次の方法で共有

Intuneのエンドポイント セキュリティに対する攻撃面の縮小ポリシー設定

  • [アーティクル]

エンドポイント セキュリティ ポリシーの一部として、Intuneのエンドポイント セキュリティ ノードの攻撃面縮小ポリシーのプロファイルで構成できる設定を表示します。

適用対象:

  • Windows 11
  • Windows 10

サポートされているプラットフォームとプロファイル:

  • Windows 10以降 - Intuneで管理されているデバイスに展開するポリシーには、このプラットフォームを使用します。

    • プロファイル: アプリとブラウザーの分離
    • プロファイル: アプリケーション制御
    • プロファイル: 攻撃面の縮小ルール
    • プロファイル: デバイスコントロール
    • プロファイル: Exploit Protection
    • プロファイル: Web 保護 (Microsoft Edge 従来版)

  • Windows 10以降 (ConfigMgr): Configuration Managerによって管理されているデバイスに展開するポリシーにこのプラットフォームを使用します。

    • プロファイル: Exploit Protection(ConfigMgr)(preview)
    • プロファイル: Web Protection (ConfigMgr)(プレビュー)

  • Windows 10、Windows 11、および Windows Server: Microsoft Defender for Endpointのセキュリティ管理で管理されているデバイスに展開するポリシーには、このプラットフォームを使用します。

    • プロファイル: 攻撃面の縮小ルール

攻撃面の縮小 (MDM)

アプリとブラウザーの分離プロファイル

注:

このセクションでは、2023 年 4 月 18 日より前に作成されたアプリとブラウザーの分離プロファイルの設定について詳しく説明します。 その日付より後に作成されたプロファイルでは、設定カタログにある新しい設定形式が使用されます。 この変更により、古いプロファイルの新しいバージョンを作成できなくなり、開発されなくなります。 古いプロファイルの新しいインスタンスを作成することはできなくなりましたが、以前に作成したそのプロファイルのインスタンスを引き続き編集して使用できます。

新しい設定形式を使用するプロファイルの場合、Intuneは名前で各設定の一覧を保持しなくなりました。 代わりに、各設定の名前、その構成オプション、およびMicrosoft Intune管理センターに表示される説明テキストは、設定の権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、その 詳細情報 リンクを使用してそのコンテンツを開くことができます。

アプリとブラウザーの分離

  • Application Guardを有効にする
    CSP: AllowWindowsDefenderApplicationGuard

    • 未構成 (既定値) - Microsoft Defender Application Guardは、Microsoft Edge または分離された Windows 環境用に構成されていません。
    • Edge に対して有効 - Application Guardは、Hyper-V 仮想化ブラウズ コンテナーで承認されていないサイトを開きます。
    • 分離された Windows 環境で有効 - Windows 内の App Guard で有効になっているアプリケーションに対してApplication Guardが有効になっています。
    • Edge と分離された Windows 環境で有効 - Application Guardは両方のシナリオに対して構成されます。

    注:

    Intune経由で Microsoft Edge 用のApplication Guardを展開する場合は、Windows ネットワーク分離ポリシーを前提条件として構成する必要があります。 ネットワーク分離は、Windows ネットワーク分離設定の下のアプリとブラウザーの分離など、さまざまなプロファイルを介して構成できます。

    [ Edge で有効] または [Edge および分離された Windows 環境で有効] に設定すると、次の設定が使用でき、Edge に適用されます。

    • クリップボードの動作
      CSP: ClipboardSettings

      ローカル PC とApplication Guard仮想ブラウザーから許可されるコピーと貼り付け操作を選択します。

      • 未構成 (既定値)
      • PC とブラウザー間のコピーと貼り付けをブロックする
      • ブラウザーから PC へのコピーと貼り付けを許可する
      • PC からブラウザーへのコピーと貼り付けを許可する
      • PC とブラウザー間のコピーと貼り付けを許可する

