Intuneでリムーバブルメディアのアクセス制御を行う（Windows編）

Microsoft Intune（以下、Intune）とMicrosoft Defender for Endpoint （以下、MDE）を用いると、USBメディア（USBメモリやUSB HDDなど）やCD/DVD、SDカードといったリムーバブルメディアのアクセス制御を行う事が出来ます。

本記事では、デバイス制御機能を用いてリムーバブルメディアのアクセス制御を実装する方法について記述します。

• デバイス制御機能とは
• デバイス制御機能の前提条件
• 実装方法
  • Windowsの場合
  • macOSの場合
• IntuneのOMA-URIを用いた設定方法
  • 導入ステップ
  • XMLファイルの作成
    • デバイスグループの構成
    • ルールの構成
  • Intuneへの設定導入
    • デバイスコントロールの有効化
    • 既定の規則の導入
    • XMLファイルの設定導入
• まとめ

デバイス制御機能とは

デバイス制御とは、特定のデバイスの接続許可/拒否の制御を付与することで、データ損失、マルウェア、またはその他のサイバー脅威から組織のセキュリティを強化することが可能となる機能です。

MDEにおいて、USBメディアやCD/DVD、SDカードといったリムーバルメディアへのアクセス制御（書込/読込の許可/拒否及び監査）は、このデバイス制御機能を用いて実装されます。

デバイス制御機能の前提条件

デバイス制御機能は、Windows 10、Windows 11、およびmacOS 11以降での利用がサポートされています。（2024年7月時点）

※ その他、各端末の最小要件については下記参照

learn.microsoft.com

※ なお、本記事ではこの後、「Windows 10」と「Windows 11」をまとめて「Windows」として記載します

実装方法

ここでは、各OS種別毎のデバイス制御機能を用いた、リムーバブルメディアへのアクセス制御実装方法について記述します。

Windowsの場合

Windowsの場合、下記方法でデバイス制御機能を用いてリムーバブルメディアへのアクセス制御を実装することが可能です。

• IntuneのGUIを用いた設定方法
• IntuneのOMA-URIを用いた設定方法
• グループポリシーを用いた設定方法

macOSの場合

macOSの場合、下記方法でデバイス制御機能を用いてリムーバブルメディアへのアクセス制御を実装することが可能です。

• Intuneを用いた設定方法
• Jamfを用いた設定方法

IntuneのOMA-URIを用いた設定方法

本記事では、WindowsOSへIntuneのOMA-URIを用いた設定方法を記述します。

その他設定方法については、それぞれ下記を参照ください。*1

• Windowsの場合
  • Microsoft Intune を使用して Microsoft Defender for Endpoint でデバイス制御を展開および管理する - Microsoft Defender for Endpoint | Microsoft Learn
  • グループ ポリシーを使用してMicrosoft Defender for Endpointでデバイス制御を展開および管理する - Microsoft Defender for Endpoint | Microsoft Learn
• macOSの場合
  • macOS のデバイス制御 - Microsoft Defender for Endpoint | Microsoft Learn

導入ステップ

リムーバブルメディアへのアクセス制御を実装するまでの手順を、ステップに分けて説明します。

1. XMLファイルの作成
   1. デバイスグループの構成
   2. ルールの構成
2. Intuneへの設定導入
   
   1. デバイスコントロールの有効化
   2. 既定の規則の導入
   3. XMLファイルの設定導入

XMLファイルの作成

ここでは、リムーバブルメディアへのアクセス制御の制御内容を記載したXMLファイルの、作成方法及びプロパティについて記述します。

デバイスグループの構成

ここで言うデバイスグループとは、USBやSD/DVDなどのリムーバブルメディアのグルーピングを指します。

本XMLファイルで構成するデバイスグループに対し、アクセス制御ポリシーにてアクセス制御を実装します。

なお、デバイスグループを定義する際は1デバイスグループあたり1つのXMLファイルを用意する必要があります。

本XMLファイル内に記載するべきプロパティは以下の通りです。

• GroupID
  • ルールにてグループを指定する為の一意の識別番号（GUID）
• MatchType
  • ”DescriptorIdList”に記載するメディアフィルタリングの条件
• DescriptorIdList
  • デバイスグループに所属させるメディアのフィルタリング条件

※ 各項目で設定可能なプロパティは下記参照

learn.microsoft.com

本記事では、2つのデバイスグループを定義します。

まず、デバイスグループAとして、USBメディア（PrimaryId：RemovableMediaDevices）およびCD/DVD（PrimaryId：CdRomDevices）が含まれたグループを追加します。

<Group Id="{デバイスグループA用のGroup Id}">
<matchtype>MatchAny</matchtype>
<descriptoridlist>
    <primaryid>RemovableMediaDevices</primaryid>
    <primaryid>CdRomDevices</primaryid>
</descriptoridlist>

続いて、特定のUSBメディアだけが含まれた、デバイスグループBを追加します。

USBメディアの特定はメーカー単位、モデル単位など複数の粒度が選択できますが、今回はデバイスの個体単位で識別するため、InstancePathIdを指定します。

<group id="{デバイスグループB用のGroup Id}">
<matchtype>MatchAny</matchtype>
    <descriptoridlist>
    <instancepathid>USBSTOR\DISK&ampVEN__USB&amp......&amp*</instancepathid>
</descriptoridlist>

