Intune でのエンドポイント セキュリティのウイルス対策ポリシー

  • [アーティクル]

Intune エンドポイント セキュリティウイルス対策ポリシーは、セキュリティ管理者が管理対象デバイスの個別のウイルス対策設定グループの管理に集中するのに役立ちます。

ウイルス対策ポリシーには、いくつかのプロファイルが含まれています。 各プロファイルには、macOS および Windows デバイスの Microsoft Defender for Endpoint ウイルス対策、または Windows デバイス上の Windows セキュリティ アプリのユーザー エクスペリエンスに関連する設定のみが含まれています。

ウイルス対策ポリシーは、Microsoft Intune 管理センターの [エンドポイント セキュリティ] ノードの [管理] の下にあります。

ウイルス対策ポリシーには、検出されたエンドポイント保護またはデバイス構成ポリシーのデバイス制限テンプレートと同じ設定が含まれます。 ただし、これらのポリシーの種類には、ウイルス対策とは無関係な設定の追加カテゴリが含まれます。 追加の設定により、ウイルス対策ワークロードを構成するタスクが複雑になります。 さらに、macOS のウイルス対策ポリシーにある設定は、他のポリシーの種類では使用できません。 macOS ウイルス対策プロファイルは、 .plist ファイルを使用して設定を構成する必要性を置き換えます。

適用対象:

ウイルス対策ポリシーの前提条件

Microsoft Intune (MDM) 登録済みデバイスのサポート:

  • macOS

    • サポートされている macOS のバージョン
    • Intune でデバイス上のウイルス対策設定を管理するには、そのデバイスに Microsoft Defender for Endpoint をインストールする必要があります。 見る。 Microsoft Defender for Endpoint for macOS (Microsoft Defender for Endpoint のドキュメント)

  • Windows 10、Windows 11 および Windows Server

    • 追加の前提条件は必要ありません。

Configuration Manager クライアントのサポート:

このシナリオはプレビュー段階であり、Configuration Manager の現在のブランチ バージョン 2006 以降を使用する必要があります

  • Configuration Manager デバイスのテナントアタッチを設定する - Configuration Manager によって管理されるデバイスへのウイルス対策ポリシーの展開をサポートするには、 テナントアタッチを構成します。 テナント接続のセットアップには、Intune からのエンドポイント セキュリティ ポリシーをサポートするための Configuration Manager デバイス コレクションの構成が含まれます。

    テナントアタッチを設定するには、「 エンドポイント保護ポリシーをサポートするようにテナントアタッチを構成する」を参照してください。

Microsoft Defender for Endpoint クライアントのサポート:

  • Defender for Endpoint セキュリティ設定の管理 - Defender によって管理されているが Intune に登録されていないデバイスにウイルス対策ポリシーを展開するためのサポートを構成するには、「Microsoft Intune を使用して デバイスで Microsoft Defender for Endpoint を管理する」を参照してください。 この記事には、この機能でサポートされるプラットフォームに関する情報と、それらのプラットフォームでサポートされるポリシーとプロファイルも含まれています。

ロールベースのアクセス制御 (RBAC)

Intune ウイルス対策ポリシーを管理するための適切なレベルのアクセス許可と権限の割り当てに関するガイダンスについては、「 Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。

改ざん防止の前提条件

改ざん防止は、次のいずれかのオペレーティング システムを実行しているデバイスで使用できます。

  • macOS (サポートされているバージョン)
  • Windows 10 および 11 (Enterprise マルチセッションを含む)
  • Windows Server バージョン 1803 以降、Windows Server 2019、Windows Server 2022
  • Windows Server 2012 R2 と Windows Server 2016 (最新の統合ソリューションを使用)

注:

デバイスは、Microsoft Defender for Endpoint (P1 または P2) にオンボードする必要があります。 以前に Microsoft Defender for Endpoint にオンボードされていない場合、デバイスで改ざん防止が有効になるのに遅延が発生する可能性があります。 改ざん防止は、Microsoft Defender for Endpoint へのオンボード後の最初のデバイス チェックインで有効になります。

