制御されたフォルダー アクセスを有効にする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

フォルダー アクセスの制御 は、ランサムウェアなどの悪意のあるアプリや脅威から貴重なデータを保護するのに役立ちます。 フォルダーアクセスの制御は、Windows 10、Windows 11、および Windows Server 2019 に含まれています。 制御されたフォルダー アクセスは 、Windows Server 2012R2 および 2016 の最新の統合ソリューションの一部としても含まれています。

制御されたフォルダー アクセスを有効にするには、次のいずれかの方法を使用します。

• Windows セキュリティ アプリ *
• Microsoft Intune
• モバイル デバイス管理 (MDM)
• Microsoft Configuration Manager
• グループ ポリシー
• PowerShell

ローカル リストのマージを無効にする方法の詳細については、「 ユーザーが Microsoft Defender ウイルス対策ポリシー設定をローカルで変更できないようにするか許可する」を参照してください。

Windows セキュリティ アプリを開きます。

1. タスク バーで盾のアイコンを選択して、Windows セキュリティ アプリを開きます。 スタート メニューで Windows セキュリティを検索することもできます。

2. [ ウイルス & 脅威保護 ] タイル (または左側のメニュー バーのシールド アイコン) を選択し、[ ランサムウェア保護] を選択します。

3. [ フォルダー アクセスの制御] のスイッチを [オン] に設定します。

Microsoft Intune

1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ] を開きます。

2. [攻撃面の縮小>ポリシー] に移動します。

3. [プラットフォーム] を選択し、[Windows 10]、[Windows 11]、[Windows Server] の順に選択し、プロファイルの [攻撃面の縮小規則] >[作成] を選択します。

4. ポリシーに名前を付け、説明を追加します。 [次へ] を選択します。

5. 下にスクロールし、[ フォルダー アクセスの制御を有効にする ] ドロップダウンで、 監査モードなどのオプションを選択します。

   組織で動作する方法を確認するには、最初に監査モードで制御されたフォルダー アクセスを有効にすることをお勧めします。 後で 、有効などの別のモードに設定できます。

6. 必要に応じて、保護するフォルダーを追加するには、[ フォルダー アクセスの制御] [保護されたフォルダー ] の順に選択し、フォルダーを追加します。 これらのフォルダー内のファイルは、信頼されていないアプリケーションによって変更または削除することはできません。 既定のシステム フォルダーは自動的に保護されます。 Windows デバイス上の Windows セキュリティ アプリで既定のシステム フォルダーの一覧を表示できます。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessProtectedFolders」を参照してください。

7. 必要に応じて、信頼する必要があるアプリケーションを追加するには、[ フォルダー アクセス許可アプリケーションの制御 ] を選択し、保護されたフォルダーにアクセスできるアプリを追加します。 Microsoft Defender ウイルス対策は、信頼する必要があるアプリケーションを自動的に決定します。 この設定は、追加のアプリケーションを指定する場合にのみ使用します。 この設定の詳細については、「 ポリシー CSP - Defender: ControlledFolderAccessAllowedApplications」を参照してください。

8. プロファイルの [割り当て] を選択し、[ すべてのユーザー] & [すべてのデバイス] に割り当て、[保存] を選択 します。

9. [ 次へ ] を選択して開いている各ブレードを保存し、[作成] を 選択します。

モバイル デバイス管理 (MDM)

./Vendor/MSFT/Policy/Config/ControlledFolderAccessProtectedFolders 構成サービス プロバイダー (CSP) を使用して、アプリが保護されたフォルダーに変更を加えることを許可します。

Microsoft 構成マネージャー

1. Microsoft Configuration Manager で、[資産とコンプライアンス]>[エンドポイントの保護]>[Windows Defender Exploit Guard] に移動します。

2. [ホーム] > [Exploit Guard ポリシーの作成] を選択します。

3. 名前と説明を入力し、[ フォルダー アクセスの制御] を選択し、[ 次へ] を選択します。

4. 変更をブロックするか監査するか、他のアプリを許可するか、他のフォルダーを追加するかを選択し、[ 次へ] を選択します。

   注:

   ワイルドカードはアプリケーションではサポートされていますが、フォルダーではサポートされていません。 許可されたアプリは、再起動されるまでイベントをトリガーし続けます。

5. 設定を確認し、[ 次へ ] を選択してポリシーを作成します。

6. ポリシーが作成されたら、[ 閉じる] を選択します。

グループ ポリシー

1. グループ ポリシー管理デバイスで、 グループ ポリシー管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] を選択 します。

2. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

3. Microsoft Defender ウイルス対策> Microsoft Defender Exploit Guard >制御されたフォルダー アクセス> Windows コンポーネントにツリーを展開します。

4. [ フォルダー アクセスの制御の構成 ] 設定をダブルクリックし、オプションを [有効] に設定します。 [オプション] セクションで、次のいずれかのオプションを指定する必要があります。

   • [有効] - 悪意のあるアプリと疑わしいアプリは、保護されたフォルダー内のファイルに変更を加えることはできません。 通知が Windows イベント ログに表示されます。
   • 無効 (既定値) - フォルダーアクセスの制御機能は機能しません。 すべてのアプリは、保護されたフォルダー内のファイルに変更を加えることができます。
   • 監査モード - 悪意のあるアプリまたは疑わしいアプリが保護されたフォルダー内のファイルを変更しようとすると、変更が許可されます。 ただし、組織への影響を評価できる Windows イベント ログに記録されます。
   • ディスクの変更のみをブロック する - 信頼されていないアプリがディスク セクターに書き込もうとすると、Windows イベント ログに記録されます。 これらのログは、 アプリケーションおよびサービス ログ> Microsoft > Windows > Windows Defender > Operational > ID 1123 にあります。
   • 監査ディスクの変更のみ - 保護されたディスク セクターへの書き込みのみが Windows イベント ログに記録されます ([ アプリケーションとサービス ログ>Microsoft>Windows>Windows Defender>Operational>ID 1124)。 保護されたフォルダー内のファイルを変更または削除しようとしても記録されません。

   

PowerShell

1. スタート メニューに「powershell」と入力し、[Windows PowerShell] を右クリックして [管理者として実行] を選択します。

2. 次の cmdlet を入力します。

   Set-MpPreference -EnableControlledFolderAccess Enabled
   

   監査モードで機能を有効にするには、EnabledではなくAuditModeを指定します。 Disabledを使用して機能をオフにします。

関連項目

• フォルダーへのアクセス制御で重要なフォルダーを保護する
• 制御されたフォルダー アクセスをカスタマイズする
• Microsoft Defender for Endpoint の評価