Intune Endpoint Protection プロファイルを使用して管理できる Windows 設定

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされている場合があります。 すべての設定が文書化されているわけではなく、今後も文書化されない可能性があります。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。

Microsoft Intune には、デバイスを保護するための多くの設定が含まれています。 この記事では、デバイス構成 エンドポイント保護 テンプレートの設定について説明します。 デバイス セキュリティを管理するために、 エンドポイント セキュリティ ポリシーを使用することもできます。これは、デバイス セキュリティのサブセットに直接焦点を当てます。 Microsoft Defender ウイルス対策を構成するには、「 Windows デバイスの制限 」を参照するか、 エンドポイント セキュリティウイルス対策ポリシーを使用します。

開始する前に

エンドポイント保護デバイス構成プロファイルを作成します

構成サービス プロバイダー (CSP) の詳細については、「 構成サービス プロバイダーリファレンス」を参照してください。

Microsoft Defender Application Guard

Microsoft Edge の場合、Microsoft Defender Application Guard は、組織から信頼されていないサイトから環境を保護します。 Application Guard を使用すると、分離されたネットワーク境界にないサイトが Hyper-V 仮想閲覧セッションで開きます。 信頼されたサイトは、デバイス構成で構成されているネットワーク境界によって定義されます。 詳細については、「 Windows デバイスでネットワーク境界を作成する」を参照してください。

Application Guard は、64 ビット Windows デバイスでのみ使用できます。 このプロファイルを使用すると、Win32 コンポーネントがインストールされ、Application Guard がアクティブになります。

  • Application Guard
    既定値: 未構成
    Application Guard CSP: Settings/AllowWindowsDefenderApplicationGuard

    • [Edge で有効 ] - Hyper-V 仮想化ブラウズ コンテナーで信頼されていないサイトを開くこの機能を有効にします。
    • [未構成] - 任意のサイト (信頼済みおよび信頼されていないサイト) をデバイスで開くことができます。
  • クリップボードの動作
    既定値: 未構成
    Application Guard CSP: 設定/ClipboardSettings

    ローカル PC と Application Guard 仮想ブラウザーの間で許可されるコピーと貼り付け操作を選択します。

    • 未構成
    • PC からブラウザーへのコピーと貼り付けを許可する
    • ブラウザーから PC へのコピーと貼り付けを許可する
    • PC とブラウザー間のコピーと貼り付けを許可する
    • PC とブラウザー間のコピーと貼り付けをブロックする
  • クリップボードの内容
    この設定は、 クリップボードの動作許可 設定のいずれかに設定されている場合にのみ使用できます。
    既定値: 未構成
    Application Guard CSP: 設定/ClipboardFileType

    許可されているクリップボードコンテンツを選択します。

    • 未構成
    • テキスト
    • Images
    • テキストと画像
  • エンタープライズ サイトの外部コンテンツ
    既定値: 未構成
    Application Guard CSP: Settings/BlockNonEnterpriseContent

    • ブロック - 承認されていない Web サイトからのコンテンツの読み込みをブロックします。
    • [未構成] - 非エンタープライズ サイトをデバイスで開くことができます。
  • 仮想ブラウザーから印刷する
    既定値: 未構成
    Application Guard CSP: Settings/PrintingSettings

    • 許可 - 仮想ブラウザーから選択したコンテンツの印刷を許可します。
    • 未構成 すべての印刷機能を無効にします。

    [印刷を 許可する ] を選択すると、次の設定を構成できます。

    • 印刷の種類 次のオプションの 1 つ以上を選択します。
      • PDF
      • XPS
      • ローカル プリンター
      • ネットワーク プリンター
  • ログの収集
    既定値: 未構成
    Application Guard CSP: Audit/AuditApplicationGuard

    • 許可 - Application Guard 閲覧セッション内で発生するイベントのログを収集します。
    • [未構成] - 閲覧セッション内でログを収集しないでください。
  • ユーザー生成のブラウザー データを保持する
    既定値: 未構成
    Application Guard CSP: 設定/AllowPersistence

    • 許す Application Guard 仮想閲覧セッション中に作成されたユーザー データ (パスワード、お気に入り、Cookie など) を保存します。
    • 未構成 デバイスの再起動時、またはユーザーがサインアウトしたときに、ユーザーがダウンロードしたファイルとデータを破棄します。
  • グラフィックス アクセラレーション
    既定値: 未構成
    Application Guard CSP: 設定/AllowVirtualGPU

    • 有効にする - 仮想グラフィックス処理装置にアクセスすることで、グラフィックを集中的に使用する Web サイトとビデオをより高速に読み込むことができます。
    • 未構成 グラフィックスにはデバイスの CPU を使用します。仮想グラフィックス処理装置は使用しないでください。
  • ファイルをホスト ファイル システムにダウンロードする
    既定値: 未構成
    Application Guard CSP: 設定/SaveFilesToHost

    • [有効] - 仮想化されたブラウザーからホスト オペレーティング システムにファイルをダウンロードできます。
    • [未構成] - デバイス上でファイルをローカルに保持し、ファイルをホスト ファイル システムにダウンロードしません。

Windows ファイアウォール

グローバル設定

これらの設定は、すべてのネットワークの種類に適用されます。

  • ファイル転送プロトコル
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/DisableStatefulFtp

    • [ブロック ] - ステートフル FTP を無効にします。
    • 未構成 - ファイアウォールは、セカンダリ接続を許可するようにステートフル FTP フィルター処理を実行します。
  • 削除前のセキュリティ アソシエーションのアイドル時間
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/SaIdleTime

    アイドル時間を秒単位で指定します。その後、セキュリティ アソシエーションが削除されます。

  • 事前共有キーエンコード
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/PresharedKeyEncoding

    • [有効] - UTF-8 を使用して事前に聞いたキーをエンコードします。
    • [未構成] - ローカル ストア値を使用して、事前に聞いたキーをエンコードします。
  • IPsec の除外
    既定値: 0 が選択されています
    ファイアウォール CSP: MdmStore/Global/IPsecExempt

    IPsec から除外する次の種類のトラフィックを 1 つ以上選択します。

    • ネイバーが IPv6 ICMP タイプ コードを検出する
    • ICMP
    • ルーターが IPv6 ICMP タイプ コードを検出する
    • IPv4 と IPv6 の両方の DHCP ネットワーク トラフィック
  • 証明書失効リストの検証
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/CRLcheck

    デバイスが証明書失効リストを検証する方法を選択します。 オプションは以下のとおりです。

    • CRL 検証を無効にする
    • 失効した証明書でのみ CRL 検証に失敗する
    • 発生したエラーで CRL 検証に失敗します
  • キー モジュールごとに一致する認証セットを日和見的に一致させる
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • エネーブル キーモジュールでは、サポートされていない認証スイートのみを無視する必要があります。
    • 構成されていない場合、キーモジュールは、セットで指定されたすべての認証スイートをサポートしていない場合、認証セット全体を無視する必要があります。
  • パケット キュー
    既定値: 未構成
    ファイアウォール CSP: MdmStore/Global/EnablePacketQueue

    IPsec トンネル ゲートウェイのシナリオで、暗号化された受信とクリア テキスト転送に対して受信側でのソフトウェア スケーリングを有効にする方法を指定します。 この設定では、パケットの順序が保持されていることを確認します。 オプションは以下のとおりです。

    • 未構成
    • すべてのパケット キューを無効にする
    • 受信暗号化されたパケットのみをキューに入れます
    • 暗号化解除後のキュー パケットは、転送専用に実行されます
    • 受信パケットと送信パケットの両方を構成する

ネットワーク設定

この記事では、それぞれ一度に次の設定を一覧表示しますが、いずれも 3 つの特定のネットワークの種類に適用されます。

  • ドメイン (ワークプレース) ネットワーク
  • プライベート (検出可能) ネットワーク
  • パブリック (検出できない) ネットワーク

全般

  • Windows ファイアウォール
    既定値: 未構成
    ファイアウォール CSP: EnableFirewall

    • [有効] - ファイアウォールと高度なセキュリティを有効にします。
    • 未構成 他のポリシー設定に関係なく、すべてのネットワーク トラフィックを許可します。
  • ステルス モード
    既定値: 未構成
    ファイアウォール CSP: DisableStealthMode

