Microsoft Defender for Business で次世代の保護ポリシーを確認または編集する
Defender for Business では、次世代の保護には、コンピューターとモバイル デバイスに対する堅牢なウイルス対策とマルウェア対策の保護が含まれています。 推奨設定の既定のポリシーは、Defender for Business に含まれています。 既定のポリシーは、生産性を妨げずにデバイスとユーザーを保護するように設計されています。 ただし、ビジネス ニーズに合わせてポリシーをカスタマイズできます。
次世代の保護ポリシーを管理するためのいくつかのオプションから選択できます。
- で Microsoft Defender ポータル https://security.microsoft.com を使用します (Intune を使用せずにスタンドアロン バージョンの Defender for Business を使用している場合に推奨)。
- で Microsoft Intune 管理センターを使用します (サブスクリプションに https://intune.microsoft.com Intune が含まれている場合に使用できます)
Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。
ナビゲーション ウィンドウで、[エンドポイント構成管理>] [デバイスの>構成]に移動します。 ポリシーは、オペレーティング システムとポリシーの種類によって編成されます。
オペレーティング システム タブ ( Windows など) を選択します。
[ 次世代の保護] で、ポリシーの一覧を表示します。 少なくとも、推奨設定を使用する既定のポリシーが一覧表示されます。 この既定のポリシーは、前の手順 ( Windows など) で選択したオペレーティング システムを実行しているすべてのオンボード デバイスに割り当てられます。 次の操作を行うことができます:
- 現在構成されている既定のポリシーをそのまま使用します。
- 既定のポリシーを編集して、必要な調整を行います。
- 新しいポリシーの作成。
次の表のいずれかの手順を使用します。
タスク プロシージャ 既定のポリシーを編集する 1. [ 次世代保護 ] セクションで、既定のポリシーを選択し、[編集] を選択 します。
2. [ 全般情報 ] ステップで、情報を確認します。 必要に応じて説明を編集し、[ 次へ] を選択します。
3. [ デバイス グループ ] ステップで、既存のグループを使用するか、新しいグループを設定します。 [次へ] を選択します。
4. [構成設定 ] ステップで、必要に応じて、セキュリティ設定を確認して編集し、[ 次へ] を選択します。 設定の詳細については、「 次世代保護の設定とオプション (この記事の)」を参照してください。
5. [ポリシーの 確認 ] ステップで、現在の設定を確認します。 [ 編集] を 選択して、必要な変更を行います。 次に、[ ポリシーの更新] を選択します。新しいポリシーの作成 1. [ 次世代保護 ] セクションで、[ 追加] を選択します。
2. [ 全般情報 ] ステップで、ポリシーの名前と説明を指定します。 ポリシーの順序を保持または変更することもできます ( 「Microsoft Defender for Business のポリシー順序について」を参照してください)。 [次へ] を選択します。
3. [デバイス グループ ] ステップで、既存のグループを使用するか、新しいグループを作成できます ( 「Microsoft Defender for Business のデバイス グループ」を参照)。 [次へ] を選択します。
4. [構成設定 ] ステップで、セキュリティ設定を確認して編集し、[ 次へ] を選択します。 設定の詳細については、「 次世代保護の設定とオプション (この記事の)」を参照してください。
5. [ポリシーの 確認 ] ステップで、現在の設定を確認します。 [ 編集] を 選択して、必要な変更を行います。 次に、[ ポリシーの作成] を選択します。
次世代の保護設定とオプション
次の表に、Defender for Business の次世代保護の設定とオプションを示します。
| 設定 | 説明 |
|---|---|
| リアルタイム保護: | |
| リアルタイム保護を有効にする | 既定では、リアルタイム保護が有効になっていると、マルウェアがデバイス上で実行されないように検索され、停止されます。 リアルタイム保護を有効にしておくことをお勧めします。 リアルタイム保護を有効にすると、次の設定が構成されます。 - 動作の監視が有効になっています (AllowBehaviorMonitoring)。 - ダウンロードしたすべてのファイルと添付ファイルがスキャンされます (AllowIOAVProtection)。 - Microsoft ブラウザーで使用されるスクリプトがスキャンされます (AllowScriptScanning)。 |
| 事前ブロック | 既定で有効にすると、一目でブロックすると、検出の数秒以内にマルウェアがブロックされ、分析のためにサンプル ファイルを送信できる時間 (秒単位) が長くなり、検出レベルが [高] に設定されます。
一目でブロックをオンにしておくことをお勧めします。 一目でブロックをオンにすると、Microsoft Defender ウイルス対策の次の設定が構成されます。 - 疑わしいファイルのブロックとスキャンは、高ブロック レベル (CloudBlockLevel) に設定されます。 - ファイルがブロックされ、チェックされる秒数が 50 秒 (CloudExtendedTimeout) に設定されます。 大事な一目でブロックがオフになっている場合は、Microsoft Defender ウイルス対策に CloudExtendedTimeout影響しますCloudBlockLevel。 |
