リムーバブルディスク(USBメモリや外付けHDD)は便利ですが、データ漏洩やマルウェア感染のリスクがあります。Microsoft Defender for Endpoint(MDE)を使ってこれらのデバイスを制御することで、企業のセキュリティを強化し、重要なデータを保護できます。本ブログでは、MDEを活用したリムーバブルディスクの管理方法について解説します。
目次
- 1.USBのデバイスインスタンスパスを確認
- 2.Microsoft Intuneにリムーバブルディスクを登録
- ー全てのリムーバブルディスクを登録
- ー許可するリムーバブルディスクを登録
- 3.ポリシーの作成
- ー設定
- ー確認
1.USBのデバイスインスタンスパスを確認
MDEを活用したリムーバブルディスクの管理はいくつか方法は存在しますが、今回はUSBの情報を使い、管理方法の設定を解説致します。
2. Microsoft Intuneにリムーバブルディスクを登録に必要になる許可するUSBのデバイスインスタンスパスを確認していきましょう。
1.該当USBを差し込み、「エクスプローラー」を開き、「USB ドライブ」を右クリックします。
2.「プロパティ」をクリックします。
3.「ハードウェア」をクリックします。
4.「全ディスク ドライブ」より、「該当USB」を選択し、「プロパティ」をクリックします。
5.「詳細」をクリックします。
6.「プロパティ」のプルダウンより、「デバイス インスタンス パス」を選択します。
7.選択したデバイス インスタンス パスを右クリックし、「コピー」をクリックします。
2.Microsoft Intuneにリムーバブルディスクを登録
Microsoft Intune>エンドポイントセキュリティ>攻撃面の減少 の「再利用可能な設定 」という機能を使ってデバイスを定義づけすることが可能です。「再利用可能な設定 」を使い、リムーバブルディスクを登録していきましょう。
ここでは、下記2つのリムーバブルディスクを登録する必要があります。
| 登録するリムーバブルディスク | 説明 |
| 全てのリムーバブルディスク | 全てをブロックする |
| 許可するリムーバブルディスク | 登録されたリムーバブルディスクのみ許可 |
※上記表の「説明」に対する手順はこちらで確認できます。
全てのリムーバブルディスクを登録
1.Microsoft Intune管理センターを開き、「エンドポイント セキュリティ」をクリックします。
2.「攻撃面の減少」をクリックします。
3.「再利用可能な設定」をクリックし、「+追加」をクリックします。
4.下記のように、入力し、「次へ」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名前:必須入力(ここでは「All_removabledisk」と入力します。)
説明:任意
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
5.「+追加」のプルダウンより、「リムーバブル ストレージ」を選択します。
6.「設定の構成」をクリックします。
7.「リムーバブル記録域インスタンスの構成」が表示されます。
※項目があるように、今回使うデバイスインスタンスパス以外にも他の情報を使うことも可能です。
8.全項目は空欄のままで、「保存」をクリックします。
※「名前」のみ必須入力になります。
9.「次へ」をクリックします。
10.設定内容を確認して、「保存」をクリックします。
11.全てのリムーバブルディスクを登録設定が完了いたしました。
許可するリムーバブルディスクを登録
手順は「全てのリムーバブルディスクを登録」と同様で8.「リムーバブル記録域インスタンスの構成」の入力項目のみ異なります。
1.「リムーバブル記録域インスタンスの構成」より、下記のように入力し、「保存」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
InstancePathId:1.USBのデバイスインスタンスパスを確認 でコピーした
デバイスインスタンスパスを入力
名前:必須入力(ここでは「All_removabledisk」と入力します。)
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
2.許可するリムーバブルディスクの登録設定が完了いたしました。
3.ポリシーの作成
このポリシーでは下記表のような設定を行います。
「全てのリムーバブルディスクを拒否して特別に許可するUSBだけ許可する」
※2つの設定を作成する理由は①「除外される対象」の許可・拒否の権限を付与できていないため、②で改めて権限を付与する必要があるからです。
設定
1.Microsoft Intune管理センターを開き、「エンドポイント セキュリティ」をクリックし、「攻撃面の減少」をクリックします。
2.「ポリシーを追加」をクリックし、「プロファイルの作成」より、各項目プルダウンから下記のように選択し、「作成」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
プラットフォーム:Windows
プロファイル:デバイス コントロール
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
3.「名前」と「説明」(任意)を入力し、「次へ」をクリックします。
4.①全てのリムーバブルディスクを拒否
「デバイス コントロール」を開き、「名前」を入力し、「含まれるID」より「+再利用可能設定の設定」をクリックします。
5.「再利用可能設定グループ」より、全てのリムーバブルディスクを登録で作成したグループの「追加」をクリックし、「保存」をクリックします。
6.「除外されるID」より、「+再利用可能設定の設定」をクリックします。
7.「再利用可能設定グループ」より、許可するリムーバブルディスクを登録で作成したグループの「追加」をクリックし、「保存」をクリックします。
8.「エントリ」より、「インスタンスの編集」をクリックします。
9.「エントリの構成」より、「+追加」をクリックし、下記のように選択し、「保存」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
種類:拒否
オプション:なし
アクセス マスク:✅読み取り、✅書き込み、✅実行
Sid:空欄
コンピューターSid:空欄
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
10.②特別に許可するUSBだけ許可
「+追加」をクリックし、「名前」を入力し、「含まれるID」より「+再利用可能設定の設定」をクリックします。
11.「再利用可能設定グループ」より、許可するリムーバブルディスクを登録で作成したグループよ「追加」をクリックし、「保存」をクリックします。
12.「エントリ」より、「インスタンスの編集」をクリックします。
13.「エントリの構成」より、「+追加」をクリックし、下記のように選択し、「保存」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
種類:許可
オプション:なし
アクセス マスク:✅読み取り、✅書き込み、✅実行
Sid:空欄
コンピューターSid:空欄
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
14.「次へ」をクリックします。
15.「次へ」をクリックします。
16.検索欄で対象グループを検索し、対象グループを選択し、「次へ」をクリックします。
17 .ポリシー内容を確認し、「保存」をクリックします。
18.ポリシーが作成され、割り当ても完了いたしました。
確認
ポリシー適用後の動作確認をしてみました。
※必要であれば、再起動を実行してください。
該当USBではない違うUSBを差し込みの結果
USBデバイスのアクセスが拒否されました。
該当USBを差し込みの結果
アクセスが許可され、通常に作業が行えます。
その他お困りごとも動画で解説!
