed構成されている場合Allow、イベントは生成されません。 - 8: ファイルのコピーを証拠として作成し、イベントを生成します RemovableStorageFileEvent 。 この設定は、Intuneまたはグループ ポリシーのファイル設定のコピーの [場所の設定] と共に使用する必要があります。
Option	型が Deny	- 0：何もない - 4: このエントリを無効にします AuditDenied 。 [ブロック] が発生し、 AuditDenied が構成されている場合、システムは通知を表示しません。
Option	型が AuditAllowed	- 0：何もない - 1：何もない - 2: send イベント
Option	型が AuditDenied	- 0：何もない - 1: 通知を表示する - 2: send イベント - 3: 通知を表示し、イベントを送信する
AccessMask	アクセスを定義します	次のセクション「マスク アクセスについて」を参照してください
Sid	ローカル ユーザー SID またはユーザー SID グループ、またはMicrosoft Entra オブジェクトまたはオブジェクト ID の SID。 このポリシーを特定のユーザーまたはユーザー グループに適用するかどうかを定義します。 1 つのエントリには、最大 1 つの SID と、デバイス経由でポリシーを適用するための SID 手段のないエントリを含めることができます。	SID
ComputerSid	ローカル コンピューター SID またはコンピューター SID グループ、またはMicrosoft Entra オブジェクトまたはオブジェクト ID の SID。このポリシーを特定のデバイスまたはデバイス グループに適用するかどうかを定義します。 1 つのエントリは最大 1 つの ComputerSID を持ち、ComputerSID を持たないエントリはデバイスにポリシーを適用することを意味します。 特定のユーザーと特定のデバイスにエントリを適用する場合は、SID と ComputerSID の両方を同じエントリに追加します。	SID
Parameters	ネットワーク条件など、エントリの条件。	グループ (デバイス以外の種類) を追加したり、パラメーターをパラメーターに入れたりすることもできます。 詳細については、 詳細な条件 に関するセクション (この記事内) を参照してください。

マスク アクセスについて (Windows)

デバイス制御は、アクセス マスクを適用して、要求がエントリと一致するかどうかを判断します。 、、および WpdDevicesでは、次のアクションをCdRomDevicesRemovableMediaDevices使用できます。

Access	Mask
ディスク レベルの読み取り	1
ディスク レベルの書き込み	2
ディスク レベルの実行	4
ファイル システムの読み取り	8
ファイル システムの書き込み	16
ファイル システムの実行	32

PrinterDevices では、次のアクションを使用できます。

• アクセス: 印刷
• マスク: 64

バイナリ OR 操作を実行することで、複数のアクセス設定を行うことができます。 次に例を示します:

• 読み取りと書き込みおよび実行の AccessMask は 7 です
• 読み取りと書き込みの AccessMask は 3 です

JSON (Mac)

次のコード スニペットは、macOS 用 JSON のデバイス コントロール エントリの構文を示しています。

{
          "$type": "generic",
          "id": "e3837e60-5e56-43ce-8095-043ccd793eac",
          "enforcement": {
            "$type": "allow"
          },
          "access": [
            "generic_read"
          ]
}

次の表は、JSON コード スニペットのより多くのコンテキストを示しています。

プロパティ名	説明	オプション
id	一意の ID である GUID はエントリを表し、レポートとトラブルシューティングで使用されます。	この ID は、PowerShell を使用して生成できます。
enforcement $type	でリムーバブル 記憶域グループのアクションを includedGroups定義します。 - allow - deny - auditAllow: アクセスが許可されている場合の通知とイベントを定義します。 - AuditDeny: アクセスが拒否されたときの通知とイベントを定義します。は Deny エントリと連携する必要があります。 同じメディアに競合の種類がある場合、システムはポリシーの最初の種類を適用します。 競合の種類の例として、許可と拒否があります。	属性には enforcement $type 、次のいずれかの値を指定できます。 - allow - deny - auditAllow - auditDeny
enforcement $options	適用$typeが許可されている場合	disable_audit_allow: 許可が発生し、auditAllow が構成されている場合、システムはイベントを送信しません。
enforcement $options	強制$typeが拒否された場合	disable_audit_deny: ブロックが発生し、auditDeny が構成されている場合、システムは通知を表示したりイベントを送信したりしません。
enforcement $options	適用$typeが auditAllow の場合	send_event: テレメトリを送信します
enforcement $options	適用$typeが auditDeny の場合	- send_event: テレメトリを送信します - show_notification: ユーザーにブロック メッセージを表示します
$type	エントリの種類。 型は、デバイス制御によって保護できる操作を決定します	属性には $type 、次のいずれかの値を指定できます。 - removableMedia - appleDevice - PortableDevice - bluetoothDevice
access	このエントリが許可する操作の一覧	次のセクション「Mac でのアクセスについて」を参照してください