    • 未構成
    • ブロック - ファイアウォールは、ステルス モードで動作することがブロックされています。 ステルス モードをブロックすると、 IPsec で保護されたパケットの除外をブロックすることもできます。
    • 許可 - ファイアウォールは、プローブ要求への応答を防ぐのに役立つ、ステルス モードで動作します。
  • IPsec でセキュリティ保護されたパケットの除外とステルス モード
    既定値: 未構成
    ファイアウォール CSP: DisableStealthModeIpsecSecuredPacketExemption

    [隠しモード] が [ブロック] に設定されている場合、このオプションは無視されます。

    • 未構成
    • ブロック - IPSec で保護されたパケットは除外を受け取りません。
    • 許可 - 除外を有効にします。 ファイアウォールのステルス モードでは、ホスト コンピューターが IPsec によってセキュリティで保護された未承諾のネットワーク トラフィックに応答できないようにする必要があります。
  • シールド
    既定値: 未構成
    ファイアウォール CSP: シールド

    • 未構成
    • [ブロック ] - Windows ファイアウォールがオンで、この設定が [ブロック] に設定されている場合、他のポリシー設定に関係なく、すべての受信トラフィックがブロックされます。
    • 許可 - [許可] に設定すると、この設定はオフになり、受信トラフィックは他のポリシー設定に基づいて許可されます。
  • マルチキャスト ブロードキャストへのユニキャスト応答
    既定値: 未構成
    ファイアウォール CSP: DisableUnicastResponsesToMulticastBroadcast

    通常、マルチキャスト メッセージやブロードキャスト メッセージに対するユニキャスト応答を受信する必要はありません。 これらの応答は、サービス拒否 (DOS) 攻撃、または既知のライブ コンピューターを調査しようとしている攻撃者を示している可能性があります。

    • 未構成
    • [ブロック ] - マルチキャスト ブロードキャストへのユニキャスト応答を無効にします。
    • 許可 - マルチキャスト ブロードキャストへのユニキャスト応答を許可します。
  • 受信通知
    既定値: 未構成
    ファイアウォール CSP: DisableInboundNotifications

    • 未構成
    • [ブロック ] - アプリがポートでのリッスンをブロックされたときに使用する通知を非表示にします。
    • [許可] - この設定を有効にし、アプリがポートでのリッスンをブロックされたときにユーザーに通知を表示できます。
  • 送信接続の既定のアクション
    既定値: 未構成
    ファイアウォール CSP: DefaultOutboundAction

    送信接続でファイアウォールが実行する既定のアクションを構成します。 この設定は、Windows バージョン 1809 以降に適用されます。

    • 未構成
    • [ブロック ] - 既定のファイアウォールアクションは、明示的にブロックしないように指定されていない限り、送信トラフィックでは実行されません。
    • 許可 - 既定のファイアウォール アクションは、送信接続で実行されます。
  • 受信接続の既定のアクション
    既定値: 未構成
    ファイアウォール CSP: DefaultInboundAction

    • 未構成
    • [ブロック] - 既定のファイアウォール アクションは、受信接続では実行されません。
    • 許可 - 既定のファイアウォールアクションは、受信接続で実行されます。

ルールのマージ

  • ローカル ストアからの承認されたアプリケーション Windows ファイアウォール規則
    既定値: 未構成
    ファイアウォール CSP: AuthAppsAllowUserPrefMerge

    • 未構成
    • [ブロック] - ローカル ストア内の承認されたアプリケーション ファイアウォール規則は無視され、適用されません。
    • [許可] - ローカル ストアで [適用するファイアウォール規則を 有効にする] を 選択して、それらが認識され、適用されるようにします。
  • ローカル ストアからのグローバル ポート Windows ファイアウォール規則
    既定値: 未構成
    ファイアウォール CSP: GlobalPortsAllowUserPrefMerge

    • 未構成
    • ブロック - ローカル ストア内のグローバル ポート ファイアウォール規則は無視され、適用されません。
    • 許可 - ローカル ストアでグローバル ポート ファイアウォール規則を適用して、認識および適用します。
  • ローカル ストアからの Windows ファイアウォール規則
    既定値: 未構成
    ファイアウォール CSP: AllowLocalPolicyMerge

    • 未構成
    • [ブロック] - ローカル ストアからのファイアウォール規則は無視され、適用されません。
    • [許可] - ローカル ストアでファイアウォール規則を適用して、認識および適用します。
  • ローカル ストアからの IPsec 規則
    既定値: 未構成
    ファイアウォール CSP: AllowLocalIpsecPolicyMerge

    • 未構成
    • ブロック - ローカル ストアからの接続セキュリティ規則は無視され、スキーマのバージョンと接続セキュリティ 規則のバージョンに関係なく適用されません。
    • 許可 - スキーマまたは接続セキュリティ規則のバージョンに関係なく、ローカル ストアから接続セキュリティ規則を適用します。

ファイアウォール規則

1 つ以上のカスタム ファイアウォール規則を 追加 できます。 詳細については、「 Windows デバイスのカスタム ファイアウォール規則を追加する」を参照してください。

カスタム ファイアウォール規則では、次のオプションがサポートされています。

全般設定

  • 名前
    既定値: 名前なし

    ルールのフレンドリ名を指定します。 この名前は、識別に役立つルールの一覧に表示されます。

  • 説明
    既定値: 説明なし

    ルールの説明を入力します。

  • 方向
    既定値: 未構成
    Firewall CSP: FirewallRules/FirewallRuleName/Direction

    この規則が 受信トラフィックまたは 送信 トラフィックに適用されるかどうかを指定します。 [未構成] に設定すると、規則は送信トラフィックに自動的に適用されます。

  • 操作
    既定値: 未構成
    Firewall CSP: FirewallRules/FirewallRuleName/ActionFirewallRules/FirewallRuleName/Action/Type

    [ 許可] または [ ブロック] から選択します。 [ 未構成] に設定すると、規則は既定でトラフィックを許可します。

  • [ネットワークの種類]
    既定値: 0 が選択されています
    Firewall CSP: FirewallRules/FirewallRuleName/Profiles

    このルールが属するネットワークの種類を最大 3 種類選択します。 オプションには、 ドメインプライベートパブリックがあります。 ネットワークの種類が選択されていない場合、ルールは 3 つのネットワークの種類すべてに適用されます。

アプリケーションの設定

  • アプリケーション
    既定値: すべて

    アプリまたはプログラムの接続を制御します。 アプリとプログラムは、 ファイル パスパッケージ ファミリ名、または サービス名で指定できます。

    • パッケージ ファミリ名 – パッケージ ファミリ名を指定します。 パッケージ ファミリ名を見つけるには、PowerShell コマンド Get-AppxPackage を使用します。
      Firewall CSP: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • ファイル パス – クライアント デバイス上のアプリへのファイル パスを指定する必要があります。絶対パスまたは相対パスを指定できます。 たとえば、C:\Windows\System\Notepad.exe または %WINDIR%\Notepad.exe。
      Firewall CSP: FirewallRules/FirewallRuleName/App/FilePath

    • Windows サービス – トラフィックを送受信するアプリケーションではなく、サービスの場合は、Windows サービスの短縮名を指定します。 サービスの短い名前を見つけるには、PowerShell コマンド Get-Service を使用します。
      Firewall CSP: FirewallRules/FirewallRuleName/App/ServiceName

    • すべて構成は必要ありません

IP アドレスの設定

この規則を適用するローカル アドレスとリモート アドレスを指定します。

  • ローカル アドレス
    既定値: 任意のアドレス
    Firewall CSP: FirewallRules/FirewallRuleName/LocalPortRanges

    [ 任意のアドレス] または [ 指定したアドレス] を選択します

    [指定されたアドレス] を使用する場合は、ルールの対象となるローカル アドレスのコンマ区切りの一覧として 1 つ以上のアドレスを追加します。 有効なトークンは次のとおりです。

