Microsoft Defender for Business のファイアウォール

Defender for Business には、 Windows Defender ファイアウォールを介したファイアウォール機能が含まれています。 ファイアウォール保護は、デバイスとの間のフローが許可されるネットワーク トラフィックを決定する規則を確立することで、デバイスをセキュリティで保護するのに役立ちます。

ファイアウォール保護を使用して、さまざまな場所のデバイスでの接続を許可するかブロックするかを指定できます。 たとえば、ファイアウォール設定では、会社の内部ネットワークに接続されているが、デバイスが信頼されていないデバイスを持つネットワーク上にある場合に接続を防ぐデバイスでの受信接続を許可できます。

この記事では、以下について説明します。

• ファイアウォール ポリシーとカスタム ルールを表示または編集する方法
• Defender for Business の既定のファイアウォール設定
• Defender for Business で構成できるファイアウォール設定

ファイアウォール ポリシーとカスタム ルールを表示または編集する

Microsoft Defender ポータルと Intune のどちらを使用してファイアウォール保護を管理しているかに応じて、次のいずれかの手順を使用します。

Microsoft Defender ポータルを使用してファイアウォール ポリシーを表示または編集する

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. ナビゲーション ウィンドウで、[デバイスの構成] を選択します。 ポリシーは、オペレーティング システムとポリシーの種類によって編成されます。

3. オペレーティング システム タブ ( Windows クライアントなど) を選択します。

4. [ ファイアウォール] を展開して、ポリシーの一覧を表示します。

5. ポリシーを選択して詳細を表示します。 ポリシー設定の変更や詳細については、次の記事を参照してください。

   • デバイス ポリシーを表示または編集する
   • ファイアウォールの設定
   • ファイアウォール ポリシーのカスタム 規則を管理する

Intune 管理センターを使用してファイアウォール ポリシーを表示または編集する

1. https://intune.microsoft.com に移動し、サインインします。 これで Intune 管理センターにいます。

2. [ エンドポイント セキュリティ] を選択します。

3. [ ファイアウォール] を選択して、そのカテゴリのポリシーを表示します。 ファイアウォール保護用に定義されたカスタム 規則は、個別のポリシーとして一覧表示されます。 Intune でのセキュリティ設定の管理に関するヘルプを表示するには、「 Microsoft Intune でエンドポイント セキュリティを管理する」を参照してください。

Microsoft Defender for Business でファイアウォール ポリシーのカスタム ルールを管理する

カスタム ルールを使用して、ファイアウォール ポリシーの例外を定義できます。 つまり、カスタム ルールを使用して、特定の接続をブロックまたは許可できます。

ファイアウォール ポリシーのカスタム規則を作成する

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. [エンドポイント デバイスの>構成] に移動し、ポリシーの一覧を確認します。

3. [ ファイアウォール ] セクションで、既存のポリシーを選択するか、新しいポリシーを追加します。

4. [ 構成設定 ] ステップで、設定を確認します。 ドメイン ネットワーク、パブリック ネットワーク、プライベート ネットワークに必要な変更を加えます。

5. カスタム ルールを作成するには、次の手順に従います。

   1. [ カスタム ルール] で、[ + ルールの追加] を選択します。 (最大 150 個のカスタム ルールを使用できます)。

   2. [ 新しいルールの作成 ] ポップアップで、ルールの名前と説明を指定します。

   3. プロファイルを選択します。 (オプションには、 ドメイン ネットワーク、 パブリック ネットワーク、または プライベート ネットワークが含まれます)。

   4. [ リモート アドレスの種類 ] の一覧で、[ IP ] または [ アプリケーション ファイル パス] を選択します。

   5. [ 値 ] ボックスで、適切な値を指定します。 手順 6d で選択した内容に応じて、IP アドレス、IP アドレス範囲、またはアプリケーション ファイル パスを指定できます。 ( 「ファイアウォールの設定」を参照してください)。

   6. [ 新しいルールの作成 ] ポップアップで、[ ルールの作成] を選択します。

6. [ 構成設定 ] 画面で、[ 次へ] を選択します。

7. [ ポリシーの確認 ] 画面で、ファイアウォール ポリシー設定に加えられた変更を確認します。 必要な変更を加え、[ポリシーの 作成] を選択します。

ファイアウォール ポリシーのカスタム規則を編集する

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. [エンドポイント デバイスの>構成] に移動し、ポリシーの一覧を確認します。

3. [ ファイアウォール ] セクションで、既存のポリシーを選択するか、新しいポリシーを追加します。

4. [ カスタム ルール] で、ルールの一覧を確認します。

5. ルールを選択し、[編集] を選択 します。 ポップアップが開きます。

6. カスタム ルールを編集するには、次の手順に従います。

   1. [ ルールの編集] ポップアップで、ルールの名前と説明を確認して編集します。

   2. 必要に応じて、ルールのプロファイルを確認して編集します。 (オプションには、 ドメイン ネットワーク、 パブリック ネットワーク、または プライベート ネットワークが含まれます)。

