デバイス保護ポリシーを表示して編集する
Microsoft 365 Business Premiumでは、管理対象デバイスのセキュリティ設定は、Microsoft Defender ポータルまたは Microsoft Intune 管理センターのデバイス保護ポリシーを使用して構成されます。 セットアップと構成を簡素化できるよう、組織のデバイスがオンボードされ次第すぐに保護することを可能にする、事前構成済みのポリシーが用意されています。 既定のポリシーを使用するか、既存のポリシーを編集するか、独自のポリシーを作成することができます。
このガイドでは、次の内容を説明します:
- 既定のポリシーの概要を確認する
- Microsoft Defender ポータルまたはMicrosoft Intune管理センターでデバイス ポリシーを操作します。
既定のデバイス保護ポリシーについて
Microsoft 365 Business Premium には、組織のデバイスを保護するための主なポリシーとして、次の 2 種類が含まれています。
次世代保護ポリシー: Microsoft Defender ウイルス対策やその他の脅威に対する保護機能の構成方法を決定します。
ファイアウォール ポリシー: 組織のデバイスとの間のフローが許可されるネットワーク トラフィックを決定します。
その他のポリシーは次のとおりです。
- Web コンテンツ フィルタリング。これにより、セキュリティ チームはコンテンツ カテゴリ (成人向けコンテンツ、高帯域幅、法的責任、レジャーなど) に基づいて Web サイトへのアクセスを追跡および規制できます。 詳細については、「Microsoft Defender for Businessでの Web コンテンツのフィルター処理」を参照してください。
- フォルダー アクセスの制御。これにより、信頼されたアプリのみが Windows デバイス上の保護されたフォルダーにアクセスできます。 この機能はランサムウェア保護と考えてください。 詳細については、「Microsoft Defender for Businessで制御されたフォルダー アクセス ポリシーを設定または編集する」を参照してください。
- サイバー脅威や攻撃に対してビジネスが脆弱になる可能性がある場所と方法を減らすのに役立つ攻撃面の縮小ルール。 詳細については、「Microsoft Defender for Businessで攻撃面の縮小ルールを有効にする」を参照してください。
これらのポリシーは、Microsoft 365 Business Premium サブスクリプションに含まれている Microsoft Defender for Business の一部です。 Microsoft Defender ポータルまたはMicrosoft Intune管理センターでポリシーを操作するための情報が提供されます。
Microsoft Defender ポータルでのデバイス ポリシーの操作
次の詳細は、Microsoft Defender ポータル (https://security.microsoft.com) でポリシーを操作する場合に適用されます。
Microsoft Defender XDRで既存のデバイス保護ポリシーを表示する
Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護] や [ファイアウォール] など) ごとに分類されています。
オペレーティング システムのタブ ([Windows クライアント] など) を選択し、[次世代保護] と [ファイアウォール] のカテゴリでポリシーの一覧を確認します。
ポリシーの詳細を表示するには、その名前を選択します。 サイド ウィンドウが開き、そのポリシーに関する詳細情報 (そのポリシーで保護されているデバイスなど) が表示されます。
Microsoft Defender XDRで既存のデバイス保護ポリシーを編集する
Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護] や [ファイアウォール] など) ごとに分類されています。
オペレーティング システムのタブ ([Windows クライアント] など) を選択し、[次世代保護] と [ファイアウォール] のカテゴリでポリシーの一覧を確認します。
ポリシーを編集するには、その名前を選択し、[編集] を選択します。
[全般情報] タブで情報を確認します。 必要に応じて、説明を編集できます。 [次へ] を選択します。
[デバイス グループ] タブで、このポリシーを受け取るデバイス グループを決定します。
- 選択したデバイス グループをそのままにするには、[次へ] を選択します。
- ポリシーからデバイス グループを削除するには、[削除] を選択 します。
- 新しいデバイス グループを設定するには、[新しいグループの作成] を選択し、デバイス グループを設定します。 (このタスクに関するヘルプについては、「Microsoft 365 Business Premium のデバイス グループ」を参照してください。)
- ポリシーを別のデバイス グループに適用するには、[既存のグループを使用] を選択します。
ポリシーを受け取るデバイス グループを指定したら、[次へ] を選択します。
[構成の設定] タブで設定を確認します。 必要に応じて、ポリシーの設定を編集できます。 このタスクのヘルプについては、次の記事を参照してください。
次世代の保護設定を指定したら、[次へ] を選択します。
[ポリシーの確認] タブで、一般情報、対象デバイス、および構成設定を確認します。
- [編集] を選択して、必要な変更を加えます。
- 続行する準備ができたら、[ ポリシーの更新] を選択します。
Microsoft Defender XDRで新しいデバイス保護ポリシーを作成する
Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [デバイスの構成] を選択します。 ポリシーは、オペレーティング システム ([Windows クライアント] など) とポリシーの種類 ([次世代保護] や [ファイアウォール] など) ごとに分類されています。
オペレーティング システムのタブ ([Windows クライアント] など) を選択し、[次世代保護] ポリシーの一覧を確認します。
[次世代保護] または [ファイアウォール] で、[+ 追加] を選択します。