Intune を使用して、Windows セキュリティ エクスペリエンス プロファイル (ウイルス対策ポリシー) の一部として Windows デバイスの改ざん防止を管理できます。 これには、Intune で管理するデバイスと、テナント接続シナリオで Configuration Manager で管理するデバイスの両方が含まれます。 改ざん防止は、Azure Virtual Desktop でも使用できるようになりました。

Intune マネージド デバイス

Intune によって管理されるデバイスの改ざん防止をサポートするための前提条件:

Microsoft Intune によって管理されるデバイスの改ざん防止をサポートするウイルス対策ポリシーのプロファイル:

  • プラットフォーム: Windows 10、Windows 11、および Windows Server

    • プロファイル: Windows セキュリティ エクスペリエンス

    注:

    2022 年 4 月 5 日以降、 Windows 10 以降 のプラットフォームは Windows 10、Windows 11、および Windows Server プラットフォームに置き換えられました。

    Windows 10、Windows 11、および Windows Server プラットフォームでは、Microsoft Intune または Microsoft Defender for Endpoint を介して Intune と通信するデバイスがサポートされています。 これらのプロファイルでは、Microsoft Intune でネイティブにサポートされていない Windows Server プラットフォームのサポートも追加されます。

    この新しいプラットフォームのプロファイルでは、設定カタログにある設定形式が使用されます。 この新しいプラットフォームの新しいプロファイル テンプレートにはそれぞれ、置き換えられる古いプロファイル テンプレートと同じ設定が含まれています。 この変更により、古いプロファイルの新しいバージョンを作成できなくなります。 古いプロファイルの既存のインスタンスは、引き続き使用および編集できます。

デバイス構成ポリシーのエンドポイント保護プロファイルを使用して、Intune によって管理されるデバイスの改ざん防止を構成することもできます。

テナント接続シナリオで管理される Configuration Manager クライアント

これらのプロファイルを使用した改ざん防止の管理をサポートするための前提条件:

  • お使いの環境は、Windows ドキュメントで詳しく説明されているように 、Intune で改ざん防止を管理するための前提条件 を満たしている必要があります。
  • Configuration Manager Current Branch 2006 以降を使用する必要があります。
  • エンドポイント保護ポリシーをサポートするようにテナントアタッチを構成する必要があります。 これには、Intune と同期するための Configuration Manager デバイス コレクションの構成が含まれます。
  • デバイスは Microsoft Defender for Endpoint (P1 または P2) にオンボードされます

Configuration Manager によって管理されるデバイスの改ざん防止をサポートするウイルス対策ポリシーのプロファイル:

  • プラットフォーム: Windows 10、Windows 11、Windows Server (ConfigMgr)
    • プロファイル: Windows セキュリティ エクスペリエンス (プレビュー)

ウイルス対策プロファイル

Microsoft Intune によって管理されるデバイス

Intune で管理するデバイスでは、次のプロファイルがサポートされています。

macOS:

  • プラットフォーム: macOS

Windows:

  • プラットフォーム: Windows 10、Windows 11、および Windows Server
    このプラットフォームのプロファイルは、Intune に登録されているデバイスと、 Microsoft Defender for Endpoint のセキュリティ管理で管理されているデバイスで使用できます。

    注:

    2022 年 4 月 5 日以降、 Windows 10 以降 のプラットフォームは Windows 10、Windows 11、および Windows Server プラットフォームに置き換えられました。

    Windows 10、Windows 11、および Windows Server プラットフォームでは、Microsoft Intune または Microsoft Defender for Endpoint を介して Intune と通信するデバイスがサポートされています。 これらのプロファイルでは、Microsoft Intune でネイティブにサポートされていない Windows Server プラットフォームのサポートも追加されます。

