Microsoft Defender for Endpoint

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Endpoint Protection は、Microsoft Defender for Endpointの管理と監視に役立ちます。 Microsoft Defender for Endpointは、企業がネットワークに対する高度な攻撃を検出、調査、対応するのに役立ちます。 Configuration Manager ポリシーは、Windows 10以降のクライアントのオンボードと監視に役立ちます。

Microsoft Defender for EndpointのクラウドベースのポータルがMicrosoft Defender セキュリティ センター。 クライアント オンボード構成ファイルを追加して展開することで、Configuration Manager展開の状態とエージェントの正常性Microsoft Defender for Endpoint監視できます。 Microsoft Defender for Endpointは、Configuration Manager クライアントを実行している PC でサポートされるか、Microsoft Intuneによって管理されます

前提条件

  • Microsoft Defender for Endpointへのサブスクリプション
  • Configuration Manager クライアントを実行しているクライアント コンピューター
  • OS を使用しているクライアントは、以下の サポートされているクライアント オペレーティング システム のセクションに記載されています。
  • 管理ユーザー アカウントには、 Endpoint Protection Manager セキュリティ ロールが必要です。

サポートされているクライアント オペレーティング システム

Configuration Managerを使用して、次のオペレーティング システムをオンボードできます。

  • Windows 11
  • Windows 10バージョン 1709 以降
  • Windows 8.1
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server Semi-Annual チャネル (SAC)、バージョン 1803 以降
  • Windows Server 2016
  • Windows Server 2012 R2

重要

製品ライフサイクルの終了に達したオペレーティング システムは、通常、拡張セキュリティ Updates (ESU プログラム) に登録されていない限り、オンボードはサポートされません。 Microsoft Defender for Endpointでサポートされているオペレーティング システムと機能の詳細については、「Microsoft Defender for Endpointの最小要件」を参照してください。

Configuration Manager 2207 以降のバージョンでMicrosoft Defender for Endpointにオンボードする手順

Configuration Managerを使用してMicrosoft Defender for Endpointデバイスのオンボード情報を更新する手順

Configuration Manager 2207 以降のバージョンを使用したMicrosoft Defender for Endpointへのオンボード

オペレーティング システムによって、Microsoft Defender for Endpointへのオンボードのニーズが異なります。 Windows Server バージョン 1803 などの上位レベルのデバイスには、オンボード構成ファイルが必要です。 Current Branch 2207 以降、ダウンレベルのサーバー オペレーティング システム デバイスの場合は、クライアント設定で Microsoft Defender for Endpoint (MDE) クライアント (推奨) または Microsoft Monitoring Agent (MMA) (レガシ) を選択できます。 Windows 8.1デバイスの場合は、クライアント設定で Microsoft Monitoring Agent (MMA) (レガシ) を使用する必要があります。

Endpoint Protection のクライアント設定のスクリーンショット。

MMA を使用する場合は、 オンボードするワークスペース キーワークスペース ID が 必要です。 Configuration Managerは、オンボードデバイスで必要なときに Microsoft Monitoring Agent (MMA) もインストールしますが、エージェントは自動的に更新されません。

上位レベルのオペレーティング システムには、次のものが含まれます。

  • Windows 10バージョン 1607 以降
  • Windows 11
  • Windows Server Semi-Annual チャネル (SAC) バージョン 1803 以降
  • Windows Server 2019
  • Windows Server 2022

MDE クライアントをサポートする下位レベルのオペレーティング システムには、次のものが含まれます。

  • Windows Server 2012 R2
  • Windows Server 2016

MMA エージェントを必要とする下位レベルのオペレーティング システム:

  • Windows 8.1

注:

現在、Windows Server 2012 R2 & 2016 の最新の統合Microsoft Defender for Endpointが一般公開されています。 Configuration Managerバージョン 2107 と更新プログラムのロールアップでは、テナントアタッチを使用してMicrosoft Intune管理センターで作成されたポリシーなど、Endpoint Protection ポリシーを使用した構成がサポートされています。 Configuration Manager バージョン 2207 では、クライアント設定で使用する場合、MDE クライアントの自動展開がサポートされるようになりました。 サポートされている以前のバージョンについては、「 サーバーの移行シナリオ」を参照してください。

Configuration ManagerでMicrosoft Defender for Endpointするデバイスをオンボードする場合は、ターゲット コレクションまたは複数のコレクションに Defender ポリシーを展開します。 ターゲット コレクションに、サポートされている任意の数のオペレーティング システムを実行しているデバイスが含まれている場合があります。 これらのデバイスをオンボードする手順は、オペレーティング システムが上位レベルのデバイスと、MDE クライアントをサポートするデバイスを含むコレクションを対象としている場合、またはコレクションに MMA を必要とするダウンレベルのクライアントも含まれているかどうかによって異なります。

