こんにちは、佐々木です!
Bluetooth接続はワイヤレスマウス・キーボード・イヤホン、他のデバイスに繋ぎデータの共有など業務の柔軟性と快適性を高める重要な技術になりますが、セキュリティリスクも伴います。組織管理のデバイスでBluetoothが有効だと、外部機器との接続を通じて機密データの持ち込み・持ち出しが容易になり、情報漏洩のリスクが高まります。しかし、Bluetoothを完全に無効化すると、マウス・キーボード・モニターなど業務に必要な機器の利用が制限され、職場の生産性に影響が出る可能性もあります。
Bluetoothを使用したデータ転送は制限したい!でも、データ転送が発生しない、Bluetooth接続のマウスやキーボードなどのデバイスは接続を許可したい!というセキュリティと利便性のバランスを取った制御が必要 になります。
今回は、Intuneのデバイス制限を使い「データ転送が発生するBluetoothデバイスのみを制限する」という方法をご紹介します。
ぜひご参考ください!
・データ転送制限していない場合
・データ転送制限している場合
注意事項
Intuneでは、1つのグループに複数の「デバイスの制限」ポリシーを設定すると、設定がぶつかって正しく反映されないことがあります。その結果、どれか1つのポリシーしか有効にならない可能性があるため、意図した制限がかからないことがあります。トラブルを防ぐため、Microsoft は1グループに1ポリシーを推奨しています。運用の安定性とトラブル防止のためにも、ポリシー設計は慎重に行いましょう。
会社の運用では「既存のデバイスの制限ポリシー」があること想定されます。
「既存のデバイスの制限ポリシー」がある場合は、下記で編集方法をご紹介します。
4.既存ポリシーの編集をご参考ください。
目次
- 1.設定前
- ―データ転送が発生するBluetoothデバイス(PC)
- ―データ転送が発生しないBluetoothデバイス(スマホ・マウス・イヤホン)
- 2.設定
- 3.設定後
- ―データ転送が発生するBluetoothデバイス(PC)
- ―データ転送が発生しないBluetoothデバイス(スマホ・マウス・イヤホン)
- 4.既存ポリシーの編集
1.設定前
Microsoft Intuneで設定する前に、挙動を確認しましょう。
―データ転送が発生するBluetoothデバイス(PC)
1.「設定」>「Bluetooth とデバイス」より、該当のデータ転送が発生するBluetoothデバイス (PC)を接続させます。
2.「デバイス」をクリックします。
3.「Bluetooth でファイルを送信先または受信する」をクリックします。
4.「ファイルを送信する(S)」をクリックします。
5.該当PCを選択し、「次へ(N)」をクリックします。
6.「参照(R)」をクリックします。
7.送りたいファイルを選択し、「開く(O)」をクリックします。
8.「次へ(N)」をクリックします。
9.ファイルが送信され、転送できました。
―データ転送が発生しないBluetoothデバイス(スマホ・マウス・イヤホン)
1.「設定」>「Bluetooth とデバイス」より、該当のデータ転送が発生しないBluetoothデバイス (スマホ・マウス・イヤホン)を接続させます。
2.「デバイス」をクリックします。
3.ちゃんと、接続できたこと確認できました。
2.設定
1.Microsoft Intune 管理センター
2.「デバイス」をクリックし、「Windows」をクリックします。
3.「構成」をクリックし、「+作成」のプルダウンより「+新しいポリシー」をクリックします。
4.「プラットフォーム」のプルダウンより「Windows 10 以降」を選択し、「プロファイルの種類」のプルダウンより「テンプレート」を選択します。
5.「テンプレート名」より「デバイスの制限」を選択し、「作成」をクリックします。
6.「名前」を入力し、「次へ」をクリックします。
7.「全般」を開きます。
8.「リムーバブル記憶域」を「ブロック」に切り替えます。
※このブロックにより、USBメモリや外付けストレージの利用を禁止します。これは、外部へのデータ持ち出しを防ぐ意味になります。
9.「携帯ネットワークと接続性」を開きます。
10.「Bluetoothを使用できるサービス」へ利用を許可するデバイスのUUIDを指定し、利用を許可するBluetoothデバイスを入力し、「次へ」をクリックします。
※手順8だけ設定してしまうと、データ転送が発生しないBluetoothデバイスまでもブロックされてしまうため、「UUID」で必要なサービスだけ許可します。
