Intuneから色々とWindows10の動作を管理できるのですが、残念ながらウイルス定義ファイルの更新状況の確認や確認タイミングを簡単に構成することはできないようです。(2020/02/04現在)
(2020/02/05追記ここから)
この記事を公開したあとTwitterにて @masalabo716さんに設定箇所を教えてもらいました。設定箇所が無いと思ったのは私の勘違いでした、申し訳ありません。@masalabo716さん教えてくれてありがとうございます!
あれ、Intune だったらここではだめですか?
— Shinsuke Saito (まさ) (@masalabo716) February 4, 2020
[セキュリティ インテリジェンスの更新間隔 (時間)] https://t.co/3oLCDu5AGu
実はこの記事を書いたのは、条件付きアクセスにてO365へのアクセスがブロックされ、その原因の一つとして「ウイルス対策」が準拠していないという状況になったからでした。
この状態からWindows Updateを実行することで準拠状態に回復したので、てっきり、ウイルス定義ファイルの更新間隔に関してのポリシーが存在せず(あるいは動作せず)Intuneからコントロールされていなかったのかとおもって下記の記事を書きながら構成したのですが、そもそもの原因が勘違いだった模様です。
ウイルス定義ファイルが古かったのではなく、ウイルス対策のエンジンのバージョンが古かったのでしょうか?このあたりきちんと状況を確認する前に対処してしまったので、「Windows Updateすれば直る」ことしかわかっておらず原因不明です。
どうやら再発の可能性も高そうなので、再発時にはもう少し原因をきちんと確認してみたいと思います。
下記の記事はこの設定をすれば不必要なので削除してもいいのですが、別の観点で参考になる部分もあると思うのでそのまま残しておきます。
(追記ここまで)
ですが、コンプライアンスポリシーで「ウイルス対策定義ファイルが古かったらアクセスを拒否する」というようなポリシーはできればかけたいです。その場合、エンドユーザーは何も意識しなくても、意識的に設定しなくても最新のウイルス定義ファイルであってほしいです。
調べたところ、PowerShellで「Update-MpSignature」を実行することで手動でウイルス定義ファイルの最新版のチェックと更新が行えることがわかりました。また、チェック頻度に関しては「Set-MpPreference」コマンドレットで設定可能なことがわかりました。
「 Set-MpPreference -SignatureScheduleDay Everyday 」というコマンドを実行することで毎日定義ファイルの更新をチェックさせることができるので、このコマンドをIntuneからWindows10に実行させるようにしたいと思います。
IntuneでのPowerShellスクリプトの構成方法は下記にガイドがあります。
設定は Microsoft Endpoint Manager 管理センター から行います。
これで、設定は完了です。
実行状況および結果もIntuneから確認することができます。
