次の方法で共有

Microsoft Defender for Businessのファイアウォール

Defender for Businessには、Windows ファイアウォールを介したファイアウォール機能が含まれています。 ファイアウォール保護は、デバイスとの間のフローが許可されるネットワーク トラフィックを決定する規則を確立することで、デバイスをセキュリティで保護するのに役立ちます。

ファイアウォール保護を使用して、さまざまな場所のデバイスでの接続を許可するかブロックするかを指定できます。 たとえば、ファイアウォール設定では、会社の内部ネットワークに接続されているが、デバイスが信頼されていないデバイスを持つネットワーク上にある場合に接続を防ぐデバイスでの受信接続を許可できます。

この記事では、以下について説明します。

ファイアウォール ポリシーとカスタム ルールを表示または編集する

Microsoft Defender ポータルを使用しているか、Intuneを使用してファイアウォール保護を管理しているかに応じて、次のいずれかの手順を使用します。

Microsoft Defender ポータルを使用してファイアウォール ポリシーを表示または編集する

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. ナビゲーション ウィンドウで、[デバイスの構成] を選択します。 ポリシーは、オペレーティング システムとポリシーの種類によって編成されます。

  3. オペレーティング システム タブ ( Windows クライアントなど) を選択します。

  4. [ ファイアウォール] を展開して、ポリシーの一覧を表示します。

  5. ポリシーを選択して詳細を表示します。 ポリシー設定の変更や詳細については、次の記事を参照してください。

Intune管理センターを使用してファイアウォール ポリシーを表示または編集する

  1. https://intune.microsoft.com に移動し、サインインします。 これで、Intune管理センターにいます。

  2. [ エンドポイント セキュリティ] を選択します

  3. [ ファイアウォール] を選択して、そのカテゴリのポリシーを表示します。 ファイアウォール保護用に定義されたカスタム 規則は、個別のポリシーとして一覧表示されます。 Intuneでのセキュリティ設定の管理に関するヘルプを表示するには、「Microsoft Intuneでエンドポイント セキュリティを管理する」を参照してください。

Microsoft Defender for Businessでファイアウォール ポリシーのカスタム 規則を管理する

カスタム ルールを使用して、ファイアウォール ポリシーの例外を定義できます。 つまり、カスタム ルールを使用して、特定の接続をブロックまたは許可できます。

ファイアウォール ポリシーのカスタム規則を作成する

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. [エンドポイント>デバイスの構成] に移動し、ポリシーの一覧を確認します。

  3. [ ファイアウォール ] セクションで、既存のポリシーを選択するか、新しいポリシーを追加します。

  4. [ 構成設定 ] ステップで、設定を確認します。 ドメイン ネットワークパブリック ネットワークプライベート ネットワークに必要な変更を加えます。

  5. カスタム ルールを作成するには、次の手順に従います。

    1. [ カスタム ルール] で、[ + ルールの追加] を選択します。 (最大 150 個のカスタム ルールを使用できます)。

    2. [ 新しいルールの作成 ] ポップアップで、ルールの名前と説明を指定します。

    3. プロファイルを選択します。 (オプションには、 ドメイン ネットワークパブリック ネットワーク、または プライベート ネットワークが含まれます)。

    4. [ リモート アドレスの種類 ] の一覧で、[ IP ] または [ アプリケーション ファイル パス] を選択します。

    5. [ ] ボックスで、適切な値を指定します。 手順 6d で選択した内容に応じて、IP アドレス、IP アドレス範囲、またはアプリケーション ファイル パスを指定できます。 ( 「ファイアウォールの設定」を参照してください)。

    6. [ 新しいルールの作成 ] ポップアップで、[ ルールの作成] を選択します。

  6. [ 構成設定 ] 画面で、[ 次へ] を選択します。

  7. [ ポリシーの確認 ] 画面で、ファイアウォール ポリシー設定に加えられた変更を確認します。 必要な変更を加え、[ポリシーの 作成] を選択します。

ファイアウォール ポリシーのカスタム規則を編集する

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. [エンドポイント>デバイスの構成] に移動し、ポリシーの一覧を確認します。

  3. [ ファイアウォール ] セクションで、既存のポリシーを選択するか、新しいポリシーを追加します。

  4. [ カスタム ルール] で、ルールの一覧を確認します。

  5. ルールを選択し、[編集] を選択 します。 ポップアップが開きます。

  6. カスタム ルールを編集するには、次の手順に従います。

    1. [ ルールの編集] ポップアップで、ルールの名前と説明を確認して編集します。

    2. 必要に応じて、ルールのプロファイルを確認して編集します。 (オプションには、 ドメイン ネットワークパブリック ネットワーク、または プライベート ネットワークが含まれます)。

