Windows デバイスのMicrosoft IntuneでのMicrosoft Defenderウイルス対策ポリシーの設定

  • [アーティクル]

Windows 10 以降の Microsoft Defender ウイルス対策プロファイルに対して構成できるエンドポイント セキュリティ ウイルス対策ポリシー設定の詳細をMicrosoft Intuneで確認します。

注:

この記事では、エンドポイント セキュリティウイルス対策ポリシーのWindows 10以降のプラットフォーム用に、2022 年 4 月 5 日より前に作成された Microsoft Defender ウイルス対策プロファイルと Microsoft Defender ウイルス対策除外プロファイルで見つけることができる設定について詳しく説明します。 2022 年 4 月 5 日、Windows 10以降のプラットフォームは、Windows 10、Windows 11、および Windows Server プラットフォームに置き換えられました。 その日付より後に作成されたプロファイルでは、設定カタログにある新しい設定形式が使用されます。 この変更により、古いプロファイルの新しいバージョンを作成できなくなり、開発されなくなります。 古いプロファイルの新しいインスタンスを作成することはできなくなりましたが、以前に作成したそのプロファイルのインスタンスを引き続き編集して使用できます。

新しい設定形式を使用するプロファイルの場合、Intuneは名前で各設定の一覧を保持しなくなりました。 代わりに、各設定の名前、その構成オプション、およびMicrosoft Intune管理センターに表示される説明テキストは、設定の権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、その 詳細情報 リンクを使用してそのコンテンツを開くことができます。

Windows プロファイルの次の設定の詳細は、非推奨のプロファイルに適用されます。

クラウド保護

  • クラウドによる保護を有効にする
    CSP: AllowCloudProtection

    既定では、Windows 10/11 デスクトップ デバイスの Defender は、検出された問題に関する情報を Microsoft に送信します。 Microsoft では、その情報を分析して、お客様や他のお客様に影響を与える問題の詳細を確認し、改善されたソリューションを提供します。

    • 未構成 (既定値) - 設定はシステムの既定値に復元されます。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - クラウド提供の保護が有効になっています。 デバイス ユーザーはこの設定を変更できません。

  • クラウド配信の保護レベル
    CSP: CloudBlockLevel

    疑わしいファイルをブロックしてスキャンする際のDefender ウイルス対策の攻撃性を構成します。

    • 未構成 (既定値) - 既定の Defender ブロック レベル。
    • 高 - クライアントのパフォーマンスを最適化しながら、不明な情報を積極的にブロックします。これには、誤検知の可能性が高くなります。
    • 高プラス - 不明な情報を積極的にブロックし、クライアントのパフォーマンスに影響を与える可能性のある追加の保護対策を適用します。
    • ゼロ トレランス - 不明な実行可能ファイルをすべてブロックします。

  • Defender クラウドの延長タイムアウト (秒単位)
    CSP: CloudExtendedTimeout

    Defender ウイルス対策は、疑わしいファイルを 10 秒間自動的にブロックし、クラウドでスキャンして安全であることを確認します。 このタイムアウトに最大 50 秒を追加できます。

Microsoft Defender ウイルス対策の除外

警告

除外を定義すると、Microsoft Defender ウイルス対策によって提供される保護が低下します。 除外の実装に関連するリスクを常に評価してください。 悪意のないことがわかっているファイルのみを除外します。

詳細については、Microsoft Defenderドキュメントの「除外の概要」を参照してください。

Microsoft Defender ウイルス対策プロファイルでは、次の設定を使用できます。

  • Defender ローカル管理者のマージ
    CSP: 構成/DisableLocalAdminMerge

    この設定は、ローカル管理者によって構成された除外リスト設定が、Intune ポリシーのマネージド設定とマージされるかどうかを制御します。 この設定は、脅威や除外などのリストに適用されます。

    • 未構成(既定値) - ローカル管理者によって構成された基本設定で定義された一意の項目が、結果として得られる有効なポリシーにマージされます。 競合が発生した場合は、Intuneポリシーの管理設定がローカル基本設定をオーバーライドします。
    • いいえ - 動作は [ 未構成] と同じです。
    • はい - 結果の有効なポリシーでは、管理によって定義された項目のみが使用されます。 マネージド設定は、ローカル管理者によって構成された基本設定よりも優先されます。

