エンドプロテクションプロファイルは必要に応じてJavaScriptを禁止をしたり、自由に管理者権限を利用できない等の設定をすることができます。Intune設定の参考にしてみてください。

１．Microsoft Endpoint Manager admin centerより「デバイス」を開いて「構成プロファイル」をクリックし、「プロファイルの作成」をクリックします。

２．プラットフォームを「Windows10以降」にして、プロファイルの種類を「テンプレート」にします。テンプレート名には「Endpoint Protection」を選択します。
「作成」をクリックします。

3．名前を入力して「次へ」をクリックします。

4．Microsoft Defender Application Guardを展開して以下のように設定します。

Application Guard:「Edgeに対して有効にする」

5．Microsoft Defender SmartScreenを展開して以下のように設定します。

アプリとファイルのSmartScreen:「有効にする」
確認されていないファイルの実行:「ブロック」

6．攻撃の回避を展開して以下のように設定します。

(攻撃の回避規則)

Windowsローカルセキュリティ機関サブシステムからの資格情報の盗難にフラグを付ける:「監視のみ」
Abobe Reader(ベータ)版からのプロセス作成:「有効にする」

(Officeマクロの脅威を防止するための規則)

他のプロセス内に挿入するOfficeアプリ(例外なし):「ブロック」
実行可能なコンテンツを作成するOfficeアプリ/マクロ:「ブロック」
子プロセスを起動するOfficeアプリ:「ブロック」
OfficeのマクロコードからのWin32のインポート:「ブロック」
Office通信製品(ベータ版)からプロセスの作成:「ブロック」

(スクリプの脅威を防止するための規則)

難読化されたjs/vbs/ps/マクロコード：「ブロック」
インターネットからダウンロードしたベイロードを実行するjs/vbs(例外なし):「ブロック」
PSExecコマンドとWMEコマンドに基づくプロセス作成:「ブロック」

USBから実行しているプロセスを信頼せず署名もしない:「ブロック」
普及率、期間、または信頼リストの条件を満たしていない実行可能ファイル：「ブロック」
電子メールからドロップされた実行可能なコンテンツの実行(例外なし):「ブロック」

(ランサムウェアを防止するためのルール)
高度なランサムウェア防止:「有効にする」

(ITの連絡先情報)

ITの連絡先情報:「アプリと通知に表示」
IT組織名:「組織名」

「次へ」をクリックします。

7．「グループを追加」をクリックしてグループを選択し、「作成」をクリックします。

8．「次へ」をクリックします。

9．「次へ」をクリックします。

10．「作成」をクリックします。

11．プロファイルが作成されました。

その他お困りごとも動画で解説！