Microsoft Defender for Endpoint (MDE) のデバイス制御機能で外部記憶デバイスの利用を制限する (Windows 編)

はじめに

前回、macOS 向けの Microsoft Defender for Endpoint (MDE) デバイス制御機能でリムーバブル メディアの利用制限を実装する方法を記事投稿しました。

本記事では、Windows 端末でも同様に、USB メモリなどのリムーバブル メディア デバイスを 「読み取り専用にする」、「特定の外部記憶デバイスのみ書き込みを許可する」 といった利用制限の設定を、Microsoft Intune を使用して展開する方法をご紹介します。

デバイス制御機能の利用するための要件 (Windows の場合)

サポートされる範囲・内容については、下記の公式ドキュメントを参照していただきたいのですが、現時点では Windows Server はデバイス制御機能はサポートされていませんのでご注意ください。
また、制御対象となるデバイス種類も Windows と macOS では異なるので、その点も注意したいところです。

デバイス種類Windows での PrimaryId 値macOS での PrimaryId 値
Bluetooth デバイス×bluetoothDevice
CD/ROM、DVDCdRomDevices×
iOS デバイス×appleDevice
ポータブル デバイス (カメラなど)×portableDevice
プリンターPrinterDevices×
USB デバイス (リムーバブル メディア)RemovableMediaDevicesremovableMedia
Windows ポータブル デバイスWpdDevices×
※注:「×」は未サポートになります。

▼参考情報:Microsoft Defender for Endpointのデバイス制御|前提条件 – Microsoft Defender for Endpoint – Microsoft Learn
https://learn.microsoft.com/ja-jp/defender-endpoint/device-control-overview?tabs=Removable#prerequisites

設定方法

Windows の場合、デバイス制御機能の構成は次のいずれかの方法を選択することができます。

  • グループ ポリシー (GPO) で構成する
  • Intune (OMA-URI) で構成する
  • Intune (デバイス制御プロファイル) で構成する

ここでは、「Intune (デバイス制御プロファイル) で構成する」 の方法について、触れてみたいと思います。

▼参考情報:グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御を展開および管理する – Microsoft Defender for Endpoint – Microsoft Learn
https://learn.microsoft.com/ja-jp/defender-endpoint/device-control-deploy-manage-gpo

▼参考情報:Microsoft Intuneを使用してMicrosoft Defender for Endpointでデバイス制御をデプロイおよび管理する – Microsoft Defender for Endpoint – Microsoft Learn
https://learn.microsoft.com/ja-jp/defender-endpoint/device-control-deploy-manage-intune

Intune (デバイス制御プロファイル) でデバイス制御を構成する

OMA-URI を使用する場合は、カスタム構成プロファイルの設定とデバイス制御グループや制御ポリシーを XML ファイルに記述してアップロードする必要があるために少々手間が掛かるし判りにくい側面がありました。
一方、ここで紹介するデバイス制御プロファイルを使用する場合は、Intune のユーザー インターフェースで構成することが可能になったので、OMA-URI を使用する場合よりも若干ですが容易になったのではないかと感じています。

設定箇所は、[エンドポイント セキュリティ] > [攻撃面の減少] からデバイス制御プロファイルを作成します。
大まかな手順の流れは次のとおりです。

  • STEP1: 制御対象とするリムーバブル メディアの設定グループを作成
  • STEP2: デバイス制御のポリシーを作成

【シナリオ】すべてのリムーバブル メディアは原則として読み取りのみ許可とする。ただし、特定のリムーバブル メディアには書き込みを許可する。

STEP1:制御対象とするリムーバブル メディアの設定グループを作成

リムーバブル メディアのアクセス制御を構成する場合、先ずは制御対象となるデバイスやリムーバブル メディアをデバイス制御グループとして定義する必要があります。

▼参考情報:Microsoft Defender for Endpointのデバイス制御ポリシー|グループ – Microsoft Defender for Endpoint – Microsoft Learn
https://learn.microsoft.com/ja-jp/defender-endpoint/device-control-policies?tabs=Removable#groups

全てのリムーバブル メディアを対象とするグループの設定

  1. [Intune 管理センター] にアクセスして、サインインします。
  2. [エンドポイント セキュリティ] > [攻撃面の減少] に遷移する。
  3. [再利用可能な設定] タブを選択して、[追加] をクリックします。
  4. [基本] タブで、グループの名前と説明を入力します。
    • 名前: 「All Removable Media Devices」 のような識別しやすい名前を付けて入力
  5. [構成設定] タブで、[Add] > [リムーバブル記憶域] をクリックします。
  1. 新しい行が追加されたら、[インスタンスの編集] をクリックします。
  1. [リムーバブル記憶域インスタンスの構成] 画面で、以下の例のように入力して、保存します。
    • PrimaryId: 「RemovableMediaDevices」 を入力
    • 名前   : 「All Removable Media Devices」 のような識別しやすい名前を付けて入力
    • 上記以外の項目は何も入力しない
  1. [次へ] をクリックします。
  2. [レビューおよび追加] タブで、表示されている内容を確認した後、[追加] をクリックして終了します。

