Google Workspace MDM (モバイルデバイス管理) は、Windowsデバイスの基本的な管理機能を提供しています。これには、Windows Defenderのウイルス対策ポリシーの一部をGoogle Workspace管理コンソールから設定し、統制する機能も含まれます。
この記事を読んだほうが良い人
- Google WorkspaceでWindowsデバイスを管理している情シス担当者
- Windows Defenderのウイルス対策・リアルタイム保護ポリシーをGoogle Workspace管理コンソールから設定したいと考えている方
- Google Workspace MDMでWindows Defenderポリシーをどこまで制御できるかを知りたい方
- 専用のMDM(Intuneなど)を導入すべきか判断に迷っている中小企業(100名規模)の情シス担当者
Google Workspace MDMとWindows Defender管理の基本
Google Workspace MDMは、Windowsデバイスに対してOMA-DM (Open Mobile Alliance Device Management) プロトコルを通じて設定を適用します。OMA-DMはMDMサーバーとデバイス間で設定情報をやり取りするための業界標準プロトコルで、Windowsはこれを標準でサポートしています。
Windowsデバイスは、このプロトコルを利用してCSP (Configuration Service Provider) と呼ばれる設定項目群を管理します。CSPとは、Windowsで管理できる設定を機能ごとに分類・階層化した仕組みです。ネットワーク設定、セキュリティポリシー、アプリケーション管理など、それぞれの用途に対応するCSPが存在し、MDMサーバーはCSPを通じて各種設定をリモートから書き込みます。
Windows Defenderも、専用のCSP(Defender CSP)を通じて様々なポリシーを提供しており、Google Workspace MDMの「カスタム設定」機能を利用することで、これらのDefender CSPをリモートから制御できます。これにより、情シス担当者は個々のWindowsデバイスに手動で設定を行うことなく、Google Workspace管理コンソールから一元的にセキュリティポリシーを適用できるようになります。
管理コンソールからWindows Defenderポリシーを設定する具体例
Google Workspace管理コンソールでWindows Defenderのポリシーを設定するには、「カスタム設定」機能を利用し、OMA-URI (Open Mobile Alliance Uniform Resource Identifier) と呼ばれる形式で設定値を指定します。OMA-URIは特定のCSP設定項目を一意に識別するパス文字列で、./Vendor/MSFT/... のような階層パス形式で記述します。GUIで設定項目を選ぶのではなく、このパスと値を直接入力する方式です。
管理コンソールでの設定手順は以下の通りです。
- Google Workspace管理コンソールにログインします。
デバイス>モバイルとエンドポイント>設定>Windowsの設定を開きます。カスタム設定をクリックし、新しいカスタム設定を追加します。
ここで、Windows Defenderに関する具体的なOMA-URIの例をいくつか紹介します。
リアルタイム保護の有効化/無効化
リアルタイム保護は、ファイルやプログラムの実行時にマルウェアをスキャンするWindows Defenderの基本的な機能です。
OMA-URI: ./Vendor/MSFT/Defender/Configuration/AllowRealtimeMonitoring
データタイプ: ブール値
値: <Enabled/> (有効化)または <Disabled/> (無効化)
この設定により、リアルタイム保護のオン/オフを強制できます。
クラウド配信保護レベルの設定
クラウド配信保護は、最新の脅威情報に基づいてリアルタイムで保護を提供する機能です。
OMA-URI: ./Vendor/MSFT/Defender/Configuration/CloudProtectionLevel
データタイプ: 整数
値:
0: 未構成
1: 高(既定値)
2: 高プラス(追加の保護)
4: ゼロトレランス(最も厳格)
企業のセキュリティ要件に合わせて保護レベルを選択できます。
特定のファイル/フォルダの除外設定
特定のアプリケーションや業務システムがWindows Defenderのスキャンによって誤検出されたり、パフォーマンスに影響を与えたりする場合、除外設定を追加できます。除外設定は、まずノードを追加し、その後にパスを指定する二段階の操作が必要です。
1. 除外ノードの追加
OMA-URI: ./Vendor/MSFT/Defender/Exclusions/Paths/MyCustomExclusion1
データタイプ: ノード
値: (空欄)
MyCustomExclusion1 の部分は任意の一意なIDに置き換えてください。
2. 除外パスの指定
OMA-URI: ./Vendor/MSFT/Defender/Exclusions/Paths/MyCustomExclusion1/Path
データタイプ: 文字列
値: C:\Path\To\Exclude\Folder
このように、Windows Defenderの各設定はMicrosoftのDefender CSPドキュメントに記載されているOMA-URI形式でGoogle Workspace MDMから制御できます。
Google Workspace MDMでできること・できないこと
Google Workspace MDMでWindows Defenderポリシーを管理する際に、どのような機能が利用でき、何が難しいのかを明確に理解することは重要です。
できること
- リアルタイム保護の有効化/無効化: Windows Defenderのコア機能であるリアルタイムスキャンを制御できます。
- クラウド配信保護レベルの設定: クラウドベースの脅威インテリジェンスを活用した保護レベルを調整できます。
- 特定のファイル/フォルダ/プロセス/拡張子の除外設定: 業務上必要なアプリケーションやファイルが誤って検出されるのを防ぐための除外リストを設定できます。
- 署名更新間隔の設定: ウイルス定義ファイルの更新頻度を調整し、常に最新の脅威に対応できるようにします。
- スキャン設定: 定期的なクイックスキャンやフルスキャンの実行頻度やタイプを設定できます。
