Cloud Security On-Premiss Security

2025-IntuneとMicrosoft Defender for Endpointを利用してUSBデバイスの利用を制限する

自分
自分
閲覧ありがとうございます。ゆっくり よんでいってください

本記事に記載の内容は、
「IntuneとMicrosoft Defender for Endpointを利用したUSBデバイスの利用を制限する」方法をまとめてみます。
参考程度に見てもらえれば嬉しいです。

 

Intuneライセンスのみで、USBデバイスのインストールを制限する方法は、下記記事にて紹介しています。

2025-Intuneを利用して特定のUSBデバイスのみインストール可能とする

本記事に記載の内容は、「Intuneを利用して特定のUSBデバイスのみインストール可能とする」方法について調べてみたのでまとめてみます。 3つのポリシーを構成することで、Intuneライセンスのみで制 ...

続きを見る

 

 

制御に必要な情報 - USBデバイスのハードウェアID または セットアップクラス

一部のみ利用を許可したい場合は、許可したいUSBデバイスの[ハードウェアID] または [セットアップクラス]が必要になります。

ハードウェアIDを調べたいときは、許可したいUSBデバイスをWindows端末に接続し、デバイスマネージャーを開きます。デバイスが表示されているはずなので、プロパティ画面を開いて[詳細]タブの中を開くと[ハードウェア ID]が表示されています。
この情報が必要になるので、控えておいてください。

 

セットアップクラスは、システム定義された値になるのでMicrosoftが公開しています。
https://learn.microsoft.com/ja-jp/windows-hardware/drivers/install/system-defined-device-setup-classes-available-to-vendors

 

 

実際にUSBデバイスを制御するポリシーを作成してみる

手順は全部で3つです。
運用を考えたポリシー構成にしているため、3つになりました。
本手順では、リムーバブルストレージ(リムーバブルメディア)を対象にしています。

 

手順1:アクセスを制御したいデバイスのハードウェアIDを登録

ハードウェアIDは、ポリシーの中で1つ指定することが可能です。
しかし、1つ1つ設定しているときりがないですし、ポリシー数がすごいことになってします。

ポリシー数を抑えるために、[ 再利用可能な設定 ]を利用します。
この設定は、USB利用を制御するためのポリシーに組み込ませることが可能です。

  1. Microsoft Intune管理センターにある[エンドポイント セキュリティ]を開きます。
    管理 の中にある [攻撃面の減少] をクリックします。

  2. [再利用可能な設定]タブ があるので、クリックします。

  3. [追加]をクリックして、設定を作成していきます。
  4. [Configuration settings]画面にて、[+追加]をクリックして[リムーバブル ストレージ]を選択します。


  5. 事前に控えておいた、ハードウェアIDを入力します。
    名前は、任意の物を入れてくださいね。


  6. 保存を押して、設定が保存出来たら完了です。
    実際にUSBデバイスを制御するポリシーを作成しましょう。

 

手順2:すべてのリムーバブルストレージを対象とした再利用可能な設定を作成

上記手順1の項番1~4までは同一となります。
項番5にて、[PrimaryId]欄に[RemovableMediaDevices]と入力し、任意の名前を付けます。
そのまま保存して、設定が保存出来たら完了です。

なお、RemovableMediaDevices以外の値は下記になります。

  • CdRomDevices
  • WpdDevices
  • PrinterDevices

FIOD2デバイスのみ許可したい場合は、クラスID[745a17a0-74d3-11d0-b6fe-00a0c90f57da]を許可してあげます。
許可する項目は、[Allow installation of devices that match any of these device IDs]です。


手順3:USBデバイスを制御するポリシーを作成する

いよいよ、USBデバイスの利用を制限するポリシーを構成していきます。

  1. [攻撃面の減少] にある [+追加]をクリックします。
  2. プロファイルの作成画面になるので、[デバイス コントロール]を選択して進めていきます。
  3. ポリシー作成画面にて、[デバイス コントロール]欄に設定を入れていきます。
    名前は任意の物として、下記のように構成していきます。
    1. 含まれるID:手順2で作成した再利用可能な設定
      1. 種類:拒否
      2. オプション:なし
      3. アクセスマスク:任意
    2. 除外されるID:手順1で作成した再利用可能な設定
  4. 画面にしたがってポリシーの保存まで進めて完了です。

 

 

まとめ

ここまで読んで頂きありがとうございます。

Microsoft Defender for Endpointが絡んでくることで、ハードルが高くなる構成にはなります。
Intuneライセンスのみで管理する方法とは異なり、細かな利用制限が可能になるので利便性は向上します。

Microsoft Defender for 〇〇〇 を契約しておりWindowsをオンボードしている場合は、ぜひ活用してみてください。

 

-Cloud Security, On-Premiss Security