    • 任意のローカル アドレスにアスタリスク *を使用します。 アスタリスクを使用する場合は、使用する唯一のトークンである必要があります。
    • サブネット マスクまたはネットワーク プレフィックス表記でサブネットを指定します。 サブネット マスクまたはネットワーク プレフィックスが指定されていない場合、サブネット マスクの既定値は 255.255.255.255 です。
    • 有効な IPv6 アドレス。
    • スペースが含まれていない "開始アドレス - 終了アドレス" の形式の IPv4 アドレス範囲。
    • スペースが含まれていない "開始アドレス - 終了アドレス" の形式の IPv6 アドレス範囲。
  • リモート アドレス
    既定値: 任意のアドレス
    Firewall CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    [ 任意のアドレス] または [ 指定したアドレス] を選択します

    [指定されたアドレス] を使用する場合は、ルールの対象となるリモート アドレスのコンマ区切りリストとして 1 つ以上のアドレスを追加します。 トークンでは大文字と小文字は区別されません。 有効なトークンは次のとおりです。

    • 任意のリモート アドレスにアスタリスク "*" を使用します。 アスタリスクを使用する場合は、使用する唯一のトークンである必要があります。
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet (Windows バージョン 1809 以降でサポート)
    • RmtIntranet (Windows バージョン 1809 以降でサポート)
    • Internet (Windows バージョン 1809 以降でサポート)
    • Ply2Renders (Windows バージョン 1809 以降でサポート)
    • LocalSubnet は、ローカル サブネット上のローカル アドレスを示します。
    • サブネット マスクまたはネットワーク プレフィックス表記でサブネットを指定します。 サブネット マスクまたはネットワーク プレフィックスが指定されていない場合、サブネット マスクの既定値は 255.255.255.255 です。
    • 有効な IPv6 アドレス。
    • スペースが含まれていない "開始アドレス - 終了アドレス" の形式の IPv4 アドレス範囲。
    • スペースが含まれていない "開始アドレス - 終了アドレス" の形式の IPv6 アドレス範囲。

ポートとプロトコルの設定

この規則を適用するローカル ポートとリモート ポートを指定します。

  • プロトコル
    既定値: 任意
    Firewall CSP: FirewallRules/FirewallRuleName/Protocol
    次から選択し、必要な構成を完了します。
    • すべて – 構成は使用できません。
    • TCP – ローカル ポートとリモート ポートを構成します。 どちらのオプションでも、[すべてのポート] または [指定したポート] がサポートされます。 コンマ区切りリストを使用して、「指定されたポート」と入力します。
    • UDP – ローカル ポートとリモート ポートを構成します。 どちらのオプションでも、[すべてのポート] または [指定したポート] がサポートされます。 コンマ区切りリストを使用して、「指定されたポート」と入力します。
    • カスタム – 0 から 255 までのカスタム プロトコル 番号を指定します。

高度な構成

  • インターフェイスの種類
    既定値: 0 が選択されています
    Firewall CSP: FirewallRules/FirewallRuleName/InterfaceTypes

    次のオプションから選択します。

    • リモート アクセス
    • ワイヤレス
    • ローカル エリア ネットワーク
  • これらのユーザーからの接続のみを許可する
    既定値: すべてのユーザー (リストが指定されていない場合、すべてのユーザーが使用する既定値)
    Firewall CSP: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    このルールに対して承認されたローカル ユーザーの一覧を指定します。 この規則が Windows サービスに適用される場合、承認されたユーザーの一覧を指定することはできません。

Microsoft Defender SmartScreen の設定

Microsoft Edge をデバイスにインストールする必要があります。

  • アプリとファイルの SmartScreen
    既定値: 未構成
    SmartScreen CSP: SmartScreen/EnableSmartScreenInShell

    • [未構成] - SmartScreen の使用を無効にします。
    • [有効] - ファイルの実行とアプリの実行に対して Windows SmartScreen を有効にします。 SmartScreen は、クラウドベースのフィッシング対策およびマルウェア対策コンポーネントです。
  • 未検証ファイルの実行
    既定値: 未構成
    SmartScreen CSP: SmartScreen/PreventOverrideForFilesInShell

    • [未構成 ] - この機能を無効にし、エンド ユーザーが検証されていないファイルを実行できるようにします。
    • ブロック - Windows SmartScreen によって検証されていないファイルをエンド ユーザーが実行できないようにします。

Windows 暗号化

Windows の設定

  • デバイスを暗号化する
    既定値: 未構成
    BitLocker CSP: RequireDeviceEncryption

    • [必須] - デバイス暗号化を有効にするようにユーザーに求めます。 Windows エディションとシステム構成によっては、ユーザーに次の質問が表示される場合があります。
      • 別のプロバイダーからの暗号化が有効になっていないことを確認します。
      • BitLocker ドライブ暗号化をオフにしてから、BitLocker をオンに戻す必要があります。
    • 未構成

    別の暗号化方法がアクティブな状態で Windows 暗号化が有効になっていると、デバイスが不安定になる可能性があります。

BitLocker の基本設定

基本設定は、すべての種類のデータ ドライブのユニバーサル BitLocker 設定です。 これらの設定は、エンド ユーザーがすべての種類のデータ ドライブで変更できるドライブ暗号化タスクまたは構成オプションを管理します。

  • その他のディスク暗号化に関する警告
    既定値: 未構成
    BitLocker CSP: AllowWarningForOtherDiskEncryption

    • ブロック - 別のディスク暗号化サービスがデバイス上にある場合は、警告プロンプトを無効にします。
    • [未構成] - 他のディスク暗号化の警告を表示できるようにします。

    ヒント

    Microsoft Entra が参加し、Windows 1809 以降を実行しているデバイスに BitLocker を自動的かつサイレントでインストールするには、この設定を [ブロック] に設定する必要があります。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください。

    [ブロック] に設定すると、次の設定を構成できます。

    • Microsoft Entra 参加中に標準ユーザーが暗号化を有効にすることを許可する
      この設定は、Microsoft Entra 参加済み (Azure ADJ) デバイスにのみ適用され、前の設定の Warning for other disk encryptionによって異なります。
      既定値: 未構成
      BitLocker CSP: AllowStandardUserEncryption

      • 許可 - 標準ユーザー (管理者以外) は、サインイン時に BitLocker 暗号化を有効にすることができます。
      • デバイス で BitLocker 暗号化を有効にできるのは管理者のみです。

    ヒント

    Microsoft Entra が参加し、Windows 1809 以降を実行しているデバイスに BitLocker を自動的かつサイレントモードでインストールするには、この設定を [許可] に設定する必要があります。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください。

  • 暗号化方法を構成する
    既定値: 未構成
    BitLocker CSP: EncryptionMethodByDriveType

    • [有効] - オペレーティング システム、データ、リムーバブル ドライブの暗号化アルゴリズムを構成します。
    • 未構成 - BitLocker は、既定の暗号化方法として XTS-AES 128 ビットを使用するか、セットアップ スクリプトで指定された暗号化方法を使用します。

    [有効] に設定すると、次の設定を構成できます。

    • オペレーティング システム ドライブの暗号化
      既定値: XTS-AES 128 ビット

      オペレーティング システム ドライブの暗号化方法を選択します。 XTS-AES アルゴリズムを使用することをお勧めします。

      • AES-CBC 128 ビット
      • AES-CBC 256 ビット
      • XTS-AES 128 ビット
      • XTS-AES 256 ビット
    • 固定データ ドライブの暗号化
      既定値: AES-CBC 128 ビット

      固定 (組み込み) データ ドライブの暗号化方法を選択します。 XTS-AES アルゴリズムを使用することをお勧めします。

      • AES-CBC 128 ビット
      • AES-CBC 256 ビット
      • XTS-AES 128 ビット
      • XTS-AES 256 ビット
    • リムーバブル データ ドライブの暗号化
      既定値: AES-CBC 128 ビット

      リムーバブル データ ドライブの暗号化方法を選択します。 Windows 10/11 を実行していないデバイスでリムーバブル ドライブを使用する場合は、AES-CBC アルゴリズムを使用することをお勧めします。

      • AES-CBC 128 ビット
      • AES-CBC 256 ビット
      • XTS-AES 128 ビット
      • XTS-AES 256 ビット

BitLocker OS ドライブの設定

これらの設定は、オペレーティング システムのデータ ドライブに特に適用されます。

  • 起動時の追加認証
    既定値: 未構成
    BitLocker CSP: SystemDrivesRequireStartupAuthentication