アクセスについて (Mac)

エントリには、ジェネリックとデバイスの種類固有の 2 種類のアクセスがあります。

• 汎用アクセス オプションには、、generic_write、および がgeneric_execute含まれますgeneric_read。
• デバイスの種類固有のアクセスの値は汎用アクセスの種類に含まれているため、デバイスの種類固有のアクセスは、制御の細分性を提供します。

次の表では、デバイスの種類固有のアクセスと、それらがジェネリック アクセスの種類にマップされる方法について説明します。

デバイスの種類 ($type)	デバイスの種類固有のアクセス	説明	読み取り	書き込み	実行
appleDevice	backup_device		X
appleDevice	update_device			X
appleDevice	download_photos_from_device	特定の iOS デバイスからローカル デバイスに写真をダウンロードする	X
appleDevice	download_files_from_device	特定の iOS デバイスからローカル デバイスにファイルをダウンロードする	X
appleDevice	sync_content_to_device	ローカル デバイスから特定の iOS デバイスにコンテンツを同期する		X
portableDevice	download_files_from_device	X
portableDevice	send_files_to_device			X
portableDevice	download_photos_from_device		X
portableDevice	debug	ADB ツール コントロール			X
removableMedia	read		X
removableMedia	write			X
removableMedia	execute				X
bluetoothDevice	download_files_from_device		X
bluetoothDevice	send_files_to_device			X

グループ

グループは、プロパティによってオブジェクトをフィルター処理するための条件を定義します。 オブジェクトのプロパティがグループに対して定義されているプロパティと一致する場合、オブジェクトはグループに割り当てられます。

注:

このセクションのグループは、ユーザー グループを参照しません。

以下に例を示します。

• 許可される USB は、これらの製造元のいずれかに一致するすべてのデバイスです
• 紛失した USB は、これらのシリアル番号のいずれかに一致するすべてのデバイスです
• 許可されているプリンターは、これらの VID/PID のいずれかに一致するすべてのデバイスです

プロパティは、および の 4 つの方法MatchAllMatchAnyMatchExcludeAllで照合できます。MatchExcludeAny

• MatchAll: プロパティは "And" リレーションシップです。たとえば、管理者が接続されている USB ごとに と InstancePathIDを設定DeviceIDした場合、システムは USB が両方の値を満たしているかどうかを確認します。
• MatchAny: プロパティは "Or" リレーションシップです。たとえば、管理者が接続されている USB ごとに DeviceID と InstancePathIDを配置する場合、USB に同じ DeviceID 値または InstanceID 値がある限り、システムは適用されます。
• MatchExcludeAll: プロパティは "And" リレーションシップであり、満たされていない項目はすべて対象となります。 たとえば、管理者が接続されているすべての USB に 対して を配置 DeviceID して InstancePathID 使用 MatchExcludeAllする場合、USB に同じ DeviceID 値と InstanceID 値の両方がない限り、システムが適用されます。
• MatchExcludeAny: プロパティは "Or" リレーションシップであり、満たされていない項目はすべて対象となります。 たとえば、管理者が接続されているすべての USB に 対して を配置 DeviceID して InstancePathID 使用 MatchExcludeAnyする場合、USB に同じ DeviceID 値または InstanceID 値がない限り、システムによってが適用されます。

グループは、ルールに含める/除外するデバイスを選択する方法と、高度な条件のアクセスをフィルター処理する方法の 2 つの方法で使用されます。 次の表は、グループの種類とその使用方法をまとめたものです。

