MEM (Intune)で外部メモリの制限
USBメモリ等の持ち出し可能な記憶装置には、簡単にデータのやり取りができる一方で、データの不正な持ち出しや紛失してしまうというリスクがあります。
これらのリスクに対してIntuneを利用して出来る制限をかけてみましょう。
リムーバブル記憶域へのアクセスをブロックする
- 構成プロファイル > デバイス制限プロファイル > 全般 から「リムーバブル記憶域」設定をブロックする
このポリシーがパソコンに配布されると以下の挙動となりました
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevicesのDeny_Allの値が1になる
- リムーバブルディスクを開こうとするとアクセスが拒否される
- USBメモリ、SDカード(PC搭載のスロット)、DVD(PC搭載)、スマホ(ファイル転送/PTP)で全てアクセスが拒否されました
リムーバブル記憶域への書き込みをブロックする
- エンドポイントセキュリティ > デバイス制御プロファイルを作成する
- 「リムーバブル記憶域への書き込みアクセスをブロックする」を【はい】に設定する
このプロファイルをパソコンに配布すると以下の挙動となりました
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}のDeny_Writeの値が 1 になる
- 接続したUSBメモリにファイルを書き込もうとするとアクセスが拒否される
- 「続行」を選択しても拒否されます
- USBメモリへの書き込みはブロックされました
- SDカード(PC搭載のスロット)、DVD(PC搭載)、スマホスマホ(ファイル転送/PTP)はブロックされませんでした
網羅的に検証できているわけではないので環境の問題とかあるかもしれませんが、
SDカード、DVD、スマホについては、管理用テンプレートから書き込みアクセス権の拒否を設定したところブロックされることを確認できました。
- 構成プロファイル > 管理用テンプレートから「CDおよびDVD:書き込みアクセス権の拒否」設定を有効にする
- 「WPDデバイス:書き込みアクセス権の拒否」を有効にする