IT Admin Blog>Intune と Microsoft Defender で特定の USB デバイスのみ許可する設定
Intune と Microsoft Defender で特定の USB デバイスのみ許可する設定
企業ではISMS等のセキュリティ認定のため、USBメモリ(リムーバブル記憶域)を制御している会社も多いと思います。
クラウドストレージがある昨今、USBメモリを使用する機会は少ないと思いますが、まだまだ利用シーンがあるのが現状です(金融機関や行政の手続き、外部ネットワークに接続できないシステムへのデータ移動等)
今回はこの課題を解決するためUSBメモリを制限しつつ、登録済USBメモリのみ利用を許可する方法をご紹介したいと思います。

前提条件

今回は以下2つのサービスを利用します。

Microsoft Intune

  • Microsoft Intuneにてポリシーを配布するため、事前に環境構築および対象デバイスの登録が必要になります。

Microsoft Defender for Endpoint P1/P2 (またはBusiness)

  • すべてのUSBメモリを読み取り専用(または読み書き不可)にする場合は上記Intuneのみで実現できますが特定の機器を許可したい場合はこちらのライセンスとIntuneの組み合わせが必要になります。
  • 厳密にはローカルポリシーで似たようなことが出来ますが、完全ではないためここでは割愛します。

手順

特定のUSBメモリを許可する設定方法はいくつかありますが、ここではコンソール操作のみで行える手順を説明します。その他の方法は以下公式ブログをご参考下さい。

1. 許可対象USBメモリのID確認

事前に許可したいUSBメモリの情報を控えておきます。
  1. PCにUSBメモリを接続
  2. [Windowsアイコン]を右クリック > [デバイスマネージャー]をクリック
  3. 該当機器の[USB大容量記憶装置]にて右クリック > [プロパティ]を開く
  4. [詳細]タブを開いて[プロパティ]にて「インターフェイスパス]をコピーしておいて下さい

3. 再利用可能な設定 (USBデバイスの一覧) の作成

「すべてのUSBストレージ」を対象とした設定 (デフォルト禁止用)

  1. [エンドポイントセキュリティ] >[攻撃面の減少]をクリック
  2. 設定画面にて[再利用可能な設定]タブを選択して[+追加]をクリック
  3. [基本]タブにてわかりやすい名前を入力
  4. [構成設定]タブにて[+Add] > [リムーバブル記憶域]をクリック
  5. 行が追加されるので[+インスタンスの編集]をクリック
  6. [リムーバブル記憶域インスタンスの構成]にて以下の通り入力して保存をクリック
    • PrimaryId: RemovableMediaDevices
    • 名前: 「AllRemovableMediaDevices」などわかりやすい名前をつける
    • 上記以外の項目は空欄のまま
  7. [一致の種類]をオフ(全項目に一致)にして[次へ]をクリック
  8. [レビューおよび追加]タブにて[追加]をクリック

「許可したいUSBストレージ」を対象とした設定 (特定デバイスのみ許可)

  1. 前述の手順1〜手順6を実施
  2. [リムーバブル記憶域インスタンスの構成]にて以下の通り入力して[保存]をクリック
    • InstancePathId: 冒頭で控えたデバイスのインタフェースパスを入力
    • 名前: 「SpecalRemovableMediaDevices」などわかりやすい名前をつける
    • 上記以外の項目は空欄のまま
  3. 複数のデバイスを許可する場合は、[+Add] > [リムーバブル記憶域]をクリックして前項の構成作業を繰り返す
  4. 前述の手順7, 8 を実施

3. ポリシーの作成

登録したUSBメモリのみ許可し、それ以外は禁止するポリシーを作成します。
  1. [エンドポイントセキュリティ] >[攻撃面の減少]をクリック
  2. [概要] タブの [+ポリシーの作成] をクリック
  3. プラットフォームの作成画面にて以下の通り選択して[作成]をクリック
    • プラットフォーム: Windows 10、Windows 11、Windows Server
    • プロファイル: デバイスコントロール
  4. [基本]タブにて名前(わかりやすい名前)を入力
  5. [構成管理]タブにて[デバイスコントロール]の設定画面まで移動
  6. 登録画面の[+Edit Entry]をクリック
  7. [エントリの構成]画面にて以下の通り設定して[OK]をクリック
    • 名前: 「Block all usb storage devices」などわかりやすい名前をつける
    • 種類: 拒否
    • オプション: なし
    • アクセスマスク: 「読み取り」「書き込み」「実行」にチェック
  8. 「含まれるID」と「除外されるID」を設定します。
    • 含まれるID: 『「すべてのUSBストレージ」を対象とした設定』で作成したものを指定
    • 除外されるID: 『「許可したいUSBストレージ」を対象とした設定 (特定デバイスのみ許可)』で作成したものを指定
  9. 次に[+追加]をクリックし、追加された行にある [+Edit Entry]をクリック
  10. [エントリの構成]画面にて以下の通り設定して[OK]をクリック
    • 名前: 「Allow specific usb storage devices」などわかりやすい名前をつける
    • 種類: 許可
    • オプション: なし
    • アクセスマスク: 「読み取り」「書き込み」「実行」にチェック
  11. 前の画面に戻り「含まれるID」と「除外されるID」を設定します。
    • 含まれるID: 『「許可したいUSBストレージ」を対象とした設定 (特定デバイスのみ許可)』で作成したものを指定
    • 除外されるID: 空欄のまま
  12. [次へ]をクリック
  13. [スコープ]タブ、[割り当て]タブは自社の環境に合わせて設定
  14. [確認および作成]タブにて内容を確認の上、作成クリック

動作確認

許可したUSBメモリとそれ以外の2個を用意して想定した動作になることをご確認下さい。
Microsoft Intune はポリシー反映に時間がかかることがあるためご注意ください。

ZUNDAでは、社内 IT 環境のクラウド化をサポートしており Jamf Pro や Microsoft 製品についてもライセンス販売から構築支援まで幅広く扱っております。
ライセンス購入やMDMの構築等にお困りでしたら、ぜひお問合せください。