ローカル スクリプトを使用した Windows デバイスのオンボード

個々のデバイスを Defender for Endpoint に手動でオンボードすることもできます。 ネットワーク内のすべてのデバイスのオンボードにコミットする前に、サービスをテストするときに一部のデバイスをオンボードすることが必要になる場合があります。

重要

この記事で説明するスクリプトは、デバイスを Defender for Endpoint に手動でオンボードする場合に推奨されます。 限られた数のデバイスでのみ使用する必要があります (10 台以下)。 運用環境にデプロイする場合は、Intune、グループ ポリシー、Configuration Managerなど、その他のデプロイ オプションを参照してください。

Defender for Endpoint の展開のさまざまなパスを確認するには、「 Defender for Endpoint アーキテクチャとデプロイ方法を識別 する」を参照してください。

注:

Defender 展開ツール (パブリック プレビュー段階) を使用して、Windows および Linux デバイスに Defender エンドポイント セキュリティを展開できます。 このツールは、デプロイ プロセスを合理化する軽量で自己更新型のアプリケーションです。 詳細については、「Defender 展開ツールを使用して Windows デバイスにMicrosoft Defenderエンドポイント セキュリティを展開する (プレビュー)」と「Defender 展開ツール (プレビュー)を使用してデバイスに Linux Microsoft Defenderエンドポイント セキュリティを展開する」を参照してください。

デバイスのオンボード

ヒント

System>Settings でエンドポイントを使用できない場合は、次の 1 つ以上のトラブルシューティング手順を実行します。

• 環境が初期化されるまで数分待ちます。
• 他のMicrosoft Defender XDR機能 (インシデントやハンティングなど) を開いてみてください。
• 必要なロール (少なくとも セキュリティ管理者) と適切なライセンスがあることを確認します。

1. サービス オンボード ウィザードからダウンロードした構成パッケージ .zip ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。

   または、次の手順を使用して、Microsoft Defender ポータルからオンボード パッケージを取得できます。

   1. https://security.microsoft.comの Defender ポータルで、System>Settings>Endpoints>Device 管理セクション >Onboarding に移動します。 または、[ オンボード] ページに直接移動するには、 https://security.microsoft.com/securitysettings/endpoints/onboardingを使用します。
   2. [オンボード] ページ で 、次の設定を構成します。
      • ページの上部で、Windows 10と 11 が選択されていることを確認します。
      • 1. [デバイスのオンボード ] セクション:
        • 接続の種類: 次のいずれかの値を選択します。
          • Standard: 従来の完全なMicrosoft Defender for Endpointサービス URL のセットを使用します。
          • 合理化: 接続を少数のエンドポイントに統合することで、ファイアウォール/プロキシの構成を簡略化します。 詳細については、「Microsoft Defender for Endpointの合理化された接続を使用したデバイスのオンボード」を参照してください。
        • デプロイ方法: ローカル スクリプト (最大 10 台のデバイス) が選択されていることを確認します。
   3. [ オンボード パッケージのダウンロード] を 選択して 、WindowsDefenderATPOnboardingPackage.zip ファイルをダウンロードします。

2. デバイス上の .zip ファイルの内容を、見つけやすい場所 (デスクトップなど) に抽出します。 .zip ファイルには、WindowsDefenderATPLocalOnboardingScript.cmd という名前の 1 つのファイル が含まれています。

3. デバイスで、管理者特権のコマンド プロンプトで次のコマンドを実行します ([ 管理者として実行] を選択して開いたコマンド プロンプト ウィンドウ)。

   1. 抽出したWindowsDefenderATPLocalOnboardingScript.cmd ファイルを保存したフォルダー に 移動します。 たとえば、Desktop フォルダーに移動するには、次のコマンドを実行します。

      if exist "%OneDrive%\Desktop" (cd /d "%OneDrive%\Desktop") else if exist "%USERPROFILE%\Desktop" cd /d "%USERPROFILE%\Desktop"
      

   2. WindowsDefenderATPLocalOnboardingScript.cmd スクリプトを実行します。

      WindowsDefenderATPLocalOnboardingScript.cmd
      

   スクリプトが完了すると、[ 任意のキーを押して続行します...] と表示されます。任意のキーを押して、デバイスの手順を完了します。

デバイスが準拠しており、センサー データが正しくレポートされていることを手動で検証する方法については、「Microsoft Defender for Endpointオンボードの問題のトラブルシューティング」を参照してください。

