事前ブロックを有効にする
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
この記事では、"事前ブロック" と呼ばれるウイルス対策/マルウェア対策機能について説明し、組織で事前ブロックを有効にする方法について説明します。
ヒント
この記事は、組織のセキュリティ設定を管理するエンタープライズ管理者および IT プロフェッショナルを対象としています。 エンタープライズ管理者でも IT 担当者でなくても、一目でブロックに関する質問がある場合は、「 Not an enterprise admin or IT Pro?」セクションを 参照してください。
"事前ブロック" とは?
事前ブロックは、数秒以内に新しいマルウェアを検出してブロックするための方法を提供する次世代の保護機能です。 特定のセキュリティ設定が有効になっている場合、一目でブロックが有効になります。
- クラウド保護 が有効になっています。
- サンプルの送信 は、サンプルが自動的に送信されるように構成されます。そして
- Microsoft Defenderウイルス対策は、デバイス上で最新の状態です。
ほとんどの企業組織では、事前ブロックを有効にするために必要な設定は、Microsoft Defender ウイルス対策の展開で構成されています。 「Microsoft Defenderウイルス対策でクラウド保護を有効にする」を参照してください。
メカニズム
Microsoft Defender ウイルス対策 は、疑わしいが検出されていないファイルを検出すると、クラウド保護バックエンドにクエリを実行します。 クラウド バックエンドでは、ヒューリスティックな機械学習による自動化されたファイル分析を適用して、悪意のあるファイルか、脅威ではないファイルかを判断します。
Microsoft Defender ウイルス対策は、複数の検出および防止テクノロジを使用して、正確でインテリジェントなリアルタイムの保護を提供します。
ヒント
詳細については、ブログ記事「Microsoft Defender for Endpoint の次世代保護の中核となる高度なテクノロジについて」を参照してください。
事前ブロックについて知っておくべきいくつかのこと
一目でブロックすると、Windows または Windows Serverで最新の Defender マルウェア対策プラットフォームを実行して、非ポート可能な実行可能ファイル (JS、VBS、マクロなど) と実行可能ファイルをブロックできます。
一目でブロックすると、クラウド保護バックエンドが使用されるのは、インターネットからダウンロードされた実行可能ファイルと、インターネット ゾーンからダウンロードされた実行可能ファイルと、ポートできない実行可能ファイルのみです。
.exe
ファイルのハッシュ値は、クラウド バックエンドを介してチェックされ、ファイルが以前に検出されていないファイルであるかどうかを判断します。クラウド バックエンドで判断できない場合、Microsoft Defender ウイルス対策によってファイルがロックされ、ファイルのコピーがクラウドにアップロードされます。 クラウドでさらに分析が実行されて判断が下された後は、そのファイルが危険か脅威でないかの判断に応じて、それ以降そのファイルの実行がすべて許可されるか、すべてブロックされます。
多くの場合、このプロセスによって、従来数時間かかっていた新しいマルウェアへの対応時間が数秒に短縮されます。
クラウドベースの保護サービスによってファイルを分析する間、ファイルが実行されないように抑制する時間の長さを指定することもできます。 また、ファイルがブロックされたときにユーザーのデスクトップに表示されるメッセージをカスタマイズすることもできます。 会社名、連絡先情報、メッセージの URL を変更することができます。
Microsoft Intune で事前ブロックを有効にする
Microsoft Intune管理センター (https://intune.microsoft.com) で、[エンドポイント セキュリティ>Antivirus] に移動します。
既存のポリシーを選択するか、Microsoft Defender ウイルス対策のプロファイル タイプを使用して新しいポリシーを作成します。 この例では、プラットフォームのWindows 10、Windows 11、またはWindows Serverを選択しました。
[クラウド保護を許可する] を [許可] に設定します。Cloud Protection を有効にします。
[サンプルの 送信同意] まで下にスクロールし、次のいずれかの設定を選択します。
- すべてのサンプルを自動的に送信する
- 安全なサンプルを自動的に送信する
Microsoft Defender ウイルス対策のプロファイルを、[すべてのユーザー]、[すべてのデバイス]、または [すべてのユーザーとデバイス] などのグループに適用します。
グループポリシーで事前ブロックを有効にする
注:
ブロックを一目でオンにするには、IntuneまたはMicrosoft Configuration Managerを使用することをお勧めします。
グループ ポリシー管理コンピューターで、[グループ ポリシー管理コンソール] を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。
