Microsoft Configuration Manager を使用したオンボード

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

この記事は、オンボード 方法の例として機能します。

計画に関する記事では、デバイスをサービスにオンボードするための方法がいくつか用意されています。 この記事では、共同管理アーキテクチャについて説明します。

環境アーキテクチャの図

Defender for Endpoint ではさまざまなエンドポイントとツールのオンボードがサポートされていますが、この記事では取り上げません。 サポートされているその他のデプロイ ツールと方法を使用した一般的なオンボードについては、「 オンボードの概要」を参照してください。

この記事では、次のユーザーについて説明します。

• 手順 1: Windows デバイスをサービスにオンボードする
• 手順 2: Defender for Endpoint 機能の構成

このオンボード ガイダンスでは、Microsoft Configuration Manager を使用するときに実行する必要がある次の基本的な手順について説明します。

• Microsoft Configuration Manager でのコレクションの作成
• Microsoft Configuration Manager を使用した Microsoft Defender for Endpoint 機能の構成

注:

この展開例では、Windows デバイスのみが対象となります。

手順 1: Microsoft Configuration Manager を使用して Windows デバイスをオンボードする

コレクションの作成

Microsoft Configuration Manager を使用して Windows デバイスをオンボードするには、展開で既存のコレクションをターゲットにすることも、テスト用に新しいコレクションを作成することもできます。

グループ ポリシーや手動方法などのツールを使用したオンボードでは、システムにエージェントはインストールされません。

Microsoft Configuration Manager 内では、コンソール内のコンプライアンス設定の一部としてオンボード プロセスが構成されます。

この必要な構成を受け取るシステムは、Configuration Manager クライアントが管理ポイントからこのポリシーを受け取り続ける限り、その構成を維持します。

Microsoft Configuration Manager を使用してエンドポイントをオンボードするには、次の手順に従います。

1. Microsoft Configuration Manager コンソールで、[ 資産とコンプライアンス] > [概要] > [デバイス コレクション] に移動します。

   

2. [ デバイス コレクション ] を右選択し、[ デバイス コレクションの作成] を選択します。

   

3. [名前] と [コレクションの制限] を指定し、[次へ] を選択します。

   

4. [ ルールの追加] を選択し、[ クエリ ルール] を選択します。

   

5. ダイレクト メンバーシップ ウィザードで [次へ] を選択し、[クエリ ステートメントの編集] を選択します。

   

6. [ 条件] を選択し、星のアイコンを選択します。

   

7. 条件の種類を 単純な値のままにします。一方、 オペレーティング システム - ビルド番号、演算子 が14393 以上で値 14393 を選択し、[ OK] を選択します。

   

8. [ 次へ] と [ 閉じる] を選択します。

   

9. [次へ] を選択します。

   

このタスクを完了すると、環境内のすべての Windows エンドポイントを含むデバイス コレクションが作成されます。

手順 2: Microsoft Defender for Endpoint 機能を構成する

このセクションでは、Windows デバイスで Microsoft Configuration Manager を使用して次の機能を構成する方法について説明します。

• エンドポイントでの検出と対応
• 次世代の保護
• 攻撃面の減少

エンドポイントの検出および応答

Windows 10 と Windows 11

Microsoft Defender ポータル内から、System Center Configuration Manager でポリシーを作成し、そのポリシーを Windows 10 および Windows 11 デバイスに展開するために使用できる .onboarding ポリシーをダウンロードできます。

1. Microsoft Defender ポータルで、[設定] を選択し、[オンボード] を選択します。

2. [展開方法] で、サポートされているバージョンの Microsoft Configuration Manager を選択します。

   

3. ダウンロード パッケージ を選択します。

   

4. アクセス可能な場所にパッケージを保存します。

5. Microsoft Configuration Manager で、[ 資産とコンプライアンス] > [概要] > [Endpoint Protection] > [Microsoft Defender ATP ポリシー] に移動します。

6. [Microsoft Defender ATP ポリシー] を右クリックし、[Microsoft Defender ATP ポリシーの作成] を選択します。

