リムーバブルディスク(USBメモリや外付けHDD)は便利ですが、データ漏洩やマルウェア感染のリスクがあります。Microsoft Defender for Endpoint(MDE)を使ってこれらのデバイスを制御することで、企業のセキュリティを強化し、重要なデータを保護できます。本ブログでは、MDEを活用したリムーバブルディスクの管理方法について解説します。
目次
- 1.USBのデバイスインスタンスパスを確認
- 2.Microsoft Intuneにリムーバブルディスクを登録
- ー全てのリムーバブルディスクを登録
- ー許可するリムーバブルディスクを登録
- 3.ポリシーの作成
- ー設定
- ー確認
- 4.事例紹介
1.USBのデバイスインスタンスパスを確認
MDEを活用したリムーバブルディスクの管理はいくつか方法は存在しますが、今回はUSBの情報を使い、管理方法の設定を解説致します。
2. Microsoft Intuneにリムーバブルディスクを登録に必要になる許可するUSBのデバイスインスタンスパスを確認していきましょう。
1.該当USBを差し込み、「エクスプローラー」を開き、「USB ドライブ」を右クリックします。
2.「プロパティ」をクリックします。
3.「ハードウェア」をクリックします。
4.「全ディスク ドライブ」より、「該当USB」を選択し、「プロパティ」をクリックします。
5.「詳細」をクリックします。
6.「プロパティ」のプルダウンより、「デバイス インスタンス パス」を選択します。
7.選択したデバイス インスタンス パスを右クリックし、「コピー」をクリックします。
2.Microsoft Intuneにリムーバブルディスクを登録
Microsoft Intune>エンドポイントセキュリティ>攻撃面の減少 の「再利用可能な設定 」という機能を使ってデバイスを定義づけすることが可能です。「再利用可能な設定 」を使い、リムーバブルディスクを登録していきましょう。
ここでは、下記2つのリムーバブルディスクを登録する必要があります。
| 登録するリムーバブルディスク | 説明 |
| 全てのリムーバブルディスク | 全てをブロックする |
| 許可するリムーバブルディスク | 登録されたリムーバブルディスクのみ許可 |
※上記表の「説明」に対する手順はこちらで確認できます。
全てのリムーバブルディスクを登録
1.Microsoft Intune管理センターを開き、「エンドポイント セキュリティ」をクリックします。
2.「攻撃面の減少」をクリックします。
3.「再利用可能な設定」をクリックし、「+追加」をクリックします。
4.下記のように、入力し、「次へ」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名前:必須入力(ここでは「All_removabledisk」と入力します。)
説明:任意
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
5.「+追加」のプルダウンより、「リムーバブル ストレージ」を選択します。
6.「設定の構成」をクリックします。
7.「リムーバブル記録域インスタンスの構成」が表示されます。
※項目があるように、今回使うデバイスインスタンスパス以外にも他の情報を使うことも可能です。
8.「名前」を入力し、「PrimaryId」に「RemovableMediaDevices」と入力します。
9.「次へ」をクリックします。
10.設定内容を確認して、「保存」をクリックします。
11.全てのリムーバブルディスクを登録設定が完了いたしました。
許可するリムーバブルディスクを登録
手順は「全てのリムーバブルディスクを登録」と同様で8.「リムーバブル記録域インスタンスの構成」の入力項目のみ異なります。
1.「リムーバブル記録域インスタンスの構成」より、下記のように入力し、「保存」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
InstancePathId:1.USBのデバイスインスタンスパスを確認 でコピーした
デバイスインスタンスパスを入力
名前:必須入力(ここでは「Allow_removabledisk」と入力します。)
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
2.許可するリムーバブルディスクの登録設定が完了いたしました。
3.ポリシーの作成
このポリシーでは下記表のような設定を行います。
「全てのリムーバブルディスクを拒否して特別に許可するUSBだけ許可する」
※2つの設定を作成する理由は①「除外される対象」の許可・拒否の権限を付与できていないため、②で改めて権限を付与する必要があるからです。
設定
1.Microsoft Intune管理センターを開き、「エンドポイント セキュリティ」をクリックし、「攻撃面の減少」をクリックします。
2.「ポリシーを追加」をクリックし、「プロファイルの作成」より、各項目プルダウンから下記のように選択し、「作成」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