| ネットワーク保護を有効にする | 既定でブロック モードで有効になっているネットワーク保護は、フィッシング詐欺、悪用ホスティング サイト、インターネット上の悪意のあるコンテンツから保護するのに役立ちます。 また、ユーザーがネットワーク保護をオフにすることもできなくなります。 ネットワーク保護は、次のモードに設定できます。 - ブロック モード は既定の設定です。 これにより、ユーザーが安全でないと見なされるサイトにアクセスできなくなります。 ネットワーク保護を [ブロック モード] に設定しておくことをお勧めします。 - 監査モード を使用すると、ユーザーは安全でない可能性のあるサイトにアクセスし、そのようなサイトとの間のネットワーク アクティビティを追跡できます。 - 無効モード では、ユーザーが安全でない可能性のあるサイトへのアクセスをブロックすることも、そのようなサイトとの間のネットワーク アクティビティを追跡することもできません。 |
| 修復 | |
| 望ましくない可能性のあるアプリに対して実行するアクション (PUA) | 既定で有効にすると、PUA 保護は PUA として検出された項目をブロックします。 PUAには広告ソフトウェアを含めることができます。他の署名されていないソフトウェアをインストールすることを提供するバンドルソフトウェア。およびセキュリティ機能を回避しようとする回避ソフトウェア。 PUA は必ずしもウイルス、マルウェア、またはその他の種類の脅威ではありませんが、デバイスのパフォーマンスに影響を与える可能性があります。 PUA 保護を次のモードに設定できます。 - [有効] は既定の設定です。 デバイスで PUA として検出された項目をブロックします。 PUA 保護を有効にしておくことをお勧めします。 - 監査モード では、PUA として検出された項目に対してアクションは実行されません。 - 無効 にすると、PUA である可能性がある項目が検出されたり、アクションが実行されたりすることはありません。 |
| スキャン | |
| スケジュールされたスキャンの種類 | クイックスキャン モードで既定で有効になっている場合は、週単位のウイルス対策スキャンを実行する日時を指定できます。 次のスキャンの種類のオプションを使用できます。 - クイック スキャンは 、レジストリ キーやスタートアップ フォルダーなどの場所を確認します。ここで、マルウェアを登録してデバイスと共に起動できます。 クイックスキャン オプションを使用することをお勧めします。 - Fullscan は 、デバイス上のすべてのファイルとフォルダーをチェックします。 - [無効] は 、スケジュールされたスキャンが行われないことを意味します。 ユーザーは引き続き自分のデバイスでスキャンを実行できます。 (一般に、スケジュールされたスキャンを無効にすることはお勧めしません)。 スキャンの種類の詳細については、こちらをご覧ください。 |
| スケジュールされたスキャンを実行する曜日 | 定期的な毎週のウイルス対策スキャンを実行する日を選択します。 |
| スケジュールされたスキャンを実行する時刻 | 定期的にスケジュールされたウイルス対策スキャンを実行して実行する時間を選択します。 |
| 低パフォーマンスを使用する | この設定は既定でオフになっています。 この設定はオフにしておくことをお勧めします。 ただし、この設定を有効にすると、スケジュールされたスキャン中に使用されるデバイス メモリとリソースを制限できます。
大事な[低パフォーマンスを使用する] をオンにすると、Microsoft Defender ウイルス対策の次の設定が構成されます。 - アーカイブ ファイルはスキャンされません (AllowArchiveScanning)。 - スキャンには低い CPU 優先度 (EnableLowCPUPriority) が割り当てられます。 - 完全なウイルス対策スキャンが見つからない場合、キャッチアップ スキャンは実行されません (DisableCatchupFullScan)。 - クイック ウイルス対策スキャンが見つからない場合、キャッチアップ スキャンは実行されません (DisableCatchupQuickScan)。 - ウイルス対策スキャン中の平均 CPU 負荷率を 50% から 20% (AvgCPULoadFactor) に減らします。 |
| ユーザーの操作性 | |
| ユーザーが Windows セキュリティ アプリにアクセスできるようにする | ユーザーが自分のデバイスで Windows セキュリティ アプリを開くには、この設定を有効にします。 ユーザーは Defender for Business で構成した設定をオーバーライドできませんが、クイック スキャンを実行したり、検出された脅威を表示したりできます。 |
| ウイルス対策の除外 | 除外は、Microsoft Defender ウイルス対策スキャンによってスキップされるプロセス、ファイル、またはフォルダーです。 一般に、除外を定義する必要はありません。 Microsoft Defender ウイルス対策には、既知のオペレーティング システムの動作と一般的な管理ファイルに基づく多くの自動除外が含まれています。 すべての除外によって保護レベルが低下するため、定義する除外を慎重に検討することが重要です。 除外を追加する前に、「 Microsoft Defender for Endpoint と Microsoft Defender ウイルス対策の除外を管理する」を参照してください。 |