    • エンタープライズ以外の承認済みサイトから外部コンテンツをブロックする
      CSP: BlockNonEnterpriseContent

      • 未構成 (既定値)
      • はい - 承認されていない Web サイトからのコンテンツの読み込みをブロックします。

    • Application Guard閲覧セッション内で発生するイベントのログを収集する
      CSP: AuditApplicationGuard

      • 未構成 (既定値)
      • はい - Application Guard仮想閲覧セッション内で発生するイベントのログを収集します。

    • ユーザーが生成したブラウザー データの保存を許可する
      CSP: AllowPersistence

      • 未構成 (既定値)
      • はい - Application Guard仮想閲覧セッション中に作成されたユーザー データの保存を許可します。 ユーザー データの例としては、パスワード、お気に入り、Cookie などがあります。

    • ハードウェア グラフィックス アクセラレーションを有効にする
      CSP: AllowVirtualGPU

      • 未構成 (既定値)
      • はい - Application Guard仮想閲覧セッション内で、仮想グラフィックス処理ユニットを使用して、グラフィックスを集中的に使用する Web サイトの読み込みを高速化します。

    • ユーザーがホストにファイルをダウンロードできるようにする
      CSP: SaveFilesToHost

      • 未構成 (既定値)
      • はい - 仮想化されたブラウザーからホスト オペレーティング システムにファイルをダウンロードすることをユーザーに許可します。

    • カメラとマイクへのアクセスを許可するApplication Guard
      CSP: AllowCameraMicrophoneRedirection

      • 未構成 (既定値) - Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできません。
      • はい - Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできます。
      • いいえ - Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできません。 これは、[ 未構成] と同じ動作です。

  • ローカル プリンターへの印刷を許可するアプリケーション ガード

    • 未構成 (既定値)
    • はい - ローカル プリンターへの印刷を許可します。

  • アプリケーション ガードでは、ネットワーク プリンターへの印刷が許可されます

    • 未構成 (既定値)
    • はい - ネットワーク プリンターへの印刷を許可します。

  • アプリケーション ガードで PDF への印刷を許可する

    • 未構成 (既定値)
    • [はい] - PDF への印刷を許可します。

  • XPS への印刷を許可するアプリケーション ガード

    • 未構成 (既定値)
    • はい - XPS への印刷を許可します。

  • ユーザーのデバイスからのルート証明機関の使用を許可するApplication Guard
    CSP: CertificateThumbprints

    一致するルート証明書をMicrosoft Defender Application Guard コンテナーに自動的に転送するように証明書の拇印を構成します。

    拇印を 1 つずつ追加するには、[追加] を選択 しますImport を使用すると、プロファイルに同時に追加される複数の拇印エントリを含む .CSV ファイルを指定できます。 .CSV ファイルを使用する場合、各拇印はコンマで区切る必要があります。 例: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    プロファイルに一覧表示されているすべてのエントリがアクティブです。 拇印エントリをアクティブにするには、チェック ボックスをオンにする必要はありません。 代わりに、チェックボックスを使用して、プロファイルに追加されたエントリを管理するのに役立ちます。 たとえば、1 つ以上の証明書拇印エントリのチェック ボックスをオンにし、1 つのアクションでそれらのエントリをプロファイルから 削除 できます。

  • Windows のネットワークの分離のポリシー

    • 未構成 (既定値)
    • はい - Windows ネットワーク分離ポリシーを構成します。

    [はい] に設定すると、次の設定を構成できます。

    • IP 範囲
      ドロップダウンを展開し、[ 追加] を選択し、 下のアドレス を指定してから 、上のアドレスを指定します。

    • クラウド リソース
      ドロップダウンを展開し、[ 追加] を選択し、 IP アドレスまたは FQDN とプロキシを指定 します

    • ネットワーク ドメイン
      ドロップダウンを展開し、[ 追加] を選択し、[ ネットワーク ドメイン] を指定します。

    • プロキシ サーバー
      ドロップダウンを展開し、[ 追加] を選択し、[ プロキシ サーバー] を指定します。

    • 内部プロキシ サーバー
      ドロップダウンを展開し、[ 追加] を選択し、[ 内部プロキシ サーバー] を指定します。

    • ニュートラル リソース
      ドロップダウンを展開し、[ 追加] を選択し、[ ニュートラル リソース] を指定します。

    • 他のエンタープライズ プロキシ サーバーの自動検出を無効にする

      • 未構成 (既定値)
      • はい - 他のエンタープライズ プロキシ サーバーの自動検出を無効にします。

    • 他のエンタープライズ IP 範囲の自動検出を無効にする

      • 未構成 (既定値)
      • はい - 他のエンタープライズ IP 範囲の自動検出を無効にします。

    注:

    プロファイルの作成後、ポリシーを適用する必要があるデバイスでは、Microsoft Defender Application Guard有効になります。 ユーザーは、保護を実施するためにデバイスを再起動する必要がある場合があります。

アプリケーション制御プロファイル

アプリケーション制御のMicrosoft Defender

  • アプリ ロッカー のアプリケーション制御
    CSP: AppLocker

    • 未構成 (既定値)
    • コンポーネントを適用し、アプリを格納する
    • 監査コンポーネントとストア アプリ
    • コンポーネント、ストア アプリ、Smartlocker を適用する
    • 監査コンポーネント、ストア アプリ、Smartlocker

  • ユーザーが SmartScreen の警告を無視できないようにブロックする
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • [未構成 ] (既定値) - ユーザーは、ファイルや悪意のあるアプリに対する SmartScreen 警告を無視できます。
    • はい - SmartScreen が有効になっており、ユーザーはファイルや悪意のあるアプリの警告をバイパスできません。

  • Windows SmartScreen を有効にする
    CSP: SmartScreen/EnableSmartScreenInShell

    • 未構成 (既定値) - SmartScreen を有効にする設定を Windows の既定値に戻しますが、ユーザーはこの設定を変更できます。 SmartScreen を無効にするには、カスタム URI を使用します。
    • はい - すべてのユーザーに SmartScreen の使用を強制します。

攻撃面の減少ルール プロファイル

攻撃面の減少ルール

攻撃面の縮小ルールの詳細については、Microsoft 365 ドキュメントの 「攻撃面の縮小ルールリファレンス 」を参照してください。

注:

このセクションでは、2022 年 4 月 5 日より前に作成された攻撃表面の縮小ルール プロファイルの設定について詳しく説明します。 その日付より後に作成されたプロファイルでは、設定カタログにある新しい設定形式が使用されます。 この変更により、古いプロファイルの新しいバージョンを作成できなくなり、開発されなくなります。 古いプロファイルの新しいインスタンスを作成することはできなくなりましたが、以前に作成したそのプロファイルのインスタンスを引き続き編集して使用できます。

新しい設定形式を使用するプロファイルの場合、Intuneは名前で各設定の一覧を保持しなくなりました。 代わりに、各設定の名前、その構成オプション、およびMicrosoft Intune管理センターに表示される説明テキストは、設定の権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、その 詳細情報 リンクを使用してそのコンテンツを開くことができます。

  • WMI イベント サブスクリプションを使用して永続化をブロックする
    攻撃面の縮小ルールを使用して攻撃面を減らす

    この攻撃面の縮小 (ASR) ルールは、次の GUID を使用して制御されます: e6db77e5-3df2-4cf1-b95a-636979351e5b

    この規則により、マルウェアが WMI を悪用してデバイスでの永続性を獲得するのを防ぎます。 ファイルレス脅威は、さまざまな戦術を採用して潜伏し、ファイル システムに見つからないようにして、定期的に実行制御を獲得します。 脅威の中には、WMI リポジトリとイベント モデルを悪用して、潜伏できるものがあります。

    • 未構成 (既定値) – 設定は Windows の既定値に戻ります。これはオフであり、永続化はブロックされません。
    • ブロック – WMI による永続化をブロックします。
    • 監査 – 有効になっている場合 (ブロックに設定)、この規則が組織に与える影響を評価します。
    • 無効 - この規則をオフにします。 永続化はブロックされません。

