こちらとこちらで公開した続きで Intune 設定カタログのまとめになります。
本記事のポリシーは 2022/3/1 時点での情報となります。
前提
今回の記事ではWindows 10向けの [構成プロファイル] - [設定カタログ] の中で以下のカテゴリーを一覧でご紹介しています。
Device Guard
DAM ガード
私は使ったことないポリシーですが折角調べたので記事にしてみました。
Device Guard
カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
Home | Pro | Business | Enterprise | Education | |||
Device Guard | LSA CFG フラグ | × | 〇 | 〇 | 〇 | 〇 | Credential Guard の構成: 0 -以前に UEFI ロックを使用しないで構成された場合に、CredentialGuard をリモートからオフにします。1 - UEFI ロック付きで CredentialGuard をオンにします。2 - UEFI ロックなしで CredentialGuard をオンにします。 |
System Guard の起動を構成する | × | 〇 | 〇 | 〇 | 〇 | 安全な起動の構成: 0 - 管理対象外 (管理ユーザーによって構成可能)、1 - ハードウェアでサポートされている場合は安全な起動を有効にする、2 - 安全な起動を無効にする。 | |
プラットフォームのセキュリティ機能を必要とする | × | 〇 | 〇 | 〇 | 〇 | プラットフォームのセキュリティレベルを選択します: 1 - セキュア ブートを使用して VBS をオンにします。3 - セキュア ブートおよび DMA を使用して VBS をオンにします。DMA ではハードウェア サポートが必要です。 | |
仮想化ベースのセキュリティを有効にする | × | 〇 | 〇 | 〇 | 〇 | 仮想化ベースのセキュリティ (VBS) をオンにする |
DMA ガード
カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
Home | Pro | Business | Enterprise | Education | |||
DMA ガード | デバイス列挙ポリシー | × | 〇 | 〇 | 〇 | 〇 | これは、外部の DMA 対応デバイスに対して追加のセキュリティを提供するためのポリシーです。これにより、DMA の再マッピングまたはデバイス メモリの分離およびサンドボックスと互換性がない外部の DMA 対応デバイスの列挙をより細かく制御できます。デバイス メモリのサンドボックスを使用すると、OS では、デバイスの I/O メモリ管理ユニット (IOMMU) を使用して、周辺機器による許可されていない I/O またはメモリ アクセスをブロックできます。言い換えると、OS によって特定のメモリ範囲が周辺機器に割り当てられます。割り当てられた範囲外のメモリに対する読み取りや書き込みが周辺機器によって試みられると、OS によってブロックされます。このポリシーが有効になるのは、Kernel DMA Protection がサポートされており、システム ファームウェアによって有効になっている場合のみです。Kernel DMA Protection は、ポリシーやエンド ユーザーによる制御ができないプラットフォーム機能です。製造時にシステムによってサポートされている必要があります。システムで Kernel DMA Protection がサポートされているかどうかを確認するには、MSINFO32.exe の概要ページにある Kernel DMA Protection フィールドをご覧ください。注: このポリシーは、1394 (Firewire)、PCMCIA、CardBus、ExpressCard デバイスには適用されません。サポートされている値: 0 - すべてブロックする (最も制限が厳しい): DMA 再マッピングと互換性のあるドライバーを持つデバイスでは、列挙はいつでも許可されます。DMA 再マッピングと互換性のないドライバーを持つデバイスでは、DMA の開始と実行が許可されることはありません。1 - ログインまたは画面のロック解除後のみ (既定値): DMA 再マッピングと互換性のあるドライバーを持つデバイスでは、列挙はいつでも許可されます。DMA 再マッピングと互換性のないドライバーを持つデバイスは、ユーザーが画面をロック解除した後にのみ列挙されます 2 - すべて許可する (最も制限が少ない): DMA 対応の外部 PCIe デバイスはすべて、いつでも列挙することができます |