本記事では下記記事の追加対策として、Microsoft Intune を使ってMicrosoft EdgeのPUAの保護を設定で対応した記録となります。
別記事で Microsoft Intune を使ってDefenderのPUAの保護の設定も紹介しています。
Intuneを使ってDefenderのPUAの保護を有効にする
Microsoft Defender でセキュアスコアを確認していたところ、ブロック モードで PUA の保護を有効にする の項目が要対処でした。 本記事は Microsoft Intune を使ってDe…
実際にWindows端末で有効化を行い、動作検証を実施しました。
目次
検証環境
- Microsoft 365 Business Premium プラン
- 作業端末:Windows 11 Pro
Microsoft Intuneによる設定
- Microsoft Intune 管理センターを開く。
- デバイス > 構成 > 作成 を開いて「新しいポリシー」をクリックする。
- プラットフォーム「Windows 10 以降」、プロファイルの種類「テンプレート」、テンプレート名「管理用テンプレート」を選択して「作成」をクリック。
- 構成設定タブで、「望ましくない可能性のあるアプリをブロックするようにMicrosoft Defender SmartScreenを構成する」の設定値を「有効」に変更します。
- あとは適切なグループに割当を行い終了です。
望ましくない可能性のあるアプリケーション(PUA)とは
Microsoft では、特定のカテゴリとカテゴリ定義を使用して、ソフトウェアを PUA として分類しています。
ソフトウェアの種類 | 説明 |
---|---|
広告ソフトウェア | 広告やプロモーションを表示するソフトウェア、または他の製品やサービスの調査を完了するように求めるソフトウェア。これには、Webページに広告を挿入するソフトウェアが含まれます。 |
Torrent ソフトウェア (エンタープライズのみ) | ピアツーピアのファイル共有テクノロジで特に使用される急流やその他のファイルを作成またはダウンロードするために使用されるソフトウェア。 |
暗号化ソフトウェア (エンタープライズのみ) | デバイスリソースを使用して暗号通貨をマイニングするソフトウェア。 |
バンドルソフトウェア | 同じエンティティによって開発されていない、またはソフトウェアを実行するために必要ではない他のソフトウェアをインストールすることを提供するソフトウェア。また、このドキュメントに記載されている条件に基づいてPUAとして適格な他のソフトウェアをインストールすることを提供するソフトウェア。 |
マーケティングソフトウェア | マーケティング調査のために、ユーザーの活動を監視し、それ以外のアプリケーションまたはサービスに送信するソフトウェア。 |
回避ソフトウェア | セキュリティ製品の存在下で動作が異なるソフトウェアを含め、セキュリティ製品による検出を積極的に回避しようとするソフトウェア。 |
業界の評判が低い | 信頼できるセキュリティプロバイダーがセキュリティ製品で検出するソフトウェア。セキュリティ業界は、顧客の保護とエクスペリエンスの向上に専念しています。Microsoftとセキュリティ業界の他の組織は、分析したファイルに関する知識を継続的に交換して、ユーザーに可能な限り最高の保護を提供します。 |
Microsoft がマルウェアと望ましくない可能性のあるアプリケーションを識別する方法 – Microsoft Defender …
Microsoft がプライバシー違反やその他の否定的な動作についてソフトウェアをレビューして、ソフトウェアがマルウェアか望ましくない可能性のあるアプリケーションかを判断…
サンプル Microsoft EdgeのPUAの保護を有効にする設定例
ふぅたこ環境の設定例をまとめてみました。
- PUAの保護とSmartScreenを有効化したサンプルを下記に記載します。
ふぅたこ
利用する環境で最適解は異ります。
適切にカスタマイズしてください。
構成設定 | 推奨 |
---|---|
望ましくない可能性のあるアプリをブロックするように Microsoft Defender SmartScreen を構成する | 有効にする。ユーザーがインターネットからダウンロードした望ましくない可能性のあるアプリに関する警告メッセージを無視できないようにします。 |
Microsoft Defender SmartScreen を構成する | 有効にする。 Microsoft Defender SmartScreen をオンにします。 |
Windows Defender SmartScreen を構成します | 有効にして [警告してバイパスを回避] オプションを選択。 ユーザーがインターネットからダウンロードした悪意のあるファイルに関する警告メッセージを無視できないようにします。 |
ダウンロードに関する Microsoft Defender SmartScreen の警告をバイパスしない | 有効にする。ユーザーがMicrosoft Defender SmartScreen の警告を無視できず、未確認のダウンロードを完了することはできません。 |
サイトに関する Microsoft Defender SmartScreen プロンプトをバイパスしない | 有効にする。 ユーザーが警告メッセージを無視し、悪意のある可能性のある Web サイトへのアクセスを停止します。 |
組織に推奨されるグループ ポリシー設定と MDM 設定をMicrosoftのページを参考に設定追加しました。
使用可能な Microsoft Defender SmartScreen 設定
グループ ポリシーとモバイル デバイス管理 (MDM) 設定を使用して Microsoft Defender SmartScreen で使用可能なすべての設定の一覧。
修正 一般的にダウンロードされてないファイルの制限を除外
業務向けのソフトウェアだと発生する可能性がある、「一般的にダウンロードされていません」の表示が出てしまうファイルが保存できなくなりました。
ドメインやファイル単位でのバイパス方法が見つからなかったため、ポリシーを1つ未構成に戻しました。
構成設定 | 推奨 |
---|---|
ダウンロードに関する Microsoft Defender SmartScreen の警告をバイパスしない | 未構成に戻しました。ユーザーがMicrosoft Defender SmartScreen の警告を無視できず、未確認のダウンロードを完了することはできません。 |
コメント