    • [必須] - トラステッド プラットフォーム モジュール (TPM) の使用など、コンピューターの起動の認証要件を構成します。
    • [未構成] - TPM を使用するデバイスで基本的なオプションのみを構成します。

    [必須] に設定すると、次の設定を構成できます。

    • 互換性のない TPM チップを備えた BitLocker
      既定値: 未構成

      • ブロック - デバイスに互換性のある TPM チップがない場合は、BitLocker の使用を無効にします。
      • [未構成] - 互換性のある TPM チップなしで BitLocker を使用できます。 BitLocker には、パスワードまたはスタートアップ キーが必要な場合があります。
    • 互換性のある TPM の起動
      既定値: TPM を許可する

      TPM が許可されているか、必須か、または許可されていないかどうかを構成します。

      • TPM を許可する
      • TPM を許可しない
      • TPM が必要
    • 互換性のある TPM スタートアップ PIN
      既定値: TPM でスタートアップ PIN を許可する

      TPM チップでスタートアップ PIN を使用することを許可するか、許可しないか、または必要とするかを選択します。 スタートアップ PIN を有効にするには、エンド ユーザーからの操作が必要です。

      • TPM でスタートアップ PIN を許可する
      • TPM でスタートアップ PIN を許可しない
      • TPM でスタートアップ PIN を要求する

      ヒント

      Microsoft Entra が参加し、Windows 1809 以降を実行しているデバイスに BitLocker を自動的かつサイレントモードでインストールするには、この設定を [TPM でスタートアップ PIN を要求する] に設定しないでください。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください。

    • 互換性のある TPM スタートアップ キー
      既定値: TPM でスタートアップ キーを許可する

      TPM チップでスタートアップ キーを使用することを許可するか、許可しないか、または必要とするかを選択します。 スタートアップ キーを有効にするには、エンド ユーザーからの操作が必要です。

      • TPM でスタートアップ キーを許可する
      • TPM でスタートアップ キーを許可しない
      • TPM でスタートアップ キーを要求する

      ヒント

      Microsoft Entra が参加し、Windows 1809 以降を実行しているデバイスに BitLocker を自動的かつサイレントモードでインストールするには、この設定を [TPM でスタートアップ キーを要求する] に設定しないでください。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください。

    • 互換性のある TPM スタートアップ キーと PIN
      既定値: TPM でスタートアップ キーと PIN を許可する

      TPM チップでスタートアップ キーと PIN を使用することを許可するか、許可しないか、必要とするかを選択します。 スタートアップ キーと PIN を有効にするには、エンド ユーザーからの操作が必要です。

      • TPM でスタートアップ キーと PIN を許可する
      • TPM でスタートアップ キーと PIN を許可しない
      • TPM を使用してスタートアップ キーと PIN を要求する

      ヒント

      Microsoft Entra が参加し、Windows 1809 以降を実行しているデバイスに BitLocker を自動的かつサイレントでインストールするには、この設定を [ TPM でスタートアップ キーと PIN を要求する] に設定しないでください。 詳細については、「 デバイスで BitLocker をサイレント モードで有効にする」を参照してください。

  • PIN の最小長さ
    既定値: 未構成
    BitLocker CSP: SystemDrivesMinimumPINLength

    • エネーブル TPM スタートアップ PIN の最小長を構成します。
    • [未構成] - ユーザーは、6 桁から 20 桁の任意の長さのスタートアップ PIN を構成できます。

    [有効] に設定すると、次の設定を構成できます。

    • 最小文字数
      既定値: 未構成 の BitLocker CSP: SystemDrivesMinimumPINLength

      スタートアップ PIN に必要な文字数を 4-20 から入力します。

  • OS ドライブの回復
    既定値: 未構成
    BitLocker CSP: SystemDrivesRecoveryOptions

    • [有効] - 必要な起動情報が利用できない場合に BitLocker で保護されたオペレーティング システム ドライブの回復方法を制御します。
    • 未構成 - DRA を含む既定の回復オプションがサポートされています。 エンド ユーザーは、回復オプションを指定できます。 回復情報は AD DS にバックアップされません。

    [有効] に設定すると、次の設定を構成できます。

    • 証明書ベースのデータ復旧エージェント
      既定値: 未構成

      • ブロック - BitLocker で保護された OS ドライブでのデータ回復エージェントの使用を禁止します。
      • [未構成] - BitLocker で保護されたオペレーティング システム ドライブでデータ回復エージェントを使用できるようにします。
    • 回復パスワードのユーザー作成
      既定値: 48 桁の回復パスワードを許可する

      ユーザーが 48 桁の回復パスワードの生成を許可、必須、または許可されていないかどうかを選択します。

      • 48 桁の回復パスワードを許可する
      • 48 桁の回復パスワードを許可しない
      • 48 桁の回復パスワードが必要
    • 回復キーのユーザー作成
      既定値: 256 ビット回復キーを許可する

      ユーザーが 256 ビット回復キーの生成を許可、必須、または許可されていないかどうかを選択します。

      • 256 ビット回復キーを許可する
      • 256 ビット回復キーを許可しない
      • 256 ビット回復キーが必要
    • BitLocker セットアップ ウィザードの回復オプション
      既定値: 未構成

      • ブロック - ユーザーは回復オプションを表示および変更できません。 に設定する場合
      • [未構成] - BitLocker をオンにすると、回復オプションを表示および変更できます。
    • BitLocker 回復情報を Microsoft Entra ID に保存する
      既定値: 未構成

      • [有効] - BitLocker 回復情報を Microsoft Entra ID に格納します。
      • [未構成] - BitLocker 回復情報は Microsoft Entra ID に格納されません。
    • BitLocker 回復 Microsoft Entra ID に格納されている情報
      既定値: バックアップ回復パスワードとキー パッケージ

      Microsoft Entra ID に格納される BitLocker 回復情報の部分を構成します。 次から選択します。

      • バックアップ回復パスワードとキー パッケージ
      • バックアップ回復パスワードのみ
    • クライアント駆動型の回復パスワードローテーション
      既定値: 未構成
      BitLocker CSP: ConfigureRecoveryPasswordRotation

      この設定は、OS ドライブの回復後 (bootmgr または WinRE を使用して) クライアント駆動型の回復パスワードローテーションを開始します。

      • 未構成
      • キーの回転が無効
      • Microsoft Entra joined deices で有効になっているキーローテーション
      • Microsoft Entra ID とハイブリッド参加済みデバイスで有効になっているキーローテーション
    • BitLocker を有効にする前に、Microsoft Entra ID に回復情報を格納する
      既定値: 未構成

      コンピューターが BitLocker 回復情報を Microsoft Entra ID に正常にバックアップしない限り、ユーザーが BitLocker を有効にできないようにします。

      • [必須] - BitLocker 回復情報が Microsoft Entra ID に正常に格納されていない限り、ユーザーが BitLocker をオンにできないようにします。
      • [未構成] - 回復情報が Microsoft Entra ID に正常に格納されていない場合でも、ユーザーは BitLocker を有効にすることができます。
  • 起動前の回復メッセージと URL
    既定値: 未構成
    BitLocker CSP: SystemDrivesRecoveryMessage

    • [有効] - 起動前キーの回復画面に表示されるメッセージと URL を構成します。
    • [未構成] - この機能を無効にします。

    [有効] に設定すると、次の設定を構成できます。

    • 起動前の回復メッセージ
      既定値: 既定の回復メッセージと URL を使用する

      起動前の回復メッセージをユーザーに表示する方法を構成します。 次から選択します。

      • 既定の回復メッセージと URL を使用する
      • 空の回復メッセージと URL を使用する
      • カスタム回復メッセージを使用する
      • カスタム回復 URL を使用する

BitLocker 固定データ ドライブ設定

これらの設定は、固定データ ドライブに特に適用されます。

  • BitLocker によって保護されていない固定データ ドライブへの書き込みアクセス
    既定値: 未構成
    BitLocker CSP: FixedDrivesRequireEncryption

    • [ブロック ] - BitLocker で保護されていないデータ ドライブに読み取り専用アクセス権を付与します。
    • [未構成] - 既定では、暗号化されていないデータ ドライブへの読み取りと書き込みアクセス。
  • 固定ドライブの回復
    既定値: 未構成
    BitLocker CSP: FixedDrivesRecoveryOptions