型	説明	O/s	含める/除外するルール	高度な条件
デバイス (既定値)	デバイスとプリンターをフィルター処理する	Windows/Mac	X
Network	ネットワーク条件をフィルター処理する	Windows		X
VPN 接続	VPN 条件をフィルター処理する	Windows		X
File	ファイルのプロパティをフィルター処理する	Windows		X
印刷ジョブ	印刷するファイルのプロパティをフィルター処理する	Windows		X

ポリシーのスコープ内にあるデバイスは、含まれているグループの一覧と除外されたグループの一覧によって決まります。 デバイスが含まれるすべてのグループに存在し、除外されたグループに存在しない場合は、ルールが適用されます。 グループは、デバイスのプロパティから構成できます。 次のプロパティを使用できます。

プロパティ	説明	Windows デバイス	Mac デバイス	プリンター
FriendlyNameId	Windows デバイス マネージャーのフレンドリ名	Y	N	Y
PrimaryId	デバイスの種類	Y	Y	Y
VID_PID	ベンダー ID は、USB 委員会がベンダーに割り当てる 4 桁のベンダー コードです。 製品 ID は、ベンダーがデバイスに割り当てる 4 桁の製品コードです。 ワイルドカードがサポートされています。 たとえば、0751_55E0 のように指定します。	Y	N	Y
PrinterConnectionId	プリンター接続の種類: -Usb -企業 -ネットワーク -ユニバーサル -ファイル -カスタム -地元の	N	N	Y
BusId	デバイスに関する情報 (詳細については、この表に続くセクションを参照してください)	Y	N	N
DeviceId	デバイスに関する情報 (詳細については、この表に続くセクションを参照してください)	Y	N	N
HardwareId	デバイスに関する情報 (詳細については、この表に続くセクションを参照してください)	Y	N	N
InstancePathId	デバイスに関する情報 (詳細については、この表に続くセクションを参照してください)	Y	N	N
SerialNumberId	デバイスに関する情報 (詳細については、この表に続くセクションを参照してください)	Y	Y	N
PID	製品 ID は、ベンダーがデバイスに割り当てる 4 桁の製品コードです	Y	Y	N
VID	ベンダー ID は、USB 委員会がベンダーに割り当てる 4 桁のベンダー コードです。	Y	Y	N
APFS Encrypted	デバイスが APFS 暗号化されている場合	N	Y	N

Windows デバイス マネージャーを使用してデバイスのプロパティを決定する

Windows デバイスの場合は、デバイス マネージャーを使用してデバイスのプロパティを理解できます。

1. デバイス マネージャー開き、デバイスを探し、[プロパティ] を右クリックし、[詳細] タブを選択します。

2. [プロパティ] ボックスの一覧で、[ デバイス インスタンス パス] を選択します。

   デバイス インスタンス パスに表示される値は です InstancePathId。ただし、他のプロパティも含まれています。

   • USB\VID_090C&PID_1000\FBH1111183300721
   • {BusId}\{DeviceId}\{SerialNumberId}

   次の表に示すように、デバイス マネージャーのプロパティはデバイス コントロールにマップされます。

   デバイス マネージャ	デバイス コントロール
   ハードウェア ID	HardwareId
   フレンドリ名	FriendlyNameId
   親	VID_PID
   DeviceInstancePath	InstancePathId

レポートと高度なハンティングを使用してデバイスのプロパティを決定する

高度なハンティングでは、デバイスプロパティのラベルが若干異なります。 次の表は、ポータルのラベルをデバイス コントロール ポリシーの に propertyId マップします。

Microsoft Defender ポータル プロパティ	デバイスコントロールプロパティ ID
メディア名	FriendlyNameId
ベンダー ID	HardwareId
DeviceId	InstancePathId
シリアル番号	SerialNumberId

注:

選択したオブジェクトにポリシーの正しいメディア クラスがあることを確認します。 一般に、リムーバブル 記憶域には を使用します Class Name == USB。

Intune、Windows の XML、または Mac 上の JSON でグループを構成する

Intuneでグループを構成するには、Windows 用の XML ファイルを使用するか、Mac 上の JSON ファイルを使用します。 詳細については、各タブを選択してください。

注:

XML と id JSON の の はGroup Id、デバイス コントロール内のグループを識別するために使用されます。 Entra Id のユーザー グループなど、他の ユーザーグループ への参照ではありません。

