適用対象:
- サーバーのMicrosoft Defender for Endpoint
- サーバープラン 1 またはプラン 2 のMicrosoft Defender
概要
Defender for Endpoint は、ポスチャ管理、脅威保護、エンドポイントの検出と応答を含む機能を使用して、organizationのサーバーを保護するのに役立ちます。 Defender for Endpoint は、サーバー アクティビティ、カーネルとメモリ攻撃検出のカバレッジ、必要に応じて応答アクションを実行する機能に関するより深い分析情報をセキュリティ チームに提供します。 Defender for Endpoint は、Microsoft Defender for Cloud とも統合され、organizationに包括的なサーバー保護ソリューションを提供します。
特定の環境に応じて、いくつかのオプションから選択して、サーバーを Defender for Endpoint にオンボードできます。 この記事では、Windows Serverと Linux で使用できるオプション、考慮すべき重要な点、オンボード後に検出テストを実行する方法、およびサーバーをオフボードする方法について説明します。
ヒント
この記事のコンパニオンとして、 セキュリティ アナライザーのセットアップ ガイド を参照してベスト プラクティスを確認し、防御を強化し、コンプライアンスを強化し、自信を持ってサイバーセキュリティ環境をナビゲートする方法について学習します。 環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターの Security Analyzer 自動セットアップ ガイドにアクセスできます。
サーバー プラン
Defender for Endpoint にサーバーをオンボードするには、 サーバー ライセンス が必要です。 次のオプションから選択できます。
- サーバープラン 1 またはプラン 2 のMicrosoft Defender (Defender for Cloud の一部として) オファリング
- サーバーのMicrosoft Defender for Endpoint
- Microsoft Defender for Business servers (中小企業のみ)
サーバーのMicrosoft Defenderとの統合
Defender for Endpoint は、 Defender for Servers (Defender for Cloud 内) とシームレスに統合されます。 サブスクリプションに Defender for Servers プラン 1 またはプラン 2 が含まれている場合は、次のことができます。
- サーバーを自動的にオンボードする
- Defender for Cloud によって監視されているサーバーが、Microsoft Defender ポータルのデバイス インベントリに表示されるようにする
- Defender for Cloud のお客様として詳細な調査を行う
留意すべき点を次に示します。
- Defender for Cloud を使用してサーバーを監視すると、Defender for Endpoint テナントが自動的に作成されます。 Defender for Endpoint によって収集されたデータは、プロビジョニング中に識別されるテナントの地理的な場所に格納されます。 (たとえば、米国の顧客の場合は米国、ヨーロッパの顧客の場合は EU、英国では英国では)
- Defender for Cloud を使用する前に Defender for Endpoint を使用する場合、後で Defender for Cloud と統合した場合でも、テナントの作成時に指定した場所にデータが格納されます。
- 構成後、データが格納されている場所を変更することはできません。 データを別の場所に移動するには、 サポートに問い合わせて テナントをリセットします。
- この統合を利用したサーバー エンドポイント監視は、現在、GCC のお客様Office 365利用できません。
- Defender for Cloud を介してオンボードされた Linux サーバーには、パッシブ モードでMicrosoft Defenderウイルス対策を実行するように初期構成が設定されています。 Defender for Endpoint on Linux サーバーを展開する方法については、「Linux 上のMicrosoft Defender for Endpointの前提条件」を参照してください。
詳細については、「 Defender for Endpoint と Defender for Cloud の統合を使用してエンドポイントを保護する」を参照してください。
Microsoft 以外のウイルス対策/マルウェア対策ソリューションの重要な情報
Microsoft 以外のマルウェア対策ソリューションを使用する場合は、パッシブ モードでMicrosoft Defenderウイルス対策を実行する必要があります。 インストールおよびオンボード プロセス中にパッシブ モードを設定してください。 詳細については、「Windows Serverおよびパッシブ モード」を参照してください。
重要