    • [有効] - 必要な起動情報が利用できない場合に BitLocker で保護された固定ドライブの回復方法を制御します。
    • [未構成] - この機能を無効にします。

    [有効] に設定すると、次の設定を構成できます。

    • データ復旧エージェント
      既定値: 未構成

      • ブロック - BitLocker で保護された固定ドライブ ポリシー エディターでデータ回復エージェントを使用できないようにします。
      • [未構成] - BitLocker で保護された固定ドライブでデータ回復エージェントを使用できるようにします。
    • 回復パスワードのユーザー作成
      既定値: 48 桁の回復パスワードを許可する

      ユーザーが 48 桁の回復パスワードの生成を許可、必須、または許可されていないかどうかを選択します。

      • 48 桁の回復パスワードを許可する
      • 48 桁の回復パスワードを許可しない
      • 48 桁の回復パスワードが必要
    • 回復キーのユーザー作成
      既定値: 256 ビット回復キーを許可する

      ユーザーが 256 ビット回復キーの生成を許可、必須、または許可されていないかどうかを選択します。

      • 256 ビット回復キーを許可する
      • 256 ビット回復キーを許可しない
      • 256 ビット回復キーが必要
    • BitLocker セットアップ ウィザードの回復オプション
      既定値: 未構成

      • ブロック - ユーザーは回復オプションを表示および変更できません。 に設定する場合
      • [未構成] - BitLocker をオンにすると、回復オプションを表示および変更できます。
    • BitLocker 回復情報を Microsoft Entra ID に保存する
      既定値: 未構成

      • [有効] - BitLocker 回復情報を Microsoft Entra ID に格納します。
      • [未構成] - BitLocker 回復情報は Microsoft Entra ID に格納されません。
    • BitLocker 回復 Microsoft Entra ID に格納されている情報
      既定値: バックアップ回復パスワードとキー パッケージ

      Microsoft Entra ID に格納される BitLocker 回復情報の部分を構成します。 次から選択します。

      • バックアップ回復パスワードとキー パッケージ
      • バックアップ回復パスワードのみ
    • BitLocker を有効にする前に、Microsoft Entra ID に回復情報を格納する
      既定値: 未構成

      コンピューターが BitLocker 回復情報を Microsoft Entra ID に正常にバックアップしない限り、ユーザーが BitLocker を有効にできないようにします。

      • [必須] - BitLocker 回復情報が Microsoft Entra ID に正常に格納されていない限り、ユーザーが BitLocker をオンにできないようにします。
      • [未構成] - 回復情報が Microsoft Entra ID に正常に格納されていない場合でも、ユーザーは BitLocker を有効にすることができます。

BitLocker リムーバブル データ ドライブの設定

これらの設定は、リムーバブル データ ドライブに特に適用されます。

  • BitLocker によって保護されていないリムーバブル データ ドライブへの書き込みアクセス
    既定値: 未構成
    BitLocker CSP: RemovableDrivesRequireEncryption

    • [ブロック ] - BitLocker で保護されていないデータ ドライブに読み取り専用アクセス権を付与します。
    • [未構成] - 既定では、暗号化されていないデータ ドライブへの読み取りと書き込みアクセス。

    [有効] に設定すると、次の設定を構成できます。

    • 別の組織で構成されたデバイスへの書き込みアクセス権
      既定値: 未構成

      • ブロック - 別の組織で構成されたデバイスへの書き込みアクセスをブロックします。
      • 未構成 - 書き込みアクセスを拒否します。

Microsoft Defender Exploit Guard

悪用保護を使用して、従業員が使用するアプリの攻撃面を管理および削減します。

攻撃面の回避

攻撃表面の縮小ルールは、マルウェアが悪意のあるコードでコンピューターに感染するために頻繁に使用する動作を防ぐのに役立ちます。

攻撃面の縮小ルール

詳細については、Microsoft Defender for Endpoint のドキュメントの 「攻撃面の縮小ルール 」を参照してください。

Intune での攻撃面の縮小ルールのマージ動作:

攻撃面の縮小ルールでは、デバイスごとにポリシーのスーパーセットを作成するために、さまざまなポリシーの設定の統合がサポートされています。 競合していない設定のみがマージされますが、競合している設定はルールのスーパーセットには追加されません。 以前は、2 つのポリシーに 1 つの設定の競合が含まれている場合、両方のポリシーが競合しているとフラグが設定され、どちらのプロファイルの設定も展開されません。

攻撃面の縮小ルールのマージ動作は次のとおりです。

  • 次のプロファイルの攻撃面縮小ルールは、ルールが適用されるデバイスごとに評価されます。
    • デバイス > 構成ポリシー > Microsoft Defender Exploit Guard >Attack Surface Reduction>エンドポイント保護プロファイル
    • エンドポイント セキュリティ > 攻撃面の縮小ポリシー >攻撃面の縮小ルール
    • エンドポイント セキュリティ > Microsoft Defender for Endpoint Baseline >Attack Surface Reduction Rules>セキュリティ ベースライン。
  • 競合のない設定は、デバイスのポリシーのスーパーセットに追加されます。
  • 複数のポリシーに競合する設定がある場合、競合する設定は結合されたポリシーに追加されません。 競合しない設定は、デバイスに適用されるスーパーセット ポリシーに追加されます。
  • 競合する設定の構成のみが保留されます。

このプロファイルの設定:

Office マクロの脅威を防ぐための規則

Office アプリが次のアクションを実行できないようにブロックします。

スクリプトの脅威を防ぐためのルール

スクリプトの脅威に対する防止に役立つ以下をブロックします。

電子メールの脅威を防ぐための規則

電子メールの脅威を防ぐために、次の情報をブロックします。

  • 電子メール (webmail/mail クライアント) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行 (例外なし)
    既定値: 未構成
    ルール: 電子メール クライアントと webmail から実行可能なコンテンツをブロックする

    • 未構成
    • ブロック - 電子メール (webmail/mail-client) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行をブロックします。
    • 監査のみ

ランサムウェアから保護する規則

攻撃面の縮小の例外

  • 攻撃面の縮小ルールから除外するファイルとフォルダー
    Defender CSP: AttackSurfaceReductionOnlyExclusions

    • 攻撃面の縮小ルールから除外するファイルとフォルダーを含む .csv ファイルをインポートします。
    • ローカル ファイルまたはフォルダーを手動で追加します。

重要

LOB Win32 アプリの適切なインストールと実行を許可するには、マルウェア対策設定で次のディレクトリがスキャンされないようにする必要があります。
X64 クライアント マシンの場合:
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

X86 クライアント マシンの場合:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

詳細については、「 現在サポートされているバージョンの Windows を実行しているエンタープライズ コンピューターのウイルス スキャンに関する推奨事項」を参照してください。

コントロールされたフォルダー アクセス

ランサムウェアなどの悪意のあるアプリや脅威から 貴重なデータを保護 するのに役立ちます。

  • フォルダー保護
    既定値: 未構成
    Defender CSP: EnableControlledFolderAccess

    不正なアプリによる未承認の変更からファイルとフォルダーを保護します。

    • 未構成
    • Enable
    • 監査のみ
    • ディスクの変更をブロックする
    • ディスクの変更を監査する

    [未構成] 以外の構成を選択すると、次のように構成できます。

    • 保護されたフォルダーにアクセスできるアプリの一覧
      Defender CSP: ControlledFolderAccessAllowedApplications

      • アプリリストを含む .csv ファイルをインポートします。
      • このリストにアプリを手動で追加します。
    • 保護する必要がある追加のフォルダーの一覧
      Defender CSP: ControlledFolderAccessProtectedFolders

      • フォルダー リストを含む .csv ファイルをインポートします。
      • このリストにフォルダーを手動で追加します。

ネットワーク フィルター処理

評判の低い IP アドレスまたはドメインへの任意のアプリからの送信接続をブロックします。 ネットワーク フィルター処理は、監査モードとブロック モードの両方でサポートされています。

  • ネットワーク保護
    既定値: 未構成
    Defender CSP: EnableNetworkProtection

    この設定の目的は、フィッシング詐欺、悪用ホスティング サイト、およびインターネット上の悪意のあるコンテンツにアクセスできるアプリからエンド ユーザーを保護することです。 また、サードパーティのブラウザーが危険なサイトに接続することもできなくなります。