次の設定は、次のプロファイルで使用できます。

  • Microsoft Defender ウイルス対策
  • Microsoft Defender ウイルス対策の除外

このグループの各設定について、設定を展開し、[ 追加] を選択し、除外の値を指定できます。

  • 除外する Defender プロセス
    CSP: ExcludedProcesses

    スキャン中に無視するプロセスによって開かれたファイルの一覧を指定します。 プロセス自体はスキャンから除外されません。

  • スキャンとリアルタイム保護から除外するファイル拡張子
    CSP: ExcludedExtensions

    スキャン中に無視するファイルの種類の拡張子の一覧を指定します。

  • 除外する Defender ファイルとフォルダー
    CSP: ExcludedPaths

    スキャン中に無視するファイルとディレクトリ パスの一覧を指定します。

リアルタイム保護

これらの設定は、次のプロファイルで使用できます。

  • Microsoft Defender ウイルス対策

設定:

  • リアルタイム保護を有効にする
    CSP: AllowRealtimeMonitoring

    リアルタイム監視機能を使用するには、Windows 10/11 デスクトップ デバイスの Defender が必要です。

    • 未構成 (既定値) - 設定がシステムの既定値に復元されます
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - リアルタイム監視の使用を強制します。 デバイス ユーザーはこの設定を変更できません。

  • アクセス保護を有効にする
    CSP: AllowOnAccessProtection オンデマンドではなく、継続的にアクティブなウイルス保護を構成します。

    • 未構成 (既定値) - 設定がシステムの既定値に復元されます。
    • いいえ - デバイス上のアクセス保護をブロックします。 デバイス ユーザーはこの設定を変更できません。
    • [はい ] - [アクセス保護] はデバイスでアクティブです。

  • 受信ファイルと送信ファイルの監視
    CSP: Defender/RealTimeScanDirection

    この設定を構成して、監視する NTFS ファイルとプログラムのアクティビティを決定します。

    • すべてのファイルを監視する (既定値)
    • 受信ファイルのみを監視する
    • 送信ファイルのみを監視する

  • 動作の監視を有効にする
    CSP: AllowBehaviorMonitoring

    既定では、Windows 10/11 デスクトップ デバイスの Defender では、動作監視機能が使用されます。

    • 未構成 (既定値) - 設定はシステムの既定値に復元されます。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - リアルタイム動作監視の使用を強制します。 デバイス ユーザーはこの設定を変更できません。

  • ネットワーク保護を有効にする
    CSP: EnableNetworkProtection

    任意のアプリを使用して、フィッシング詐欺、悪用ホスティング サイト、およびインターネット上の悪意のあるコンテンツにアクセスできないようにデバイス ユーザーを保護します。 保護には、サードパーティのブラウザーが危険なサイトに接続できないようにすることが含まれます。

    • 未構成 (既定値) - 設定はシステムの既定値に復元されます。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - ネットワーク保護が有効になっています。 デバイス ユーザーはこの設定を変更できません。

  • ダウンロードしたすべてのファイルと添付ファイルをスキャンする
    CSP: AllowIOAVProtection

    ダウンロードしたすべてのファイルと添付ファイルをスキャンするように Defender を構成します。

    • 未構成 (既定値) - 設定はシステムの既定値に復元されます。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - Defender は、ダウンロードしたすべてのファイルと添付ファイルをスキャンします。 デバイス ユーザーはこの設定を変更できません。

  • Microsoft ブラウザーで使用されるスキャン スクリプト
    CSP: AllowScriptScanning

    スクリプトをスキャンするように Defender を構成します。

    • 未構成 (既定値) - 設定はシステムの既定値に復元されます。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - Defender はスクリプトをスキャンします。 デバイス ユーザーはこの設定を変更できません。

  • ネットワーク ファイルをスキャンする
    CSP: AllowScanningNetworkFiles

    ネットワーク ファイルをスキャンするように Defender を構成します。

    • 未構成 (既定値) - 設定はシステムの既定値に復元されます。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • [はい ] - ネットワーク ファイルのスキャンを有効にします。 デバイス ユーザーはこの設定を変更できません。

  • メールをスキャンする
    CSP: AllowEmailScanning

    受信メールをスキャンするように Defender を構成します。

    • 未構成 (既定値) - 設定はシステムの既定値に復元されます。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • [はい ] - メール スキャンを有効にします。 デバイス ユーザーはこの設定を変更できません。

修復

これらの設定は、次のプロファイルで使用できます。

  • Microsoft Defender ウイルス対策

設定:

  • 検疫されたマルウェアを保持する日数 (0 から 90)
    CSP: DaysToRetainCleanedMalware

    検疫済みアイテムが自動的に削除されるまでに、システムが保存する 0 から 90 までの日数を指定します。 値が 0 の場合、アイテムは検疫に保持され、自動的には削除されません。