    この新しいプラットフォームのプロファイルでは、設定カタログにある設定形式が使用されます。 この新しいプラットフォームの新しいプロファイル テンプレートにはそれぞれ、置き換えられる古いプロファイル テンプレートと同じ設定が含まれています。 この変更により、古いプロファイルの新しいバージョンを作成できなくなります。 古いプロファイルの既存のインスタンスは、引き続き使用および編集できます。

    • プロファイル: Microsoft Defender ウイルス対策 - Windows デバイスのウイルス対策ポリシー設定を管理します。

      Defender ウイルス対策は、Microsoft Defender for Endpoint の次世代保護コンポーネントです。 次世代の保護は、機械学習やクラウド インフラストラクチャなどのテクノロジを組み合わせて、エンタープライズ組織のデバイスを保護します。

      Microsoft Defender ウイルス対策プロファイルは、デバイス構成ポリシーのデバイス制限プロファイルにあるウイルス対策設定の別のインスタンスです。

      デバイス制限プロファイルのウイルス対策設定とは異なり、これらの設定は共同管理されているデバイスで使用できます。 これらの設定を使用するには、Endpoint Protection の 共同管理ワークロード スライダー を Intune に設定する必要があります。

    • プロファイル: Microsoft Defender ウイルス対策の除外 - ウイルス対策の除外のみのポリシー設定を管理します。

      このポリシーを使用すると、ウイルス対策の除外を定義する次の Microsoft Defender ウイルス対策構成サービス プロバイダー (CSP) の設定を管理できます。

      • Defender/ExcludedPaths
      • Defender/ExcludedExtensions
      • Defender/ExcludedProcesses

      ウイルス対策の除外に関するこれらの CSP は、 Microsoft Defender ウイルス対策 ポリシーによっても管理されます。これには、除外の同じ設定が含まれています。 ポリシーの種類 (ウイルス対策ウイルス対策の除外) の両方の設定は 、ポリシーのマージの対象となり、該当するデバイスとユーザーに対してスーパー セットの除外を作成します。

    • プロファイル: Windows セキュリティ エクスペリエンス - エンド ユーザーが Microsoft Defender セキュリティ センターで表示できる Windows セキュリティ アプリの設定と、受信する通知を管理します。

      Windows セキュリティ アプリは、コンピューターの正常性とセキュリティに関する通知を提供するために、いくつかの Windows セキュリティ機能によって使用されます。 セキュリティ アプリの通知には、ファイアウォール、ウイルス対策製品、Windows Defender SmartScreen などが含まれます。

    • プロファイル: Defender Update コントロール - Defender CSP から直接取得される次の設定を含む、Microsoft Defender の更新設定を管理します。

Configuration Manager によって管理されるデバイス

ウイルス対策

テナントアタッチを使用する場合は、 Configuration Manager デバイスのウイルス対策設定を管理します。

ポリシー パス:

  • エンドポイント セキュリティ > ウイルス対策 > Windows 10、Windows 11、および Windows Server (ConfigMgr)

プロファイル:

  • Microsoft Defender ウイルス対策 (プレビュー)
  • Windows セキュリティ エクスペリエンス (プレビュー)

Configuration Manager の必須バージョン:

  • Configuration Manager の現在のブランチ バージョン 2006 以降

サポートされている Configuration Manager デバイス プラットフォーム:

  • Configuration Manager バージョン 2010 以降の Windows 8.1 (x86、x64)
  • Windows 10 以降 (x86、x64、ARM64)
  • Windows 11 以降 (x86、x64、ARM64)
  • Configuration Manager バージョン 2010 以降の Windows Server 2012 R2 (x64)
  • Windows Server 2016 以降 (x64)

重要

2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスのテクニカル アシスタンスと自動更新は利用できません。

現在 Windows 8.1 を使用している場合は、Windows 10/11 デバイスに移行することをお勧めします。 Microsoft Intune には、Windows 10/11 クライアント デバイスを管理する組み込みのセキュリティ機能とデバイス機能があります。

