次の方法で共有


グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する

適用対象:

グループ ポリシーを使用して Defender for Endpoint 設定を管理している場合は、それを使用してデバイス制御を展開および管理できます。

リムーバブル 記憶域のアクセス制御を有効または無効にする

enable disable rsac のスクリーンショット。

  1. Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Features>Device Control に移動します。

  2. [ デバイス制御 ] ウィンドウで、[ 有効] を選択します。

注:

これらのグループ ポリシー オブジェクトが表示されない場合は、グループ ポリシー管理用テンプレート (ADMX) を追加する必要があります。 管理テンプレート (WindowsDefender.admlWindowsDefender.admx) は、GitHub の mdatp-devicecontrol/Windows サンプル からダウンロードできます。

既定の適用を設定する

RemovableMediaDevicesCdRomDevicesWpdDevicesPrinterDevicesなど、すべてのデバイスコントロール機能に対して、DenyAllowなどの既定のアクセスを設定できます。

既定の適用の設定のスクリーンショット。

たとえば、RemovableMediaDevicesにはDenyまたはAllowポリシーを設定できますが、CdRomDevicesWpdDevicesには使用できません。 このポリシーを使用して Default Deny を設定した場合は、 CdRomDevices または WpdDevices への読み取り/書き込み/実行アクセスがブロックされます。 記憶域のみを管理する場合は、プリンターの Allow ポリシーを作成してください。 それ以外の場合は、既定の適用 (拒否) もプリンターに適用されます。

  1. Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Features>Device Control>[デバイス コントロールの既定の適用ポリシーの選択] に移動します。

  2. [ デバイス制御の既定の適用ポリシーの選択 ] ウィンドウで、[ 既定の拒否] を選択します。

デバイスの種類を構成する

デバイスの種類の構成のスクリーンショット。

デバイス制御ポリシーが適用されるデバイスの種類を構成するには、次の手順に従います。

  1. Windows を実行しているコンピューターで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>特定のデバイスの種類のデバイス コントロールをオンにするに移動します。

  2. [ 特定の種類のデバイス コントロールを有効にする ] ウィンドウで、製品ファミリ ID をパイプ (|) で区切って指定します。 この設定は、スペースのない単一の文字列である必要があります。または、予期しない動作を引き起こすデバイスコントロールエンジンによって誤って解析されます。 製品ファミリ ID には、 RemovableMediaDevicesCdRomDevicesWpdDevices、または PrinterDevicesが含まれます。

グループの定義

グループの定義のスクリーンショット。

  1. リムーバブル ストレージ グループごとに 1 つの XML ファイルを作成します。

  2. リムーバブル ストレージ グループのプロパティを使用して、リムーバブル ストレージ グループごとに XML ファイルを作成します。

  3. 各 XML ファイルをネットワーク共有に保存します。

  4. 設定を次のように定義します。

    1. Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>Define デバイス制御ポリシー グループに移動します。

    2. [ デバイス制御ポリシー グループの定義 ] ウィンドウで、XML グループ データを含むネットワーク共有ファイル パスを指定します。

さまざまなグループの種類を作成できます。 次に示すのは、リムーバブル ストレージと CD-ROM、Windows ポータブル デバイス、承認済み USBs グループの XML ファイルの 1 つのグループ例です。

注:

XML コメント表記 <!--COMMENT--> を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。

ポリシーの定義

ポリシーの定義のスクリーンショット。

  1. アクセス ポリシー ルール用の XML ファイルを 1 つ作成します。

  2. リムーバブル ストレージ アクセス ポリシー規則のプロパティを使用して、各グループのリムーバブル ストレージ アクセス ポリシー規則の XML を作成します。

  3. XML ファイルをネットワーク共有に保存します。

  4. 設定を次のように定義します。

    1. Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>Define デバイス制御ポリシー 規則に移動します。

    2. [ デバイス制御ポリシー ルールの定義 ] ウィンドウで、[ 有効] を選択し、XML ルール データを含むネットワーク共有ファイル パスを指定します。

注:

コピーまたは印刷されているファイルの証拠をキャプチャするには、 Endpoint DLP を使用します。

注:

XML コメント表記 <!-- COMMENT --> を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。

関連項目