Intune

Intuneの再利用可能な設定は、デバイス グループにマップされます。 Intuneで再利用可能な設定を構成できます。

グループには、プリンター デバイスとリムーバブル 記憶域の 2 種類があります。 次の表に、これらのグループのプロパティを示します。

グループの種類	プロパティ
プリンター デバイス	- FriendlyNameId - PrimaryId - PrinterConnectionId - VID_PID
リムーバブル記憶域	- BusId - DeviceId - FriendlyNameId - HardwareId - InstancePathId - PID - PrimaryId - SerialNumberId - VID - VID_PID

XML (Windows)

次の XML スニペットは、一致するグループの構文を示しています。

<Group Id="{3f5253e4-0e73-4587-bb9e-bb29a2171694}">
  <MatchType>MatchAny</MatchType>
  <DescriptorIdList>
   ...
  </DescriptorIdList>
</Group>

次の表では、グループのプロパティについて説明します。

プロパティ名	説明	オプション
Group Id	一意の ID である GUID は、グループを表し、ポリシーで使用されます。	POWERShell を使用して ID を生成できます。
Type	グループの種類	デバイス (既定値) 他の種類のグループ (File、、) Networkは、VPNConnectionPrintJob高度な条件に使用できます。 ルールで使用されるグループの型は です Device。これは既定値です。
MatchType	使用される照合アルゴリズム	- MatchAny - MatchAll - MatchExcludeAll - MatchExcludeAny
DescriptionIdList	グループに含めるために評価されたプロパティの一覧	DescriptionIdList プロパティ (この表の後のセクション) を参照してください

DescriptionIdList プロパティ

次の表で説明するプロパティは、 に DescriptionIdList含めることができます。

プロパティ	説明
PrimaryId	、、CdRomDevicesWpdDevices、および がPrinterDevices含まれますRemovableMediaDevices。
InstancePathId	システム内のデバイスを一意に識別する文字列 (例: USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611&0)。 これは、Windows のデバイス マネージャーのデバイス インスタンス パスに対応します。 末尾の番号 (たとえば &0) は使用可能なスロットを表し、デバイスからデバイスに変更される可能性があります。 最適な結果を得るには、末尾にワイルドカードを使用します。 たとえば、「 USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\8735B611* 」のように入力します。
DeviceId	デバイス インスタンス パスをデバイス ID 形式に変換するには、次の例のような Standard USB 識別子を使用します。 USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07
HardwareId	など、 USBSTOR\DiskGeneric_Flash_Disk___8.07システム内のデバイスを識別する文字列。 これは、Windows のデバイス マネージャーのハードウェア ID に対応します。 一意ではないことに注意してください HardwareId 。異なるデバイスが同じ値を共有する場合があります。
FriendlyNameId	デバイスにアタッチされた文字列 (例: Generic Flash Disk USB Device)。 これは、Windows のデバイス マネージャーのフレンドリ名に対応します。
BusId	たとえば、 USBSCSI
SerialNumberId	Windows の デバイス マネージャー のデバイス インスタンス パスから確認SerialNumberIdできます。 たとえば、 03003324080520232521SerialNumberIdUSBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\03003324080520232521&0
VID_PID	- ベンダー ID は、USB 委員会がベンダーに割り当てる 4 桁のベンダー コードです。 - 製品 ID は、ベンダーがデバイスに割り当てる 4 桁の製品コードです。 ワイルドカードをサポートします。 - デバイス インスタンス パスをベンダー ID と製品 ID 形式に変換するには、Standard USB 識別子を使用します。 次に、いくつかの例を示します: 0751_55E0: この完全な VID/PID ペアと一致します _55E0: 任意のメディアと一致します。 PID=55E0 0751_: 任意のメディアと一致します。 VID=0751

デバイス コントロール サンプル リポジトリのデバイス グループ定義の例を次に示します。

• インスタンス パス ID によるデバイスのグループ
• VID_PID別のデバイスのグループ
• プライマリ ID によるデバイスのグループ

JSON (Mac)

次の JSON スニペットは、Mac でグループを定義するための構文を示しています。

    {
      "$type": "device",
      "id": "3f5253e4-0e73-4587-bb9e-bb29a2171694",
      "query": {
        "$type": "or",
        "clauses": [
    ...
        ]
      }
    }

