Defender for Endpoint 用の環境を準備する手順が既に完了していて、Defender for Endpoint のロールとアクセス許可が割り当てられている場合は、次の手順としてオンボードの計画を作成します。 この計画は、アーキテクチャの識別とデプロイ方法の選択から始める必要があります。
すべてのエンタープライズ環境が一意であることを理解しているため、サービスをデプロイする方法を柔軟に選択するためのオプションがいくつか用意されています。 Defender for Endpoint サービスにエンドポイントをオンボードする方法を決定するには、次の 2 つの重要な手順に従います。
重要
複数のセキュリティ ソリューションを並行して実行する場合は、「 パフォーマンス、構成、およびサポートに関する考慮事項」を参照してください。
既に、Microsoft Defender for Endpointにオンボードされているデバイスの相互セキュリティ除外を構成している可能性があります。 競合を回避するために相互除外を設定する必要がある場合は、「既存のソリューションの除外リストにMicrosoft Defender for Endpointを追加する」を参照してください。
手順 1: アーキテクチャを特定する
環境に応じて、一部のツールは特定のアーキテクチャに適しています。 次の表を使用して、Organizationに最適な Defender for Endpoint アーキテクチャを決定します。
| アーキテクチャ | Description |
|---|---|
| クラウド-ネイティブ | Microsoft Intuneを使用して、オンプレミスの構成管理ソリューションを持っていない企業や、オンプレミスインフラストラクチャの削減を検討している企業向けに、クラウドからエンドポイントをオンボード、構成、修復することをお勧めします。 |
| 共同管理 | オンプレミスとクラウドベースの両方のワークロードをホストする組織では、管理ニーズに Microsoft のConfigMgrとIntuneを使用することをお勧めします。 これらのツールは、クラウドを利用した管理機能の包括的なスイートと、organization全体でエンドポイントとアプリケーションをプロビジョニング、デプロイ、管理、セキュリティで保護するための独自の共同管理オプションを提供します。 |
| 社内 | Microsoft Defender for Endpointのクラウドベースの機能を活用しながら、Configuration ManagerまたはActive Directory Domain Servicesへの投資を最大化したい企業には、このアーキテクチャをお勧めします。 |
| 評価とローカル オンボード | Microsoft Defender for Endpoint パイロットを評価または実行しようとしているが、既存の管理または展開ツールがない SOC (Security Operations Center) には、このアーキテクチャをお勧めします。 このアーキテクチャは、DMZ (非武装地帯) などの管理インフラストラクチャのない小規模な環境のデバイスをオンボードするためにも使用できます。 |
手順 2: デプロイ方法を選択する
環境のアーキテクチャを決定し、「 要件」セクションで説明されているようにインベントリを作成したら、次の表を使用して、環境内のエンドポイントに適したデプロイ ツールを選択します。 この情報は、デプロイを効果的に計画するのに役立ちます。
| エンドポイント | デプロイ ツール |
|---|---|
| Windows クライアント デバイス |
Defender 展開ツール Microsoft Intune/モバイル デバイス管理 (MDM) Microsoft Configuration Manager ローカル スクリプト (最大 10 台のデバイス) グループ ポリシー 非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイス Azure 仮想デスクトップ Defender 展開ツール (プレビュー)、System Center Endpoint Protection、Microsoft Monitoring Agent (以前のバージョンの Windows の場合) |
|
Windows Server (サーバー プランが必要) |
ローカル スクリプト Microsoft Defender for Cloudとの統合 SAP でのWindows Serverに関するガイダンス Windows Server 2008 R2 SP1 の Defender 展開ツール (プレビュー) |
| macOS |
Intune JAMF Pro ローカル スクリプト(手動デプロイ) MDM ツール |
|
Linux サーバー (サーバー プランが必要) |
Defender 展開ツール インストーラー スクリプト ベースのデプロイ Ansible シェフ 人形 Saltstack 手動展開 Defender for Cloud を使用した直接オンボード SAP を使用した Linux のガイダンス |
| Android | Microsoft Intune |
| iOS |
Microsoft Intune Mobile Application Manager |
注:
IntuneまたはConfiguration Managerによって管理されていないデバイスの場合は、Defender for Endpoint Security Settings Management を使用して、Intuneからセキュリティ構成を直接受信できます。 Defender for Endpoint にサーバーをオンボードするには、 サーバー ライセンス が必要です。 次のオプションから選択できます。
- サーバープラン 1 またはプラン 2 のMicrosoft Defender (Defender for Cloud の一部として) オファリング
- サーバーのMicrosoft Defender for Endpoint
- Microsoft Defender for Business servers (中小企業のみ)
次の手順
Defender for Endpoint のアーキテクチャとデプロイ方法を選択したら、 手順 4 - デバイスのオンボードに進みます。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。