McAfee Endpoint Security または VirusScan Enterprise を実行しているサーバーに Defender for Endpoint をインストールする場合は、Microsoft Defenderウイルス対策が削除または無効になっていないことを確認するために、McAfee プラットフォームのバージョンを更新する必要がある場合があります。 必要な特定のバージョン番号の詳細については、 McAfee サポート技術情報の記事を参照してください。
サーバー オンボード オプション
次の表に示すように、サーバーをオンボードするためのいくつかの展開方法とツールから選択できます。
| オペレーティング システム | 展開方法 |
|---|---|
| Windows Server 2025 Windows Server 2022 Windows Server 2019 バージョン 1803 Windows Server Windows Server 2016 Windows Server 2012 R2 |
ローカル スクリプト (オンボード パッケージを使用) Defender for Servers Microsoft Configuration Manager グループ ポリシー VDI スクリプト Defender for Cloud でのオンボード Windows Server 2016および 2012 R2 用の最新の統合ソリューション |
| Linux |
インストーラー スクリプト ベースのデプロイ Ansible スクリプト ベースのデプロイ Chef スクリプト ベースのデプロイ Puppet スクリプト ベースのデプロイ Saltstack スクリプト ベースのデプロイ 手動デプロイ (ローカル スクリプトを使用) Defender for Cloud を使用した直接オンボード Defender for Endpoint を使用して Azure 以外のマシンを Microsoft Defender for Cloud に接続する Linux for SAP 用 Defender for Endpoint のデプロイ ガイダンス |
オンボード Windows Server、バージョン 1803、Windows Server 2019、Windows Server 2025
Defender for Endpoint の最小要件を確認してください。
Microsoft Defender ポータルで、[設定>Endpoints] に移動し、[デバイス管理] で [オンボード] を選択します。
[オンボーディング プロセスを開始するオペレーティング システムの選択] ボックスの一覧で、[Windows Server 2019、2022、および 2025] を選択します。
[接続の種類] で、[合理化] または [Standard] を選択します。 ( 合理化された接続の前提条件に関するページを参照してください)。
[ デプロイ方法] でオプションを選択し、オンボード パッケージをダウンロードします。
デプロイ方法については、次のいずれかの記事の手順に従います。
Windows Server 2016とWindows Server 2012 R2 のオンボード
Defender for Endpoint の最小要件と Windows Server 2016 および 2012 R2 の前提条件を確認してください。
Microsoft Defender ポータルで、[設定>Endpoints] に移動し、[デバイス管理] で [オンボード] を選択します。
[オンボーディング プロセスを開始するオペレーティング システムの選択] ボックスの一覧で、[Windows Server 2016] を選択し、R2 をWindows Server 2012します。
[接続の種類] で、[合理化] または [Standard] を選択します。 ( 合理化された接続の前提条件に関するページを参照してください)。
[ デプロイ方法] でオプションを選択し、インストール パッケージとオンボード パッケージをダウンロードします。
注:
インストール パッケージは毎月更新されます。 使用する前に、必ず最新のパッケージをダウンロードしてください。 インストール後に更新するには、インストーラー パッケージをもう一度実行する必要はありません。 その場合は、アンインストールの要件であるため、インストーラーから最初にオフボードするように求められます。 「Windows Server 2012 R2 および 2016 の Defender for Endpoint のパッケージを更新する」を参照してください。
デプロイ方法については、次のいずれかの記事の手順に従います。
Windows Server 2016 と 2012 R2 の前提条件
- 利用可能な最新のサービス スタック更新プログラム (SSU) と最新の累積的な更新プログラム (LCU) をサーバーにインストールすることをお勧めします。
- 2021 年 9 月 14 日以降の SSU をインストールする必要があります。
- 2018 年 9 月 20 日以降の LCU をインストールする必要があります。
- Microsoft Defenderウイルス対策機能を有効にし、最新の状態であることを確認します。 Windows ServerでDefender ウイルス対策を有効にする方法の詳細については、「Windows ServerでDefender ウイルス対策を無効にした場合は再度有効にする」と「Windows ServerでDefender ウイルス対策を再度有効にする」を参照してください。アンインストールされた場合。
