事前ブロックを有効にするTurn on block at first sight

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象Applies to:

  • Microsoft Defender ウイルス対策Microsoft Defender Antivirus

事前ブロックは、数秒以内に新しいマルウェアを検出してブロックするための方法を提供します。Block at first sight provides a way to detect and block new malware within seconds. この保護機能が既定で有効になるのは、特定の前提条件の設定が有効になっている場合です。This protection is enabled by default when certain prerequisite settings are enabled. これらの設定には、クラウドによる保護、指定されたサンプル送信のタイムアウト (50 秒など)、および高のファイルブロック レベルが含まれます。These settings include cloud-delivered protection, a specified sample submission timeout (such as 50 seconds), and a file-blocking level of high. ほとんどの企業組織では、これらの設定は Microsoft Defender ウイルス対策の展開で既定で有効になっています。In most enterprise organizations, these settings are enabled by default with Microsoft Defender Antivirus deployments.

クラウドベースの保護サービスによってファイルを分析する間、ファイルが実行されないように抑制する時間の長さを指定 することもできます。You can specify how long a file should be prevented from running while the cloud-based protection service analyzes the file. また、ファイルがブロックされたときにユーザーのデスクトップに表示されるメッセージをカスタマイズすることもできます。And, you can customize the message displayed on users' desktops when a file is blocked. 会社名、連絡先情報、メッセージの URL を変更することができます。You can change the company name, contact information, and message URL.

ヒント

demo.wd.microsoft.com で Microsoft Defender for Endpoint のデモの Web サイトにアクセスして、機能が動作していることを確認し、そのしくみを参照することができます。Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm the features are working and see how they work.

動作のしくみHow it works

Microsoft Defender ウイルス対策が疑わしい未検出のファイルを見つけると、クラウド保護バックエンドを照会します。When Microsoft Defender Antivirus encounters a suspicious but undetected file, it queries our cloud protection backend. クラウド バックエンドでは、ヒューリスティックな機械学習による自動化されたファイル分析を適用して、悪意のあるファイルかどうかを判断します。The cloud backend applies heuristics, machine learning, and automated analysis of the file to determine whether the files are malicious or not a threat.

Microsoft Defender ウイルス対策は、複数の検出および防止テクノロジを使用して、正確でインテリジェントなリアルタイム保護を提供します。Microsoft Defender Antivirus uses multiple detection and prevention technologies to deliver accurate, intelligent, and real-time protection. 詳細については、ブログ「Microsoft Defender for Endpoint の次世代の保護の中核となる高度なテクノロジを紹介する」を参照してください。To learn more, see this blog: Get to know the advanced technologies at the core of Microsoft Defender for Endpoint next-generation protection. Microsoft Defender AV エンジンの一覧

Windows 10 バージョン 1803 以降では、事前ブロックで非ポータブルの実行可能ファイル (JS、VBS、またはマクロなど) および実行可能ファイルをブロックできるようになりました。In Windows 10, version 1803 or later, block at first sight can block non-portable executable files (such as JS, VBS, or macros) as well as executable files.

事前ブロックでは、インターネットからダウンロードされた、またはインターネット ゾーンで発生した実行可能ファイルおよび非ポータブルの実行可能ファイルに対し、クラウド保護バックエンドのみが使用されます。Block at first sight only uses the cloud protection backend for executable files and non-portable executable files that are downloaded from the Internet, or that originate from the Internet zone. クラウド バックエンドを通じて .exe ファイルのハッシュ値を確認し、ファイルが過去に検出されたファイルかどうかを判断します。A hash value of the .exe file is checked via the cloud backend to determine if the file is a previously undetected file.

クラウド バックエンドで判断できない場合、Microsoft Defender ウイルス対策によってファイルがロックされ、ファイルのコピーがクラウドにアップロードされます。If the cloud backend is unable to make a determination, Microsoft Defender Antivirus locks the file and uploads a copy to the cloud. クラウドで追加の分析が実行されて判断が下された後は、そのファイルが危険か安全かの判断に応じて、それ以降そのファイルの実行がすべて許可されるか、すべてブロックされます。The cloud performs additional analysis to reach a determination before it either allows the file to run or blocks it in all future encounters, depending on whether it determines the file to be malicious or safe.

多くの場合、このプロセスによって、従来数時間かかっていた新しいマルウェアへの対応時間が数秒に短縮されます。In many cases, this process can reduce the response time for new malware from hours to seconds.

Microsoft Intune で事前ブロックをオンにするTurn on block at first sight with Microsoft Intune

ヒント

Microsoft Intune が Microsoft エンドポイント マネージャーに含まれるようになりました。Microsoft Intune is now part of Microsoft Endpoint Manager.

