USB メモリを代表とする、大容量のデータが保存が可能で持ち運びも簡単で便利なリムーバブルメディア。クラウドストレージの利用が一般的になってきてはいますが、まだまだ使用する機会もあるのではないでしょうか。
ただ USB デバイスには、社内データの不正持ち出しや紛失による情報流出の危険が付き物です。
社内規則で USB デバイスを使用禁止したり、中には USB デバイスの利用を制御するソフトを導入したりして管理している企業や組織もあるかと思います。
コストのかかる制御ソフトは導入のハードルが高く、また USB デバイスを 🚫完全ブロック🚫 してしまうと、必要になった際に USB ドライブ内のデータや資料の確認ができません。
そこで活用したいのが、USB ドライブを「読み取り専用」とする制御です。
本記事では、Intune の【カスタム設定】により、USB ドライブ内のファイルは閲覧可能な状態とし、かつデータの上書きや USB への保存は禁止する設定をご紹介します!
読み取り専用制御の設定手順
1.Microsoft Endpoint Manager(https://endpoint.microsoft.com/)へアクセスします。
2.[デバイス] > [構成プロファイル] > [+ プロファイルの作成] を選択します。
3.プラットフォームは「Windows 10 以降」、プロファイルは「カスタム」を選択し、[作成] をクリックします。
4.「名前」を入力し、[次へ] をクリックします。
5.「OMA-URI の設定」で [追加] をクリックします。
6.画面右の「行の追加」で、各項目を入力して [保存] をクリックします。
| 名前 | Read Only (任意の名前) |
| 説明 | (任意の説明) |
| OMA-URI | ./vendor/msft/policy/config/Storage/RemovableDiskDenyWriteAccess |
| データ型 | 整数 |
| 値 | 1 |
7.以下の通り作成されたことを確認して、[次へ] をクリックします。
8.[スコープタグ] では何もせず、[次へ] をクリックします。
9.[割り当て] で、割り当て先を下記赤枠から指定します。
— POINT —
・ユーザー個人やデバイス単体での選択は出来ません。
・特定のユーザー/デバイスに割り当てる場合は、事前にグループを作成してください。
・ポリシーの除外は、グループのみ選択可能です。
10.[適用性ルール] は何もせず、[次へ] をクリックします。
11.確認画面で設定を確認し、[作成] をクリックします。
以上で設定は完了です。
実際の動作
設定後、実際の動作を確認してみましょう。
① PCローカルから、ファイルを USBメモリへコピーしてみると…
② ファイルの保存先として USBメモリを指定してみると…
期待通りの制限を掛けることが出来ました。