- Windows Updateを使用して、最新のプラットフォーム バージョンをダウンロードしてインストールします。 または、Microsoft Update カタログ もしくは MMPC から手動で更新プログラム パッケージをダウンロードします。
- Windows Server 2016では、Microsoft Defenderウイルス対策を機能としてインストールし、インストール前に完全に更新する必要があります。
Windows Server 2016 または Windows Server 2012 R2 のパッケージを更新する
Defender for Endpoint コンポーネントの定期的な製品の機能強化と修正プログラムを受け取るために、Windows Update KB5005292が適用または承認されていることを確認します。 さらに、保護コンポーネントを最新の状態に保つには、「Microsoft Defender ウイルス対策更新プログラムの管理とベースラインの適用」 を参照してください。
Windows Server Update Services (WSUS) やMicrosoft Configuration Managerを使用している場合、この新しい "EDR センサーのMicrosoft Defender for Endpoint更新プログラム" はカテゴリ " で使用できます。Microsoft Defender for Endpoint。
Windows Server 2016とWindows Server 2012 R2 用の最新の統合ソリューションの機能
以前の実装 (2022 年 4 月より前) のオンボード Windows Server 2016と R2 Windows Server 2012では、Microsoft Monitoring Agent (MMA) を使用する必要があります。 最新の統合ソリューション パッケージを使用すると、依存関係とインストール手順を削除することで、サーバーのオンボードが容易になります。 また、大幅に拡張された機能セットも提供されます。 詳細については、次のリソースを参照してください。
- 以前の MMA ベースのMicrosoft Defender for Endpoint ソリューションからのサーバー移行シナリオ
- Tech Community ブログ: Windows Server 2012 R2 と 2016 の防御
オンボードしているサーバーに応じて、統合ソリューションによって Defender for Endpoint または EDR センサーがサーバーにインストールされます。 次の表は、インストールされているコンポーネントと、既定で組み込まれているコンポーネントを示しています。
| サーバーのバージョン | Microsoft Defender ウイルス対策 | EDR センサー |
|---|---|---|
| Windows Server 2012 R2 |
|
|
| Windows Server 2016 | 組み込み |
|
| Windows Server 2019 以降 | 組み込み | 組み込み |
最新の統合ソリューションの既知の問題と制限事項
R2 のWindows Server 2016とWindows Server 2012には、次の点が適用されます。
新しいインストールを実行する前に、常にMicrosoft Defender ポータル (https://security.microsoft.com) から最新のインストーラー パッケージをダウンロードし、前提条件が満たされていることを確認します。 インストール後は、「Windows Server 2012 R2 および 2016 の Defender for Endpoint のパッケージを更新する」セクションで説明されているコンポーネント更新プログラムを使用して定期的に更新してください。
オペレーティング システムの更新プログラムでは、サービスのインストールがタイムアウトするため、ディスクの速度が低下しているマシンでのインストールの問題が発生する可能性があります。 メッセージ
Couldn't find c:\program files\windows defender\mpasdesc.dll, - 310 WinDefendでインストールが失敗します。 必要に応じて、失敗したインストールをクリアするには、最新のインストール パッケージと最新の install.ps1 スクリプトを使用します。Windows Server 2016 および Windows Server 2012 R2 のユーザー インターフェイスでは、基本的な操作のみが許可されます。 デバイスの操作をローカルで実行するには、「 PowerShell、WMI、および MPCmdRun.exeを使用して Defender for Endpoint を管理 する」を参照してください。 その結果、ユーザーが決定を下すか、特定のタスクを実行するように求められる場所など、ユーザーの操作に特に依存する機能が期待どおりに機能しない可能性があります。 保護機能に影響を与える可能性があるため、ユーザー インターフェイスを無効にするか、有効にしないか、マネージド サーバーでユーザー操作を必要としないことをお勧めします。
