Intune によるリムーバブル記憶域の制御

Windows 10 の USB接続デバイスについての制御は、以前から非常に多くの問い合わせがあった制御です。以前までは、カスタムポリシーからOMA-URIを指定して制御する必要がありました。11月のアップデートで Windows Defender の機能を利用してリムーバブル記憶域の制御を行える項目が 管理センターに追加されました。 これは、以下の2020年9月のデバイス制御プロファイルへのアップデートでした。 対象となる CSP は以下の記載になります。 対応するOSやエディション は Pro 以上であれば利用でき、Windows 10 1809 以降のバージョンであれば利用できるようです。Windows Defender for Endpoint の ポリシーなので、E5必須と思いそうですがそうではないようです。※ CSP のサポート欄にProにチェックが入っているため利用は問題ないそうです。(by サポート) 実際に、Windows 10 1909 Pro と Windows 10 20H2 E3 において、該当のポリシーを割り当てた結果、以下のようにブロックされることが確認できました。 今回利用するポリシーは「書き込み」だけでなく、「読み込み」もブロックしてしまう点に注意してください。 1. Microsoft Endpoint Manager admin center を開き、「エンドポイント セキュリティ」を確認します。 2. 「管理」カテゴリから、「攻撃面の減少」 を選択します。 3. 「攻撃面の減少」画面から、「ポリシーの作成」 を選択します。 4. 「プロファイルの追加」ウィザードの「プラットフォーム」プルダウンメニューから「Windows 10 […]

Intune でグループ ポリシー設定を構成する

Intune の設定を進めていくと、従来のオンプレミス環境のActive Directoryで設定するようなグループポリシー(GPO)を展開したいと考えるケースがあります。今回は、Intuneで用意されている、GPOの設定を展開するための手順を紹介します。 1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「ポリシー」カテゴリから、「構成プロファイル」 を選択します。 3. 「構成プロファイル」画面から、「プロファイルの追加」 を選択します。 4. 「プロファイルの作成」ブレードの、「名前」を入力します。 5. 「プロファイルの作成」ブレードの、「プラットフォーム」に「Windows 10 以降」を選択します。 6. 「プロファイルの作成」ブレードの、「プロファイルの種類」に「管理テンプレート」を選択します。 7. 「プロファイルの作成」ブレードの、「作成」を選択します。 8. 「管理用テンプレート プロファイル」の設定画面を確認し、管理カテゴリの「設定」を選択します。 9. 「管理用テンプレート プロファイル」の設定カテゴリのプルダウンから、「Windows」選択します。 あくまでも作成例のため、設定したい製品を選択してください。 10.「フォームのユーザー名とパスワードのオートコンプリート機能を有効にする」を検索し、「選択」します。 あくまでも作成例のため、設定したい設定名を選択してください。 11. 「フォームのユーザー名とパスワードのオートコンプリート機能を有効にする」設定画面から、「無効」を設定し「OK」を選択ます。 12. 「フォームのユーザー名とパスワードのオートコンプリート機能を有効にする」設定が「構成されていません」から「無効」に変更されたことを確認します。 13. 「管理テンプレート プロファイル」設定の割り当てから、割り当てるユーザー、またはグループを選択し展開を行います。 以上が、Intuneによるグループ ポリシー設定の構成と展開になります。

Intune に登録できるデバイスの種類を制限する

Intune を展開するにあたり初期状態では Windows 10 デバイスに限らず、MacOS 、iOS 、Android など様々なデバイスが登録が行えます。会社の都合でBYODの利用を認められない管理者の立場からすると、非常に困ったことが起こる可能性があります。Intune では ユーザーのMDMデバイスとして指定した種類しか許可しないということが可能です。  1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「デバイスの登録」カテゴリから、「デバイスの登録」 を選択します。 3. 「デバイスの登録」画面から、「登録制限」 を選択します。 4. 「登録制限」画面から、「作成の制限」 を選択します。 5. 「作成の制限」ウィザードの、「基本」タブ の「名前」と「説明」を入力します。 6. 入力後、「基本」タブ の「次へ」を選択します。 7. 「作成の制限」ウィザードの、「プラットフォームの設定」タブ から制限する条件を選択します。 8. 「プラットフォームの設定」を選択後、「次へ」を選択します。 9. 「作成の制限」ウィザードの、「割り当て」タブ にて、対象とする「グループ」を選択します。 10. 「作成の制限」ウィザードの、「確認および作成」タブ にて、「作成」を選択します。 11. 「デバイスの種類の資源」に規定よりも優先されるデバイスの種類の制限ルールが作成されたことを確認します。 以上が、デバイスの種類の制限の設定手順になります。

Intune に登録できるデバイス数の上限を限定する

Intune は ユーザーライセンスのため、一人のユーザーに対し複数のデバイスを登録することができます。デフォルトでは、1アカウントあたりのMDMデバイス登録数の上限は15デバイス(最大値)となっています。1名1台であれば、必要な時以外は制限してしまうことで余計な登録を防ぐことができるかもしれません。 1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「デバイスの登録」カテゴリから、「デバイスの登録」 を選択します。 3. 「デバイスの登録」画面から、「登録制限」 を選択します。 4. 「登録制限」画面から、「作成の制限」 を選択します。 5. 「作成の制限」ウィザードの、「基本」タブ の「名前」と「説明」を入力します。 6. 入力後、「基本」タブ の「次へ」を選択します。 7. 「作成の制限」ウィザードの、「デバイスの制限」タブ から「デバイスの制限」に上限とするデバイス数を選択します。 8. 「デバイスの制限」を選択後、「次へ」を選択します。 9. 「作成の制限」ウィザードの、「割り当て」タブ にえ、対象とする「グループ」を選択します。 10. 「作成の制限」ウィザードの、「確認および作成」タブ にて、「作成」を選択します。 11. 「登録制限」に規定よりも優先されるデバイスの上限数の制限ルールが作成されたことを確認します。 以上が、デバイスの登録上限の設定手順になります。