IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSIntune > 【Microsoft Intune】WindowsPC USBデバイス使用制限
最終更新日

【Microsoft Intune】WindowsPC USBデバイス使用制限

MSIntune インフラ

Microsoft Intune USBデバイス 使用制限

Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、USBデバイスの使用制限の設定例を紹介します。
これにより、組織内の管理デバイスにおいて、特定のUSBデバイスのみ使用を許可することができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium
  • 管理デバイス環境:Windows 11

 

 

Intuneによる設定方法について

この記事で紹介するMicrosoft IntuneによるUSBデバイスの使用制限の方法は、公式記事に掲載されている通り、Microsoft Intuneのデバイス構成ポリシーの管理用テンプレートを使用します。

図表1-1 USBデバイスの使用制限に関する公式記事

図表1-1 USBデバイスの使用制限に関する公式記事

 

使用許可USBデバイスの情報確認

今回は以下三種類のUSBデバイスの使用のみを許可することにします。

  • USBキーボード
  • USBマウス
  • USBメモリ


管理デバイスとなるWindows PCにそれらのデバイスを接続し、[デバイスマネージャー]の[プロパティ]の[詳細]タブで以下の値を控えておきます。

  • クラスGUID:デバイスの種類を識別するための一意の値で、デバイスクラスに応じて分類されます(キーボード、マウス、USBデバイス等)。
  • ハードウェアID:特定のデバイスを識別するための一意の値で、同じ機種でも個々のデバイスや製造時期・ロットによって異なる値が割り当てられることがあります(必ずしも個々のデバイスによって一意という訳ではない)。

図表2-1 デバイスマネージャーで対象デバイスを確認

図表2-1 デバイスマネージャーで対象デバイスを確認

 

この例で使用を許可するUSBキーボードの情報です。

図表2-2 デバイスマネージャーのUSBキーボードの情報

図表2-2 デバイスマネージャーのUSBキーボードの情報

 

この例で使用を許可するUSBマウスの情報です。

図表2-3 デバイスマネージャーのUSBマウスの情報

図表2-3 デバイスマネージャーのUSBマウスの情報

 

この例で使用を許可するUSBメモリの情報です。

図表2-4 デバイスマネージャーのUSBメモリの情報

図表2-4 デバイスマネージャーのUSBメモリの情報

 

Intune管理C デバイス構成ポリシー設定

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>構成]を選択し、[作成>新しいポリシー]を選択します。

図表3-1 Intune管理センターのデバイス構成ポリシー作成へ

図表3-1 Intune管理センターのデバイス構成ポリシー作成へ

 

以下の通り設定し、[作成]、[次へ]を選択します。

  • プラットフォーム:Windows10以降
  • プロファイルの種類:テンプレート
  • テンプレート名:管理テンプレート
  • 名前:(プロファイルの概要が分かる名前を適宜設定)

図表3-2 デバイス構成ポリシー作成(基本)

図表3-2 デバイス構成ポリシー作成(基本)

 

[構成設定]画面で、[すべての設定]を選択し、検索欄に[他のポリシー]と入力し、[他のポリシー設定で記述されていないデバイスのインストールを禁止する]を選択します。
[有効]を選択し、[OK]を選択します。

*設定名が長すぎて画面上見切れていますが、設定名にカーソルを当てるとポップアップ表示されます

図表3-3 デバイス構成ポリシー作成(構成設定1)

図表3-3 デバイス構成ポリシー作成(構成設定1)

 

同じ画面の検索欄に[これらのデバイス]と入力し、[これらのデバイス セットアップ クラスと一致するドライバーを使用したデバイスのインストールを許可する]を選択します。
[有効]を選択し、図表2-2から4で控えたクラスGUIDの値を追加し、[OK]を選択します。

*[これらのデバイス セットアップ クラスと一致するドライバーを使用したデバイスのインストールを禁止する]という設定名と間違えないよう注意します

図表3-4 デバイス構成ポリシー作成(構成設定2)