| プロセスの除外 | プロセスの除外により、特定のプロセスによって開かれたファイルが Microsoft Defender ウイルス対策によってスキャンされるのを防ぎます。 プロセスの除外リストにプロセスを追加すると、Microsoft Defender ウイルス対策は、ファイルが配置されている場所に関係なく、そのプロセスによって開かれたファイルをスキャンしません。 ファイル除外リストに追加されない限り、プロセス自体がスキャンされます。 「プロセスによって開かれたファイルの除外を構成する」を参照してください。 |
| ファイル拡張子の除外 | ファイル拡張子の除外により、特定の拡張子を持つファイルが Microsoft Defender ウイルス対策によってスキャンされるのを防ぎます。 「ファイル拡張子とフォルダーの場所に基づいて除外を構成して検証する」を参照してください。 |
| ファイルとフォルダーの除外 | ファイルとフォルダーの除外により、特定のフォルダー内のファイルが Microsoft Defender ウイルス対策によってスキャンされるのを防ぎます。 コンテキスト ファイルとフォルダーの除外に関するページを参照してください。 |
Defender for Business のその他の事前構成済み設定
Defender for Business では、次のセキュリティ設定が事前に構成されています。
- リムーバブル ドライブのスキャンが有効になっています (AllowFullScanRemovableDriveScanning)。
- 毎日のクイック スキャンには、事前設定された時刻がありません (ScheduleQuickScanTime)。
- セキュリティ インテリジェンスの更新プログラムは、ウイルス対策スキャンが実行される前にチェックされます (CheckForSignaturesBeforeRunningScan)。
- セキュリティ インテリジェンスチェックは 4 時間ごとに行われます (SignatureUpdateInterval)。
Defender for Business の既定の設定が Microsoft Intune の設定に対応する方法
次の表では、Defender for Business 用に事前構成されている設定と、それらの設定が Intune に表示される内容にどのように対応するかを示します。 Defender for Business で簡略化された構成プロセスを使用している場合は、これらの設定を編集する必要はありません。
| 設定 | 説明 |
|---|---|
| クラウド保護 | クラウドによる保護または Microsoft Advanced Protection Service (MAPS) と呼ばれることもあります。クラウド保護は、Microsoft Defender ウイルス対策と Microsoft クラウドと連携して、1 つのデバイスが影響を受ける前であっても、新しい脅威を特定します。 既定では、 AllowCloudProtection はオンになっています。 クラウド保護の詳細については、こちらをご覧ください。 |
| 受信ファイルと送信ファイルの監視 | 受信ファイルと送信ファイルを監視するために、 RealTimeScanDirection はすべてのファイルを監視するように設定されています。 |
| ネットワーク ファイルをスキャンする | 既定では、 AllowScanningNetworkFiles は有効ではなく、ネットワーク ファイルはスキャンされません。 |
| 電子メール メッセージをスキャンする | 既定では、 AllowEmailScanning は有効ではなく、電子メール メッセージはスキャンされません。 |
| 検疫されたマルウェアを保持する日数 (0 から 90) | 既定では、 DaysToRetainCleanedMalware 設定は 0 (0) 日に設定されます。 検疫中の成果物は自動的に削除されません。 |
| サンプルの同意を送信する | 既定では、 SubmitSamplesConsent は安全なサンプルを自動的に送信するように設定されています。 安全なサンプルの例としては、.scr.bat個人を特定できる情報 (PII) が含まれていない、、.dll、.exeおよびファイルがあります。 ファイルに PII が含まれている場合、ユーザーはサンプルの送信を続行するための要求を受け取ります。
クラウド保護とサンプル提出の詳細については、こちらをご覧ください。 |
| リムーバブル ドライブをスキャンする | 既定では、 AllowFullScanRemovableDriveScanning は、デバイス上の USB サム ドライブなどのリムーバブル ドライブをスキャンするように構成されています。 マルウェア対策ポリシー設定の詳細については、こちらをご覧ください。 |
| 毎日のクイック スキャン時間を実行する | 既定では、 ScheduleQuickScanTime は午前 2 時に設定されます。 スキャン設定の詳細については、こちらをご覧ください。 |
| スキャンを実行する前に署名の更新を確認する | 既定では、 CheckForSignaturesBeforeRunningScan は、ウイルス対策/マルウェア対策スキャンを実行する前にセキュリティ インテリジェンスの更新プログラムをチェックするように構成されています。 スキャン設定とセキュリティ インテリジェンスの更新に関する詳細情報。 |
| セキュリティ インテリジェンスの更新プログラムを確認する頻度 (0 から 24 時間) | 既定では、 SignatureUpdateInterval は、セキュリティ インテリジェンスの更新プログラムを 4 時間ごとに確認するように構成されています。 スキャン設定とセキュリティ インテリジェンスの更新に関する詳細情報。 |