  • (クライアント設定に基づいて) MDEクライアントを必要とする上位レベルのデバイスやダウンレベルのサーバー オペレーティング システム デバイスのみがコレクションに含まれている場合は、Microsoft Defender for Endpoint クライアント (推奨) を使用してオンボード手順を使用できます。
  • ターゲット コレクションに、MMA (クライアント設定に基づく) またはWindows 8.1デバイスを必要とするダウンレベルのサーバー オペレーティング システム デバイスが含まれている場合は、手順に従って Microsoft Monitoring Agent を使用してデバイスをオンボードします。

警告

ターゲット コレクションに MMA を必要とする下位レベルのデバイスが含まれており、MDE クライアントを使用してオンボードする手順を使用する場合、ダウンレベルのデバイスはオンボードされません。 オプションの [ワークスペース キー ] フィールドと [ワークスペース ID ] フィールドは、MMA を必要とするダウンレベルのデバイスのオンボードに使用されますが、含まれていない場合、MMA を必要とするダウンレベルのクライアントではポリシーが失敗します。

MDE クライアントを使用してデバイスをオンボードしてMicrosoft Defender for Endpointする (推奨)

上位レベルのクライアントでは、Microsoft Defender for Endpointにオンボードするためのオンボード構成ファイルが必要です。 上位レベルのオペレーティング システムには、次のものが含まれます。

  • Windows 11
  • Windows 10バージョン 1607 以降
  • Windows Server Semi-Annual チャネル (SAC) バージョン 1803 以降
  • Windows Server 2019
  • Windows Server 2022

MDE クライアントをサポートする下位レベルのオペレーティング システムには、次のものが含まれます。

  • Windows Server 2012 R2
  • Windows Server 2016

前提条件

Windows Server 2012 R2 の前提条件

最新の月次ロールアップ パッケージを使用してマシンを完全に更新した場合、追加の前提条件は ありません

インストーラー パッケージは、次のコンポーネントが更新プログラムによって既にインストールされているかどうかを確認します。

Windows Server 2016 の前提条件
  • 2021 年 9 月 14 日以降のサービス スタック更新プログラム (SSU) をインストールする必要があります。
  • 2018 年 9 月 20 日以降の最新の累積的な更新プログラム (LCU) をインストールする必要があります。 使用可能な最新の SSU と LCU をサーバーにインストールすることをお勧めします。 - Microsoft Defenderウイルス対策機能を有効またはインストールし、最新の状態にする必要があります。 Windows Update を使用して、最新のプラットフォーム バージョンをダウンロードしてインストールできます。 または、Microsoft Update カタログ もしくは MMPC から手動で更新プログラム パッケージをダウンロードします。

上位レベルのデバイスのオンボード構成ファイルを取得する

  1. Microsoft Defender セキュリティ センターに移動し、サインインします。
  2. [設定] を選択し、[エンドポイント] 見出しの [オンボード] を選択します。
  3. オペレーティング システムの場合は、[Windows 10] と [11] を選択します。
  4. 展開方法Configuration Manager現在のブランチ以降の Microsoft エンドポイントを選択します。
  5. ダウンロード パッケージ を選択します。
  6. 圧縮アーカイブ (.zip) ファイルをダウンロードし、内容を抽出します。

    注:

    手順では、Windows 10と 11 のオンボード ファイルをダウンロードしますが、このファイルは、アップレベルのサーバー オペレーティング システムにも使用されます。

重要

  • Microsoft Defender for Endpoint構成ファイルには機密情報が含まれており、セキュリティで保護する必要があります。
  • ターゲット コレクションに MMA を必要とする下位レベルのデバイスが含まれており、MDE クライアントを使用してオンボードする手順を使用する場合、ダウンレベルのデバイスはオンボードされません。 オプションの [ワークスペース キー ] フィールドと [ワークスペース ID ] フィールドは、ダウンレベルデバイスのオンボードに使用されますが、デバイスが含まれていない場合、ポリシーはダウンレベルのクライアントで失敗します。