    この設定の詳細については、「 WMI イベント サブスクリプションによる永続化のブロック」を参照してください。

  • Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)
    エクスプロイトからデバイスを保護する

    この攻撃面の縮小 (ASR) ルールは、次の GUID を使用して制御されます: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • ユーザー定義
    • 有効にする - lsass.exe を介して資格情報を盗もうとすると、ブロックされます。
    • 監査モード - ユーザーは危険なドメインからブロックされず、代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。

  • Adobe Reader による子プロセスの作成をブロックする
    攻撃面の縮小ルールを使用して攻撃面を減らす

    この ASR ルールは、7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c を介して制御されます。

    • 未構成 (既定値) - Windows の既定値は復元され、子プロセスの作成をブロックしません。
    • ユーザー定義
    • [有効] - Adobe Reader は子プロセスの作成をブロックされます。
    • 監査モード - Windows イベントは、子プロセスをブロックする代わりに発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。

  • Office アプリケーションによるコードの他のプロセスへの挿入をブロックする
    エクスプロイトからデバイスを保護する

    この ASR 規則は、75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 によって制御されます。

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • ブロック - Office アプリケーションは、コードを他のプロセスに挿入できないようにブロックされます。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • Office アプリケーションによる実行可能コンテンツの作成をブロックする
    エクスプロイトからデバイスを保護する

    この ASR ルールは、3B576869-A4EC-4529-8536-B80A7769E899によって制御されます。

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • ブロック - Office アプリケーションは実行可能コンテンツの作成をブロックされます。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • すべての Office アプリケーションが子プロセスを作成できないようにブロックする
    エクスプロイトからデバイスを保護する

    この ASR ルールは、次の GUID を使用して制御されます:D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • [ブロック] - Office アプリケーションは、子プロセスの作成をブロックされます。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • Office マクロから Win32 API 呼び出しをブロックする
    エクスプロイトからデバイスを保護する

    この ASR ルールは、92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B によって制御されます。

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • ブロック - Office マクロの Win32 API 呼び出しの使用がブロックされます。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • Office 通信アプリによる子プロセスの作成をブロックする
    エクスプロイトからデバイスを保護する

    この ASR ルールは、26190899-1602-49e8-8b27-eb1d0a1ce869 によって制御されます。

    • 未構成 (既定値) - Windows の既定値が復元されます。これは、子プロセスの作成をブロックしません。
    • ユーザー定義
    • [有効] - Office 通信アプリケーションは、子プロセスの作成をブロックされます。
    • 監査モード - Windows イベントは、子プロセスをブロックする代わりに発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。

  • 難読化される可能性のあるスクリプトの実行をブロックする (js/vbs/ps)
    エクスプロイトからデバイスを保護する

    この ASR ルールは、5BEB7EFE-FD9A-4556-801D-275E5FFC04CC によって制御されます。

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • [ブロック ] - 難読化されたスクリプトの実行をブロックします。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする
    エクスプロイトからデバイスを保護する

    この ASR ルールは、D3E037E1-3EB8-44C8-A917-57927947596D によって制御されます。

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • ブロック - Defender は、インターネットからダウンロードされた JavaScript または VBScript ファイルが実行されないようにブロックします。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 無効 - この設定はオフになっています。

  • PSExec および WMI コマンドからのプロセスの作成をブロックする
    エクスプロイトからデバイスを保護する

    この ASR ルールは、d1e49aac-8f56-4280-b9ba-993a6d77406c によって制御されます。

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • [ブロック] - PSExec または WMI コマンドによるプロセスの作成がブロックされます。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする
    エクスプロイトからデバイスを保護する

    この ASR ルールは、次の GUID を使用して制御されます: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • [ブロック ] - USB ドライブから実行される信頼されていないプロセスと署名されていないプロセスがブロックされます。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • 有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする
    エクスプロイトからデバイスを保護する

    この ASR ルールは、01443614-cd74-433a-b99e-2ecdc07bfc25e によって制御されます。

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • Block
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • 電子メールおよび Web メール クライアントからの実行可能なコンテンツのダウンロードをブロックする
    エクスプロイトからデバイスを保護する