    3. [ リモート アドレスの種類 ] の一覧で、[ IP ] または [ アプリケーション ファイル パス] を選択します。

    4. [ ] ボックスで、適切な値を指定します。 手順 6c で選択した内容に応じて、IP アドレス、IP アドレス範囲、またはアプリケーション ファイル パスを指定できます。 ( 「ファイアウォールの設定」を参照してください)。

    5. [ルールの有効化][オン] に設定して、ルールをアクティブにします。 または、ルールを無効にするには、スイッチを [オフ] に設定します。

    6. [ ルールの編集] ポップアップで、[ ルールの更新] を選択します。

  7. [ 構成設定 ] 画面で、[ 次へ] を選択します。

  8. [ ポリシーの確認 ] 画面で、ファイアウォール ポリシー設定に加えられた変更を確認します。 必要な変更を加え、[ポリシーの 作成] を選択します。

カスタム ルールを削除する

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. [エンドポイント>デバイスの構成] に移動し、ポリシーの一覧を確認します。

  3. [ ファイアウォール ] セクションで、既存のポリシーを選択するか、新しいポリシーを追加します。

  4. [ カスタム ルール] で、ルールの一覧を確認します。

  5. ルールを選択し、[削除] を選択 します。 ポップアップが開きます。

  6. 確認画面で、[削除] を選択 します

Defender for Businessの既定のファイアウォール設定

Defender for Businessには、1 日目から会社のデバイスを保護するのに役立つ既定のファイアウォール ポリシーと設定が含まれています。 会社のデバイスがDefender for Businessにオンボードされるとすぐに、既定のファイアウォール ポリシーは次のように機能します。

  • デバイスからの送信接続は、場所に関係なく、既定で許可されます。
  • デバイスが会社のネットワークに接続されている場合、すべての受信接続は既定でブロックされます。
  • デバイスがパブリック ネットワークまたはプライベート ネットワークに接続されている場合、すべての受信接続が既定でブロックされます。

Defender for Businessでは、受信接続をブロックまたは許可する例外を定義できます。 これらの例外は、 カスタム ルールを作成して定義します。

Defender for Businessで構成できるファイアウォール設定

Defender for Businessには、Windows ファイアウォールを介したファイアウォール保護が含まれています。 次の表に、Defender for Businessで構成できる設定を示します。

Setting 説明
ドメイン ネットワーク ドメイン ネットワーク プロファイルは、会社のネットワークに適用されます。 ドメイン ネットワークのファイアウォール設定は、同じネットワーク上の他のデバイスで開始される受信接続に適用されます。 既定では、受信接続は [すべてブロック] に設定されます。
パブリック ネットワーク パブリック ネットワーク プロファイルは、コーヒー ショップや空港などのパブリックな場所で使用できるネットワークに適用されます。 パブリック ネットワークのファイアウォール設定は、同じネットワーク上の他のデバイスで開始される受信接続に適用されます。 パブリック ネットワークには、知らないデバイスや信頼されていないデバイスを含めることができるため、受信接続は既定で [すべてブロック ] に設定されています。
プライベート ネットワーク プライベート ネットワーク プロファイルは、自宅などのプライベートな場所にあるネットワークに適用されます。 プライベート ネットワークのファイアウォール設定は、同じネットワーク上の他のデバイスで開始される受信接続に適用されます。 一般に、同じプライベート ネットワーク上のすべてのデバイスは信頼できるデバイスと見なされます。 ただし、既定では、受信接続は [すべてブロック] に設定されています。
カスタム ルール カスタム ルール を使用すると、特定の接続をブロックまたは許可できます。 たとえば、デバイス上の特定のアプリ経由の接続を除き、プライベート ネットワークに接続されているデバイス上のすべての受信接続をブロックする必要があります。 [ プライベート ネットワーク ] を設定してすべての受信接続をブロックし、カスタム規則を追加して例外を定義します。

カスタム ルールを使用して、特定のファイル、アプリ、または IP アドレスの例外を定義できます。 例:
  • アプリ ファイル パス: C:\Windows\System\Notepad.exe または %WINDIR%\Notepad.exe
  • 単一の IPv4 または IPv6 アドレス: 192.168.11.0 または fd12:3456:789a:1::1
  • IPv4 または IPv6 クラスレス Inter-Domain ルーティング (CIDR):192.168.1.0/24 または fd12:3456:789a::/64
  • IPv4 または IPv6 アドレス範囲: 192.168.1.0-192.168.1.9 または fd12:3456:789a::1—fd12:3456:789a::ffff (スペースなし)。

次の手順

  • Last updated on