図表3-4 デバイス構成ポリシー作成(構成設定2)

 

さらに同じ画面で、[これらのデバイス IDと一致するデバイスのインストールを許可する]を選択します。
[有効]を選択し、図表2-2から4で控えたハードウェアIDの値を追加し、[OK]を選択します。

*[これらのデバイス ID と一致するデバイスのインストールを禁止する]という設定名と間違えないよう注意します

図表3-5 デバイス構成ポリシー作成(構成設定3)

図表3-5 デバイス構成ポリシー作成(構成設定3)

 

[スコープタグ]画面は特に何も設定せず、[次へ]を選択します。

図表3-6 デバイス構成ポリシー作成(スコープタグ)

図表3-6 デバイス構成ポリシー作成(スコープタグ)

 

[割り当て]画面で、[組み込まれたグループ]の[グループを追加]を選択します。
制御対象にしたいデバイスグループにチェックをつけ、[選択]ボタンを押します。
元の画面で[次へ]を選択します。
特に何も指定せず、[次へ]を選択します。
USBデバイスの使用制限の対象としたいデバイスグループがない場合は、Microsoft Intune管理センターの左メニューの[グループ]から作成しておきます。

図表3-7 デバイス構成ポリシー作成(割り当て)

図表3-7 デバイス構成ポリシー作成(割り当て)

 

設定内容を確認し、問題なければ[作成]を選択します。

図表3-8 デバイス構成ポリシー作成(確認と作成)

図表3-8 デバイス構成ポリシー作成(確認と作成)

 

デバイス構成ポリシーの一覧画面が表示されたら、[最新の情報に更新]を選択します。
作成したポリシーが表示されたらこれを選択します。

図表3-9 デバイス構成ポリシー一覧

図表3-9 デバイス構成ポリシー一覧

 

暫く時間を置くと、適用状況が更新されます。
対象デバイスのIntune管理ポータルアプリにて[同期]を行うと、早く反映されるようです。

図表3-10 デバイス構成ポリシー適用状況

図表3-10 デバイス構成ポリシー適用状況

 

ユーザーPC 動作確認

適用に成功した管理デバイス(Windows PC)上で、許可したUSBデバイスが使用できることを確認します。
USBキーボードとUSBマウスが動作し、USBメモリの書き込みも問題なく行える筈です。
また、画面イメージのように、イベントビューア上もこれまでと変わらず認識エラー等は発生していません。

図表4-1 許可済USBデバイスの動作確認

図表4-1 許可済USBデバイスの動作確認

 

許可していないUSBデバイス(この例ではLogicoolのUSBヘッドセット)をPCに接続すると、画面イメージのように許可されていない旨が確認でき、使用することはできませんでした。

図表4-2 未許可USBデバイス(USBヘッドセット)の動作確認

図表4-2 未許可USBデバイス(USBヘッドセット)の動作確認

 

許可していないスマートフォンをPCに接続した場合も同様でした。充電はできましたが、データの授受はできませんでした。

図表4-3 未許可USBデバイス(スマホ)の動作確認

図表4-3 未許可USBデバイス(スマホ)の動作確認

 

おわりに(運用設計が難しい)

この記事で紹介した通り、IntuneによるUSBデバイスの使用制限は機能的には実施できます。しかし、実際に実施してみると、特にデバイスIDの管理がとても大変だと感じるのではないでしょうか。
細かい周辺機器を含めて組織で使用するUSBデバイスを限定していなければ、この方法での運用は難しいように思います。
USBメモリ等の外部記憶媒体による情報持ち出しを防止するなら、サードパーティのサービス(ISM Cloud Oneの外部デバイス制御等)を導入した方が運用しやすいように思います。また、デバイスだけでなく取扱いデータ自体の制御(Microsoft PurviewのInformation ProtectionやDLP等)も併せて検討する必要があると考えます。