  • サンプルの同意を送信する

    • 未構成 (既定値)
    • 安全なサンプルを自動的に送信する
    • 常にプロンプトを表示する
    • 送信しない
    • すべてのサンプルを自動的に送信する

  • 望ましくない可能性のあるアプリに対して実行するアクション
    CSP: PUAProtection

    望ましくない可能性のあるアプリケーション (PUA) の検出レベルを指定します。 Defender は、望ましくない可能性のあるソフトウェアがダウンロードされたとき、またはデバイスへのインストールを試みるときに、ユーザーに警告します。

    • 未構成 (既定値) - 設定はシステムの既定値 (PUA Protection OFF) に復元されます。
    • Disable
    • [有効] - 検出された項目がブロックされ、他の脅威と共に履歴に表示されます。
    • 監査モード - Defender は望ましくない可能性のあるアプリケーションを検出しますが、アクションは実行しません。 Defender がアクションを実行したアプリケーションに関する情報を確認するには、イベント ビューアーで Defender によって作成されたイベントを検索します。

  • 検出された脅威に対するアクション
    CSP: ThreatSeverityDefaultAction

    検出されたマルウェアに対して Defender が実行するアクションを、マルウェアの脅威レベルに基づいて指定します。

    Defender は、検出したマルウェアを次のいずれかの重大度レベルとして分類します。

    • 重大度が低い
    • 重大度を中程度に設定する
    • 重大度が高い
    • 重大な重大度

    レベルごとに、実行するアクションを指定します。 各重大度レベルの既定値は [未構成] です

    • 未構成
    • クリーン - サービスはファイルの回復を試み、消毒を試みます。
    • 検疫 - ファイルを検疫に移動します。
    • 削除 - デバイスからファイルを削除します。
    • 許可 - ファイルを許可し、他のアクションを実行しません。
    • ユーザー定義 - デバイス ユーザーは、実行するアクションを決定します。
    • [ブロック ] - ファイルの実行をブロックします。

スキャン

これらの設定は、次のプロファイルで使用できます。

  • Microsoft Defender ウイルス対策

設定:

  • アーカイブ ファイルのスキャン
    CSP: AllowArchiveScanning

    ZIP や CAB ファイルなどのアーカイブ ファイルをスキャンするように Defender を構成します。

    • 未構成 (既定値) - この設定は、アーカイブされたファイルをスキャンするクライアントの既定値に戻りますが、ユーザーは設定を無効にすることができます。 詳細情報
    • いいえ - ファイル アーカイブはスキャンされません。 デバイス ユーザーはこの設定を変更できません。
    • はい - アーカイブ ファイルのスキャンを有効にします。 デバイス ユーザーはこの設定を変更できません。

  • スケジュールされたスキャンに低い CPU 優先度を使用する
    CSP: EnableLowCPUPriority

    スケジュールされたスキャンの CPU 優先度を構成します。

    • 未構成 (既定値) - この設定は、CPU 優先順位に変更が加えられないシステムの既定値に戻ります。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - スケジュールされたスキャン中に低い CPU 優先順位が使用されます。 デバイス ユーザーはこの設定を変更できません。

  • キャッチアップ フル スキャンを無効にする
    CSP: DisableCatchupFullScan

    スケジュールされたフル スキャンのキャッチアップ スキャンを構成します。 キャッチアップ スキャンは、定期的にスケジュールされたスキャンが見つからなかったために実行されるスキャンです。 通常、スケジュールされたスキャンは、スケジュールされた時刻にコンピューターがオフになっていたため、見逃されます。

    • 未構成 (既定値) - クライアントの既定値に設定が返されます。これは、完全スキャンのキャッチアップ スキャンを無効にすることです。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - スケジュールされたフル スキャンのキャッチアップ スキャンが適用され、ユーザーはそれらを無効にできません。 2 回連続したスケジュールされたスキャンでコンピューターがオフラインの場合、次回コンピューターにサインインするとキャッチアップ スキャンが開始されます。 スケジュールされたスキャンが構成されていない場合、キャッチアップ スキャンは実行されません。 デバイス ユーザーはこの設定を変更できません。

  • キャッチアップ クイック スキャンを無効にする
    CSP: DisableCatchupQuickScan

    スケジュールされたクイック スキャンのキャッチアップ スキャンを構成します。 キャッチアップ スキャンは、定期的にスケジュールされたスキャンが見つからなかったために実行されるスキャンです。 通常、スケジュールされたスキャンは、スケジュールされた時刻にコンピューターがオフになっていたため、見逃されます。