[全般情報] タブで次の手順を実行します。
- 名前と説明を入力します。 この情報は、後で自分とチームがポリシーを特定するのに役立ちます。
- ポリシーの順序を確認し、必要に応じて編集します。 詳細については、「 ポリシーの順序」を参照してください。
- 次へを選択します。
[デバイス グループ] タブで、新しいデバイス グループを作成するか、既存のグループを使用します。 ポリシーは、デバイス グループを介してデバイスに割り当てられます。 留意事項がいくつかあります。
- 最初は、組織内のユーザーが組織のデータと電子メールにアクセスするために使用しているデバイスが含まれている、既定のデバイス グループのみが提供されている場合があります。 既定のデバイス グループを残して使用することができます。
- 既定のポリシーとは異なる特定の設定でポリシーを適用するには、新しいデバイス グループを作成します。
- デバイス グループを設定するときは、オペレーティング システムのバージョンなど、特定の条件を指定します。 条件を満たすデバイスは、除外しない限り、そのデバイス グループに含まれます。
- 定義した既定のデバイス グループとカスタム デバイス グループを含むすべてのデバイス グループは、Microsoft Entra IDに格納されます。
デバイス グループの詳細については、「Microsoft Defender for Business のデバイス グループ」を参照してください。
[構成設定] タブで、ポリシーの設定を指定し、[次へ] を選択します。 個々の設定の詳細については、「Microsoft Defender for Business の次世代構成設定について理解する」を参照してください。
[ポリシーの確認] タブで、一般情報、対象デバイス、および構成設定を確認します。
- [編集] を選択して、必要な変更を加えます。
- 続行する準備ができたら、[ ポリシーの作成] を選択します。
Microsoft Intune管理センターでのデバイス ポリシーの操作
Microsoft Intune 管理センター (https://intune.microsoft.com) のエンドポイント セキュリティを使用して、Intuneでデバイス ポリシーを作成および管理するには、次の情報を使用します。
Intuneでポリシーを作成する
Microsoft Intune管理センター (https://intune.microsoft.com) で、[エンドポイント セキュリティ] と構成するポリシーの種類を選択し、[ポリシーの作成] を選択します。
次のポリシーの種類から選択します。
- ウイルス対策
- ディスク暗号化
- ファイアウォール
- エンドポイントの検出および応答
- 攻撃面の縮小
- アカウントの保護
次のプロパティを指定します。
- [プラットフォーム]: ポリシーを作成するプラットフォームを選択します。 使用可能なオプションは、選択したポリシーの種類によって異なります。
- プロファイル: 選択したプラットフォームで使用可能なプロファイルから選択します。 プロファイルの詳細については、選択したポリシーの種類に関するこの記事の専用セクションを参照してください。
その後、[作成] を選択します。
[基本] ページでプロファイルに名前と説明を入力し、[次へ] を選択します。
[構成設定] ページで、一連の設定をそれぞれ展開し、このプロフィールで管理する設定を構成します。 [次へ] を選択します。
[割り当て] ページで、このプロファイルを受け取るグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。 [次へ] を選択します。
[確認および作成] ページで、完了したら、[作成] を選択します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。
Intuneでポリシーを複製する
Microsoft Intune管理センター (https://intune.microsoft.com) で、コピーするポリシーを選択します。 次に、[ 複製 ] を選択するか、ポリシーの右側にある省略記号 (...) を選択し、[複製] を選択 します。
ベースラインの新しい名前を指定し、[保存] を選択します。
Intuneでポリシーを編集する
Microsoft Intune管理センター (https://intune.microsoft.com) でポリシーを選択し、[プロパティ] を選択します。
[設定] を選択して、ポリシーの構成設定の一覧を展開します。 このビューから設定を変更することはできませんが、構成方法を確認することはできます。
ポリシーを変更するには、変更するカテゴリごとに [編集] を選択します。
- 基本事項
- 課題
- スコープ タグ
- 構成の設定
変更が完了したら、[ 保存 ] を選択して編集内容を保存します。 追加のカテゴリに編集を導入するには、1 つのカテゴリに対する編集を保存する必要があります。
競合を管理する
エンドポイント セキュリティ ポリシーで管理できるデバイス設定の多くは、Intune の他のポリシーの種類でも使用できます。 その他のポリシーの種類には、デバイス構成ポリシーとセキュリティ ベースラインがあります。 設定は、複数の異なるポリシーの種類または同じポリシーの種類の複数のインスタンスによって管理できるため、必要な構成に準拠していないデバイスのポリシー競合を特定して解決する準備をしてください。
セキュリティ ベースラインは、ベースラインが対処する推奨構成に準拠するように、設定の既定値以外の値を設定できます。
エンドポイント セキュリティ ポリシーなどのその他のポリシーの種類では、既定で [未構成] の値を設定します。 これらの他の種類のポリシーでは、ポリシーの設定を明示的に構成する必要があります。
ポリシー方法に関係なく、複数のポリシーの種類または同じポリシーの種類の複数のインスタンスを使用して同じデバイスで同じ設定を管理すると、競合が回避される場合があります。
ポリシーの競合が発生した場合は、Microsoft Intuneの「ポリシーとプロファイルのトラブルシューティング」を参照してください。
関連項目
Microsoft Intune でエンドポイント セキュリティの管理
ビジネス プランの Microsoft 365 をセキュリティで保護するためのベスト プラクティス