IntuneではUSBストレージの制限はできないと思っていたのですが、こちらの動画を見て、実施できることを知りました。
ゼロトラストを社内インフラに実装する手順 - YouTube
1:18:00~1:21:00くらいのところです。ということで早速ブログを参考にさせて頂き、実施してみました。
intuneを利用してリムーバブルディスクへの書き込みのみを禁止する │ システム運用日記 (intracker.net)
手順
手順は上記のブログ記事に記載されている通りなのですが、実際にやってみます。
Microsoft Endpoint管理センターにログインして、[デバイス]、[構成プロファイル]、[プロファイルの作成]、プラットフォームは[Windows10以降]を選択、プロファイルの種類から[テンプレート]を選択、さらに[カスタム]を選択して[作成]ボタンをクリック。
プロファイルの名前は、[リムーバブルディスク書き込み禁止]としました。次へをクリック。
OMA-URIの設定のところにある[追加]ボタンをクリック。
p表示されたブレードで以下を入力して、保存をクリック。
- 名前:リムーバブルディスク書き込み禁止
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
- データ型:整数値
- 値:1
さらに次へボタンをクリック。
割り当てはすべてのデバイスとしました。次へをクリック。
簡単のために適用性ルールは今回は指定しません。次へをクリック。
設定した値に問題ないことを確認して、作成ボタンをクリック。
設定は以上です。
動作確認
設定が終了したので、期待通りの動作をするか、テストをしてみました。
USBメモリにテキストファイルを保存しようとすると、アクセス拒否のエラーが表示されます。
一方で、もともとUSBメモリに保存されていたファイルは開くことが可能です。
期待通りの動作が確認できました。
参考ドキュメント
ゼロトラストを社内インフラに実装する手順 - YouTube
intuneを利用してリムーバブルディスクへの書き込みのみを禁止する │ システム運用日記 (intracker.net)
Policy CSP - Windows Client Management | Microsoft Docs
ポリシー CSP - Storage - Windows Client Management | Microsoft Docs