Windows 10 の USB接続デバイスについての制御は、以前から非常に多くの問い合わせがあった制御です。
以前までは、カスタムポリシーからOMA-URIを指定して制御する必要がありました。
11月のアップデートで Windows Defender の機能を利用してリムーバブル記憶域の制御を行える項目が 管理センターに追加されました。
これは、以下の2020年9月のデバイス制御プロファイルへのアップデートでした。
対象となる CSP は以下の記載になります。
対応するOSやエディション は Pro 以上であれば利用でき、Windows 10 1809 以降のバージョンであれば利用できるようです。
Windows Defender for Endpoint の ポリシーなので、E5必須と思いそうですがそうではないようです。
※ CSP のサポート欄にProにチェックが入っているため利用は問題ないそうです。(by サポート)
実際に、Windows 10 1909 Pro と Windows 10 20H2 E3 において、該当のポリシーを割り当てた結果、以下のようにブロックされることが確認できました。
今回利用するポリシーは「書き込み」だけでなく、「読み込み」もブロックしてしまう点に注意してください。
1. Microsoft Endpoint Manager admin center を開き、「エンドポイント セキュリティ」を確認します。
2. 「管理」カテゴリから、「攻撃面の減少」 を選択します。
3. 「攻撃面の減少」画面から、「ポリシーの作成」 を選択します。
4. 「プロファイルの追加」ウィザードの「プラットフォーム」プルダウンメニューから「Windows 10 以降」 を選択します。
5. 「プロファイルの追加」ウィザードの「プロファイル」プルダウンメニューから「Windows 10 以降」 を選択します。
6. 「プロファイルの追加」ウィザードの「プロファイル」プルダウンメニューから「デバイス制御」 を選択します。
7. 「プロファイルの追加」ウィザードの「作成」 を選択します。
8. 「プロファイルの作成」ウィザードの「名前」欄に追加するポリシーの名前 を入力し、「次へ」を選択します。
9. 「プロファイルの作成」ウィザードの「基本構成」において、 「リムーバブル記憶域をブロックする」メニューから「はい」を選択し、「次へ」を選択します。
10. 「プロファイルの作成」ウィザードの「割り当て」において、 ポリシーを割り当てる「グループ」情報を選択し、「次へ」を選択します。
11. 「プロファイルの作成」ウィザードの「確認および作成」を確認し、作成を行います。
12. 作成したポリシーが割り当たったデバイス上で「プロファイルの割り当て状態」が「成功」となっていることを確認します。
13. 「モニター」カテゴリの「デバイスの状態」で各クライアントのステータスを確認できます。
14. ポリシーを割り当てたPC上でUSBメディアやCD-ROMなどのドライブへのアクセスがブロックされたことを確認します。
以上が、Intune による リムーバブル記憶域の制御になります。