   

7. 名前と説明を入力し、[ オンボード] が選択されていることを確認し、[ 次へ] を選択します。

   

8. [ 参照] を選択します。

9. 上記の手順 4 からダウンロードしたファイルの場所に移動します。

10. [次へ] を選択します。

11. 適切なサンプル ([なし] または [ すべてのファイルの種類]) でエージェントを構成します。

    

12. 適切なテレメトリ (標準 または 迅速) を選択し、[ 次へ] を選択します。

    

13. 構成を確認し、[ 次へ] を選択します。

    

14. ウィザードが完了したら、[ 閉じる] を選択します。

15. Microsoft Configuration Manager コンソールで、作成した Defender for Endpoint ポリシーを右クリックし、[デプロイ] を選択 します。

    

16. 右側のパネルで、前に作成したコレクションを選択し、[ OK] を選択します。

    

以前のバージョンの Windows クライアント (Windows 7 および Windows 8.1)

次の手順に従って、以前のバージョンの Windows のオンボードに必要な Defender for Endpoint ワークスペース ID とワークスペース キーを特定します。

1. Microsoft Defender ポータルで、[設定]>[Endpoints>Onboarding ] ([デバイス管理] の下) を選択します。

2. [オペレーティング システム] で、[ Windows 7 SP1] と [8.1] を選択します。

3. ワークスペース ID とワークスペース キーをコピーして保存します。 これらは、プロセスの後半で使用されます。

   

4. Microsoft Monitoring Agent (MMA) をインストールします。

   MMA は現在、次の Windows オペレーティング システムでサポートされています (2019 年 1 月現在)。

   • サーバー SKU: Windows Server 2008 SP1 以降
   • クライアント SKU: Windows 7 SP1 以降

   MMA エージェントを Windows デバイスにインストールする必要があります。 エージェントをインストールするには、MMA でデータを収集するために、一部のシステムで カスタマー エクスペリエンスと診断テレメトリの更新プログラム をダウンロードする必要があります。 これらのシステム バージョンには、次のものが含まれますが、これらに限定されない場合があります。

   • Windows 8.1
   • Windows 7
   • Windows Server 2016
   • Windows Server 2012 R2
   • Windows Server 2008 R2

   具体的には、Windows 7 SP1 の場合、次のパッチをインストールする必要があります。

   • KB4074598のインストール
   • .NET Framework 4.5 (以降) またはKB3154518をインストールします。 両方を同じシステムにインストールしないでください。

5. プロキシを使用してインターネットに接続する場合は、「プロキシ設定の構成」セクションを参照してください。

完了すると、オンボードされたエンドポイントがポータルに 1 時間以内に表示されます。

次世代の保護

Microsoft Defender ウイルス対策は、デスクトップ、ポータブル コンピューター、およびサーバーに次世代の保護を提供する組み込みのマルウェア対策ソリューションです。

1. Microsoft Configuration Manager コンソールで、[ 資産とコンプライアンス] > [概要] > [Endpoint Protection > マルウェア対策ポリシー ] に移動し、[ マルウェア対策ポリシーの作成] を選択します。

   

2. [スケジュールされたスキャン]、[スキャン設定]、[既定のアクション]、[リアルタイム保護]、[除外設定]、[詳細設定]、[脅威のオーバーライド]、[Cloud Protection Service とセキュリティ インテリジェンスの更新プログラム] の順に選択し、[OK] を選択します。

   

   特定の業界や一部の企業のお客様には、ウイルス対策の構成方法に関する特定のニーズが必要な場合があります。

   クイック スキャンとフル スキャンとカスタム スキャン

   詳細については、「 Windows セキュリティ構成フレームワーク」を参照してください。

   

   

   

   

   

   

   

   

3. 新しく作成したマルウェア対策ポリシーを右クリックし、[展開] を選択 します。

   

4. 新しいマルウェア対策ポリシーを Windows コレクションにターゲットし、[ OK] を選択します。

   