    • [未構成] - この機能を無効にします。 ユーザーとアプリは、危険なドメインへの接続をブロックされません。 管理者は、Microsoft Defender Security Center でこのアクティビティを表示できません。
    • 有効にする - ネットワーク保護を有効にし、ユーザーとアプリが危険なドメインに接続できないようにします。 管理者は、Microsoft Defender Security Center でこのアクティビティを確認できます。
    • 監査のみ: - ユーザーとアプリは、危険なドメインへの接続をブロックされません。 管理者は、Microsoft Defender Security Center でこのアクティビティを確認できます。

エクスプロイト保護

  • XML のアップロード
    既定値: 未構成

    Exploit Protection を使用してデバイスを悪用から保護するには、必要なシステムとアプリケーションの軽減設定を含む XML ファイルを作成します。 XML ファイルを作成するには、次の 2 つの方法があります。

    • PowerShell - Get-ProcessMitigationSet-ProcessMitigationConvertTo-ProcessMitigationPolicy PowerShell コマンドレットの 1 つ以上を使用します。 コマンドレットは軽減策設定を構成し、それらの XML 表現をエクスポートします。

    • Microsoft Defender Security Center UI - Microsoft Defender Security Center で、[ アプリ & ブラウザー コントロール ] を選択し、結果の画面の下部までスクロールして Exploit Protection を見つけます。 まず、[システム設定] タブと [プログラム設定] タブを使用して、軽減策の設定を構成します。 次に、画面の下部にある [設定のエクスポート] リンクを見つけて、それらの XML 表現をエクスポートします。

  • 悪用保護インターフェイスのユーザー編集
    既定値: 未構成
    ExploitGuard CSP: ExploitProtectionSettings

    • [ブロック ] - メモリ、制御フロー、およびポリシーの制限を構成できる XML ファイルをアップロードします。 XML ファイルの設定を使用して、アプリケーションの悪用をブロックできます。
    • [未構成] - カスタム構成は使用されません。

Microsoft Defender アプリケーションコントロール

監査対象のアプリ、または Microsoft Defender アプリケーションコントロールによって実行される信頼されているアプリを選択します。 Windows コンポーネントと Windows ストアのすべてのアプリは、自動的に信頼されて実行されます。

  • アプリケーション制御コード整合性ポリシー
    既定値: 未構成
    CSP: AppLocker CSP

    • 適用 - ユーザーのデバイスのアプリケーション制御コード整合性ポリシーを選択します。

      デバイスで有効にした後、アプリケーション制御を無効にできるのは、モードを [強制] から [監査のみ] に変更することだけです。 モードを [強制] から [ 未構成] に変更すると、割り当てられたデバイスで引き続きアプリケーション制御が適用されます。

    • [未構成] - アプリケーション制御はデバイスに追加されません。 ただし、以前に追加された設定は、割り当てられたデバイスで引き続き適用されます。

    • 監査のみ - アプリケーションはブロックされません。 すべてのイベントは、ローカル クライアントのログに記録されます。

      注:

      この設定を使用する場合、AppLocker CSP の動作は現在、ポリシーの展開時にエンド ユーザーにコンピューターの再起動を求めます。

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard は、資格情報の盗難攻撃から保護します。 特権システム ソフトウェアのみがアクセスできるように、シークレットを分離します。

  • Credential Guard
    既定値: 無効
    DeviceGuard CSP

    • [無効] - [ UEFI ロックなしで有効] オプションを使用して以前に有効にしていた場合は、資格情報ガードをリモートでオフにします。

    • UEFI ロックで有効にする - Credential Guard は、レジストリ キーまたはグループ ポリシーを使用してリモートで無効にすることはできません。

      注:

      この設定を使用した後で Credential Guard を無効にする場合は、グループ ポリシーを [無効] に設定する必要があります。 また、各コンピューターから UEFI 構成情報を物理的にクリアします。 UEFI 構成が維持される限り、Credential Guard が有効になります。

    • [UEFI ロックなしで有効にする ] - グループ ポリシーを使用して、Credential Guard をリモートで無効にすることができます。 この設定を使用するデバイスは、Windows 10 バージョン 1511 以降または Windows 11 を実行している必要があります。

    Credential Guard を有効にすると 、次の必須機能も有効になります。

    • 仮想化ベースのセキュリティ (VBS)
      次回の再起動中にオンになります。 仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用してセキュリティ サービスのサポートを提供します。
    • ディレクトリ メモリ アクセスを使用したセキュア ブート
      セキュア ブートとダイレクト メモリ アクセス (DMA) 保護を使用して VBS を有効にします。 DMA 保護にはハードウェアのサポートが必要であり、正しく構成されたデバイスでのみ有効になります。

Microsoft Defender セキュリティ センター

Microsoft Defender Security Center は、個々の機能とは別のアプリまたはプロセスとして動作します。 アクション センターを介して通知を表示します。 コレクターまたは単一の場所として機能して状態を確認し、各機能に対していくつかの構成を実行します。 詳細については、 Microsoft Defender ドキュメントを参照してください。

Microsoft Defender Security Center アプリと通知

Microsoft Defender Security Center アプリのさまざまな領域へのエンド ユーザー アクセスをブロックします。 セクションを非表示にすると、関連する通知もブロックされます。

  • ウイルスと脅威の保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableVirusUI

    エンド ユーザーが Microsoft Defender Security Center の [ウイルスと脅威の保護] 領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ウイルスと脅威の保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • ランサムウェア保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: HideRansomwareDataRecovery

    エンド ユーザーが Microsoft Defender Security Center のランサムウェア保護領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ランサムウェア保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • アカウントの保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableAccountProtectionUI

    エンド ユーザーが Microsoft Defender セキュリティ センターの [アカウント保護] 領域を表示できるかどうかを構成します。 このセクションを非表示にすると、アカウント保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • ファイアウォールとネットワーク保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableNetworkUI

    エンド ユーザーが Microsoft Defender セキュリティ センターのファイアウォールとネットワーク保護領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ファイアウォールとネットワーク保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • アプリとブラウザーのコントロール
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

    エンド ユーザーが Microsoft Defender セキュリティ センターのアプリとブラウザーのコントロール領域を表示できるかどうかを構成します。 このセクションを非表示にすると、アプリとブラウザー コントロールに関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • ハードウェア保護
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableDeviceSecurityUI

    エンド ユーザーが Microsoft Defender セキュリティ センターのハードウェア保護領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ハードウェア保護に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • デバイスのパフォーマンスと正常性
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableHealthUI

    エンド ユーザーが Microsoft Defender セキュリティ センターの [デバイスのパフォーマンスと正常性] 領域を表示できるかどうかを構成します。 このセクションを非表示にすると、デバイスのパフォーマンスと正常性に関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • ファミリ オプション
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableFamilyUI

    エンド ユーザーが Microsoft Defender セキュリティ センターの [ファミリ オプション] 領域を表示できるかどうかを構成します。 このセクションを非表示にすると、ファミリー オプションに関連するすべての通知もブロックされます。

    • 未構成
    • Hide
  • アプリの表示領域からの通知
    既定値: 未構成
    WindowsDefenderSecurityCenter CSP: DisableNotifications

    エンド ユーザーに表示する通知を選択します。 重要でない通知には、スキャンが完了したときの通知など、Microsoft Defender ウイルス対策アクティビティの概要が含まれます。 その他の通知はすべて重要と見なされます。

    • 未構成
    • 重要でない通知をブロックする
    • すべての通知をブロックする
  • システム トレイの Windows Security Center アイコン
    既定値: 未構成の WindowsDefenderSecurityCenter CSP: HideWindowsSecurityNotificationAreaControl

    通知領域コントロールの表示を構成します。 この設定を有効にするには、ユーザーがサインアウトしてサインインするか、コンピューターを再起動する必要があります。

    • 未構成
    • Hide
  • [TPM のクリア] ボタン
    既定値: 未構成の WindowsDefenderSecurityCenter CSP: DisableClearTpmButton

    [TPM のクリア] ボタンの表示を構成します。

    • 未構成
    • Disable
  • TPM ファームウェアの更新に関する警告
    既定値: 未構成の WindowsDefenderSecurityCenter CSP: DisableTpmFirmwareUpdateWarning

