どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
Microsoft Defender for Business には、セキュリティセンター上から、リモートで以下の様なアクションを管理下のデバイスに実施することが可能となっています。
- ウイルス対策スキャンを実行
- 自動調査の開始
- アプリの実行を制限する
- デバイスの分離
今回の投稿では、このデバイスアクションのうちの1つのリモートでのデバイスの通信を制限する機能となる、4の「デバイスの分離」機能について、解説します。
デバイスの詳細ページへのアクセス
デバイスの詳細ページにアクセスします。
※ デバイスの詳細ページへのアクセス方法については、複数のアクセス方法がありますが、代表的なアクセス方法として、以下の1、2の方法をご利用ください。
- セキュリティセンターの「デバイスインベントリ」画面のデバイス名をクリックします。
- インシデント、アラート等の「デバイス」タブより、対象のデバイスを選択し、「デバイスページを開く」をクリックします。
デバイスの分離
- 「デバイスの分離」をクリックします。
- "デバイス"をネットワークから分離しますか?"のメッセージが表示されますので、デバイスの分離理由を記載し、「確認」をクリックします。
※ 対象デバイスに対しての Outlook、 Teams での連絡を行いたい場合には、「デバイスが分離されている間も、Outlook、Teams、Skype for Business のコミュニケーションを許可する」のチェックを入れます。 - アクションセンターに、実行したアクションの履歴が追加されます。 ※ デバイスの分離は、対象 PC がインターネットに接続可能な状況であれば、数分程度で完了します。
- 画面を更新します。
- ネットワーク分離が成功していると、デバイスアクションの画面の「デバイスの分離」アクションが、「分離からリースリする」に表示が変わります。
デバイスの分離時のデバイス上の状況
- アクションセンターに、「ネットワークが無効になりました」の通知が行われます。
- ネットワークアダプターについては、有効の状態のままです。
※ネットワーク切断になる訳ではありません。 - コマンドプロンプト等での Ping コマンドの実行がエラーをはじめとして、ネットワークへの接続が不通となります。
- インターネット経由での定義更新プログラムの更新がエラーとなります。
※ Microsoft Defender ウイルス対策の定義ファイルを更新する場合には、別デバイスで、ファイルをダウンロードして、ローカルへコピーを行う必要があります。 ※ デバイスの分離状態でも以下のリモートアクションについては、セキュリティセンター上より、実行可能です。
- ウイルス対策スキャンを実行
- 自動調査の開始
- アプリの実行を制限する
デバイスの分離からの解放
- 「デバイスからリリースする」をクリックします。
- "デバイスをネットワークから解放しますか?"のメッセージが表示されますので、デバイスの解放理由を記載し、「確認」をクリックします。
- アクションセンターに、実行したアクションの履歴が追加されます。