今回は Intune 登録済みの PC にポリシーを配布して機能制限を行う方法を紹介します。
Intune では機能制限を行うポリシーのセットが多く用意されています。ポリシーの詳細は下記を参照ください。
Title:Intune を使用して機能を許可または制限するように Windows 10/11 デバイスを設定する
URL:https://docs.microsoft.com/ja-jp/mem/intune/configuration/device-restrictions-windows-10
その中でもお客様からよくご意見をいただく制限としては下記があります。
- パスワードの設定
- スクリーンセイバーを設定したい
- BitLocker を有効化してハードディスクを暗号化したい
- DVD や USB などの外部記憶媒体を禁止したい
今回はその中でも「DVD や USB などの外部記憶媒体を禁止したい」について紹介します。
ポリシー作成
Intune 管理センター(https://endpoint.microsoft.com/)にログインして
[デバイス] > [構成プロファイル] > [+プロファイルの作成] の順にクリックします。
下記を選択して [作成] をクリックします。
- プラットフォーム:Windows 10 以降
- プロファイルの種類:テンプレート
- テンプレート名:デバイスの制限
名前、説明を任意で入力して、[次へ] をクリックします。
[全般] > [リムーバブル記憶領域] を [ブロック] に設定して、[次へ] をクリックします。
[+すべてのデバイス] を選択して、配布対象に「すべてのデバイス」が追加されたことを確認して、[次へ] をクリックします。
※今回はデバイスに対して配布しましたが、ユーザーに対して配布しても動作影響はありません。
続いて、適用性ルールの画面では特定の OS バージョンのみに配布するというルールを設定できますが、今回は何も設定せずに [次へ] をクリックします。
内容確認が表示されるので、[次へ] をクリックします。
以上でポリシー設定は完了です。簡単ですね!
端末側での動作確認
配布したポリシーが適用されたかを端末で確認します。
端末に USB を差して、エクスプローラーを開きます。
認識されると下記のように表示されますので、ダブルクリックしてみます。
「アクセスが拒否されました。」と表示されて、エラーになりました。
中身を確認することもデータを書き込むこともできません。
これでポリシーが正常に適用されて外部記憶媒体がブロックされたことが確認できました。
以上で端末確認は完了です。
あとがきと次回予告
さていかがでしたでしょうか。
他にもポリシーは多数ありますので、自宅の PC でも使えそうなポリシーがあればぜひ試してみてください。
私は USB 以外だと、パスワードポリシーの設定、スクリーンセイバー、自宅 Wi-Fi プロファイルの配布、BitLocker の制御、SMBv1 の無効化などまるで企業 PC のようなポリシーのようにセキュリティ対策として良さそうなものをどんどん作ってみて試しております。
次回は EPP/EDR と言われるウィルス対策ソフトの導入について紹介したいと思います。
山口 翔平(日本ビジネスシステムズ株式会社)
Microsoft 365を中心としたゼロトラストやセキュリティ分野のシステムアーキテクトやプロジェクトマネジメントをしている。趣味はバイク、猫、お酒。
担当記事一覧