グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
グループ ポリシーを使用して Defender for Endpoint 設定を管理している場合は、それを使用してデバイス制御を展開および管理できます。
リムーバブル 記憶域のアクセス制御を有効または無効にする
Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Features>Device Control に移動します。
[ デバイス制御 ] ウィンドウで、[ 有効] を選択します。
注:
これらのグループ ポリシー オブジェクトが表示されない場合は、グループ ポリシー管理用テンプレート (ADMX) を追加する必要があります。 管理テンプレート (WindowsDefender.adml と WindowsDefender.admx) は、GitHub の mdatp-devicecontrol/Windows サンプル からダウンロードできます。
既定の適用を設定する
RemovableMediaDevices
、CdRomDevices
、WpdDevices
、PrinterDevices
など、すべてのデバイスコントロール機能に対して、Deny
やAllow
などの既定のアクセスを設定できます。
たとえば、RemovableMediaDevices
にはDeny
またはAllow
ポリシーを設定できますが、CdRomDevices
やWpdDevices
には使用できません。 このポリシーを使用して Default Deny
を設定した場合は、 CdRomDevices
または WpdDevices
への読み取り/書き込み/実行アクセスがブロックされます。 記憶域のみを管理する場合は、プリンターの Allow
ポリシーを作成してください。 それ以外の場合は、既定の適用 (拒否) もプリンターに適用されます。
Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Features>Device Control>[デバイス コントロールの既定の適用ポリシーの選択] に移動します。
[ デバイス制御の既定の適用ポリシーの選択 ] ウィンドウで、[ 既定の拒否] を選択します。
デバイスの種類を構成する
デバイス制御ポリシーが適用されるデバイスの種類を構成するには、次の手順に従います。
Windows を実行しているコンピューターで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>特定のデバイスの種類のデバイス コントロールをオンにするに移動します。
[ 特定の種類のデバイス コントロールを有効にする ] ウィンドウで、製品ファミリ ID をパイプ (
|
) で区切って指定します。 この設定は、スペースのない単一の文字列である必要があります。または、予期しない動作を引き起こすデバイスコントロールエンジンによって誤って解析されます。 製品ファミリ ID には、RemovableMediaDevices
、CdRomDevices
、WpdDevices
、またはPrinterDevices
が含まれます。
グループの定義
リムーバブル ストレージ グループごとに 1 つの XML ファイルを作成します。
リムーバブル ストレージ グループのプロパティを使用して、リムーバブル ストレージ グループごとに XML ファイルを作成します。
各 XML ファイルをネットワーク共有に保存します。
設定を次のように定義します。
Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>Define デバイス制御ポリシー グループに移動します。
[ デバイス制御ポリシー グループの定義 ] ウィンドウで、XML グループ データを含むネットワーク共有ファイル パスを指定します。
さまざまなグループの種類を作成できます。 次に示すのは、リムーバブル ストレージと CD-ROM、Windows ポータブル デバイス、承認済み USBs グループの XML ファイルの 1 つのグループ例です。
注:
XML コメント表記 <!--COMMENT-->
を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。
ポリシーの定義
アクセス ポリシー ルール用の XML ファイルを 1 つ作成します。
リムーバブル ストレージ アクセス ポリシー規則のプロパティを使用して、各グループのリムーバブル ストレージ アクセス ポリシー規則の XML を作成します。
XML ファイルをネットワーク共有に保存します。
設定を次のように定義します。
Windows を実行しているデバイスで、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>Device Control>Define デバイス制御ポリシー 規則に移動します。
[ デバイス制御ポリシー ルールの定義 ] ウィンドウで、[ 有効] を選択し、XML ルール データを含むネットワーク共有ファイル パスを指定します。
注:
コピーまたは印刷されているファイルの証拠をキャプチャするには、 Endpoint DLP を使用します。
注:
XML コメント表記 <!-- COMMENT -->
を使用したコメントは、Rule および Group XML ファイルで使用できますが、XML ファイルの最初の行ではなく、最初の XML タグ内にある必要があります。