Intuneでレジストリの変更を禁止する

調べたときに日本語でやり方が出てこなかったのでメモ。

Windowsのレジストリを触れないようにしたい

ISMSの管理策への対応で「システム等のコア機能に当たる部分の改変をできれば禁止する」というような要件があったので、Windowsのレジストリの変更をIntuneで禁止できるかを検証しました。

Intuneの構成プロファイルから新しいポリシーを作成し、「設定カタログ」で進めます。

「設定ピッカー」で「registry」と検索し、「管理用テンプレート\システム」をクリックしてサブカテゴリに表示される項目にチェックを入れます。

構成設定で「Prevent access〜」を「Enabled」にして、グループを指定して配布します。

デバイスへのプロファイルの配布後、「名前を指定して実行」で「regedit」を実行してもエラーとなることが確認できました。

念の為デバイスの管理者権限を付与してから再度実行してみましたが、変わらず使用不可でした。

最終的にレジストリ変更禁止までは対応しなかったので検証止まりです。
実際に運用踏まえて設定するのであれば、この設定によってアプリのインストール等の妨げにならないか検証が必要でしょう。