  1. Microsoft エンドポイント マネージャー管理センター (https://endpoint.microsoft.com) で、[デバイス] > [構成プロファイル] に移動します。In the Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com), navigate to Devices > Configuration profiles.

  2. プロファイルを選択または作成するには、プロファイルの種類 [デバイスの制限] を使用します。Select or create a profile using the Device restrictions profile type.

  3. [デバイスの制限] プロファイルの [構成設定] で、[Microsoft Defender ウイルス対策] の下にある次の設定を設定または確認します:In the Configuration settings for the Device restrictions profile, set or confirm the following settings under Microsoft Defender Antivirus:

    • クラウドによる保護: 有効Cloud-delivered protection: Enabled
    • ファイル ブロック レベル: 高File Blocking Level: High
    • クラウドによるファイル スキャンの時間延長: 50Time extension for file scanning by the cloud: 50
    • サンプルを送信する前にユーザーに確認メッセージを表示する: 確認メッセージを表示せずにすべてのデータを送信するPrompt users before sample submission: Send all data without prompting

    Intune 構成

  4. 設定を保存します。Save your settings.

ヒント

Microsoft エンドポイント マネージャーで事前ブロックをオンにするTurn on block at first sight with Microsoft Endpoint Manager

ヒント

Microsoft Endpoint Configuration Manager を探している場合は、Microsoft エンドポイント マネージャーに含まれています。If you're looking for Microsoft Endpoint Configuration Manager, it's now part of Microsoft Endpoint Manager.

  1. Microsoft エンドポイント マネージャー (https://endpoint.microsoft.com) で、[エンドポイントのセキュリティ] > [ウイルス対策] に移動します。In Microsoft Endpoint Manager (https://endpoint.microsoft.com), go to Endpoint security > Antivirus.

  2. 既存のポリシーを選択するか、プロファイルの種類 Microsoft Defender ウイルス対策 を使用して新しいポリシーを作成します。Select an existing policy, or create a new policy using the Microsoft Defender Antivirus profile type.

  3. 次の構成設定を設定または確認します:Set or confirm the following configuration settings:

    • クラウドによる保護をオンにする: はいTurn on cloud-delivered protection: Yes
    • クラウドによる保護のレベル: 高Cloud-delivered protection level: High
    • Defender Cloud 拡張タイムアウト (秒): 50Defender Cloud Extended Timeout in Seconds: 50

    エンドポイント マネージャーの事前ブロック設定

  4. Microsoft Defender ウイルス対策プロファイルを、すべてのユーザーすべてのデバイス、または すべてのユーザーとデバイス などのグループに適用します。Apply the Microsoft Defender Antivirus profile to a group, such as All users, All devices, or All users and devices.

グループ ポリシーを使用して事前ブロックをオンにするTurn on block at first sight with Group Policy

注意

Intune または Microsoft エンドポイント マネージャーを使用して、事前ブロックをオンにすることをお勧めします。We recommend using Intune or Microsoft Endpoint Manager to turn on block at first sight.

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソール を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] を選択します。On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

  2. グループ ポリシー管理エディター を使用して、[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Microsoft Defender ウイルス対策] > [MAPS] に移動します。Using the Group Policy Management Editor go to Computer configuration > Administrative templates > Windows Components > Microsoft Defender Antivirus > MAPS.

  3. [MAPS] セクションで、[事前ブロック機能の構成] をダブルクリックし、[有効] に設定して、[OK] を選択します。In the MAPS section, double-click Configure the 'Block at First Sight' feature, and set it to Enabled, and then select OK.

    重要

    [常に確認する] (0) に設定すると、デバイスの保護状態が低下します。Setting to Always prompt (0) will lower the protection state of the device. [送信しない] (2) に設定すると、事前ブロックが動作しなくなります。Setting to Never send (2) means block at first sight will not function.

  4. [MAPS] セクションで、[詳細な分析が必要な場合はファイルのサンプルを送信する] をダブルクリックし、[有効] に設定します。In the MAPS section, double-click Send file samples when further analysis is required, and set it to Enabled. [詳細な分析が必要な場合はファイルのサンプルを送信する] で、[すべてのサンプルを送信する] を選択し、[OK] をクリックします。Under Send file samples when further analysis is required, select Send all samples, and then click OK.

  5. 設定を変更した場合は、ネットワーク間でグループ ポリシー オブジェクトを再展開して、すべてのエンドポイントがカバーされていることを確認します。If you changed any settings, redeploy the Group Policy Object across your network to ensure all endpoints are covered.

個々のクライアントで、事前ブロックが有効になっていることを確認するConfirm block at first sight is enabled on individual clients

Windows のセキュリティ設定を使用して、個々のクライアントで事前ブロックが有効になっていることを確認できます。You can confirm that block at first sight is enabled on individual clients using Windows security settings.

