情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
情シスパビリオン
ワークショップ

Microsoft Defender for Business のライセンスでもデバイス(リムーバブルメディア)制御を行う

Microsoft 365
Microsoft Defender for Business
Microsoft Defender for Endpoint
情報屋ヤマグチのタレコミ
この記事の内容
テスト用のリムーバブルメディアのデバイスインスタンスパスを取得する
Microsoft Intune 管理センターで、制御用のポリシーを追加する
Windows 上で動作を確認する

どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
普段は中堅・中小企業様向けに Microsoft 365 活用のご支援をおこなっています。

多くの組織で、リムーバブルメディアの制御をしたいというのは、需要のあることかと思います。
以前からある話では、リムーバブルメディアでファイルを気軽にコピーできると情報漏洩の危険性があるとかです。

一応、Microsoft Intune のポリシーを利用すれば、簡易的なリムーバブルメディアの制御(読み込み/書き込み)は可能でしたが、個別のリムーバブルメディアの制御はできない仕様です。

なっ、なんですが、Microsoft Defender for Endpoint / Microsoft Defender for Business でデバイス上のアクティビティを拾えば実は制御ができる仕組みとなっています・・

ということで、今回の投稿では、Microsoft Intune + Microsoft Defender for Business を利用したデバイス制御の方法をご案内したいと思います。

デバイス制御機能を使用すると、リムーバブル記憶域(USBメディア、SSD、ディスクなど)、プリンター、Bluetoothデバイス、その他の周辺機器をコンピューターにインストールして使用できるかどうかを制御できます。

➊ 特定のデバイス(例:USBドライブ)をインストールして使用できないようにする。
❷ 特定の例外がある外部デバイスのインストールと使用をユーザーに禁止する。
❸ 特定のデバイスのインストールと使用をユーザーに許可する。

対応ライセンス:

  • Microsoft Defender for Endpoint Plan 1
  • Microsoft Defender for Endpoint Plan 2
  • Microsoft Defender for Business

制御方法:

  • Active Directory
  • Microsoft Intune ★弊社推奨

テスト用のリムーバブルメディアのデバイスインスタンスパスを取得する

職場での利用を許可するUSBメモリを Windows に接続します。
「Windows のスタートメニュー」を右クリックし、「デバイス マネージャー」をクリックします。

デバイスマネージャーが起動したら、表示されるツリーを展開し、接続したUSBメモリを右クリックし、表示されるメニューより、「プロパティ」をクリックします。

「詳細」タブをクリックし、プロパティ欄にて、「デバイス インスタンス パス」をクリックします。
表示される値を右クリックし、表示されるメニューより、「コピー」をクリックします。

コピーしたデバイス インスタンス パスをメモ帳にコピーして、保存しておきます。

Microsoft Intune 管理センターで、制御用のポリシーを追加する

Microsoft Intune 管理センター( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。
「デバイス」→ プラットフォーム別「Windows」をクリックします。

「構成プロファイル」→「+作成」→「+新しいポリシー」をクリックします。

プラットフォームの項目にて、「Windows 10 以降」を選択し、プロファイルの種類の項目にて、「テンプレート」を選択します。

「管理用テンプレート」を選択し、「作成」をクリックします。

任意の名称で、作成するプロファイル名を入力し、「次へ」をクリックします。

「コンピューターの構成」-「システム」-「デバイスのインストール」-「デバイスのインストールの制限」に移動します。

「すべてのデバイス一致基準にわたってデバイス インストール ポリシーを許可および防止するための階層化された評価順序を適用する」をクリックし、「有効」を選択後、「OK」をクリックします。

「これらのデバイス インスタンス ID と一致するデバイスのインストールを許可する」をクリックし、「有効」を選択します。
同ポリシーの設定欄にある欄に、メモ帳にコピーした、「デバイス インスタンス パス」貼り付け、「OK」をクリックします。

「リムーバブル デバイスのインストールを禁止する」をクリックし、「有効」を選択後、「OK」をクリックします。

「次へ」をクリックします。

「次へ」をクリックします。

「グループを追加」をクリックします。

構成プロファイルを割り当てる対象のセキュリティグループを選択し、「選択」をクリックします。

割り当て対象のグループを確認し、「次へ」をクリックします。

「作成」をクリックします。

Windows 上で動作を確認する

Windows へのポリシーの同期がされたら、動作を確認します。

・プロファイルに登録してないUSBメモリの場合は、ファイルエクスプローラ上表示されない。

・プロファイルに登録したUSBメモリの場合は、ファイルエクスプローラ上表示される。

※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード
山口 泰志

山口 泰志(やまぐち たいし)

  • 出身:福岡生まれ、佐賀育ち
  • Motto:しっかり考えて、やるべきことは、直ぐにやる!

Microsoft Top Partner Engineer Award 2023年、2024年受賞
弊社グループ全体における Microsoft 365 の技術主導者。
Microsoft 365を中心とした技術情報を ソフクリ365倶楽部 で発信。
実機で学ぶ無料ワークショップ「Softcreate Premium Workshop」の講師です!

情報屋ヤマグチをもっと知る!
経歴
~2016年
中⼩SIer、フリーランスエンジニア、⼤規模SIer等での経験を経て、2016年にソフトクリエイトに⼊社しました。
ソフトクリエイト⼊社後
AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、⾃分の発案でMicrosoft 365サービスの企画、⽴上げを⾏った後に、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導⼊を主導しました。
現在
Microsoft 365の技術を中⼼に最新のテクノロジーや使い⽅を内外に発信したり、勉強会・トレーニング講師、新サービス⽴案、⽴上げとかの仕事をしています。
人気記事
趣味
散歩、登⼭、ロードバイク、旅⾏とかで、
外に出かけて、⾝体を動かすものが多いです
最近行って良かった所

この数年は、海外にも行くようになり、各国の文化や風土の違いを感じる経験ができるようになりました。

Seattle
Microsoft本社、ウォーターフロント、ワシントン大学、カロリー増々な食事
台湾
故宮博物院、台北101、九分のジブリ風な街並み、猫村として有名な猴硐(ホウトン)、気球や十分瀑布で有名な十分、各地域の夜市を中心としたグルメ
心掛けていること
現在の世の中では、エンジニアが何かを作れたり、運⽤できたりでは⾜りず、⾊々な視点で、考え、語り、発信できる様になる必要があると考えています。この様な活動のモデルとして、働き⽅と、テクノロジーの両⾯で、お客様、組織をリードできる様な⼈になれるように⽇々チャレンジすることを⼼掛けています。
最後に一言
テレワーク、社内のインフラ運⽤、セキュリティの維持対応、DX、AI等々、組織の情報システム部に求められる役割は、⽇々増⼤しています。この様な、時代の進歩の早い世の中で、皆様と⼀緒に⾼めあったり、課題を解決できるような関係を作っていきたいと考えていますので、どうぞよろしく!
生成AIが解る!!seminar開催中!