※ なお、XMLファイル内で”&”を利用する際は、”&”に置換して記述する必要があります。
※ InstancePathIdは一部省略した形で記載していますので、実際のデバイスに合わせてご利用下さい

ルールの構成

前章で構成したデバイスグループへの書込/読込/実行の許可/拒否及び監査の構成を定義します。

なお、ルールを定義する際は1ルールあたり１つのXMLファイルを用意する必要があります。

本XMLファイル内に記載するべき記述は以下の通りです。

• PolicyRule Id
  • ルールの一意の識別番号
• Name
  • ルール名
• IncludedList
  • ルールを適用するグループの指定（GroupId）
• ExcludedList
  • ルールの適用除外とするグループの指定（GroupId）
• Entry Id
  • アクセス制御内容。記載の必要なプロパティは下記の通り 
    • type
      • 定義する制御の許可/拒否の設定
    • Option
      • 監査や検知時のアクションの指定
    • AccessMask
      • アクセスの定義（書込/読込/実行)

※ 各項目で設定可能なプロパティは下記参照

learn.microsoft.com

今回は、デバイスグループBで指定したUBSメディアを除くUSBメディア、CD/DVDへ書込を禁止するルールを作成します。

デバイスグループAですべてのUSBメディア、CD/DVDを定義していますので、これに対して書き込みを禁止しますが、例外として、デバイスグループBを指定し、ここで指定されているUSBメディアだけ書き込みできるようにします。

<PolicyRule Id="{<ルールの一意の識別番号>}">
    <Name>Deny Writing rule</Name>
    <IncludedIdList>
        <GroupId>{<デバイスグループAのGroup Id>}</GroupId>
    </IncludedIdList>
    <ExcludedIdList>
        <GroupId>{<デバイスグループBのGroup Id>}</GroupId>
    </ExcludedIdList>
    <Entry Id="{<エントリーの一意の識別番号>}">
        <Type>Deny</Type>
        <Options>0</Options>
        <AccessMask>2</AccessMask>
    </Entry>
</PolicyRule>

Intuneへの設定導入

リムーバブルメディアのアクセス制御は、Intuneのデバイス構成プロファイルで作成するポリシーを用いて展開します。

下記では、作成したXMLファイルを用いてポリシーを作成する手順について記述します。

デバイスコントロールの有効化

ここでは、デバイス構成プロファイルの作成からデバイスコントロール有効化用オプションを設定するまでの手順について記述します。

1. Microsoft Intune 管理センターに管理者アカウントでサインインします。

   

2. [デバイス] - [構成] - [+ 作成] - [新しいポリシー] の順でクリックします。

   

3. 下記の通り設定し、[作成]をクリックします。
   • プラットフォーム：Windows10 以降
   • プロファイルの種類：テンプレート
   • テンプレート名：カスタム

     

4. ”名前”、”説明”に任意の値を入力し、[次へ]をクリックします。

   

5. ”OMA-URIの設定”画面にて[追加]をクリックします。

   

6. 下記設定を入力し、デバイ制御機能の有効化を構成し、[保存]をクリックします。
   • 名前：任意
   • 説明：任意
   • OMA-URI：./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled
   • データ型：整数
   • 値：1

     

既定の規則の導入

ここでは、デバイス制御機能の既定の処理指定方法を記述します。

1. ”OMA-URIの設定”画面にて[追加]をクリックします。

   

2. 下記設定を入力し、既定の規則を構成し、[保存]をクリックします。
   • 名前：任意
   • 説明：任意
   • OMA-URI：./Vendor/MSFT/Defender/Configuration/DefaultEnforcement
   • データ型：整数
   • 値：1（許可：１、拒否：２）

     

XMLファイルの設定導入

ここでは、前章で作成したデバイスグループとルールのXMLファイル設定導入手順について記述します。

1. ”OMA-URIの設定”画面にて[追加]をクリックします。

   

2. 下記設定を入力し、デバイスグループおよびルールを構成し、[保存]をクリックします。
   • デバイスグループの場合
     • 名前：任意
     • 説明：任意
     • OMA-URI：./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
       • [GroupId]：XMLファイル内で指定したデバイスグループのGroupIdを入力
     • データ型：文字列（XMLファイル）
     • カスタム XML：作成したXMLファイル
       

       

   • ルールの場合
     • 名前：任意
     • 説明：任意
     • OMA-URI：./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
       • [PolicyRule Id]：XMLファイル内で指定したルールのPolicyRule Idを入力
     • データ型：文字列（XMLファイル）
     • カスタム XML：作成したXMLファイル
       

       

3. XMLファイルの登録終了後、[次へ]をクリックし、画面遷移に従いポリシーを作成する。

   

まとめ

デバイス制御機能を用いたリムーバブルメディアへのアクセス制御の設定方法については記事を目にするのですが、XMLファイルの中身について詳しく説明している情報が少ないと感じたため、記事にしました。

機会があれば、macOSの制御方法についても記載します。