Intuneを利用したWindows Defenderウイルス対策の管理

皆さんこんにちは。国井です。
ウイルス対策ソフトって使ってますか?
以前だったら、こんな質問すれば「〇〇使ってます」って答えが明確に帰ってきていたと思います。なぜなら、自分でインストールしたから。
でも、Windows 10ではウイルス対策ソフトとして、Windows Defenderウイルス対策が搭載されているので、インストールするって機会もなくなってしまいましたよね(他社製品を使わない限り)。
だけど、他社製品と同等かといわれると、それは違うと思います。
シマンテックのウイルス対策で言えば、ノートンを買って入れているような状態で、
会社で一元的な管理をするSEP (Symantec Endpoint Protection) のようなものとは管理形態が全然違うわけです。

そこで、今日はMicrosoft Intuneを利用してWindows Defenderウイルス対策の一元管理が他社製品のようにできないか、考察してみたいと思います。

Windows Defenderウイルス対策の初期設定

一般的なウイルス対策ソフトなら、各PCへのインストールが必要になるけど、
Windows 10の場合は最初から実装されているので、インストールは要らないですね。
当たり前のことなんだけど、なんかうれしい。

スキャンスケジュールの設定

定期的なスキャンやリアルタイムスキャンの有効化などはIntuneのプロファイルから、まとめて設定できます。
Intuneのプロファイルは、デバイス構成 > プロファイルから Windows 10 – デバイスの制限 のプロファイルを作成すると、Windows Defenderウイルス対策に関するプロファイル項目が利用できるようになります。

image

Windows Defenderウイルス対策のプロファイル項目で、スキャンのスケジュールを設定します。
下の画面では、クイックスキャンは毎日お昼(12:00)になったら、フルスキャンは金曜日の18:00にそれぞれ実行するような設定にしています。

image

よくご質問でいただくのが、設定したスケジュールにPCの電源が入っていなかったらどうなるの?というのがありますが、Windows Defenderウイルス対策では「キャッチアップスキャン」と呼ばれる設定により、次回PCが起動したタイミングで「まだ行っていないスケジュールスキャン」をさかのぼって実行します。ちなみにキャッチアップスキャンもプロファイルで無効化できます。

スキャン設定の変更不可設定

Microsoft Intuneのプロファイルから展開された設定は強制されるため、ユーザーが手動で設定変更することはできません。これにより「ウイルス対策ソフト重たいなあ、そしたら機能を停止させちゃえ!」ということもできなくなります。
プロファイル設定はIntuneから設定を配布するだけでなく、設定を強制する効果があるので、プロファイルで設定すればユーザーが設定を変えることはできません。
同じ理由で[リアルタイム監視]を有効にしておけば、リアルタイムスキャンの設定も変えられないようにできます。

image

上の画面では、リアルタイム監視の有効化に加えて、DNSサーバーにレコードを書き込むなどの怪しい動きを監視する[動作の監視]やダウンロードコンテンツをリアルタイムスキャンする[すべてのダウンロードをスキャンする]も一緒に有効にしています。

定義ファイルの更新

ウイルス定義ファイル(トレンドマイクロ的に言うとパターンファイル)はWindows Updateを実行して入手します。既定では、各自のPCから[Windows Defenderセキュリティセンター]を開いて、[更新プログラムのチェック]をクリックして定義ファイルを入手しますが、

image
これを今すぐ実行したい場合、PowerShellの「Update-MpSignature」コマンドレットをクライアントコンピューターで実行します。
これを使ってIntuneから一元的に管理するのであれば、デバイス構成 > PowerShell スクリプトの設定項目からPowerShellコマンドレットが含まれるスクリプトを追加すれば、クライアントコンピューター上で1日1回自動的にウイルス定義ファイルを取得しに行くように設定できます。(1日1回のタイミングはIntuneの設定で変えられません…)

ちなみに、定義ファイルはWindows Updateの機能を使って取得します。ただし、定義ファイルは品質更新プログラムでも、機能更新プログラムでもないので、IntuneからWindows Update for Businessポリシーの設定を使って更新をコントロールすることはできません。

マルウェア検出時の対応

マルウェアを発見した時にはWindows Defenderウイルス対策であらかじめ設定されている処理方法に基づき、対応をしてくれます。設定をIntuneから変更する場合、
デバイス構成 > プロファイル > Windows 10 – デバイスの制限 > Windows Defenderウイルス対策から[検出されたマルウェアの脅威に対するアクション]で設定します。

image

検疫されたコンテンツの処理

マルウェア検出時の対応で検疫を選択した場合、マルウェアはローカルのコンピューターに実行できない状態にファイルを変換し、保存します。保存されたファイルに対する操作はローカルから行う必要があるので、Intuneの出る幕ではないですね。

マルウェア検出時の管理者への通知・レポート

マルウェアスキャン結果はIntuneのレポートにあったと記憶しているのですが、ないんですよね。Intune PowerShellにもなかったので。

アウトブレイク対応

「今すぐマルウェアスキャンしなさい」という命令をアウトブレイク対応という言葉で表現していますが、これもIntuneからはできない操作です。

■ ■ ■

こうやって見てみると色々足りない機能もありますが、これからの動向をウォッチしながらIntuneの機能が充実していくのを待ちたいと思います。