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • [ブロック] - 電子メール クライアントと Web メール クライアントからダウンロードされた実行可能なコンテンツがブロックされます。
    • 監査モード - ブロックの代わりに Windows イベントが発生します。
    • 警告 - バージョン 1809 以降とWindows 11 Windows 10、デバイス ユーザーは設定のブロックをバイパスできることを示すメッセージを受け取ります。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって Enable 動作が適用されます。
    • 無効 - この設定はオフになっています。

  • ランサムウェアに対する高度な保護を使用する
    エクスプロイトからデバイスを保護する

    この ASR ルールは、c1db55ab-c21a-4637-bb3f-a12568109d35 によって制御されます。

    • 未構成 (既定値) - この設定は Windows の既定値 (オフ) に戻ります。
    • ユーザー定義
    • Enable
    • 監査モード - Windows イベントはブロックではなく発生します。

  • フォルダー保護を有効にする
    CSP: EnableControlledFolderAccess

    • 未構成 (既定値) - この設定は既定値に戻り、読み取りまたは書き込みはブロックされません。
    • [有効] - 信頼されていないアプリの場合、保護されたフォルダー内のファイルの変更または削除、またはディスク セクターへの書き込みが Defender ブロックによって試行されます。 Defender は、信頼できるアプリケーションを自動的に決定します。 または、信頼されたアプリケーションの独自のリストを定義することもできます。
    • 監査モード - 信頼されていないアプリケーションが制御されたフォルダーにアクセスすると Windows イベントが発生しますが、ブロックは適用されません。
    • [ディスクの変更をブロック する] - ディスク セクターへの書き込みのみがブロックされます。
    • ディスクの変更の監査 - ディスク セクターへの書き込みをブロックする代わりに、Windows イベントが発生します。

  • 保護する必要がある追加のフォルダーの一覧
    CSP: ControlledFolderAccessProtectedFolders

    信頼されていないアプリケーションから保護されるディスクの場所の一覧を定義します。

  • 保護されたフォルダーにアクセスできるアプリの一覧
    CSP: ControlledFolderAccessAllowedApplications

    制御された場所への読み取り/書き込みにアクセスできるアプリの一覧を定義します。

  • 攻撃面の縮小ルールからファイルとパスを除外する
    CSP: AttackSurfaceReductionOnlyExclusions

    ドロップダウンを展開し、[ 追加 ] を選択して、攻撃面の縮小ルールから除外するファイルまたはフォルダーへの パス を定義します。

デバイス制御プロファイル

デバイス コントロール

注:

このセクションでは、2022 年 5 月 23 日より前に作成されたデバイス コントロール プロファイルの設定について詳しく説明します。 その日付より後に作成されたプロファイルでは、設定カタログにある新しい設定形式が使用されます。 元のプロファイルの新しいインスタンスを作成することはできなくなりますが、既存のプロファイルの編集と使用を続行できます。

新しい設定形式を使用するプロファイルの場合、Intuneは名前で各設定の一覧を保持しなくなりました。 代わりに、各設定の名前、その構成オプション、およびMicrosoft Intune管理センターに表示される説明テキストは、設定の権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、その 詳細情報 リンクを使用してそのコンテンツを開くことができます。

  • デバイス識別子によるハードウェア デバイスのインストールを許可する

    • 未構成(既定値)
    • はい - Windows は、別のポリシー設定でそのインストールを特に妨げる場合を除き、作成した一覧にプラグ アンド プレイハードウェア ID または互換性 ID が表示されるデバイスをインストールまたは更新できます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • [許可リスト] - [追加]、[ インポート]、[ エクスポート] を使用して、デバイス識別子の一覧を管理します。

  • デバイス識別子によってハードウェア デバイスのインストールをブロックする
    CSP: AllowInstallationOfMatchingDeviceIDs

    • 未構成(既定値)
    • はい - Windows がインストールできないようにプラグ アンド プレイハードウェア ID と互換性のある ID の一覧を指定します。 このポリシーは、Windows がデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 一致するハードウェア デバイスを削除する

      • はい
      • 未構成(既定値)

