Intuneを使ってMicrosoft EdgeのPUAの保護を有効にする

当ページのリンクには広告が含まれています。

本記事では下記記事の追加対策として、Microsoft Intune を使ってMicrosoft EdgeのPUAの保護を設定で対応した記録となります。

別記事で Microsoft Intune を使ってDefenderのPUAの保護の設定も紹介しています。

実際にWindows端末で有効化を行い、動作検証を実施しました。

目次

検証環境

  • Microsoft 365 Business Premium プラン
  • 作業端末:Windows 11 Pro

Microsoft Intuneによる設定

  1. Microsoft Intune 管理センターを開く。
  2. デバイス > 構成 > 作成 を開いて「新しいポリシー」をクリックする。
  1. プラットフォーム「Windows 10 以降」、プロファイルの種類「テンプレート」、テンプレート名「管理用テンプレート」を選択して「作成」をクリック。
  1. 構成設定タブで、「望ましくない可能性のあるアプリをブロックするようにMicrosoft Defender SmartScreenを構成する」の設定値を「有効」に変更します。
  1. あとは適切なグループに割当を行い終了です。

望ましくない可能性のあるアプリケーション(PUA)とは

Microsoft では、特定のカテゴリとカテゴリ定義を使用して、ソフトウェアを PUA として分類しています。

ソフトウェアの種類説明
広告ソフトウェア広告やプロモーションを表示するソフトウェア、または他の製品やサービスの調査を完了するように求めるソフトウェア。これには、Webページに広告を挿入するソフトウェアが含まれます。
Torrent ソフトウェア (エンタープライズのみ)ピアツーピアのファイル共有テクノロジで特に使用される急流やその他のファイルを作成またはダウンロードするために使用されるソフトウェア。
暗号化ソフトウェア (エンタープライズのみ)デバイスリソースを使用して暗号通貨をマイニングするソフトウェア。
バンドルソフトウェア同じエンティティによって開発されていない、またはソフトウェアを実行するために必要ではない他のソフトウェアをインストールすることを提供するソフトウェア。また、このドキュメントに記載されている条件に基づいてPUAとして適格な他のソフトウェアをインストールすることを提供するソフトウェア。
マーケティングソフトウェアマーケティング調査のために、ユーザーの活動を監視し、それ以外のアプリケーションまたはサービスに送信するソフトウェア。
回避ソフトウェアセキュリティ製品の存在下で動作が異なるソフトウェアを含め、セキュリティ製品による検出を積極的に回避しようとするソフトウェア。
業界の評判が低い信頼できるセキュリティプロバイダーがセキュリティ製品で検出するソフトウェア。セキュリティ業界は、顧客の保護とエクスペリエンスの向上に専念しています。Microsoftとセキュリティ業界の他の組織は、分析したファイルに関する知識を継続的に交換して、ユーザーに可能な限り最高の保護を提供します。
望ましくない可能性のあるアプリケーション(PUA)一覧

サンプル Microsoft EdgeのPUAの保護を有効にする設定例

ふぅたこ環境の設定例をまとめてみました。

  1. PUAの保護とSmartScreenを有効化したサンプルを下記に記載します。
ふぅたこ

利用する環境で最適解は異ります。
適切にカスタマイズしてください。

構成設定推奨
望ましくない可能性のあるアプリをブロックするように Microsoft Defender SmartScreen を構成する有効にする。ユーザーがインターネットからダウンロードした望ましくない可能性のあるアプリに関する警告メッセージを無視できないようにします。
Microsoft Defender SmartScreen を構成する有効にする。 Microsoft Defender SmartScreen をオンにします。
Windows Defender SmartScreen を構成します有効にして [警告してバイパスを回避] オプションを選択。 ユーザーがインターネットからダウンロードした悪意のあるファイルに関する警告メッセージを無視できないようにします。
ダウンロードに関する Microsoft Defender SmartScreen の警告をバイパスしない有効にする。ユーザーがMicrosoft Defender SmartScreen の警告を無視できず、未確認のダウンロードを完了することはできません。
サイトに関する Microsoft Defender SmartScreen プロンプトをバイパスしない有効にする。 ユーザーが警告メッセージを無視し、悪意のある可能性のある Web サイトへのアクセスを停止します。
Intuneの構成設定(PUAの保護・SmartScreen)

組織に推奨されるグループ ポリシー設定と MDM 設定をMicrosoftのページを参考に設定追加しました。

修正 一般的にダウンロードされてないファイルの制限を除外

業務向けのソフトウェアだと発生する可能性がある、「一般的にダウンロードされていません」の表示が出てしまうファイルが保存できなくなりました。

ドメインやファイル単位でのバイパス方法が見つからなかったため、ポリシーを1つ未構成に戻しました。

構成設定推奨
ダウンロードに関する Microsoft Defender SmartScreen の警告をバイパスしない未構成に戻しました。ユーザーがMicrosoft Defender SmartScreen の警告を無視できず、未確認のダウンロードを完了することはできません。
Intuneの構成設定から一般的にダウンロードされていませんのバイパス(SmartScreen)
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次