   3. [ リモート アドレスの種類 ] の一覧で、[ IP ] または [ アプリケーション ファイル パス] を選択します。

   4. [ 値 ] ボックスで、適切な値を指定します。 手順 6c で選択した内容に応じて、IP アドレス、IP アドレス範囲、またはアプリケーション ファイル パスを指定できます。 ( 「ファイアウォールの設定」を参照してください)。

   5. [ルールの有効化] を [オン] に設定して、ルールをアクティブにします。 または、ルールを無効にするには、スイッチを [オフ] に設定します。

   6. [ ルールの編集] ポップアップで、[ ルールの更新] を選択します。

7. [ 構成設定 ] 画面で、[ 次へ] を選択します。

8. [ ポリシーの確認 ] 画面で、ファイアウォール ポリシー設定に加えられた変更を確認します。 必要な変更を加え、[ポリシーの 作成] を選択します。

カスタム ルールを削除する

1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

2. [エンドポイント デバイスの>構成] に移動し、ポリシーの一覧を確認します。

3. [ ファイアウォール ] セクションで、既存のポリシーを選択するか、新しいポリシーを追加します。

4. [ カスタム ルール] で、ルールの一覧を確認します。

5. ルールを選択し、[削除] を選択 します。 ポップアップが開きます。

6. 確認画面で、[削除] を選択 します。

Defender for Business の既定のファイアウォール設定

Defender for Business には、1 日目から会社のデバイスを保護するのに役立つ既定のファイアウォール ポリシーと設定が含まれています。 会社のデバイスが Defender for Business にオンボードされるとすぐに、既定のファイアウォール ポリシーは次のように機能します。

• デバイスからの送信接続は、場所に関係なく、既定で許可されます。
• デバイスが会社のネットワークに接続されている場合、すべての受信接続は既定でブロックされます。
• デバイスがパブリック ネットワークまたはプライベート ネットワークに接続されている場合、すべての受信接続が既定でブロックされます。

Defender for Business では、受信接続をブロックまたは許可する例外を定義できます。 これらの例外は、 カスタム ルールを作成して定義します。

Defender for Business で構成できるファイアウォール設定

Defender for Business には、Windows Defender ファイアウォールを介したファイアウォール保護が含まれています。 次の表に、Defender for Business で構成できる設定の一覧を示します。

設定	説明
ドメイン ネットワーク	ドメイン ネットワーク プロファイルは、会社のネットワークに適用されます。 ドメイン ネットワークのファイアウォール設定は、同じネットワーク上の他のデバイスで開始される受信接続に適用されます。 既定では、受信接続は [すべてブロック] に設定されています。
パブリック ネットワーク	パブリック ネットワーク プロファイルは、コーヒー ショップや空港などのパブリックな場所で使用できるネットワークに適用されます。 パブリック ネットワークのファイアウォール設定は、同じネットワーク上の他のデバイスで開始される受信接続に適用されます。 パブリック ネットワークには、不明なデバイスや信頼されていないデバイスを含めることができるため、受信接続は既定で [すべてブロック] に設定されています。
プライベート ネットワーク	プライベート ネットワーク プロファイルは、自宅などのプライベートな場所にあるネットワークに適用されます。 プライベート ネットワークのファイアウォール設定は、同じネットワーク上の他のデバイスで開始される受信接続に適用されます。 一般に、プライベート ネットワークでは、同じネットワーク上の他のすべてのデバイスが信頼できるデバイスであると見なされます。 ただし、既定では、受信接続は [すべてブロック] に設定されています。
カスタム ルール	カスタム ルール を使用すると、特定の接続をブロックまたは許可できます。 たとえば、デバイス上の特定のアプリ経由の接続を除き、プライベート ネットワークに接続されているデバイス上のすべての受信接続をブロックするとします。 この場合、すべての受信接続をブロックするように プライベート ネットワーク を設定し、カスタム規則を追加して例外を定義します。 カスタム ルールを使用して、特定のファイルまたはアプリ、インターネット プロトコル (IP) アドレス、または IP アドレスの範囲の例外を定義できます。 作成するカスタム ルールの種類に応じて、使用できる値の例を次に示します。 - アプリケーション ファイル のパス: C:\Windows\System\Notepad.exe or %WINDIR%\Notepad.exe - IP: または などの 192.168.11.0 有効な IPv4/IPv6 アドレス 192.168.1.0/24 - IP: 有効な IPv4/IPv6 アドレス範囲。次のように 192.168.1.0-192.168.1.9 書式設定されます (スペースは含まれません)

次の手順

• Defender for Business でファイアウォール設定を管理する
• Windows Defender ファイアウォールの詳細
• Defender for Business でインシデントを表示および管理する
• Defender for Business での脅威への対応と軽減
• アクション センターで修復アクションを確認する