次の方法で共有


Microsoft Defender for Businessでポリシーを表示または編集する

Defender for Business では、デバイスに適用されるポリシーを使用してセキュリティ設定を構成します。 セットアップと構成のエクスペリエンスを簡素化するために、Defender for Business には、会社のデバイスがオンボードされるとすぐに保護するのに役立ついくつかの構成済みポリシーが含まれています。 作成できるポリシーには他にも種類があります (「Microsoft Defender for Businessでセキュリティ ポリシーと設定を設定、確認、編集する」を参照してください)。

この記事では、Defender for Business でセキュリティ ポリシーを表示、編集、作成する方法について説明します。

この記事には、次のものが含まれます

Defender for Business の既定のポリシー

Defender for Business には、会社のデバイスがオンボードされるとすぐに保護するように設計された、2 種類のメインの既定のポリシーがあります。

  • 次世代の保護ポリシー。ウイルス対策やその他の脅威保護機能Microsoft Defender構成する方法を決定します。
  • ファイアウォール ポリシー。会社のデバイスとの間で送受信できるネットワーク トラフィックを決定します。

次世代の保護 には、コンピューターとモバイル デバイスに対する堅牢なウイルス対策とマルウェア対策保護が含まれます。 既定のポリシーは、生産性を妨げずにデバイスとユーザーを保護するように設計されています。 ただし、ビジネス ニーズに合わせてポリシーをカスタマイズできます。 詳細については、「 次世代の保護ポリシーを確認または編集する」を参照してください。

ファイアウォール ポリシーは、 デバイスとの間のフローが許可されるネットワーク トラフィックを決定する規則を確立することで、デバイスのセキュリティ保護に役立ちます。 ファイアウォール保護を使用して、さまざまな場所のデバイスでの接続を許可するかブロックするかを指定できます。 たとえば、ファイアウォール設定では、会社の内部ネットワークに接続されているデバイスで受信接続を許可できますが、デバイスが信頼されていないデバイスを持つネットワーク上にある場合は接続を禁止できます。 詳細については、「 ファイアウォール」を参照してください。

Defender for Business で設定するポリシー

次世代の保護ポリシーとファイアウォール ポリシーに加えて、Defender for Business で最適な保護を構成するための他の 3 種類のポリシーがあります。

  • Web コンテンツのフィルター処理。これにより、organizationの Web 保護が有効になります。
  • ランサムウェア保護の重要な部分であるフォルダー アクセスの制御 (セットアップと管理にはIntuneが必要です)
  • デバイスの脆弱性を軽減するのに役立つ攻撃面の縮小ルール (設定と管理にはIntuneが必要です)

Web コンテンツ フィルタリング。これにより、セキュリティ チームはコンテンツ カテゴリに基づいて Web サイトへのアクセスを追跡および規制できます。 カテゴリの例としては、成人コンテンツ、高帯域幅コンテンツ、法的責任コンテンツなどがあります。 Web コンテンツ フィルター ポリシーを設定すると、organizationの Web 保護を有効にします。 詳細については、「 Web コンテンツのフィルター処理」を参照してください。

フォルダーアクセスの制御 により、信頼されたアプリのみが Windows デバイス上の保護されたフォルダーにアクセスできます。 この機能はランサムウェアの軽減策と考えてください。 Microsoft Intuneで、制御されたフォルダー アクセス ポリシーを設定または編集できます。 詳細については、「 制御されたフォルダー アクセス ポリシーを設定または編集する」を参照してください。

攻撃面の縮小ルール は、一般的にマルウェアを介して攻撃者によって悪用されるため、危険と見なされる特定のソフトウェア動作を対象としています。 このような動作の例としては、実行可能ファイルの起動や、ファイルのダウンロードまたは実行を試みるスクリプトなどがあります。 攻撃面の縮小ルールは、ソフトウェアベースの危険な動作を制限し、organizationを安全に保つのに役立ちます。 少なくとも、ユーザーの中断を引き起こさずにネットワークを保護するために、標準の保護規則を構成することをお勧めします。 詳細については、「Microsoft Defender for Businessで攻撃面の縮小ルールを有効にする」を参照してください。

注:

Intuneは、制御されたフォルダー アクセス攻撃面の縮小ルールを構成するために必要です。 Intuneは Defender for Business のスタンドアロン バージョンには含まれていませんが、サブスクリプションに追加できます。

既存のポリシーを表示する

既存のポリシーは、Microsoft Defender ポータル (https://security.microsoft.com) またはIntune管理センター () (https://intune.microsoft.comIntuneを使用している場合) で表示できます。