設定のポリシーのマージ

一部のウイルス対策ポリシー設定では 、ポリシーのマージがサポートされています。 ポリシーのマージは、複数のポリシーが同じデバイスに適用され、同じ設定を構成するときに競合を回避するのに役立ちます。 Intune は、適用されるすべてのポリシーから取得したユーザーまたはデバイスごとに、ポリシーのマージでサポートされる設定を評価します。 これらの設定は、ポリシーの単一のスーパーセットにマージされます。

たとえば、異なるウイルス対策ファイル パスの除外を定義する 3 つの個別のウイルス対策ポリシーを作成します。 最終的には、3 つのポリシーすべてが同じユーザーに割り当てられます。 Microsoft Defender ファイル パス除外 CSP ではポリシーのマージがサポートされているため、Intune はユーザーに適用されるすべてのポリシーからのファイル除外を評価して結合します。 除外はスーパーセットに追加され、除外の 1 つのリストがユーザーのデバイスに配信されます。

ポリシーのマージが設定でサポートされていない場合、競合が発生する可能性があります。 競合すると、ユーザーまたはデバイスが設定のポリシーを受け取らない可能性があります。 たとえば、ポリシーのマージでは、一致するデバイス ID のインストールを防止するための CSP はサポートされていません (PreventInstallationOfMatchingDeviceIDs)。 この CSP の構成はマージされないため、個別に処理されます。

個別に処理すると、ポリシーの競合は次のように解決されます。

  1. 最も安全なポリシーが適用されます。
  2. 2 つのポリシーが等しくセキュリティで保護されている場合、最後に変更されたポリシーが適用されます。
  3. 最後に変更されたポリシーが競合を解決できない場合、ポリシーはデバイスに配信されません。

ポリシーのマージをサポートする設定と CSP

次の設定では、ポリシーのマージがサポートされています。

ウイルス対策ポリシー レポート

ウイルス対策ポリシー レポートには、エンドポイント セキュリティのウイルス対策ポリシーとデバイスの状態に関する状態の詳細が表示されます。 これらのレポートは、Microsoft Intune 管理センターの [エンドポイント セキュリティ] ノードで使用できます。

レポートを表示するには、 Microsoft Intune 管理センターで [エンドポイント セキュリティ] に移動し、[ ウイルス対策] を選択します。 [ウイルス対策] を選択すると、[概要] ページが開きます。 追加のレポート ビューと状態ビューは、追加のページとして使用できます。

次のセクションで詳しく説明するレポートに加えて、Microsoft Defender ウイルス対策の追加レポートは、Intune レポートの記事に記載されているように、Microsoft Intune 管理センターの [レポート] ノードにあります。

概要

[ 概要 ] ページでは、 新しいポリシーを作成 し、以前に作成したポリシーの一覧を表示できます。 この一覧には、ポリシーに含まれるプロファイル (ポリシーの種類) と、ポリシーが割り当てられているかどうかに関する概要の詳細が含まれます。

ウイルス対策ポリシーの概要ページ

一覧からポリシーを選択すると、そのポリシー インスタンスの [概要 ] ページが開き、詳細が表示されます。 このビューからタイルを選択すると、使用可能な場合は、そのプロファイルの追加の詳細が表示されます。

ウイルス対策ポリシーの [概要] ページ

異常なエンドポイント

[ 異常なエンドポイント ] ページでは、MDM で管理されている Windows デバイスのウイルス対策状態に関する情報を表示できます。 この情報は、デバイス上で実行される Windows Defender ウイルス対策から脅威 エージェントの状態として返されます。 このページで、[ 列] を選択して、レポートで使用できる詳細の完全な一覧を表示します。

このビューには、問題が検出されたデバイスのみが表示されます。 このビューには、クリーンと識別されたデバイスの詳細は表示されません。

このレポートの情報は、Windows クライアント管理ドキュメントに文書化されている、次の CSP から入手できる詳細に基づいています。

異常なエンドポイント レポートのスクリーンショット。

次の手順

エンドポイント セキュリティ ポリシーを構成する

Windows 10 以降 のプラットフォームの非推奨のプロファイルで、Windows 設定の詳細を表示します。