    • [ブロック リスト ] - [追加]、[ インポート]、[ エクスポート] を使用して、デバイス識別子の一覧を管理します。

  • セットアップ クラスによるハードウェア デバイスのインストールを許可する

    • 未構成(既定値)
    • [はい ] - 別のポリシー設定でそのインストールが特に妨げる場合を除き、作成した一覧にデバイス セットアップ クラスの GUID が表示されるデバイス ドライバーをインストールまたは更新できます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • [許可リスト] - [追加]、[ インポート]、[ エクスポート] を使用して、デバイス識別子の一覧を管理します。

  • セットアップ クラスによるハードウェア デバイスのインストールをブロックする
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • 未構成(既定値)
    • はい - Windows がインストールできないようにするデバイス ドライバーのデバイス セットアップ クラスのグローバル一意識別子 (GUID) の一覧を指定します。 このポリシー設定は、Windows がデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 一致するハードウェア デバイスを削除する

      • はい
      • 未構成(既定値)

    • [ブロック リスト ] - [追加]、[ インポート]、[ エクスポート] を使用して、デバイス識別子の一覧を管理します。

  • デバイス インスタンス識別子によるハードウェア デバイスのインストールを許可する

    • 未構成(既定値)
    • はい - 別のポリシー設定でそのインストールを特に妨げる場合を除き、作成した一覧にプラグ アンド プレイデバイス インスタンス ID が表示されるデバイスをインストールまたは更新できます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • [許可リスト] - [追加]、[ インポート]、[ エクスポート] を使用して、デバイス識別子の一覧を管理します。

  • デバイス インスタンス識別子によってハードウェア デバイスのインストールをブロックする
    リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。

    • 未構成(既定値)
    • はい - Windows がインストールできないようにプラグ アンド プレイハードウェア ID と互換性のある ID の一覧を指定します。 このポリシーは、Windows がデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 リモート デスクトップ サーバーでこのポリシー設定を有効にした場合、ポリシー設定は、リモート デスクトップ クライアントからリモート デスクトップ サーバーへの指定されたデバイスのリダイレクトに影響します。
    • いいえ

    [はい] に設定すると、次のオプションを構成できます。

    • 一致するハードウェア デバイスを削除する

      • 未構成(既定値)

    • [ブロック リスト ] - [追加]、[ インポート]、[ エクスポート] を使用して、デバイス識別子の一覧を管理します。

  • リムーバブル 記憶域への書き込みアクセスをブロックする
    CSP: RemovableDiskDenyWriteAccess

    • 未構成(既定値)
    • はい - リムーバブル 記憶域への書き込みアクセスが拒否されます。
    • いいえ - 書き込みアクセスが許可されます。

  • フル スキャン中にリムーバブル ドライブをスキャンする
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • 未構成 (既定値) - この設定はクライアントの既定値に戻り、リムーバブル ドライブをスキャンしますが、ユーザーはこのスキャンを無効にすることができます。
    • はい - フル スキャン中に、リムーバブル ドライブ (USB フラッシュ ドライブなど) がスキャンされます。

  • 直接メモリ アクセスをブロックする
    CSP: DataProtection/AllowDirectMemoryAccess

    このポリシー設定は、BitLocker またはデバイスの暗号化が有効になっている場合にのみ適用されます。

    • 未構成 (既定値)
    • はい - ユーザーが Windows にログインするまで、すべてのホット プラグ可能な PCI ダウンストリーム ポートのダイレクト メモリ アクセス (DMA) をブロックします。 ユーザーがログインした後、Windows はホスト プラグ PCI ポートに接続されている PCI デバイスを列挙します。 ユーザーがマシンをロックするたびに、ユーザーが再度ログインするまで、子デバイスのないホット プラグ PCI ポートで DMA がブロックされます。 マシンのロックが解除されたときに既に列挙されたデバイスは、取り外されるまで引き続き機能します。