    • 未構成 (既定値) - クライアントの既定値に設定が返されます。これは、完全スキャンのキャッチアップ スキャンを無効にすることです。
    • いいえ - 設定が無効になっています。 デバイス ユーザーはこの設定を変更できません。
    • はい - スケジュールされたクイック スキャンのキャッチアップ スキャンが適用され、ユーザーはそれらを無効にできません。 2 回連続したスケジュールされたスキャンでコンピューターがオフラインの場合、次回コンピューターにサインインするとキャッチアップ スキャンが開始されます。 スケジュールされたスキャンが構成されていない場合、キャッチアップ スキャンは実行されません。 デバイス ユーザーはこの設定を変更できません。

  • スキャンあたりの CPU 使用率の制限
    CSP: AvgCPULoadFactor

    Defender スキャンの平均 CPU 負荷率である 0 から 100 までの割合を指定します。

  • フル スキャン中にマップされたネットワーク ドライブをスキャンする
    CSP: AllowFullScanOnMappedNetworkDrives

    マップされたネットワーク ドライブをスキャンするように Defender を構成します。

    • 未構成 (既定値) - この設定はシステムの既定値に復元され、マップされたネットワーク ドライブでのスキャンが無効になります。
    • いいえ - 設定が無効になっています。 デバイス ユーザーは設定を変更できません。
    • はい - マップされたネットワーク ドライブのスキャンを有効にします。 デバイス ユーザーはこの設定を変更できません。

  • で毎日のクイック スキャンを実行する
    CSP: ScheduleQuickScanTime

    Defender クイック スキャンを実行する時刻を選択します。 この設定は、デバイスがクイック スキャンを実行し、次の 3 つの設定と対話しない場合にのみ適用されます。

    • スキャンの種類
    • スケジュールされたスキャンを実行する曜日
    • スケジュールされたスキャンを実行する時刻

    既定では、[ 毎日のクイック スキャンを実行する] は [ 未構成] に設定されています。

  • スキャンの種類
    CSP: ScanParameter

    Defender が実行するスキャンの種類を選択します。 この設定は、 スケジュールされたスキャンを実行するための設定 [曜日 ] と、スケジュールされた スキャンを実行する時刻と対話します

    • 未構成 (既定値)
    • クイック スキャン
    • フル スキャン

  • スケジュールされたスキャンを実行する曜日

    • 未構成 (既定値)

  • スケジュールされたスキャンを実行する時刻

    • 未構成 (既定値)

  • スキャンを実行する前に署名の更新を確認する

    • 未構成 (既定値)
    • いいえ
    • はい

更新プログラム

これらの設定は、次のプロファイルで使用できます。

  • Microsoft Defender ウイルス対策

設定:

  • セキュリティ インテリジェンス更新プログラムをチェックする頻度 (0 から 24 時間) を入力します
    CSP: SignatureUpdateInterval

    署名のチェックに使用する 0 から 24 (時間単位) の間隔を指定します。 値が 0 の場合、新しい署名のチェックが発生しません。 値 2 は、2 時間ごとにチェックされます。

  • 定義の更新プログラムをダウンロードするためのファイル共有を定義する
    CSP: SignatureUpdateFallbackOrder

    UNC ファイル共有などの場所をダウンロード ソースの場所として管理して、定義の更新を取得します。 定義の更新が指定したソースから正常にダウンロードされた後、リスト内の残りのソースには接続されません。

    個々の場所を 追加 するか、場所の一覧を .csv ファイルとして インポート できます。

  • 定義更新プログラムをダウンロードするためのソースの順序を定義する
    CSP: SignatureUpdateFileSharesSources

    定義の更新を取得するために、指定したソースの場所に接続する順序を指定します。 指定した 1 つのソースから定義の更新プログラムが正常にダウンロードされた後、リスト内の残りのソースは接続されません。

ユーザー エクスペリエンス

これらの設定は、次のプロファイルで使用できます。

  • Microsoft Defender ウイルス対策

設定:

  • Microsoft Defender アプリへのユーザー アクセスを許可する
    CSP: AllowUserUIAccess

  • 未構成 (既定値) - 設定は、UI と通知が許可されているクライアントの既定値に戻ります。

  • いいえ - Defender ユーザー インターフェイス (UI) にアクセスできません。通知ウェアは抑制されています。