Microsoft 365 への Windows デバイスのオンボードの概要
適用対象:
エンドポイントのデータ損失防止 (エンドポイント DLP) とインサイダー リスク管理では、Windows 10 および Windows 11 デバイスをサービスにオンボードして、監視データをサービスに送信できるようにする必要があります。
エンドポイント DLP は、Windows 10 または Windows 11 デバイスを監視し、機密性の高いアイテムが使用および共有されていることを検出します。 これにより、それらが適切に使用および保護されていることを確認し、危険な動作を防ぐために必要な可視性と制御が提供されます。 MicrosoftのすべてのDLP製品の詳細については、「データ損失防止の概要」を参照してください。 エンドポイント DLP の詳細については、「エンドポイント データ損失防止の説明」を参照してください。
エンドポイント DLP を使用すると、次のバージョンの Windows Server を実行しているデバイスをオンボードすることもできます。
Windows Server 2019 (2023 年 11 月 14 日— KB5032196 (OS ビルド 17763.5122) - Microsoft サポート)
Windows Server 2022 (2023 年 11 月 14 日セキュリティ更新プログラム (KB5032198) - Microsoft サポート)
注:
サポートされている Windows Server KB をインストールすると、サーバー上の 分類 機能が無効になります。 つまり、エンドポイント DLP はサーバー上のファイルを分類しません。 ただし、エンドポイント DLP は、これらの KB がサーバーにインストールされる前に分類されたサーバー上のファイルを保護します。 この保護を確保するには、バージョン 4.18.23100 (2023 年 10 月) 以降Microsoft Defenderインストールします。
既定では、Windows サーバーが最初にオンボードされるときに、エンドポイント DLP は有効になりません。 アクティビティ エクスプローラーでサーバーのエンドポイント DLP イベントを表示する前に、オンボードされたサーバーのエンドポイント DLP サポートを有効にする必要があります。
適切に構成すると、同じデータ損失保護ポリシーを Windows PC と Windows サーバーの両方に自動的に適用できます。
インサイダー リスク管理では、幅広いサービスとサードパーティの指標を使用して、リスクの高いユーザー アクティビティをすばやく特定、トリアージ、および対処するのに役立ちます。 Microsoft 365 および Microsoft Graph のログを使用することにより、インサイダー リスク管理では、特定のポリシーを定義してリスク指標を特定し、これらのリスクを軽減するためのアクションを実行できます。 詳細については、「インサイダー リスク管理の詳細」を参照してください。
デバイスのオンボードは、Microsoft 365 と Microsoft Defender for Endpoint (MDE) で共有されます。 既にデバイスをMDEにオンボードしている場合は、管理対象デバイスの一覧に表示され、これらの特定のデバイスをオンボードするためにそれ以上の手順は必要ありません。 コンプライアンス ポータルでデバイスをオンボードすると、デバイスもMDEにオンボードされます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
はじめに
SKU /サブスクリプションライセンス
ここでライセンス要件を確認してください。
許可
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。
デバイス管理を有効にするには、使用するアカウントが次のいずれかの役割のメンバーでなければなりません。
- グローバル管理者
- セキュリティ管理者
- コンプライアンス管理者
カスタムアカウントを使用してデバイス管理設定を表示する場合は、次のいずれかの役割でなければなりません。
- グローバル管理者
- コンプライアンス管理者
- コンプライアンスデータ管理者
- グローバルリーダー
カスタムアカウントを使用してオンボーディング/オフボーディングページにアクセスする場合は、次のいずれかの役割でなければなりません。
- グローバル管理者
- コンプライアンス管理者
カスタムアカウントを使用してデバイスの監視をオン/オフにする場合は、次のいずれかの役割でなければなりません。
- グローバル管理者
- コンプライアンス管理者
Windows デバイスを準備する
オンボードする必要のある Windows デバイスがこれらの要件を満たしていることを確認してください。
次のいずれかのビルドの Windows または Windows Server を実行している必要があります。
Windows (X64):
- Windows 11 24H2 (更新プログラムの詳細を参照)
- Windows 11 23H2 (更新プログラムの詳細を参照)
- Windows 11 22H2 更新プログラム (更新プログラムの詳細を参照)
- Windows 11 21H2 (更新プログラムの詳細を参照)
- Windows 10 22H2 更新プログラム (更新プログラムの詳細を参照)
Windows (ARM64):
- Windows 11 24H2 (更新プログラムの詳細を参照)
- Windows 11 23H2 (更新プログラムの詳細を参照)
- Windows 11 22H2 更新プログラム (更新プログラムの詳細を参照)
- Windows 11 21H2 (更新プログラムの詳細を参照)