  • カーネル DMA 保護と互換性のない外部デバイスの列挙
    CSP: DmaGuard/DeviceEnumerationPolicy

    このポリシーは、外部 DMA 対応デバイスに対する追加のセキュリティを提供できます。 これにより、DMA 再マッピング/デバイス メモリの分離とサンドボックス化と互換性のない外部 DMA 対応デバイスの列挙をより詳細に制御できます。

    このポリシーは、カーネル DMA 保護がサポートされ、システム ファームウェアによって有効になっている場合にのみ有効になります。 カーネル DMA 保護は、製造時にシステムでサポートする必要があるプラットフォーム機能です。 システムがカーネル DMA 保護をサポートしているかどうかをチェックするには、MSINFO32.exe の [概要] ページの [カーネル DMA 保護] フィールドをチェックします。

    • 未構成 - (既定値)
    • すべてブロックする
    • すべて許可する

  • Bluetooth 接続をブロックする
    CSP: Bluetooth/AllowDiscoverableMode

    • 未構成 (既定値)
    • はい - デバイスとの間の Bluetooth 接続をブロックします。

  • Bluetooth 検出をブロックする
    CSP: Bluetooth/AllowDiscoverableMode

    • 未構成 (既定値)
    • はい - デバイスが他のBluetooth有効なデバイスによって検出されないようにします。

  • Bluetooth の事前ペアリングをブロックする
    CSP: Bluetooth/AllowPrepairing

    • 未構成 (既定値)
    • はい - 特定のBluetooth デバイスがホスト デバイスと自動的にペアリングされないようにします。

  • Bluetooth 広告をブロックする
    CSP: Bluetooth/AllowAdvertising

    • 未構成 (既定値)
    • はい - デバイスがBluetoothアドバタイズを送信できないようにします。

  • Bluetooth 近位接続をブロックする
    CSP: Bluetooth/AllowPromptedProximalConnections Swift Pair やその他の近接通信ベースのシナリオの使用をユーザーにブロックする

    • 未構成 (既定値)
    • はい - デバイス ユーザーが Swift Pair やその他の近接通信ベースのシナリオを使用できないようにします。

    Bluetooth/AllowPromptedProximalConnections CSP

  • 許可されたサービスBluetooth
    CSP: Bluetooth/ServicesAllowedList
    サービス一覧の詳細については、「ServicesAllowedList の使用ガイド」を参照してください。

    • [追加] - {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}など、許可されるBluetoothサービスとプロファイルを 16 進文字列として指定します。
    • インポート - Bluetooth サービスとプロファイルの一覧を含む .csv ファイルを 16 進文字列としてインポートします (例: {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • リムーバブル 記憶域
    CSP: Storage/RemovableDiskDenyWriteAccess

    • ブロック (既定値) - ユーザーがデバイスで SD カードなどの外部ストレージ デバイスを使用できないようにします。
    • 未構成

  • USB 接続 (HoloLens のみ)
    CSP: 接続/AllowUSBConnection

    • ブロック - デバイスとコンピューター間の USB 接続を使用してファイルを同期したり、開発者ツールを使用してアプリケーションを展開またはデバッグしたりしないようにします。 USB 充電は影響を受けません。
    • 未構成 (既定値)

Exploit Protection プロファイル

エクスプロイト保護

注:

このセクションでは、2022 年 4 月 5 日より前に作成された Exploit Protection プロファイルで確認できる設定について詳しく説明します。 その日付より後に作成されたプロファイルでは、設定カタログにある新しい設定形式が使用されます。 この変更により、古いプロファイルの新しいバージョンを作成できなくなり、開発されなくなります。 古いプロファイルの新しいインスタンスを作成することはできなくなりましたが、以前に作成したそのプロファイルのインスタンスを引き続き編集して使用できます。

新しい設定形式を使用するプロファイルの場合、Intuneは名前で各設定の一覧を保持しなくなりました。 代わりに、各設定の名前、その構成オプション、およびMicrosoft Intune管理センターに表示される説明テキストは、設定の権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、その 詳細情報 リンクを使用してそのコンテンツを開くことができます。