このタスクを完了すると、Microsoft Defender ウイルス対策が正常に構成されました。

攻撃面の縮小

Defender for Endpoint の攻撃面の縮小の柱には、Exploit Guard で使用できる機能セットが含まれています。 攻撃面の縮小ルール、フォルダー アクセスの制御、ネットワーク保護、および Exploit Protection。

これらすべての機能は、テスト モードとブロック モードを提供します。 テスト モードでは、エンド ユーザーに影響はありません。 他のテレメトリを収集し、Microsoft Defender ポータルで利用できるようにします。 デプロイの目標は、セキュリティ コントロールをブロック モードに段階的に移動することです。

テスト モードで攻撃面の縮小ルールを設定するには:

1. Microsoft Configuration Manager コンソールで、[ 資産とコンプライアンス] > [概要] > [Endpoint Protection > Windows Defender Exploit Guard ] に移動し、[ Exploit Guard ポリシーの作成] を選択します。

   

2. [ 攻撃面の縮小] を選択します。

3. ルールを [監査] に設定し、[ 次へ] を選択します。

   

4. [次へ] を選択して、新しい Exploit Guard ポリシーを確認します。

   

5. ポリシーが作成されたら、[ 閉じる] を選択します。

   

6. 新しく作成したポリシーを右クリックし、[ デプロイ] を選択します。

   

7. 新しく作成した Windows コレクションをポリシーの対象にして、[ OK] を選択します。

   

このタスクを完了すると、テスト モードで攻撃面の縮小ルールが正常に構成されました。

攻撃面の縮小ルールがエンドポイントに正しく適用されているかどうかを確認する手順を次に示します。 (これには数分かかる場合があります)

1. Web ブラウザーから、 Microsoft Defender XDR に移動します。

2. 左側のメニューから [ 構成管理] を 選択します。

3. [ 攻撃対象領域の管理 ] パネルの [攻撃対象領域の管理に移動] を選択します。

   

4. [攻撃面の縮小ルール] レポートの [ 構成 ] タブを選択します。 各デバイスの攻撃面の縮小ルールの構成の概要と攻撃面の縮小ルールの状態が表示されます。

   

5. 各デバイスを選択すると、攻撃面の縮小ルールの構成の詳細が表示されます。

   

詳細については、「 攻撃面の縮小ルールの展開と検出の最適化 」を参照してください。

テスト モードでネットワーク保護ルールを設定する

1. Microsoft Configuration Manager コンソールで、[ 資産とコンプライアンス] > [概要] > [Endpoint Protection > Windows Defender Exploit Guard ] に移動し、[ Exploit Guard ポリシーの作成] を選択します。

   

2. [ ネットワーク保護] を選択します。

3. 設定を [監査] に設定し、[ 次へ] を選択します。

   

4. [次へ] を選択して、新しい Exploit Guard ポリシーを確認します。

   

5. ポリシーが作成されたら、[ 閉じる] を選択します。

   

6. 新しく作成したポリシーを右クリックし、[ デプロイ] を選択します。

   

7. 新しく作成した Windows コレクションのポリシーを選択し、[ OK] を選択します。

   

このタスクを完了すると、テスト モードで Network Protection が正常に構成されました。

フォルダー アクセス制御ルールをテスト モードで設定するには

1. Microsoft Configuration Manager コンソールで、 資産とコンプライアンス>Overview>Endpoint Protection>Windows Defender Exploit Guard に移動し、[ Exploit Guard ポリシーの作成] を選択します。

   

2. [ フォルダー アクセスの制御] を選択します。

3. 構成を [監査 ] に設定し、[ 次へ] を選択します。

   

4. [次へ] を選択して、新しい Exploit Guard ポリシーを確認します。

   

5. ポリシーが作成されたら、[ 閉じる] を選択します。

   

6. 新しく作成したポリシーを右クリックし、[ デプロイ] を選択します。

   

7. 新しく作成した Windows コレクションをポリシーの対象にして、[ OK] を選択します。

これで、テスト モードでフォルダー アクセスの制御が正常に構成されました。

関連記事

• Microsoft Configuration Manager を使用したオンボード

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。