    脆弱なファームウェアが検出されたときに更新 TPM ファームウェアの表示を構成します。

    • 未構成
    • Hide
  • 改ざん防止
    既定値: 未構成

    デバイスで改ざん防止をオンまたはオフにします。 改ざん防止を使用するには、 Microsoft Defender for Endpoint と Intune を統合し、 Enterprise Mobility + Security E5 ライセンスを持っている必要があります。

    • [未構成] - デバイス設定に変更はありません。
    • 有効 - 改ざん防止が有効になっており、デバイスに制限が適用されます。
    • 無効 - 改ざん防止はオフになっており、制限は適用されません。

IT 連絡先情報

Microsoft Defender Security Center アプリとアプリ通知に表示される IT 連絡先情報を指定します。

[ アプリと通知で表示]、[アプリ にのみ表示]、[ 通知にのみ表示]、または [ 表示しない] を選択できます。 IT 組織名と、次の連絡先オプションの少なくとも 1 つを入力します。

  • IT 連絡先情報
    既定値: 表示しない
    WindowsDefenderSecurityCenter CSP: EnableCustomizedToasts

    エンド ユーザーに IT 連絡先情報を表示する場所を構成します。

    • アプリと通知に表示する
    • アプリでのみ表示する
    • 通知にのみ表示する
    • 表示しない

    表示するように構成されている場合は、次の設定を構成できます。

    • IT 組織名
      既定値: 未構成
      WindowsDefenderSecurityCenter CSP: CompanyName

    • IT 部門の電話番号または Skype ID
      既定値: 未構成
      WindowsDefenderSecurityCenter CSP: Phone

    • IT 部門のメール アドレス
      既定値: 未構成
      WindowsDefenderSecurityCenter CSP: 電子メール

    • IT サポート Web サイトの URL
      既定値: 未構成
      WindowsDefenderSecurityCenter CSP: URL

ローカル デバイスのセキュリティ オプション

これらのオプションを使用して、Windows 10/11 デバイスのローカル セキュリティ設定を構成します。

アカウント

  • 新しい Microsoft アカウントを追加する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_BlockMicrosoftAccounts

    • ブロック ユーザーがデバイスに新しい Microsoft アカウントを追加できないようにします。
    • [未構成] - ユーザーはデバイスで Microsoft アカウントを使用できます。
  • パスワードを使用しないリモート ログオン
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • [ブロック ] - デバイスのキーボードを使用してサインインするには、空のパスワードを持つローカル アカウントのみを許可します。
    • [未構成] - 空のパスワードを持つローカル アカウントが、物理デバイス以外の場所からサインインすることを許可します。

管理者

  • ローカル管理者アカウント
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • ブロック ローカル管理者アカウントの使用を禁止します。
    • 未構成
  • 管理者アカウントの名前を変更する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_RenameAdministratorAccount

    アカウント "管理者" のセキュリティ識別子 (SID) に関連付ける別のアカウント名を定義します。

Guest

  • ゲスト アカウント
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • [ブロック ] - ゲスト アカウントの使用を禁止します。
    • 未構成
  • ゲスト アカウントの名前を変更する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    アカウント "ゲスト" のセキュリティ識別子 (SID) に関連付ける別のアカウント名を定義します。

デバイス

  • ログオンなしでデバイスのドッキングを解除する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • ブロック - ユーザーはデバイスにサインインし、デバイスのドッキングを解除するためのアクセス許可を受け取る必要があります。
    • [未構成] - ドッキングされたポータブル デバイスの物理的な取り出しボタンを押して、デバイスのドッキングを安全に解除できます。
  • 共有プリンターのプリンター ドライバーをインストールする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • 有効 - すべてのユーザーは、共有プリンターへの接続の一環としてプリンター ドライバーをインストールできます。
    • [未構成] - 管理者のみが、共有プリンターへの接続の一部としてプリンター ドライバーをインストールできます。
  • ローカル アクティブ ユーザーへの CD-ROM アクセスの制限
    既定値: 未構成
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • [有効] - 対話形式でログオンしたユーザーのみが CD-ROM メディアを使用できます。 このポリシーが有効になっていて、誰も対話形式でログオンしていない場合、CD-ROM はネットワーク経由でアクセスされます。
    • [未構成] - 誰でも CD-ROM にアクセスできます。
  • リムーバブル メディアのフォーマットと取り出し
    既定値: 管理者
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    リムーバブル NTFS メディアのフォーマットと取り出しを許可するユーザーを定義します。

    • 未構成
    • Administrators
    • 管理者と Power Users
    • 管理者と対話型ユーザー

対話型ログオン

  • スクリーン セーバーがアクティブになるまでのロック画面の非アクティブ時間 (分)
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    スクリーンセーバーがアクティブになるまで、非アクティブの最大時間 (分) を入力します。 (0 - 99999)

  • ログオンするには Ctrl + Alt + DEL が必要
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotRequireCTRLALTDEL

    • [有効] - Windows にログオンする前に、Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要があります。
    • [未構成] - Ctrl キーを押しながら Alt キーを押しながら DEL キーを押す必要はありません。
  • スマート カードの取り外し動作
    既定値: アクションなし LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    ログオンしているユーザーのスマート カードがスマート カード リーダーから削除された場合の動作を決定します。 次のようなオプションがあります。

    • ワークステーションのロック - スマート カードが取り外されると、ワークステーションがロックされます。 このオプションを使用すると、ユーザーはエリアを離れ、スマート カードを持ち込み、保護されたセッションを維持できます。
    • アクションなし
    • 強制的にログオフ する - スマート カードが削除されると、ユーザーは自動的にログオフされます。
    • リモート デスクトップ サービス セッションの場合は切断 - スマート カードを削除すると、ユーザーをログオフせずにセッションが切断されます。 このオプションを使用すると、ユーザーはスマート カードを挿入し、後で、または別のスマート カード リーダー搭載コンピューターで、もう一度サインインしなくてもセッションを再開できます。 セッションがローカルの場合、このポリシーは Lock Workstation と同じように機能します。

ディスプレイ

  • ロック画面のユーザー情報
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    セッションがロックされたときに表示されるユーザー情報を構成します。 構成されていない場合は、ユーザー表示名、ドメイン、およびユーザー名が表示されます。

    • 未構成
    • ユーザー表示名、ドメイン、およびユーザー名
    • ユーザー表示名のみ
    • ユーザー情報を表示しない
  • 最後にサインインしたユーザーを非表示にする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • [有効] - ユーザー名を非表示にします。
    • [未構成] - 最後のユーザー名を表示します。
  • サインイン時にユーザー名を非表示にする既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • [有効] - ユーザー名を非表示にします。
    • [未構成] - 最後のユーザー名を表示します。
  • ログオン メッセージ のタイトル
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    サインインするユーザーのメッセージ タイトルを設定します。

  • ログオン メッセージ テキスト
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    サインインするユーザーのメッセージ テキストを設定します。

ネットワーク アクセスとセキュリティ

  • 名前付きパイプと共有への匿名アクセス
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • [未構成] - 匿名アクセスを共有および名前付きパイプの設定に制限します。 匿名でアクセスできる設定に適用されます。
    • [ブロック ] - 匿名アクセスを使用できるように、このポリシーを無効にします。
  • SAM アカウントの匿名列挙
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • 未構成 - 匿名ユーザーは SAM アカウントを列挙できます。
    • [ブロック ] - SAM アカウントの匿名列挙を禁止します。
  • SAM アカウントと共有の匿名列挙
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • 未構成 - 匿名ユーザーは、ドメイン アカウントとネットワーク共有の名前を列挙できます。
    • [ブロック] - SAM アカウントと共有の匿名列挙を禁止します。
  • パスワードの変更に格納されている LAN Manager ハッシュ値
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    次回パスワードが変更されるときに、パスワードのハッシュ値が格納されるかどうかを判断します。

    • 未構成 - ハッシュ値が格納されていません
    • ブロック - LAN Manager (LM) は、新しいパスワードのハッシュ値を格納します。
  • PKU2U 認証要求
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • [未構成] - PU2U 要求を許可します。
    • [ブロック ] - デバイスへの PKU2U 認証要求をブロックします。
  • リモート RPC 接続を SAM に制限する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • [未構成] - 既定のセキュリティ記述子を使用します。これにより、ユーザーとグループが SAM へのリモート RPC 呼び出しを行える場合があります。

