Enjoy LIFE and WORK！！

Intune IT Windows クラウドサービス

【Intune】構成プロファイルー設定カタログ編３（Device Guard/DMA ガード）

更新日：2022年3月22日

こちらとこちらで公開した続きで Intune 設定カタログのまとめになります。

本記事のポリシーは 2022/3/1 時点での情報となります。

前提

今回の記事ではWindows 10向けの [構成プロファイル] - [設定カタログ] の中で以下のカテゴリーを一覧でご紹介しています。

Device Guard

DAM ガード

私は使ったことないポリシーですが折角調べたので記事にしてみました。

Device Guard

カテゴリー名	ポリシー名（Intune）	サポートするWindows10エディション					説明
カテゴリー名	ポリシー名（Intune）	Home	Pro	Business	Enterprise	Education	説明
Device Guard	LSA CFG フラグ	×	〇	〇	〇	〇	Credential Guard の構成: 0 -以前に UEFI ロックを使用しないで構成された場合に、CredentialGuard をリモートからオフにします。1 - UEFI ロック付きで CredentialGuard をオンにします。2 - UEFI ロックなしで CredentialGuard をオンにします。
	System Guard の起動を構成する	×	〇	〇	〇	〇	安全な起動の構成: 0 - 管理対象外 (管理ユーザーによって構成可能)、1 - ハードウェアでサポートされている場合は安全な起動を有効にする、2 - 安全な起動を無効にする。
	プラットフォームのセキュリティ機能を必要とする	×	〇	〇	〇	〇	プラットフォームのセキュリティレベルを選択します: 1 - セキュアブートを使用して VBS をオンにします。3 - セキュアブートおよび DMA を使用して VBS をオンにします。DMA ではハードウェアサポートが必要です。
	仮想化ベースのセキュリティを有効にする	×	〇	〇	〇	〇	仮想化ベースのセキュリティ (VBS) をオンにする

DMA ガード

カテゴリー名	ポリシー名（Intune）	サポートするWindows10エディション					説明
カテゴリー名	ポリシー名（Intune）	Home	Pro	Business	Enterprise	Education	説明
DMA ガード	デバイス列挙ポリシー	×	〇	〇	〇	〇	これは、外部の DMA 対応デバイスに対して追加のセキュリティを提供するためのポリシーです。これにより、DMA の再マッピングまたはデバイスメモリの分離およびサンドボックスと互換性がない外部の DMA 対応デバイスの列挙をより細かく制御できます。デバイスメモリのサンドボックスを使用すると、OS では、デバイスの I/O メモリ管理ユニット (IOMMU) を使用して、周辺機器による許可されていない I/O またはメモリアクセスをブロックできます。言い換えると、OS によって特定のメモリ範囲が周辺機器に割り当てられます。割り当てられた範囲外のメモリに対する読み取りや書き込みが周辺機器によって試みられると、OS によってブロックされます。このポリシーが有効になるのは、Kernel DMA Protection がサポートされており、システムファームウェアによって有効になっている場合のみです。Kernel DMA Protection は、ポリシーやエンドユーザーによる制御ができないプラットフォーム機能です。製造時にシステムによってサポートされている必要があります。システムで Kernel DMA Protection がサポートされているかどうかを確認するには、MSINFO32.exe の概要ページにある Kernel DMA Protection フィールドをご覧ください。注: このポリシーは、1394 (Firewire)、PCMCIA、CardBus、ExpressCard デバイスには適用されません。サポートされている値: 0 - すべてブロックする (最も制限が厳しい): DMA 再マッピングと互換性のあるドライバーを持つデバイスでは、列挙はいつでも許可されます。DMA 再マッピングと互換性のないドライバーを持つデバイスでは、DMA の開始と実行が許可されることはありません。1 - ログインまたは画面のロック解除後のみ (既定値): DMA 再マッピングと互換性のあるドライバーを持つデバイスでは、列挙はいつでも許可されます。DMA 再マッピングと互換性のないドライバーを持つデバイスは、ユーザーが画面をロック解除した後にのみ列挙されます 2 - すべて許可する (最も制限が少ない): DMA 対応の外部 PCIe デバイスはすべて、いつでも列挙することができます

-Intune, IT, Windows, クラウドサービス

comment Cancel reply

関連記事

: PowerShell Windows

【PowerShell】表示切れを防ぐ方法

次にやることで忘れそうなのでメモです。 PowerShellで取得した情報を表示するさいに表示切れしてしまうのを回避する方法です。こちらでも使っているのですが改めてピンポイントで。

: IT Windows Windows Server 2016 Windows Server 2019 WSUS

【WSUS】WSUSのチューニングその１

今回はWSUSのチューニングのうち初歩的なものをその１としてご紹介します。 Windows Server 2019環境でのご紹介となりますがWindows Server 2016でも同手順となります。

: IT その他商品紹介

BTOノートパソコン

こんにちは！４年ほど使っていたドスパラのBTOノートパソコンがちょっと壊れたので久しぶりに買い替えてみました。

: Intune IT Windows クラウドサービス

【Intune】構成プロファイルー設定カタログ編２（Defender）

前回公開した BitLocker BITS Bluetooth の続きでDefenderになります。本記事のポリシーは 2022/3/1 時点での情報となります。

: SCCM Windows Windows Server 2016 Windows Server 2019

【SCCM】SCCMクライアントのアンインストール手順（コマンド）

都度調べてしまうので備忘録として記事にします。

PREV: 【Intune】構成プロファイルー設定カタログ編２（Defender）
NEXT: 【Intune】構成プロファイルー設定カタログ編４（Enterprise Cloud Print/Exploit Guard/Kerberos/Kiosk Browser/Lanman ワークステーション）

サイト内検索

人気の投稿

: Intune IT Windows クラウドサービス

2022/03/10

【Intune】構成プロファイルー設定カタログ編９（Microsoft Edge 以下その３）

: Intune IT Windows クラウドサービス

2022/03/09

【Intune】構成プロファイルー設定カタログ編８（Microsoft Edge 以下その２）

: Intune IT Windows クラウドサービス

2022/03/08

【Intune】構成プロファイルー設定カタログ編７（Microsoft Edge 以下その１）

: Intune IT Windows クラウドサービス

2022/03/07

【Intune】構成プロファイルー設定カタログ編６（Microsoft Edge）

: Intune IT Windows クラウドサービス

2022/03/04

【Intune】構成プロファイルー設定カタログ編５（Microsoft App Store）

カレンダー

Blog Stats

471,349 hits

Copyright© Live Free , 2024 All Rights Reserved.