ヒント

デバイスをオンボードした後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされたMicrosoft Defender for Endpoint エンドポイントで検出テストを実行する」を参照してください。

サンプル コレクション設定を構成する

各デバイスで、レジストリ設定は、詳細な分析のためにファイルを送信するためにMicrosoft Defender XDRを介して要求が行われたときに、サンプルをデバイスから収集できるかどうかを構成します。 AllowSampleCollection DWORD の値は次のとおりです。

• 0 (00000000): サンプル共有はデバイスから許可されていません。
• 1 (00000001): デバイスからすべてのファイルの種類の共有が許可されます。 レジストリ キーが存在しない場合、この値は既定値です。

次のテキストをメモ帳にコピーし、AllowSampleCollection の値を設定し、ファイルを.reg ファイルとして保存してから、デバイスで.reg ファイルを実行します。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection]
"AllowSampleCollection"=dword:00000000

検出テストを実行してオンボードを検証する

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされた Microsoft Defender for Endpoint デバイスで検出テストを実行する」 を参照してください。

ローカル スクリプトを使用してデバイスをオフボードする

セキュリティ上の理由から、オフボード デバイスに使用されるパッケージは、ダウンロード日の 7 日後に期限切れになります。 デバイスに送信された期限切れのオフボード パッケージは拒否されます。 オフボード パッケージをダウンロードすると、パッケージの有効期限が通知され、その日付がパッケージ ファイル名に含まれます。

注:

オンボード ポリシーとオフボード ポリシーを同じデバイスに同時に展開しないでください。 予期しない競合が発生する可能性があります。

1. 次の手順を使用して、Microsoft Defender ポータルからパッケージを取得します。

   1. https://security.microsoft.comの Defender ポータルで、System>Settings>Endpoints>Device 管理セクション >Offboarding に移動します。 または、 オフボード ページに直接移動するには、 https://security.microsoft.com/securitysettings/endpoints/offboardingを使用します。
   2. [オンボード] ページ で 、次の設定を構成します。
      • ページの上部で、Windows 10と 11 が選択されていることを確認します。
      • デプロイ方法: ローカル スクリプト (最大 10 台のデバイス) が選択されていることを確認します。
   3. [ パッケージのダウンロード] を選択し、確認ダイアログで [ ダウンロード ] を選択して 、WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip ファイルをダウンロードします。

2. デバイス上の .zip ファイルの内容を、見つけやすい場所 (デスクトップなど) に抽出します。 .zip ファイルには、WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd という名前の 1 つのファイル が含まれています。

3. デバイスで、管理者特権のコマンド プロンプトで次のコマンドを実行します ([ 管理者として実行] を選択して開いたコマンド プロンプト ウィンドウ)。

   1. 抽出したWindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmdファイルを保存したフォルダー に 移動します。 たとえば、Desktop フォルダーに移動するには、次のコマンドを実行します。

      if exist "%OneDrive%\Desktop" (cd /d "%OneDrive%\Desktop") else if exist "%USERPROFILE%\Desktop" cd /d "%USERPROFILE%\Desktop"
      

   2. WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd スクリプトを実行します。

      WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd
      

重要

デバイスをオフボードすると、デバイスはポータルへのセンサー データの送信を停止します。 デバイスからのデータ (アラートへの参照を含む) は、最大 6 か月間保持されます。

デバイスの構成を監視する

オンボードの問題のトラブルシューティングに関するページのさまざまな検証手順に従って、スクリプトが正常に完了し、エージェントが実行されていることを確認できます。

監視は、ポータルで直接実行することも、さまざまなデプロイ ツールを使用して行うこともできます。

ポータルを使用してデバイスを監視する

Defender ポータルの https://security.microsoft.com にアクセスし、[資産]>[デバイス] に移動します。 または、[デバイス インベントリ] ページに直接アクセスするには、https://security.microsoft.com/machines?category=all-devices を使用してください。

[デバイス インベントリ] ページの [すべてのデバイス] タブで、デバイスが表示されていることを確認します。

関連記事

• グループ ポリシーを使用してデバイスをオンボードする
• Microsoft Configuration Managerを使用して Windows デバイスをオンボードする
• モバイル デバイス管理ツールを使用した Windows デバイスのオンボード
• 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード
• 新しくオンボードされたMicrosoft Defender for Endpoint デバイスで検出テストを実行する
• Microsoft Defender for Endpoint の問題のトラブルシューティング