事前ブロックは、[クラウドによる保護][サンプルの自動送信] の両方が有効になっている限り、自動的に有効になります。Block at first sight is automatically enabled as long as Cloud-delivered protection and Automatic sample submission are both turned on.

  1. Windows セキュリティ アプリを開きます。Open the Windows Security app.

  2. [ウイルスと脅威の防止] を選択し、[ウイルスと脅威の防止の設定] の下で、[設定の管理] を選択します。Select Virus & threat protection, and then, under Virus & threat protection settings, select Manage Settings.

    Windows セキュリティ アプリの [ウイルスと脅威の防止の設定] ラベルのスクリーンショット

  3. [クラウドによる保護][サンプルの自動送信] が両方ともオンになっていることを確認します。Confirm that Cloud-delivered protection and Automatic sample submission are both turned on.

注意

  • 前提条件の設定が構成され、グループ ポリシーを使って展開されている場合、このセクションで説明する設定は灰色表示され、個別のエンドポイントで使用できません。If the prerequisite settings are configured and deployed using Group Policy, the settings described in this section will be greyed-out and unavailable for use on individual endpoints.
  • グループ ポリシーを使った変更は、Windows の設定で設定を更新する前に、最初に個別のエンドポイントに展開する必要があります。Changes made through a Group Policy Object must first be deployed to individual endpoints before the setting will be updated in Windows Settings.

事前ブロックが機能していることを検証するValidate block at first sight is working

この機能が動作していることを検証するには、「ネットワークとクラウド間の接続を検証する」のガイダンスに従ってください。To validate that the feature is working, follow the guidance in Validate connections between your network and the cloud.

事前ブロックをオフにするTurn off block at first sight

注意事項

事前ブロックをオフにすると、デバイスとネットワークの保護状態が低下します。Turning off block at first sight will lower the protection state of your device(s) and your network.

事前ブロック保護を使用しないで、前提条件の設定を保持する場合は、事前ブロックを無効にすることができます。You might choose to disable block at first sight if you want to retain the prerequisite settings without actually using block at first sight protection. 遅延の問題が発生した場合や、事前ブロック機能がネットワークに与える影響をテストする場合、事前ブロックをオフにすることができます。You might do temporarily turn block at first sight off if you are experiencing latency issues or you want to test the feature's impact on your network. ただし、事前ブロック保護を完全に無効にすることはお勧めしません。However, we do not recommend disabling block at first sight protection permanently.

Microsoft エンドポイント マネージャーで事前ブロックをオフにするTurn off block at first sight with Microsoft Endpoint Manager

  1. Microsoft エンドポイント マネージャー管理センター (https://endpoint.microsoft.com) に移動してサインインします。Go to Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) and sign in.

  2. [エンドポイントのセキュリティ] > [ウイルス対策] に移動し、Microsoft Defender ウイルス対策ポリシーを選択します。Go to Endpoint security > Antivirus, and then select your Microsoft Defender Antivirus policy.

  3. [管理] の下で、[プロパティ] を選択します。Under Manage, choose Properties.

  4. [構成の設定] の横にある [編集] を選択します。Next to Configuration settings, choose Edit.

  5. 次の設定の 1 つ以上を変更します:Change one or more of the following settings:

    • [クラウドによる保護をオンにする][いいえ] または [未構成] に設定します。Set Turn on cloud-delivered protection to No or Not configured.
    • [クラウドによる保護のレベル][未構成] に設定します。Set Cloud-delivered protection level to Not configured.
    • Defender Cloud 拡張タイムアウト (秒) ボックスをクリアします。Clear the Defender Cloud Extended Timeout In Seconds box.
  6. 設定を確認して保存します。Review and save your settings.

グループ ポリシーを使用して事前ブロックをオフにするTurn off block at first sight with Group Policy

  1. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure, and then click Edit.

  2. [グループ ポリシー管理エディター] を使用して、[コンピューターの構成] に移動し、[管理用テンプレート] をクリックします。Using the Group Policy Management Editor go to Computer configuration and click Administrative templates.

  3. [Windows コンポーネント] > [Microsoft Defender ウイルス対策] > [MAPS] の順にツリーを展開します。Expand the tree through Windows components > Microsoft Defender Antivirus > MAPS.

  4. ['事前ブロック' 機能を構成する] をダブルクリックして、オプションを [無効] に設定します。Double-click Configure the 'Block at First Sight' feature and set the option to Disabled.

    注意

    事前ブロック機能を無効にしても、前提条件のグループ ポリシーが無効になったり、変更されたりすることはありません。Disabling block at first sight does not disable or alter the prerequisite group policies.

関連項目See also