次の表では、グループのプロパティについて説明します。

プロパティ	説明	オプション
$type	グループの種類	デバイス
id	一意の ID である GUID は、ポリシーで使用するグループを表します。	id は、Windows PowerShell New-Guid コマンドレットまたは macOS のコマンドをuuidgen使用して生成できます
name	グループのフレンドリ名。	文字列
query	このグループのメディア カバレッジ	詳細については、以下のクエリ プロパティ テーブルを参照してください。

クエリでは、すべての型と (すべてと同じ) 型、任意の型、または (任意の型と同じ) がサポートされます。 これは、 句のプロパティを結合するために使用されるロジックです。

句としてサポートされる値は次のとおりです。

句 $type	値	説明
primaryId	次のいずれか: - apple_devices - removable_media_devices - portable_devices - bluetooth_devices
vendorId	4 桁の 16 進文字列	デバイスのベンダー ID と一致します
productId	4 桁の 16 進文字列	デバイスの製品 ID と一致します
serialNumber	文字列	デバイスのシリアル番号と一致します。 デバイスにシリアル番号がない場合は一致しません。
encryption	apfs	デバイスが apfs で暗号化されている場合は一致します。
groupId	UUID 文字列	デバイスが別のグループのメンバーである場合は一致します。 値は、一致するグループの UUID を表します。 グループは、句の前にポリシー内で定義する必要があります。

クエリの例を次に示します:

"query": {
        "$type": "or",
        "clauses": [
          {
            "$type": "serialNumber",
            "value": "FBH1111183300731"
          }
        ]
      }

次のように、"not" 型を使用して ExcludedMatchAll と ExcludedMatchAny と同等の動作を取得するために、クエリの例を編集できます。

"query": {
    "$type":"not",
        "query": {
                    "$type": "or",
                    "clauses": [
                          {
                            "$type": "serialNumber",
                            "value": "FBH1111183300731"
                          }
                    ]
              }

}

このクエリは、指定したシリアル番号を持たないすべてのデバイスと一致します。

高度な条件

エントリは、パラメーターに基づいてさらに制限できます。 パラメーターは、デバイスを超える高度な条件を適用します。 高度な条件により、評価されるネットワーク、VPN 接続、ファイル、または印刷ジョブに基づいてきめ細かい制御が可能になります。

注:

高度な条件は XML 形式でのみサポートされます。

ネットワーク条件

次の表では、ネットワーク グループのプロパティについて説明します。

プロパティ	説明
NameId	ネットワークの名前。 ワイルドカードがサポートされています。
NetworkCategoryId	有効なオプションは、 Public、 Private、または DomainAuthenticatedです。
NetworkDomainId	有効なオプションは、 NonDomain、 Domain、です DomainAuthenticated。

これらのプロパティは、Network 型のグループの DescriptorIdList に追加されます。 スニペットの例を次に示します。

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30a}" Type="Network" MatchType="MatchAll">
    <DescriptorIdList>
        <NetworkCategoryId>Public</PathId>
        <NetworkDomainId>NonDomain</PathId>
    </DescriptorIdList>
</Group>

次のスニペットに示すように、グループはエントリのパラメーターとして参照されます。

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <Network MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30a }</GroupId>
            </Network>
      </Parameters>
   </Entry>

VPN 接続条件

次の表では、VPN 接続の条件について説明します。

名前	説明
NameId	VPN 接続の名前。 ワイルドカードがサポートされています。
VPNConnectionStatusId	有効な値は Connected または Disconnectedです。
VPNServerAddressId	の VPNServerAddress文字列値。 ワイルドカードがサポートされています。
VPNDnsSuffixId	の VPNDnsSuffix文字列値。 ワイルドカードがサポートされています。

これらのプロパティは、次のスニペットに示すように、VPNConnection 型のグループの DescriptorIdList に追加されます。

    <Group Id="{d633d17d-d1d1-4c73-aa27-c545c343b6d7}" Type="VPNConnection">
        <Name>Corporate VPN</Name>
        <MatchType>MatchAll</MatchType>
        <DescriptorIdList>
            <NameId>ContosoVPN</NameId>
            <VPNServerAddressId>contosovpn.*.contoso.com</VPNServerAddressId>
            <VPNDnsSuffixId>corp.contoso.com</VPNDnsSuffixId>
            <VPNConnectionStatusId>Connected</VPNConnectionStatusId>
        </DescriptorIdList>
    </Group>

