グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
グループ ポリシーを使用して Defender for Endpoint 設定を管理している場合は、それを使用してデバイス制御を展開および管理できます。
リムーバブル 記憶域のアクセス制御を有効または無効にする
Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Features>Device Control に移動します。
[ デバイス制御 ] ウィンドウで、[ 有効] を選択します。
注:
これらのグループ ポリシー オブジェクトが表示されない場合は、グループ ポリシー管理用テンプレート (ADMX) を追加する必要があります。 管理テンプレート (WindowsDefender.adml と WindowsDefender.admx) は、GitHub の mdatp-devicecontrol/Windows サンプル からダウンロードできます。
既定の適用を設定する
RemovableMediaDevices、CdRomDevices、WpdDevices、PrinterDevicesを含むすべてのデバイス制御機能に対して、DenyやAllowなどの既定のアクセスを設定できます。
たとえば、RemovableMediaDevicesにはDenyまたはAllowポリシーを設定できますが、CdRomDevicesやWpdDevicesには使用できません。 このポリシーを使用して Default Deny を設定した場合は、 CdRomDevices または WpdDevices への読み取り/書き込み/実行アクセスがブロックされます。 記憶域のみを管理する場合は、プリンターの Allow ポリシーを作成してください。 それ以外の場合は、既定の適用 (拒否) もプリンターに適用されます。
Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Features>Device Control>[デバイス コントロールの既定の適用ポリシーの選択] に移動します。
[ デバイス制御の既定の適用ポリシーの選択 ] ウィンドウで、[ 既定の拒否] を選択します。
デバイスの種類を構成する
デバイス制御ポリシーが適用されるデバイスの種類を構成するには、次の手順に従います。
Windows を実行しているコンピューターで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>特定のデバイスの種類のデバイス コントロールをオンにするに移動します。
[ 特定の種類のデバイス コントロールを有効にする ] ウィンドウで、製品ファミリ ID をパイプ (
|) で区切って指定します。 この設定は、スペースのない単一の文字列である必要があります。または、予期しない動作を引き起こすデバイスコントロールエンジンによって誤って解析されます。 製品ファミリ ID には、RemovableMediaDevices、CdRomDevices、WpdDevices、またはPrinterDevicesが含まれます。
グループの定義
リムーバブル ストレージ グループごとに 1 つの XML ファイルを作成します。
リムーバブル ストレージ グループのプロパティを使用して、リムーバブル ストレージ グループごとに XML ファイルを作成します。
XML のルート ノードが PolicyGroups であることを確認します (たとえば、次の XML)。
<PolicyGroups> <Group Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}" Type="Device"> </Group> </PolicyGroups>XML ファイルをネットワーク共有に保存します。
設定を次のように定義します。
Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>Define デバイス制御ポリシー グループに移動します。
[ 定義済みのデバイス制御ポリシー グループ ] ウィンドウで、XML グループ データを含むネットワーク共有ファイル パスを指定します。
さまざまなグループの種類を作成できます。 次に示すのは、リムーバブル ストレージと CD-ROM、Windows ポータブル デバイス、承認済み USBs グループの XML ファイルの 1 つのグループ例です。
注:
XML コメント表記 <!--COMMENT--> を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最前線ではなく、最初の XML タグ内にある必要があります。
ポリシーの定義
アクセス ポリシー ルール用の XML ファイルを 1 つ作成します。
リムーバブル ストレージ アクセス ポリシー規則のプロパティを使用して、各グループのリムーバブル ストレージ アクセス ポリシー規則の XML を作成します。
XML のルート ノードが PolicyRules であることを確認します (たとえば、次の XML)。
<PolicyRules> <PolicyRule Id="{d8819053-24f4-444a-a0fb-9ce5a9e97862}"> ... </PolicyRule> </PolicyRules>XML ファイルをネットワーク共有に保存します。
設定を次のように定義します。
Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>Define デバイス制御ポリシー 規則に移動します。
[ デバイス制御ポリシー ルールの定義 ] ウィンドウで、[ 有効] を選択し、XML ルール データを含むネットワーク共有ファイル パスを指定します。
XML ファイルの検証
MPcmdrun 組み込みの機能を使用して、GPO の展開に使用される XML ファイルを検証します。 この機能を使用すると、設定の解析中に DC エンジンで発生する可能性がある構文エラーを検出できます。 この検証を実行するには、管理者は次の PowerShell スクリプトをコピーし、デバイス制御ルールとグループを含む XML ファイルの適切なファイル パスを指定する必要があります。
#Path to PolicyRules xml. Provide the filepath of the device control rules XML file
$RulesXML="C:\Policies\PolicyRules.xml"
#Path to Groups XML. Provide the filepath of the device control groups XML file
$GroupsXML="C:\Policies\Groups.xml"
#Retrieve the install path from Defender
$DefenderPath=(Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "InstallLocation").InstallLocation
#Test PolicyRules
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $RulesXML -rules
#Test Groups
& $DefenderPath\mpcmdrun.exe -devicecontrol -testpolicyxml $GroupsXML -groups
エラーがない場合は、PowerShell コンソールに次の出力が出力されます。
DC policy rules parsing succeeded
Verifying absolute rules data against the original data
Rules verified with success
DC policy groups parsing succeeded
Verifying absolute groups data against the original data
Groups verified with success
Has Group Dependency Loop: no
注:
コピーまたは印刷されているファイルの証拠をキャプチャするには、 Endpoint DLP を使用します。
XML コメント表記 <!-- COMMENT --> を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最前線ではなく、最初の XML タグ内にある必要があります。