[グループ ポリシー管理エディター] を使用して、[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策>][MAPS] の順に移動します。
[MAPS] セクションで、[事前ブロックを構成する] 機能をダブルクリックし、[有効] に設定して、[OK] を選択します。
重要
[常にプロンプト (0)] に設定すると、デバイスの保護状態が低下します。 [送信しない] (2) に設定すると、一目ぼれブロックは機能しません。
[MAPS] セクションで、[詳細な分析が必要な場合はファイルのサンプルを送信する] をダブルクリックし、[有効] に設定します。 [詳細な分析が必要な場合はファイルのサンプルを送信する] で、[すべてのサンプルを送信] を選択し、[OK] を選択します。
通常どおり、ネットワーク全体にグループ ポリシー オブジェクトを再展開します。
個別のクライアント デバイスで事前ブロックが有効であることを確認する
Windows セキュリティ アプリを使用して、個々のクライアント デバイスで事前ブロックが有効になっていることを確認できます。 事前ブロックは、[クラウドベースの保護] と [サンプルの自動送信] の両方が有効になっている限り、自動的に有効になります。
Windows セキュリティ アプリを開きます。
[ウイルスと脅威保護] を選択し、[ウイルスと脅威保護設定] で [設定の管理] を選択します。
[クラウドベースの保護] と [サンプルの自動送信] がオンになっていることを確認します。
注:
- 前提条件の設定が構成され、グループ ポリシーを使用して展開されている場合、このセクションで説明されている設定は灰色で表示され、個々のエンドポイントで使用できません。
- グループ ポリシー オブジェクトを介して行われた変更は、Windows 設定で設定が更新される前に、最初に個々のエンドポイントに展開する必要があります。
事前ブロックを無効にする
注意
ブロックを一目でオフにすると、デバイスとネットワークの保護状態が低下します。 一目でブロック保護を永続的に無効にすることはお勧めしません。
Microsoft Intuneで一目でブロックをオフにする
Microsoft Intune管理センター (https://intune.microsoft.com) に移動し、サインインします。
[エンドポイント セキュリティ]>[ウイルス対策] に移動し、Microsoft Defender ウイルス対策ポリシーを選択します。
[管理] で [プロパティ] を選択します。
[構成の設定] の横にある [編集] を選択します。
[クラウド保護を許可する] を [許可しない] に設定します。Cloud Protection をオフにします。
設定を確認して保存します。
グループ ポリシーで事前ブロックを無効にする
グループ ポリシー管理コンピューターで、[グループ ポリシー管理コンソール] を開き、構成するグループ ポリシー オブジェクトを右クリックして、[編集] をクリックします。
[グループ ポリシー管理] エディターを使用して、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。
[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[MAPS] の順にツリーを展開します。
['事前ブロック' 機能を構成する] をダブルクリックして、オプションを [無効] に設定します。
注:
一目でブロックを無効にしても、前提条件のグループ ポリシーは無効または変更されません。
エンタープライズ管理者でも IT プロでもありませんか?
エンタープライズ管理者でも IT 担当者でなくても、一目でブロックに関する質問がある場合は、このセクションをお勧めします。 事前ブロックするは、マルウェアを数秒以内に検出してブロックする脅威保護機能です。 「事前ブロック」と呼ばれる特定の設定はありませんが、デバイスで特定の設定が構成されている場合、この機能は有効になります。
自分のデバイスで事前ブロックをオンまたはオフに管理する方法
organizationによって管理されていない個人用デバイスがある場合は、一目でブロックをオンまたはオフにする方法を疑問に思うかもしれません。 Windows セキュリティ アプリを使用して、事前ブロックを管理できます。
Windows 10 または Windows 11 コンピューターで、Windows セキュリティ アプリを開きます。
[ウイルスと脅威の防止] を選択します。
[ウイルスと脅威保護設定] で [設定の管理] を選択します。
次のいずれかの手順を選択します。
事前ブロックを有効にするには、[クラウドベースの保護] と [サンプルの自動送信] の両方がオンになっていることを確認してください。
事前ブロックを無効にするには、[クラウドベースの保護] と [サンプルの自動送信] をオフにします。
注意
事前ブロックをオフにすると、デバイスの保護レベルが低下します。 ブロックを一目で完全に無効にすることはお勧めしません。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。