次に、次のスニペットに示すように、グループはエントリ内のパラメーターとして参照されます。

       <Entry Id="{27c79875-25d2-4765-aec2-cb2d1000613f}">
          <Type>Allow</Type>
          <Options>0</Options>
          <AccessMask>64</AccessMask>
          <Parameters MatchType="MatchAny">
            <VPNConnection>
                    <GroupId>{d633d17d-d1d1-4c73-aa27-c545c343b6d7}</GroupId>
            </VPNConnection>
        </Parameters>
       </Entry>

ファイルの条件

次の表では、ファイル グループのプロパティについて説明します。

名前	説明
PathId	文字列、ファイル パスまたは名前の値。 ワイルドカードがサポートされています。 ファイルの種類のグループにのみ適用されます。

次の表は、ファイル グループの にプロパティを DescriptorIdList 追加する方法を示しています。

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30f}" Type="File" MatchType="MatchAny">
    <DescriptorIdList>
        <PathId>*.exe</PathId>
        <PathId>*.dll</PathId>
    </DescriptorIdList>
</Group>

次のスニペットに示すように、グループはエントリ内のパラメーターとして参照されます。

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <File MatchType="MatchAny">
                   <GroupId>{ e5f619a7-5c58-4927-90cd-75da2348a30f }</GroupId>
            </File>
      </Parameters>
   </Entry>

印刷ジョブの条件

次の表では、グループのプロパティについて説明します PrintJob 。

名前	説明
PrintOutputFileNameId	ファイルに出力する出力先のファイル パス。 ワイルドカードがサポートされています。 たとえば、C:\*\Test.pdf のように指定します。
PrintDocumentNameId	ソース ファイルのパス。 ワイルドカードがサポートされています。 このパスが存在しない可能性があります。 たとえば、メモ帳で新しいファイルにテキストを追加し、ファイルを保存せずに印刷します。

これらのプロパティは、次のスニペットに示すように、 型PrintJobのグループの に追加DescriptorIdListされます。

<Group Id="{e5f619a7-5c58-4927-90cd-75da2348a30b}" Type="PrintJob" MatchType="MatchAny">
    <DescriptorIdList>
        <PrintOutputFileNameId>C:\Documents\*.pdf</PrintOutputFileNameId >
        <PrintDocumentNameId>*.xlsx</PrintDocumentNameId>
<PrintDocumentNameId>*.docx</PrintDocumentNameId>
    </DescriptorIdList>
</Group>

次のスニペットに示すように、グループはエントリ内のパラメーターとして参照されます。

   <Entry Id="{1ecfdafb-9b7f-4b66-b3c5-f1d872b0961d}">
      <Type>Deny</Type>
      <Options>0</Options>
      <AccessMask>40</AccessMask>
      <Parameters MatchType="MatchAll">
             <PrintJob MatchType="MatchAny">
                   <GroupId>{e5f619a7-5c58-4927-90cd-75da2348a30b}</GroupId>
            </PrintJob>
      </Parameters>
   </Entry>

ファイルの証拠

デバイス制御を使用すると、リムーバブル デバイスにコピーされたファイルや印刷されたファイルの証拠を格納できます。 ファイル証拠が有効になっている場合は、 RemovableStorageFileEvent が作成されます。 ファイル証拠の動作は、次の表に示すように、[許可] アクションのオプションによって制御されます。

オプション	説明
8	でイベントをCreateするRemovableStorageFileEventFileEvidenceLocation
16	なしをCreateするRemovableStorageFileEventFileEvidenceLocation

の FileEvidenceLocation フィールドには、証拠ファイルが作成された場合の場所があります。 証拠ファイルの名前は で .dup終わり、その場所は設定によって DataDuplicationFolder 制御されます。

次の手順

• Microsoft Defender for Endpointでデバイスコントロールのイベントと情報を表示する
• Microsoft Intuneを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する
• グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する
• macOS 用デバイス コントロール