書き込みを許可する特定のリムーバブル メディアを対象とするグループの設定

  1. 書き込みを許可するリムーバブル メディアの情報(デバイス インスタンス パス)を、以下のドキュメントを参照して、値を取得します。

    ▼参考情報:デバイス マネージャでメディア プロパティを見つけるには? – Microsoft Learn
    https://learn.microsoft.com/ja-jp/defender-endpoint/device-control-faq#how-do-i-find-the-media-property-in-the-device-manager
  1. [全てのリムーバブル メディアを対象とするグループの設定] の箇所で記載している手順 1 ~ 6 を行います。
    [基本] タブで入力する名前は、以下の例のようにします。
    • 名前: 「Approved Removable Media Devices」 のような識別しやすい名前を付けて入力
  2. [リムーバブル記憶域インスタンスの構成] 画面で、以下の例のように入力して、保存します。
    • InstancePathId: 項番 1. で取得したデバイス インスタンス パスの値を入力
    • 名前      : 「USB Storage Device: 01」 のような識別しやすい名前を付けて入力
    • 上記以外の項目は何も入力しない
  1. 複数のリムーバブル メディアを登録する場合は、手順 3. を繰り返し行います。
  2. [次へ] をクリックします。
  3. [レビューおよび追加] タブで、表示されている内容を確認した後、[追加] をクリックして終了します。

STEP2:デバイス制御のポリシーを作成

リムーバブル メディアへのアクセスをさらに絞り込むために、ポリシーを使って制御します。

  1. [Intune 管理センター] にアクセスして、サインインします。
  2. [エンドポイント セキュリティ] > [攻撃面の減少] に遷移する。
  3. [概要] タブを選択して、[ポリシーの作成] をクリックします。
  4. [プロファイルの作成] 画面で、以下とおりに入力して、[作成] ボタンをクリックします。
    • プラットフォーム: 「Windows 10、Windows 11、Windows Server」 を選択
    • プロファイル  :「デバイス コントロール」 を選択
  5. [基本] タブで、ポリシーの名前と説明を入力します。
  6. [構成設定] タブで、[デバイス コントロール] の欄までスクロール ダウンした後、[Edit Entry] をクリックします。
  1. 先ずは全てのリムーバブル メディアを読み取りのみ許可するエントリを作成します。
  1. [エントリの構成] 画面で、以下の例のように入力します。
    • 名前  : 「Read-Only for all removable media device」 のような識別しやすい名前を付けて
    • エントリ:
#種類オプションアクセス マスクSidコンピューター SID
1「許可」 を選択「なし」 を選択「読み取り」 を選択(未入力)(未入力)
2「拒否」を選択「なし」 を選択「書き込み」「実行」「印刷」 を選択(未入力)(未入力)
  1. [含まれる ID]、[除外される ID] をクリックして、制御の対象となるグループを指定します。
    • 含まれる ID : 【全てのリムーバブル メディアを対象とするグループの設定】 で作成したグループを指定
    • 除外される ID: 【書き込みを許可する特定のリムーバブル メディアを対象とするグループの設定】 で作成したグループを指定
  1. 画面はそのままの状態で [追加] をクリックします。
  1. 新たに追加された行の [Edit Entry] をクリックします。
  1. 続いて、特定のリムーバブル メディアには書き込みも許可するエントリを作成します。
  1. [エントリの構成] 画面で、以下の例のように入力します。
    • 名前  : 「Allow Write for approved removable media devices」 のような識別しやすい名前を付けて入力
    • エントリ:
#種類オプションアクセス マスクSidコンピューター SID
1「許可」 を選択「なし」 を選択「読み取り」「書き込み」「実行」「印刷」 を選択(未入力)(未入力)
  1. [含まれる ID]、[除外される ID] をクリックして、制御の対象となるグループを指定します。
    • 含まれる ID : 【書き込みを許可する特定のリムーバブル メディアを対象とするグループの設定】 で作成したグループを指定
    • 除外される ID: (設定なし)
  1. [次へ] をクリックします。
  1. [スコープ タグ] タブは、特になにも指定せずに [次へ] をクリックします。
    ※必要に応じて設定してください。
  2. [割り当て] タブで、ポリシーを割り当てるグループを指定して [次へ] をクリックします。
  3. [確認および作成] タブで、表示された内容を確認した後、[作成] をクリックして終了です。

STEP3:動作確認

書き込みを許可していないリムーバブル メディアにファイル コピーをすると、次のようなメッセージが表示されて、ファイル コピーがブロックされることが確認できます。

まとめ

この記事では、Microsoft Defender for Endpoint (MDE) を利用する Windows マシンでデバイス制御機能を使って、リムーバブル メディアのアクセス制御を構成する方法をご紹介しました。

3rd パーティー製の制御ツールに頼らなくても、Microsoft Defender for Endpoint で十分な制御が出来ることがお分かりになっていただけたのではないかと思います。

いいね (この記事が参考になった人の数:3)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください