Defender for Cloud では、Defender for Endpoint エージェントをデプロイすることで Azure 以外のサーバーを直接オンボードすることができます。 これにより、単一の統合されたオファリングの下で、クラウド資産と非クラウド資産の両方を保護できます。
注
Azure Arc 経由で Azure 以外のマシンを接続するには、「Azure Arc を使って Azure 以外のマシンを Microsoft Defender for Cloud に接続する」を参照してください。
このテナント レベルの設定を使用すると、Defender for Endpoint を実行中の Azure 以外のサーバーを、追加のエージェントのデプロイなしで Defender for Cloud に自動的かつネイティブにオンボードできます。 このオンボード パスは、Defender for Servers のもとにサーバー保護を統合することを希望する、混合およびハイブリッドのサーバー資産をお持ちのお客様に最適です。
可用性
| 特徴 | 詳細 |
|---|---|
| リリース状況 | ジョージア州 (GA) |
| サポートされるオペレーティング システム | Defender for Endpoint でサポートされているすべての Windows および LinuxServer オペレーティング システム |
| 必要なロールとアクセス許可 | この設定を管理するには、選択したサブスクリプションに対するサブスクリプション所有者と、テナントに対する Microsoft Entraセ キュリティ管理者以上のアクセス許可が必要 |
| 環境 | オンプレミスのサーバー マルチクラウド VM – 制限付きサポート (制限事項のセクションを参照) |
| サポートされているプラン | Defender for Servers P1 Defender for Servers P2 – 制限付き機能 (制限事項のセクションを参照) |
しくみ
直接オンボードは、Defender for Endpoint と Defender for Cloud の間のシームレスな統合であり、サーバーに追加のソフトウェアを展開する必要はありません。 有効にすると、(Microsoft Defender ポータルでの通常の表示に加えて) 構成対象として指定した Azure サブスクリプションの下に、Defender for Cloud の Defender for Endpoint にオンボードされている Azure 以外のサーバー デバイスも表示されます。 Azure サブスクリプションは、ライセンス、課金、アラート、セキュリティ分析情報に使用されますが、Azure Policy、拡張機能、ゲスト構成などのサーバー管理機能は提供されません。
ウイルス対策ポリシー、攻撃面の減少ルール、セキュリティ インテリジェンスの更新など、サーバーのセキュリティ設定を管理するには、追加のツールを使用する必要があります。 Windows サーバーと Linux サーバーのこれらの設定を管理するには、いくつかのオプションがあります。
Windows Server:
Linux サーバー:
- Defender for Endpoint のセキュリティ設定の管理
- Microsoft 以外のソリューション ( Defender for Endpoint on Linux でのセキュリティ設定の構成に関する記事を参照)
直接オンボーディングを有効にする
直接オンボードの有効化は、テナント レベルでのオプトイン設定です。 これは、同じ Microsoft Entra テナント内の Defender for Endpoint にオンボードされている既存のサーバーと新しいサーバーの両方が対象になります。 この設定を有効にすると、指定されたサブスクリプションの下にサーバー デバイスが表示されます。 アラート、ソフトウェア インベントリ、脆弱性データは、Azure VM と同様の方法で Defender for Cloud と統合されます。
作業を開始する前に、次のことを行います。
- 必要なアクセス許可を持っていることを確認します
- テナント用の Microsoft Defender for Endpoint for Servers のライセンスを持っている場合には、Defender for Cloud 上で必ずそう指定するようにします
- 制限事項のセクションを確認します
Defender for Cloud ポータル上で有効にする
[Defender for Cloud]>[環境設定]>[直接オンボード] へと移動します。
[直接オンボード] トグルを [オン] に切り替えます。
Defender for Endpoint で直接オンボードされたサーバーに使用するサブスクリプションを選択します。
[保存] を選択します。
これで、テナントでの直接オンボードが有効になりました。 初めて有効にすると、指定されたサブスクリプション内の Azure 以外のサーバーが表示されるまでに最大 24 時間かかる場合があります。
Defender for Endpoint をサーバーにデプロイする
オンプレミスの Windows および Linux サーバーに対する Defender for Endpoint エージェントのデプロイでは、直接オンボード利用の有無で違いはありません。 詳細については、「Defender for Endpoint へのサーバーを登録する方法」を参照してください。
現在の制限
プランのサポート: 直接オンボードでは、Defender for Servers プラン 1 のすべての機能にアクセスできます。 ただし、Defender for Servers プラン 2 の一部の機能では、Azure Monitor エージェントのデプロイが必要です。これは、Azure 以外のマシン上の Azure Arc でのみ使用できます。 指定したサブスクリプションで Defender for Servers プラン 2 を有効にした場合、Defender for Endpoint に直接オンボードされたサーバーは、Defender for Servers プラン 1 のすべての機能と、プラン 2 に含まれる Defender 脆弱性管理アドオン機能に アクセスできます。
マルチクラウドのサポート: Defender for Endpoint エージェントを使用して、AWS と GCP で VM を直接オンボードできます。 ただし、マルチクラウド コネクタを使用して AWS または GCP アカウントを Defender for Servers に同時接続する予定の場合、現時点では Azure Arc をデプロイすることをお勧めします。
同時オンボードの制限付きサポート: 複数の方法を使用して同時にオンボードされたサーバー (たとえば、Log Analytics ワークスペース ベースのオンボードと組み合わせた直接オンボード) の場合、Defender for Cloud は、それらを 1 つのデバイス表現に関連付けるためにあらゆる努力を行います。 ただし、以前のバージョンの Defender for Endpoint を使用しているデバイスは、特定の制限に直面する可能性があります。 場合によっては、過剰な料金が発生する可能性があります。 通常、最新のエージェント バージョンを使用することをお勧めします。 具体的には、この制限については、Defender for Endpoint エージェントのバージョンが次の最小バージョンを満たしているか、またはそれを超えているか確認してください。
オペレーティング システム エージェントの最小バージョン Windows Server 2019 以降 10.8555 Windows Server 2016 または Windows 2012 R2
(最新の統合ソリューション)10.8560 Linux サーバー 30.101.23052.009 Linux (AMD64) 30.101.23052.009 Linux (ARM64) 30.101.25022.004
次のステップ
この記事では、Azure 以外のサーバーを Microsoft Defender for Cloud に追加する方法について説明します。 状態を監視するには、次の記事の説明に従ってインベントリ ツールを使用します。