すべての攻撃面の縮小ルールがすべてのオペレーティング システムに適用されるわけではありません。 「攻撃面の縮小ルール」を参照してください。
オペレーティング システムのアップグレードはサポートされていません。 アップグレードする前にオフボードしてからアンインストールします。 インストーラー パッケージは、新しいマルウェア対策プラットフォームまたは EDR センサー更新プログラム パッケージでまだ更新されていないインストールのアップグレードにのみ使用できます。
Microsoft Endpoint Configuration Manager (MECM) を使用して新しいソリューションを自動的にデプロイしてオンボードするには、バージョン 2207 以降である必要があります。 修正プログラムロールアップを使用してバージョン 2107 を使用して構成および展開することはできますが、これには追加の展開手順が必要です。 詳細については、「Microsoft Endpoint Configuration Manager移行シナリオ」を参照してください。
Linux サーバーのオンボード
Linux を実行しているサーバーをオンボードするには、次の手順に従います。
デプロイ方法を選択します。 特定の環境に応じて、いくつかのオプションから選択できます。
機能を構成します。 「Microsoft Defender for Endpoint on Linux でセキュリティ設定を構成する」を参照してください。
検出テストを実行してオンボードを検証する
デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「 新しくオンボードされた Defender for Endpoint デバイスで検出テストを実行する」を参照してください。
注:
Microsoft Defenderウイルス対策の実行は必要ありませんが、推奨されます。 別のウイルス対策ベンダー製品が主要なエンドポイント保護ソリューションである場合は、パッシブ モードで Defender ウイルス対策を実行できます。 パッシブ モードがオンになっていることを確認できるのは、Defender for Endpoint センサー (SENSE) が実行されていることを確認した後のみです。
Microsoft Defenderウイルス対策がアクティブ モードでインストールされている必要があるデバイスWindows Serverで、次のコマンドを実行します。
sc.exe query Windefend結果が "指定されたサービスがインストール済みサービスとして存在しない" 場合は、ウイルス対策Microsoft Defenderインストールする必要があります。
次のコマンドを実行して、Defender for Endpoint が実行されていることを確認します。
sc.exe query sense結果には、実行中が表示されます。 オンボーディングで問題が発生した場合は、「オンボードのトラブルシューティング」 を参照してください。
Windows サーバーのオフボード
Windows クライアント デバイスで使用できるのと同じ方法を使用して、Windows サーバーをオフボードできます。
- 構成マネージャーを使用してデバイスをオフボードする
- モバイル デバイス管理ツールを使用してデバイスをオフボードする
- グループ ポリシーを使用してデバイスをオフボードする
- ローカル スクリプトを使用してデバイスをオフボードする
オフボード後、Windows Server 2016と R2 Windows Server 2012統合ソリューション パッケージのアンインストールに進むことができます。 以前のバージョンのWindows Serverでは、サービスから Windows サーバーをオフボードするには、次の 2 つのオプションがあります。
- MMA エージェントをアンインストールする
- Defender for Endpoint ワークスペースの構成を削除する
注:
他のWindows Serverバージョンのこれらのオフボード手順は、以前の Defender for Endpoint for Windows Server 2016を実行していて、MMA を必要とする R2 をWindows Server 2012する場合にも適用されます。 新しい統合ソリューションに移行する手順については、「 Defender for Endpoint のサーバー移行シナリオ」を参照してください。
次の手順
関連項目
- Windows および Mac クライアント デバイスをMicrosoft Defender for Endpointにオンボードする
- プロキシとインターネット接続の設定を構成する
- 新しくオンボードされた Defender for Endpoint デバイスで検出テストを実行します
- Defender for Endpoint のオンボードに関する問題のトラブルシューティング
- Defender for Endpoint のセキュリティ管理に関連するオンボードの問題のトラブルシューティング
- Microsoft Defender for Endpoint - モバイル脅威防御 (iOS および Android デバイスの場合)