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. ナビゲーション ウィンドウで、[ 構成管理>] [デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護][ファイアウォール] など) ごとに分類されています。

  3. [オペレーティング システム] タブ ( Windows クライアントなど) を選択し、各カテゴリ ( 次世代保護 やファイアウォールなど) の下にあるポリシーの一覧を確認 します

  4. ポリシーの詳細を表示するには、その名前を選択します。 サイド ウィンドウが開き、そのポリシーに関する詳細情報 (そのポリシーで保護されているデバイスなど) が表示されます。

既存のポリシーを編集する

既存のポリシーは、Microsoft Defender ポータル (https://security.microsoft.com) またはIntune管理センター () (https://intune.microsoft.comIntuneを使用している場合) で表示できます。

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. ナビゲーション ウィンドウで、[デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護][ファイアウォール] など) ごとに分類されています。

  3. オペレーティング システムのタブ ([Windows クライアント] など) を選択し、[次世代保護][ファイアウォール] のカテゴリでポリシーの一覧を確認します。

  4. ポリシーを編集するには、その名前を選択し、[編集] を選択します。

  5. [全般情報] タブで情報を確認します。 必要に応じて、説明を編集できます。 [次へ] を選択します。

  6. [デバイス グループ] タブで、このポリシーを受け取るデバイス グループを決定します。

    • 選択したデバイス グループをそのままにするには、[次へ] を選択します。
    • ポリシーからデバイス グループを削除するには、[削除] を選択 します。
    • 新しいデバイス グループを設定するには、[新しいグループの作成] を選択し、デバイス グループを設定します。 (このタスクに関するヘルプを表示するには、「 デバイス グループ」を参照してください)。
    • ポリシーを別のデバイス グループに適用するには、[既存のグループを使用] を選択します。

    ポリシーを受け取るデバイス グループを指定したら、[次へ] を選択します。

  7. [構成の設定] タブで設定を確認します。 必要に応じて、ポリシーの設定を編集できます。 このタスクのヘルプについては、次の記事を参照してください。

    次世代の保護設定を指定したら、[次へ] を選択します。

  8. [ポリシーの確認] タブで、一般情報、対象デバイス、および構成設定を確認します。

    • [編集] を選択して、必要な変更を加えます。
    • 続行する準備ができたら、[ ポリシーの更新] を選択します。

新しいポリシーの作成

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. ナビゲーション ウィンドウで、[デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護][ファイアウォール] など) ごとに分類されています。

  3. オペレーティング システムのタブ ([Windows クライアント] など) を選択し、[次世代保護] ポリシーの一覧を確認します。

  4. [次世代保護] または [ファイアウォール] で、[+ 追加] を選択します。

  5. [全般情報] タブで次の手順を実行します。

    1. 名前と説明を入力します。 この情報は、後で自分とチームがポリシーを特定するのに役立ちます。
    2. ポリシーの順序を確認し、必要に応じて編集します。 (詳細については、「ポリシーの順序」を参照してください)。
    3. 次へを選択します。
  6. [デバイス グループ] タブで、新しいデバイス グループを作成するか、既存のグループを使用します。 ポリシーは、デバイス グループを介してデバイスに割り当てられます。 留意事項がいくつかあります。

    • 最初は、会社のユーザーが会社のデータや電子メールにアクセスするために使用しているデバイスを含む、既定のデバイス グループのみを使用できます。 既定のデバイス グループを残して使用することができます。
    • 既定のポリシーとは異なる特定の設定でポリシーを適用するには、新しいデバイス グループを作成します。
    • デバイス グループを設定するときは、オペレーティング システムのバージョンなど、特定の条件を指定します。 条件を満たすデバイスは、除外しない限り、そのデバイス グループに含まれます。
    • 定義した既定のデバイス グループとカスタム デバイス グループを含むすべてのデバイス グループは、Microsoft Entra IDに格納されます。

    デバイス グループの詳細については、「 デバイス グループ」を参照してください。

  7. [構成設定] タブで、ポリシーの設定を指定し、[次へ] を選択します。 個々の設定の詳細については、「 Defender for Business の構成設定」を参照してください。

  8. [ポリシーの確認] タブで、一般情報、対象デバイス、および構成設定を確認します。

    • [編集] を選択して、必要な変更を加えます。
    • 続行する準備ができたら、[ポリシーのCreate] を選択します。

関連項目