どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
普段は中堅・中小企業様向けに Microsoft 365 活用のご支援をおこなっています。
多くの組織で、リムーバブルメディアの制御をしたいというのは、需要のあることかと思います。
以前からある話では、リムーバブルメディアでファイルを気軽にコピーできると情報漏洩の危険性があるとかです。
一応、Microsoft Intune のポリシーを利用すれば、簡易的なリムーバブルメディアの制御(読み込み/書き込み)は可能でしたが、個別のリムーバブルメディアの制御はできない仕様です。
なっ、なんですが、Microsoft Defender for Endpoint / Microsoft Defender for Business でデバイス上のアクティビティを拾えば実は制御ができる仕組みとなっています・・
ということで、今回の投稿では、Microsoft Intune + Microsoft Defender for Business を利用したデバイス制御の方法をご案内したいと思います。
デバイス制御機能を使用すると、リムーバブル記憶域(USBメディア、SSD、ディスクなど)、プリンター、Bluetoothデバイス、その他の周辺機器をコンピューターにインストールして使用できるかどうかを制御できます。
➊ 特定のデバイス(例:USBドライブ)をインストールして使用できないようにする。
❷ 特定の例外がある外部デバイスのインストールと使用をユーザーに禁止する。
❸ 特定のデバイスのインストールと使用をユーザーに許可する。
対応ライセンス:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
制御方法:
- Active Directory
- Microsoft Intune ★弊社推奨
MS公式)
Microsoft Defender for Endpoint のデバイス制御ポリシー - Microsoft Defender for Endpoint | Microsoft Learn
テスト用のリムーバブルメディアのデバイスインスタンスパスを取得する
職場での利用を許可するUSBメモリを Windows に接続します。
「Windows のスタートメニュー」を右クリックし、「デバイス マネージャー」をクリックします。
デバイスマネージャーが起動したら、表示されるツリーを展開し、接続したUSBメモリを右クリックし、表示されるメニューより、「プロパティ」をクリックします。
「詳細」タブをクリックし、プロパティ欄にて、「デバイス インスタンス パス」をクリックします。
表示される値を右クリックし、表示されるメニューより、「コピー」をクリックします。
コピーしたデバイス インスタンス パスをメモ帳にコピーして、保存しておきます。
Microsoft Intune 管理センターで、制御用のポリシーを追加する
Microsoft Intune 管理センター(
https://endpoint.microsoft.com
)に全体管理者権限を持つユーザーでアクセスします。
「デバイス」→ プラットフォーム別「Windows」をクリックします。
「構成プロファイル」→「+作成」→「+新しいポリシー」をクリックします。
プラットフォームの項目にて、「Windows 10 以降」を選択し、プロファイルの種類の項目にて、「テンプレート」を選択します。
「管理用テンプレート」を選択し、「作成」をクリックします。
任意の名称で、作成するプロファイル名を入力し、「次へ」をクリックします。
「コンピューターの構成」-「システム」-「デバイスのインストール」-「デバイスのインストールの制限」に移動します。
「すべてのデバイス一致基準にわたってデバイス インストール ポリシーを許可および防止するための階層化された評価順序を適用する」をクリックし、「有効」を選択後、「OK」をクリックします。
「これらのデバイス インスタンス ID と一致するデバイスのインストールを許可する」をクリックし、「有効」を選択します。
同ポリシーの設定欄にある欄に、メモ帳にコピーした、「デバイス インスタンス パス」貼り付け、「OK」をクリックします。
「リムーバブル デバイスのインストールを禁止する」をクリックし、「有効」を選択後、「OK」をクリックします。
「次へ」をクリックします。
「次へ」をクリックします。
「グループを追加」をクリックします。
構成プロファイルを割り当てる対象のセキュリティグループを選択し、「選択」をクリックします。
割り当て対象のグループを確認し、「次へ」をクリックします。
「作成」をクリックします。
Windows 上で動作を確認する
Windows へのポリシーの同期がされたら、動作を確認します。
・プロファイルに登録してないUSBメモリの場合は、ファイルエクスプローラ上表示されない。
・プロファイルに登録したUSBメモリの場合は、ファイルエクスプローラ上表示される。
※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。