  • XML のアップロード
    CSP: ExploitProtectionSettings

    IT 管理者が、必要なシステムとアプリケーションの軽減オプションを表す構成をorganization内のすべてのデバイスにプッシュできるようにします。 構成は XML ファイルで表されます。 Exploit Protection は、悪用を使用して拡散および感染するマルウェアからデバイスを保護するのに役立ちます。 Windows セキュリティ アプリまたは PowerShell を使用して、一連の軽減策 (構成と呼ばれます) を作成します。 その後、この構成を XML ファイルとしてエクスポートし、ネットワーク上の複数のマシンと共有して、すべて同じ軽減設定セットを持つことができます。 既存の EMET 構成 XML ファイルを Exploit Protection 構成 XML に変換してインポートすることもできます。

    [ XML ファイルの選択] を選択し、XML ファイルのアップロードを指定して、[ 選択] をクリックします。

    • 未構成 (既定値)
    • はい

  • Exploit Guard 保護インターフェイスの編集をユーザーにブロックする
    CSP: DisallowExploitProtectionOverride

    • 未構成 (既定値) - ローカル ユーザーは、悪用防止設定領域で変更を加えることができます。
    • [はい] - ユーザーがMicrosoft Defender セキュリティ センターの [エクスプロイト保護設定] 領域に変更を加えないようにします。

Web 保護 (Microsoft Edge 従来版) プロファイル

Web Protection (Microsoft Edge 従来版)

  • ネットワーク保護を有効にする
    CSP: EnableNetworkProtection

    • 未構成 (既定値) - この設定は Windows の既定値に戻り、無効になっています。
    • ユーザー定義
    • [有効] - システム上のすべてのユーザーに対してネットワーク保護が有効になっています。
    • 監査モード - ユーザーは危険なドメインからブロックされず、代わりに Windows イベントが発生します。

  • Microsoft Edge に SmartScreen を要求する
    CSP: ブラウザー/AllowSmartScreen

    • はい - SmartScreen を使用して、フィッシング詐欺や悪意のあるソフトウェアの可能性からユーザーを保護します。
    • 未構成 (既定値)

  • 悪意のあるサイト アクセスをブロックする
    CSP: ブラウザー/PreventSmartScreenPromptOverride

    • はい - ユーザーがMicrosoft Defender SmartScreen フィルターの警告を無視しないようにブロックし、サイトへのアクセスをブロックします。
    • 未構成 (既定値)

  • 未検証のファイルのダウンロードをブロックする
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • はい - ユーザーがMicrosoft Defender SmartScreen フィルターの警告を無視しないようにブロックし、未確認のファイルのダウンロードをブロックします。
    • 未構成 (既定値)

攻撃面の縮小 (ConfigMgr)

Exploit Protection (ConfigMgr)(プレビュー) プロファイル

Exploit Protection

  • XML のアップロード
    CSP: ExploitProtectionSettings

    IT 管理者が、必要なシステムとアプリケーションの軽減オプションを表す構成をorganization内のすべてのデバイスにプッシュできるようにします。 構成は XML ファイルで表されます。 Exploit Protection は、悪用を使用して拡散および感染するマルウェアからデバイスを保護するのに役立ちます。 Windows セキュリティ アプリまたは PowerShell を使用して、一連の軽減策 (構成と呼ばれます) を作成します。 その後、この構成を XML ファイルとしてエクスポートし、ネットワーク上の複数のマシンと共有して、すべて同じ軽減設定セットを持つことができます。 既存の EMET 構成 XML ファイルを Exploit Protection 構成 XML に変換してインポートすることもできます。

    [ XML ファイルの選択] を選択し、XML ファイルのアップロードを指定して、[ 選択] をクリックします。

  • Exploit Protection のオーバーライドを禁止する
    CSP: DisallowExploitProtectionOverride

    • 未構成 (既定値)
    • (無効) ローカル ユーザーは、エクスプロイト保護設定領域で変更を行うことができます
    • (有効にする)ローカル ユーザーは、Exploit Protection の設定領域を変更できません

Web Protection (ConfigMgr)(プレビュー) プロファイル

Web Protection

次の手順

ASR のエンドポイント セキュリティ ポリシー