    • 許可 - ユーザーとグループが、ユーザー アカウントとパスワードを格納するセキュリティ アカウント マネージャー (SAM) に対してリモート RPC 呼び出しを行うことを拒否します。 [許可] では、既定のセキュリティ記述子定義言語 (SDDL) 文字列を変更して、これらのリモート呼び出しを行うユーザーとグループを明示的に許可または拒否することもできます。

      • セキュリティ記述子
        既定値: 未構成
  • NTLM SSP ベースのクライアントの最小セッション セキュリティ
    既定値: なし
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    このセキュリティ設定により、サーバーは 128 ビット暗号化と NTLMv2 セッション セキュリティのネゴシエーションを要求できます。

    • なし
    • NTLMv2 セッション セキュリティが必要
    • 128 ビット暗号化が必要
    • NTLMv2 および 128 ビット暗号化
  • NTLM SSP ベースサーバーの最小セッション セキュリティ
    既定値: なし
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    このセキュリティ設定は、ネットワーク ログオンに使用されるチャレンジ/応答認証プロトコルを決定します。

    • なし
    • NTLMv2 セッション セキュリティが必要
    • 128 ビット暗号化が必要
    • NTLMv2 および 128 ビット暗号化
  • LAN Manager 認証レベル
    既定値: LM と NTLM
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_LANManagerAuthenticationLevel

    • LM と NTLM
    • LM、NTLM、NTLMv2
    • NTLM
    • NTLMv2
    • LM ではなく NTLMv2
    • LM または NTLM ではなく NTLMv2
  • セキュリティで保護されていないゲスト ログオン
    既定値: 未構成
    LanmanWorkstation CSP: LanmanWorkstation

    この設定を有効にすると、SMB クライアントは安全でないゲスト ログオンを拒否します。

    • 未構成
    • ブロック - SMB クライアントは安全でないゲスト ログオンを拒否します。

回復コンソールとシャットダウン

  • シャットダウン時に仮想メモリ ページファイルをクリアする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • [有効] - デバイスの電源が切れたときに仮想メモリ ページファイルをクリアします。
    • [未構成] - 仮想メモリをクリアしません。
  • ログオンせずにシャットダウンする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • [ブロック ] - Windows サインイン画面でシャットダウン オプションを非表示にします。 ユーザーはデバイスにサインインしてからシャットダウンする必要があります。
    • [未構成] - ユーザーが Windows サインイン画面からデバイスをシャットダウンできるようにします。

ユーザー アカウント制御

  • セキュリティで保護された場所のない UIA の整合性
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • [ブロック ] - ファイル システム内の安全な場所にあるアプリは、UIAccess の整合性でのみ実行されます。
    • [未構成] - アプリがファイル システム内の安全な場所にない場合でも、UIAccess の整合性でアプリを実行できるようにします。
  • ファイルとレジストリの書き込みエラーをユーザーごとの場所に仮想化する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • 有効 - 保護された場所にデータを書き込むアプリケーションは失敗します。
    • 未構成 - アプリケーションの書き込みエラーは、実行時にファイル システムとレジストリの定義されたユーザーの場所にリダイレクトされます。
  • 署名および検証された実行可能ファイルのみを昇格する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • 有効 - 実行可能ファイルを実行する前に、PKI 認定パスの検証を適用します。
    • [未構成] - 実行可能ファイルを実行する前に、PKI 認定パスの検証を適用しないでください。

UIA 昇格プロンプトの動作

  • 管理者の昇格プロンプト
    既定値: Windows 以外のバイナリの同意を求めるメッセージ
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    管理者承認モードで管理者の昇格プロンプトの動作を定義します。

    • 未構成
    • プロンプトを表示せずに昇格する
    • セキュリティで保護されたデスクトップで資格情報の入力を求める
    • 資格情報の入力を求める
    • 同意を求めるメッセージ
    • Windows 以外のバイナリの同意を求めるメッセージ
  • 標準ユーザーの昇格プロンプト
    既定値: 資格情報の入力を求める
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    標準ユーザーの昇格プロンプトの動作を定義します。

    • 未構成
    • 昇格要求を自動的に拒否する
    • セキュリティで保護されたデスクトップで資格情報の入力を求める
    • 資格情報の入力を求める
  • 昇格プロンプトをユーザーの対話型デスクトップにルーティングする
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • [有効] - セキュリティで保護されたデスクトップではなく、対話型ユーザーのデスクトップに移動するすべての昇格要求。 管理者と標準ユーザーのプロンプト動作ポリシー設定が使用されます。
    • [未構成] - 管理者と標準ユーザーのプロンプト動作ポリシー設定に関係なく、すべての昇格要求をセキュリティで保護されたデスクトップに強制的に移動します。
  • アプリのインストールに関する管理者特権のプロンプト
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • [有効] - アプリケーション インストール パッケージが検出されず、昇格のプロンプトが表示されません。
    • [未構成] - アプリケーション インストール パッケージに管理者特権が必要な場合、ユーザーは管理ユーザー名とパスワードの入力を求められます。
  • セキュリティで保護されたデスクトップを使用しない UIA 昇格プロンプト
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • [有効] - セキュリティで保護されたデスクトップを使用せずに、UIAccess アプリに昇格のプロンプトを表示できるようにします。

  • 未構成 - 昇格プロンプトでは、セキュリティで保護されたデスクトップが使用されます。

管理者承認モード

  • 組み込み管理者の管理者承認モード
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • [有効] - 組み込みの管理者アカウントが管理者承認モードを使用できるようにします。 特権の昇格を必要とする操作は、ユーザーに操作の承認を求めます。
    • [未構成] - 完全な管理者権限を持つすべてのアプリを実行します。
  • 管理者承認モードですべての管理者を実行する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • [有効] - 管理者承認モードを有効にします。
    • [未構成] - 管理者承認モードと関連するすべての UAC ポリシー設定を無効にします。

Microsoft Network Client

  • 通信にデジタル署名する (サーバーが同意する場合)
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    SMB クライアントが SMB パケット署名をネゴシエートするかどうかを決定します。

    • ブロック - SMB クライアントは SMB パケット署名をネゴシエートしません。
    • 未構成 - Microsoft ネットワーク クライアントは、セッションのセットアップ時に SMB パケット署名を実行するようにサーバーに要求します。 サーバーでパケット署名が有効になっている場合、パケット署名はネゴシエートされます。
  • 暗号化されていないパスワードをサード パーティの SMB サーバーに送信する
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • ブロック - サーバー メッセージ ブロック (SMB) リダイレクターは、認証中にパスワード暗号化をサポートしていない Microsoft 以外の SMB サーバーにプレーンテキスト パスワードを送信できます。
    • 未構成 - プレーンテキスト パスワードの送信をブロックします。 パスワードは暗号化されます。
  • 通信にデジタル署名する (常に)
    既定値: 未構成
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • 有効にする - Microsoft ネットワーク クライアントは、そのサーバーが SMB パケット署名に同意しない限り、Microsoft ネットワーク サーバーと通信しません。
    • 未構成 - SMB パケット署名は、クライアントとサーバーの間でネゴシエートされます。

Microsoft Network Server

  • 通信にデジタル署名する (クライアントが同意した場合)
    既定値: 未構成
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • [有効] - Microsoft ネットワーク サーバーは、クライアントから要求された SMB パケット署名をネゴシエートします。 つまり、クライアントでパケット署名が有効になっている場合、パケット署名はネゴシエートされます。
    • 未構成 - SMB クライアントは SMB パケット署名をネゴシエートしません。
  • 通信にデジタル署名する (常に)
    既定値: 未構成
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • 有効にする - Microsoft ネットワーク サーバーは、そのクライアントが SMB パケット署名に同意しない限り、Microsoft ネットワーク クライアントと通信しません。
    • 未構成 - SMB パケット署名は、クライアントとサーバーの間でネゴシエートされます。

Xbox サービス

次の手順

プロファイルは作成されますが、まだ何も行っていません。 次 に、プロファイルを割り当ててその状態を監視します

macOS デバイスでエンドポイント保護の設定を構成します。