Windows Server 2019 OS: 1809 以降または Windows Server 2022 OS: 21H2 以降。
マルウェア対策クライアントのバージョンは 4.18.2110 以降です。 Windows セキュリティ アプリを開いて現在のバージョンを確認し、[設定] アイコンを選択して、[バージョン情報] を選択します。 バージョン番号は、マルウェア対策クライアントのバージョンの下に表示されます。 Windows Update KB4052623 をインストールして、最新のマルウェア対策クライアントのバージョンに更新します。 詳細については、「Windows でのウイルス対策のMicrosoft Defender」を参照してください。
重要
どのWindows セキュリティコンポーネントもアクティブである必要はありませんが、リアルタイム保護と動作モニターを有効にする必要があります。
すべてのデバイスは、次のいずれかを満たしている必要があります。
サポートされているバージョンのMicrosoft 365 Appsがインストールされ、最新の状態になります。 最も堅牢な保護とユーザー エクスペリエンスを実現するには、バージョン 16.0.14701.0 以降Microsoft 365 Appsインストールされていることを確認します。
注:
- Office 365 を実行している場合 - KB 4577063 が必要です。
- Microsoft 365 Apps バージョン 2004-2008 の月次エンタープライズ チャネルを使用している場合は、バージョン 2009 以降に更新する必要があります。 現在のバージョンについては「Microsoft 365 アプリの更新履歴 (日付別の一覧)」をご覧ください。 既知の問題の詳細については、2020 年の最新のチャネル リリースのリリース ノートの「Office スイート」セクションを参照してください。
デバイス プロキシを使用してインターネットに接続するエンドポイントがある場合は、「情報保護のためのデバイス プロキシとインターネット接続設定の構成」の手順に従います。
重要
ファイアウォール、サード パーティ製ウイルス対策ソフトウェア、またはアプリケーション 制御を介 したMpDlpService.exeを許可していることを確認します。
Windows 10 または Windows 11 デバイスのオンボード
デバイス上の機密アイテムを監視および保護する前に、デバイスの監視を有効にし、エンドポイントをオンボードしなければなりません。 これらのアクションはどちらも Microsoft Purview コンプライアンスポータルで行われます。
まだオンボードされていないデバイスをオンボードする場合は、適切なスクリプトをダウンロードして、それらのデバイスにデプロイします。 以下のデバイスのオンボード手順に従います。
既にMicrosoft Defender for Endpointにオンボードされているデバイスがある場合は、管理対象デバイスの一覧に既に表示されます。
この展開シナリオでは、まだオンボードされていないWindows 10またはWindows 11デバイスをオンボードします。
Microsoft Purview コンプライアンス ポータル を開きます。 [設定>デバイスのオンボード>Devices] を選択します。
注:
以前に Microsoft Defender for Endpoint を展開したことがある場合は、そのプロセス中にオンボードされたすべてのデバイスが [デバイス] リストに一覧表示されます。 それらを再度オンボードする必要はありません。 通常、デバイスのオンボーディングが有効になるまで約60秒かかりますが、Microsoft サポートに連絡するまでに最大 30 分かかります。
[ デバイスのオンボードを有効にする] を選択します。
オンボーディングプロセスを開始するには、[オンボーディング]を選択します。
[ 展開方法 ] ボックスの一覧から、これらの他のデバイスに展開する方法を選択し、 パッケージをダウンロードします。
以下の表から、従うべき適切な手順を選択します。
記事 説明 Intune モバイル デバイス管理ツールまたは Microsoft Intune を使用して、構成パッケージをデバイスに展開します。 Configuration Manager Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン 1606 または Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン 1602 以前のいずれかを使用して、構成パッケージをデバイスに展開できます。 グループ ポリシー グループ ポリシーを使用して構成パッケージをデバイスに展開します。 ローカル スクリプト ローカル スクリプトを使用してエンドポイントに構成パッケージを展開する方法について説明します。 仮想デスクトップ インフラストラクチャ (VDI) デバイス 構成パッケージを使用して VDI デバイスを構成する方法について説明します。
デバイスの状態の確認
デバイスをオンボードしたら、[デバイス] の一覧でデバイスの状態をチェックできます。 最初に 構成の状態 を確認します。 デバイス が正しく構成されているかどうか、Purview にハートビート信号を送信しているかどうか、および構成が最後に検証されたときの構成状態が表示されます。 Windows デバイスの構成には、ウイルス対策の常時オン保護と動作の監視Microsoft Defender状態の確認が含まれます。
デバイスの場所を対象にした DLP ポリシーがない場合は、[ポリシーの同期状態] フィールドに有効な情報が表示されません。
重要
デバイスの構成状態とポリシー同期の状態の問題のトラブルシューティング方法については、「エンドポイントのデータ損失防止の構成とポリシー同期のトラブルシューティング」を参照してください。