次の方法で共有

クライアント デバイス間で Microsoft Defender for Endpoint サブスクリプション設定を管理する

  • [アーティクル]

Defender for Endpoint では、混合ライセンス シナリオは、組織が Defender for Endpoint Plan 1 とプラン 2 のライセンスを組み合わせて使用している状況です。 次の表に、混合ライセンスシナリオの例を示します。

シナリオ 説明
混合テナント ユーザーとそのデバイスのグループに対してさまざまな機能セットを使用します。 たとえば、次のような情報が含まれます。
- Defender for Endpoint Plan 1 と Defender for Endpoint Plan 2
- Microsoft 365 E3 と Microsoft 365 E5
混合試用版 一部のユーザーに対して Premium レベルのサブスクリプションを試してください。 たとえば、次のような情報が含まれます。
- Defender for Endpoint Plan 1 (すべてのユーザー向けに購入)、Defender for Endpoint Plan 2 (一部のユーザーの試用版サブスクリプションが開始されました)
- Microsoft 365 E3 (すべてのユーザー向けに購入)、Microsoft 365 E5 (一部のユーザーに対して試用版サブスクリプションが開始されました)
段階的なアップグレード ユーザー ライセンスを段階的にアップグレードします。 たとえば、次のような情報が含まれます。
- Defender for Endpoint Plan 1 からプラン 2 へのユーザー のグループの移動
- ユーザーのグループを Microsoft 365 E3 から E5 に移動する

最近まで、混合ライセンスのシナリオはサポートされていませんでした。複数のサブスクリプションがある場合は、テナントに対して最も機能の高いサブスクリプションが優先されます。 これで、サブスクリプション設定を管理して、クライアント デバイス間の混合ライセンス シナリオに対応できるようになりました。 これらの機能を使用すると、次の機能を使用できます。

  • テナントを混合モードに設定し、デバイスにタグを付 けて、各プランから機能と機能を受け取るクライアント デバイスを決定します (このオプションは 混合モードと呼ばれます)。 または
  • すべてのクライアント デバイスで 1 つのプランの機能を使用します

新しく追加されたライセンス使用状況レポートを使用して、状態を追跡することもできます。

注:

Microsoft Defender for Business を使用していて、Defender for Endpoint Plan 2 に切り替える場合は、「 エンドポイント セキュリティ サブスクリプションを変更する」を参照してください。

テナントを混合モードに設定し、デバイスにタグを付ける

重要

  • 混合モード設定は、クライアント エンドポイントにのみ適用されます。 サーバー デバイスにタグを付けると、サブスクリプションの状態は変更されません。 Windows Server または Linux を実行するすべてのサーバー デバイスには、 Defender for Servers などの適切なライセンスが必要です。 「 オンボード サーバーのオプション」を参照してください。
  • 環境で混合ライセンスシナリオを試すには、この記事の手順に従ってください。 Microsoft 365 管理センター (https://admin.microsoft.com) でユーザー ライセンスを割り当てると、テナントが混在モードに設定されることはありません。
  • Defender for Endpoint Plan 1 とプラン 2 の両方について、アクティブな試用版または有料ライセンスが必要です
  • ライセンス情報にアクセスするには、Microsoft Entra ID で次のいずれかのロールが割り当てられている必要があります。
    • セキュリティ管理者
    • ライセンス管理者と Defender for Endpoint Administrator

  1. 管理者として、Microsoft Defender ポータル (https://security.microsoft.com) に移動してサインインします。

  2. [設定>Endpoints>Licenses] に移動します。 使用状況レポートが開き、組織の Defender for Endpoint ライセンスに関する情報が表示されます。

  3. [ サブスクリプションの状態] で、[ サブスクリプション設定の管理] を選択します。

    注:

    [ サブスクリプション設定の管理] が表示されない場合は、次のいずれかの条件が満たされます。

    • Defender for Endpoint Plan 1 またはプラン 2 (両方ではなく) があります。又は
    • 混合ライセンス機能は、まだテナントにロールアウトされていません。

  4. [サブスクリプション設定] ポップアップが開きます。 Defender for Endpoint Plan 1 とプラン 2 を使用するオプションを選択します。 (次の手順に従ってデバイスがタグ付けされるまで、変更は行われません)。

  5. Defender for Endpoint Plan 1 またはプラン 2 の機能を受け取る必要があるデバイスにタグを付けます。 デバイスに手動でタグを付けるか、動的ルールを使用してタグ付けを選択できます。 デバイスのタグ付けの詳細については、こちらをご覧ください

    メソッド 詳細
    デバイスに手動でタグを付けます デバイスに手動でタグを付ける場合は、 License MDE P1 という名前のタグを作成し、デバイスに適用します。 この手順のヘルプについては、「 デバイス タグの作成と管理」を参照してください。

    レジストリ キー メソッドを使用して License MDE P1 タグでタグ付けされたデバイスは、ダウングレードされた機能を受け取りません。 レジストリ キー メソッドを使用してデバイスにタグを付ける場合は、手動タグ付けではなく動的ルールを使用します。
    動的ルールを使用してデバイスに自動的にタグを付ける 動的ルール機能は、混合ライセンスシナリオでは新しい機能です。 これにより、デバイスの管理方法を動的かつきめ細かく制御できます.