※上記で使用したUUID一覧
| デバイス種別 | UUID |
| ヘッドセット | 00001108-0000-1000-8000-00805F9B34FB |
| ハンズフリー | 0000111E-0000-1000-8000-00805F9B34FB |
| オーディオソース | 0000110A-0000-1000-8000-00805F9B34FB |
| オーディオシンク | 0000110B-0000-1000-8000-00805F9B34FB |
| 高度音声配信 | 0000110D-0000-1000-8000-00805F9B34FB |
| 高度音声制御 | 0000110E-0000-1000-8000-00805F9B34FB |
| ヘッドフォン | 0000110F-0000-1000-8000-00805F9B34FB |
| リモート制御 | 0000110C-0000-1000-8000-00805F9B34FB |
| HID(キーボード・マウス) | 00001124-0000-1000-8000-00805F9B34FB |
| HID over GATT | 00001812-0000-1000-8000-00805F9B34FB |
| デバイス情報 | 0000180A-0000-1000-8000-00805F9B34FB |
| 汎用アクセス | 00001800-0000-1000-8000-00805F9B34FB |
| 汎用属性 | 00001801-0000-1000-8000-00805F9B34FB |
| 電話音声ゲートウェイ | 00001112-0000-1000-8000-00805F9B34FB |
11.「グループを追加」をクリックします。
12.該当グループを検索し、チェックを入れ、「選択」をクリックします。
13.「次へ」をクリックします。
14.「次へ」をクリックします。
15.内容を確認し、「作成」をクリックします。
16.ポリシーが新しく作成されました。
3.設定後
設定後、どのような挙動になるか確認していきましょう。
―データ転送が発生するBluetoothデバイス(PC)
1.「設定」>「Bluetooth とデバイス」より、該当のデータ転送が発生するBluetoothデバイス (PC)を接続させます。
3.指定ファイルを送信しようとしたら、「Bluetooth ファイル転送は完了しませんでした」と表示されました。データ転送が発生するBluetoothデバイスを制限したので正しい挙動になります。
―データ転送が発生しないBluetoothデバイス(スマホ・マウス・イヤホン)
1.「設定」>「Bluetooth とデバイス」より、該当のデータ転送が発生しないBluetoothデバイス (スマホ・マウス・イヤホン)を接続させます。
問題なく接続することができています。
2.USBを差してみましょう。
「エクスプローラー」を開き、左バーより「リムーバブル ディスク(D:)」をクリックします。
3.「アクセスが拒否されました。」と表示されました。
2.の手順8で「リムーバブル記憶域」を「ブロック」したので、USBはブロックされています。
これで、データ転送やデータ転送が発生するUSBをブロックすることができました。
業務で使用するその他のデータ転送が発生しないBluetoothデバイスはそのまま使用できるようになっています。
4.既存ポリシーの編集
2.設定では一からポリシーを作りました。
しかし、注意事項でも謳ったように適用させる1グループに対して1つの制限ポリシーで運用したいので、すでに「デバイスの制限」がグループに割当たっている場合は、既存のポリシーに下記追加設定を行ってください。
1.「Microsoft Intune 管理センター」>「デバイス」>「Windows」 を開きます。
2.「構成」より、既存の「デバイスの制限」ポリシーをクリックします。
3.デフォルトで既にいくつかの項目が設定されています。 「構成設定」の右隣にある「編集」をクリックします。
4.「全般」を開き、「リムーバブル記憶域」を「ブロック」に切り替えます。
5.「携帯ネットワークと接続性」を開きます。
6.「Bluetoothを使用できるサービス」へ利用を許可するデバイスのUUIDを指定し、利用を許可するBluetoothデバイスを入力し、「レビューと保存」をクリックします。
※使用したUUID一覧はこちら
7.既存の「デバイスの制限」ポリシーが上書きで保存されました。
その他お困りごとも動画で解説!