できないこと(または複雑なこと)
- 高度な脅威対策(EDR機能相当): 侵入後の挙動分析、自動修復、脅威ハンティングなど、専用のEDR (Endpoint Detection and Response) ソリューションが提供するような高度な機能はGoogle Workspace MDM単体では提供されません。
- 詳細なイベントログ収集・分析: Windows Defenderの詳細な検出履歴やデバイス上のセキュリティイベントをGoogle Workspace管理コンソール内で高度に分析する機能は限定的です。
- GUIベースでのDefender詳細設定: Intuneなどの専用MDMとは異なり、Google Workspace管理コンソールにはWindows Defenderの設定項目がGUIで直接表示されません。OMA-URIを直接指定する必要があり、MicrosoftのCSPドキュメントを参照する学習コストと運用負荷がかかります。
- Windows Defender Firewallの細かなルール設定: ファイアウォールルールはWindows Defender CSPとは異なるCSPで管理されるため、別途設定が必要です。
Intuneなどの専用MDMとの比較(簡易)
Google Workspace MDMでWindows Defenderポリシーを管理することは可能ですが、IntuneのようなMicrosoft製の専用MDMソリューションと比較すると、その特性は大きく異なります。
Google Workspace MDM
- 強み:
- Google Workspaceユーザー管理とシームレスに統合されているため、アカウントベースでのデバイス管理が容易です。
- 既存のGoogle Workspaceライセンスで利用できるため、追加コストを抑えられます。
- OMA-URIカスタム設定を利用すれば、Windows Defenderの基本的なポリシー統制が可能です。
- 弱み:
- Windowsデバイス管理機能は基本的なものに限られ、高度な設定にはOMA-URIの知識が必要です。
- Windows Defenderのポリシー設定はGUIではなく、OMA-URIの文字列入力が中心となるため、直感的な操作性に欠けます。
- 詳細なレポート機能や高度なセキュリティ機能連携は限定的です。
Intune (Microsoft Endpoint Manager)
- 強み:
- Windowsデバイス管理に特化しており、Windows Defenderを含むMicrosoft製品との連携が非常に強力です。
- 豊富なGUIベースの設定項目が用意されており、詳細なポリシーを容易に設定できます。
- Defender for Endpointなどの高度なセキュリティソリューションとの連携により、包括的なエンドポイントセキュリティを実現できます。
- デバイスのコンプライアンス、条件付きアクセス、アプリケーション管理など、高度なMDM/MAM機能を提供します。
- 弱み:
- Microsoft 365ライセンスや追加ライセンスが必要となる場合があり、コストがかかります。
- Google Workspace環境とのユーザー同期やSSO (シングルサインオン) 連携を別途考慮する必要があります。
選択のポイント
どちらのMDMを選択するかは、企業の規模、情シスのスキルセット、予算、そして必要なセキュリティレベルによって異なります。
- Google Workspace MDM: 既存のGoogle Workspace環境で、Windows Defenderの基本的なポリシーを一元管理したい。追加のコストを抑えつつ、ある程度のセキュリティ統制を実現したい場合に適しています。OMA-URIの調査と設定に手間をかけられる体制が必要です。
- Intune: Windowsデバイスに対してより高度で詳細な管理を求めている。Windows Defenderの機能をフル活用し、EDR連携や条件付きアクセスなど、包括的なエンドポイントセキュリティ対策を構築したい場合に有力な選択肢です。
運用上の注意点と制約
Google Workspace MDMでWindows Defenderポリシーを運用する際には、いくつかの注意点があります。
- OMA-URI設定の正確性: OMA-URIは非常に厳密な形式です。誤った記述は設定が適用されないだけでなく、意図しない挙動を引き起こす可能性もあります。設定前にMicrosoftの公式ドキュメントで必ず確認するようにしましょう。
- 変更の反映時間: 設定変更がデバイスに反映されるまでには時間がかかる場合があります。即時性が必要なセキュリティポリシーの適用には、そのタイムラグを考慮に入れる必要があります。
- レポート機能の限定性: Google Workspace MDMのレポート機能は、デバイスのコンプライアンス状況や基本的な健全性情報が中心です。Windows Defenderが検出した脅威の詳細、隔離状況、修復履歴など、詳細なセキュリティイベントログの収集・分析には向いていません。
- 情報収集の手間: 新しいWindows Defenderのポリシーを適用したい場合や、既存の設定を見直す際には、MicrosoftのCSPドキュメントを読み解き、適切なOMA-URIを特定する手間が発生します。
これらの制約を理解した上で、Google Workspace MDMを効果的に活用することが重要です。
まとめ
Google Workspace MDMは、既存のGoogle Workspace環境を活用してWindowsデバイスのセキュリティポリシーを管理したい情シス担当者にとって、魅力的な選択肢の一つです。特にWindows Defenderのリアルタイム保護やクラウド配信保護、除外設定といった基本的なウイルス対策ポリシーは、OMA-URIカスタム設定を通じて一元的に統制できます。
しかし、専用のMDMソリューション(Intuneなど)と比較すると、GUIの操作性や高度な脅威対策機能、詳細なレポート機能には限界があります。自社のセキュリティ要件、運用体制、コストを総合的に評価し、Google Workspace MDMで実現できる範囲と、追加で専用ソリューションが必要になる範囲を見極めることが、適切なエンドポイントセキュリティ戦略を構築する鍵となります。
コーポレートITのご相談はお気軽に
この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。
御社の IT 部門、ここにあります。
「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。