プラットフォーム:Windows
プロファイル:デバイス コントロール
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
3.「名前」と「説明」(任意)を入力し、「次へ」をクリックします。
4.①全てのリムーバブルディスクを拒否
「デバイス コントロール」を開き、「名前」を入力し、「含まれるID」より「+再利用可能設定の設定」をクリックします。
5.「再利用可能設定グループ」より、全てのリムーバブルディスクを登録で作成したグループの「追加」をクリックし、「保存」をクリックします。
6.「除外されるID」より、「+再利用可能設定の設定」をクリックします。
7.「再利用可能設定グループ」より、許可するリムーバブルディスクを登録で作成したグループの「追加」をクリックし、「保存」をクリックします。
8.「エントリ」より、「インスタンスの編集」をクリックします。
9.「エントリの構成」より、「+追加」をクリックし、下記のように選択し、「保存」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
種類:拒否
オプション:なし
アクセス マスク:✅読み取り、✅書き込み、✅実行
Sid:空欄
コンピューターSid:空欄
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
10.②特別に許可するUSBだけ許可
「+追加」をクリックし、「名前」を入力し、「含まれるID」より「+再利用可能設定の設定」をクリックします。
11.「再利用可能設定グループ」より、許可するリムーバブルディスクを登録で作成したグループよ「追加」をクリックし、「保存」をクリックします。
12.「エントリ」より、「インスタンスの編集」をクリックします。
13.「エントリの構成」より、「+追加」をクリックし、下記のように選択し、「保存」をクリックします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
種類:許可
オプション:なし
アクセス マスク:✅読み取り、✅書き込み、✅実行
Sid:空欄
コンピューターSid:空欄
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
14.「次へ」をクリックします。
15.「次へ」をクリックします。
16.検索欄で対象グループを検索し、対象グループを選択し、「次へ」をクリックします。
17 .ポリシー内容を確認し、「保存」をクリックします。
18.ポリシーが作成され、割り当ても完了いたしました。
確認
ポリシー適用後の動作確認をしてみました。
※必要であれば、再起動を実行してください。
該当USBではない違うUSBを差し込みの結果
USBデバイスのアクセスが拒否されました。
該当USBを差し込みの結果
アクセスが許可され、通常に作業が行えます。
4.事例紹介
先日、以下のような要件を実現しましたので、ご紹介します。
・要件
1.全ユーザー、全てのUSBの使用をブロックする
2.一部のユーザーに、特定のUSBのみ読み込み可能にする
3.臨時で、一部のユーザーに、特定のUSBのみ読み書き可能にする
・実現方法
この要件を満たすために、以下のようにグループとポリシーを分けて構成しました。
| ポリシー名 | 内容 | 適用グループ |
| AllBlock | 全USBをブロック | BlockGroup |
| ReadOnly | 全USBをブロック(特定USBは除外)+特定USBに対して書き込み・実行を拒否 | ReadOnlyGroup |
| ReadWrite | 全USBをブロック(特定USBは除外)+特定USBに対してのみを拒否 | ReadWriteGroup |
このようにポリシーを分けることで、要件を満たすことができました。
・検証中に気づいたこと
検証を進める中で、以下のような構成では要件を満たすことができないことが分かりました。
| ポリシー名 | 内容 | 適用グループ |
| AllBlock | 全USBをブロック | AllMember |
| ReadOnly | 特定USBに対して書き込み・実行を拒否 | ReadOnlyGroup |
| ReadWrite | 特定USBに対してのみを拒否 | ReadWriteGroup |
この構成では、「全員に全ブロック」+「一部に特定USB許可」という形になり、ポリシー同士が競合してしまい、意図した動作にならないと考えられます。
✓ポイント
!全ブロックのポリシーは、対象を限定したグループに適用することが重要
!特定USBの許可は、除外設定と組み合わせて制御する
!ポリシーの優先順位や競合に注意する
このような構成で、柔軟かつ安全にUSBデバイスの利用制御が可能になります。
また、ポリシーの適用には時間がかかるため、以下の方法を利用すると、同期が瞬時に可能です。
Windows10側からIntuneへ同期をすぐに実行する方法 | yjk365
その他お困りごとも動画で解説!