    動的ルールを使用するには、デバイス名、ドメイン、オペレーティング システム プラットフォーム、デバイス タグに基づいて一連の条件を指定します。 指定した条件を満たすデバイスは、規則に従って Defender for Endpoint Plan 1 またはプラン 2 の機能を受け取ります。

    条件を定義するときに、次の条件演算子を使用できます。
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    [デバイス名] には、フリーフォーム テキストを使用できます。

    [ ドメイン] で、ドメインの一覧から選択します。

    OS プラットフォームの場合は、オペレーティング システムの一覧から選択します。

    [タグ] には、フリーフォーム テキスト オプションを使用します。 Defender for Endpoint Plan 1 またはプラン 2 の機能を受け取る必要があるデバイスに対応するタグ値を入力します。 「デバイスのタグ付けの詳細」の例を参照してください。

    デバイス タグは、 デバイス インベントリ ビューと Defender for Endpoint API に表示されます。

    注:

    動的に追加された Defender for Endpoint P1 タグは、現在、[デバイス インベントリ] ビューではフィルター処理できません。

  6. ルールを保存し、タグが適用されるまで最大 3 時間待ちます。 次に、「 デバイスが Defender for Endpoint Plan 1 機能のみを受信していることを検証する」に進みます。

デバイスのタグ付けの詳細

「Tech Community ブログ: タグ付けを効果的に使用する方法」で説明されているように、デバイスのタグ付けにより、デバイスをきめ細かく制御できます。 デバイス タグを使用すると、次のことができます。

  • Microsoft Defender ポータルで特定のデバイスを個々のユーザーに表示して、担当するデバイスのみが表示されるようにします。
  • 特定のセキュリティ ポリシーにデバイスを含めるか除外します。
  • Defender for Endpoint Plan 1 またはプラン 2 の機能を受け取るデバイスを決定します。

たとえば、Defender for Endpoint Plan 2 の機能を受け取る必要があるすべてのデバイスに対して、 VIP というタグを使用するとします。 次の操作を実行します。

  1. VIPという名前のデバイス タグを作成し、Defender for Endpoint Plan 2 機能を受け取る必要があるすべてのデバイスに適用します。 デバイス タグを作成するには、次のいずれかの方法を使用します。

  2. 条件演算子 Tag Does not contain VIPを使用して動的ルールを設定します。 この場合、 VIP タグを持たないすべてのデバイスは、 License MDE P1 タグと Defender for Endpoint Plan 1 の機能を受け取ります。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

デバイスが Defender for Endpoint Plan 1 機能のみを受け取っていることを検証する

Defender for Endpoint Plan 1 機能を一部またはすべてのデバイスに割り当てた後、個々のデバイスがそれらの機能を受け取っていることを確認できます。

  1. Microsoft Defender ポータル (https://security.microsoft.com) で、[ Assets>Devices] に移動します。

  2. License MDE P1でタグ付けされているデバイスを選択します。 Defender for Endpoint Plan 1 がデバイスに割り当てられていることがわかります。

注:

Defender for Endpoint Plan 1 の機能が割り当てられているデバイスには、脆弱性やセキュリティに関する推奨事項が一覧表示されていません。

ライセンスの使用状況を確認する

ライセンス使用状況レポートは、デバイス上のサインイン アクティビティに基づいて見積もられます。 Defender for Endpoint Plan 2 のライセンスはユーザーごとに 1 つであり、各ユーザーは最大 5 つの同時オンボード デバイスを持つことができます。 ライセンス条項の詳細については、「 Microsoft ライセンス」を参照してください。

管理オーバーヘッドを減らすために、デバイスからユーザーへのマッピングと割り当ての要件はありません。 代わりに、ライセンス レポートは、組織全体で見られるデバイスの使用状況に基づいて計算される使用率の見積もりを提供します。 使用状況レポートにデバイスのアクティブな使用状況が反映されるまでに、最大で 1 日かかる場合があります。

重要

ライセンス情報にアクセスするには、Microsoft Entra ID で次のいずれかのロールが割り当てられている必要があります。

  • セキュリティ管理者
  • ライセンス管理者と Defender for Endpoint Administrator

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。

  2. [設定>Endpoints>Licenses] を選択します。

  3. 使用可能なライセンスと割り当てられたライセンスを確認します。 この計算は、Defender for Endpoint にオンボードされているデバイスにアクセスした検出されたユーザーに基づいています。

その他のリソース

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。