上位レベルのデバイスをオンボードする

  1. Configuration Manager コンソールで、[管理>クライアント設定] に移動します。
  2. カスタム クライアント デバイス設定をCreateするか、必要なクライアント設定のプロパティに移動し、[Endpoint Protection] を選択します
  3. Windows Server 2012 R2 Microsoft Defender for Endpoint クライアントと Windows Server 2016 設定の場合、既定値は Microsoft Monitoring Agent (レガシ) として設定されます。これは、MDE クライアント (推奨) に変更する必要があります。 ダウンレベルのサーバー オペレーティング システム デバイスのさまざまなオプションを示す Endpoint Protection のクライアント設定のスクリーンショット。
  4. Configuration Manager コンソールで、資産とコンプライアンス>エンドポイント保護>Microsoft Defender ATP ポリシーに移動し、[ATP ポリシーのCreate Microsoft Defender] を選択します。 ポリシー ウィザードが開きます。
  5. Microsoft Defender for Endpoint ポリシーの [名前][説明] を入力し、[オンボード] を選択します。
  6. ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。
  7. 分析のためにマネージド デバイスから収集および共有されるファイル サンプルを指定します。
    • なし
    • すべてのファイルの種類
  8. 概要を確認し、ウィザードを完了します。
  9. 作成したポリシーを右クリックし、[デプロイ] を選択して、Microsoft Defender for Endpoint ポリシーをクライアントにターゲットにします。

MDE クライアントと MMA を使用してデバイスをMicrosoft Defender for Endpointにオンボードする

構成ファイル、ワークスペース キーワークスペース ID をConfiguration Managerに指定することで、サポートされているオペレーティング システムのいずれかを実行しているデバイスをMicrosoft Defender for Endpointにオンボードできます。

構成ファイル、ワークスペース ID、ワークスペース キーを取得する

  1. Microsoft Defender for Endpoint オンライン サービスに移動し、サインインします。

  2. [設定] を選択し、[エンドポイント] 見出しの [オンボード] を選択します。

  3. オペレーティング システムの場合は、[Windows 10] と [11] を選択します。

  4. 展開方法Configuration Manager現在のブランチ以降の Microsoft エンドポイントを選択します。

  5. ダウンロード パッケージ を選択します。

    オンボード構成ファイルのダウンロードのスクリーンショット。

  6. 圧縮アーカイブ (.zip) ファイルをダウンロードし、内容を抽出します。

  7. [設定] を選択し、[デバイス管理] 見出しの [オンボード] を選択します。

  8. オペレーティング システムの場合は、一覧から Windows 7 SP1 と 8.1 または Windows Server 2008 R2 Sp1、2012 R2、2016 のいずれかを選択します。

    • 選択したこれらのオプションに関係なく、 ワークスペース キーワークスペース ID は同じになります。

  9. [接続の構成] セクションから、ワークスペース キーワークスペース ID の値をコピーします。

    重要

    Microsoft Defender for Endpoint構成ファイルには機密情報が含まれており、セキュリティで保護する必要があります。

デバイスのオンボード

  1. Configuration Manager コンソールで、[管理>クライアント設定] に移動します。

  2. カスタム クライアント デバイス設定をCreateするか、必要なクライアント設定のプロパティに移動し、[Endpoint Protection] を選択します

  3. Windows Server 2012 R2 Microsoft Defender for Endpoint クライアントとWindows Server 2016設定の場合は、値が Microsoft Monitoring Agent (レガシ) として設定されていることを確認します。

  4. Configuration Manager コンソールで、[資産とコンプライアンス>エンドポイント保護>Microsoft Defender ATP ポリシー] に移動します。

  5. [ATP ポリシー Create Microsoft Defender選択して、ポリシー ウィザードを開きます。

  6. Microsoft Defender for Endpoint ポリシーの [名前][説明] を入力し、[オンボード] を選択します。

  7. ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。

  8. ワークスペース キーワークスペース ID を指定し、[次へ] を選択します。

    • ワークスペース キーワークスペース ID が正しいフィールドにあることを確認します。 本体の順序は、オンライン サービスの順序Microsoft Defender for Endpoint異なる場合があります。 ポリシー構成ウィザードMicrosoft Defender for Endpointスクリーンショット。

  9. 分析のためにマネージド デバイスから収集および共有されるファイル サンプルを指定します。

    • なし
    • すべてのファイルの種類

  10. 概要を確認し、ウィザードを完了します。

  11. 作成したポリシーを右クリックし、[デプロイ] を選択して、Microsoft Defender for Endpoint ポリシーをクライアントにターゲットにします。

監視する

  1. Configuration Manager コンソールで、[セキュリティ監視]> に移動し、[ATP のMicrosoft Defender] を選択します。

  2. Microsoft Defender for Endpoint ダッシュボードを確認します。

    • Microsoft Defender ATP エージェントのオンボード状態: アクティブなMicrosoft Defender for Endpoint ポリシーがオンボードされている適格なマネージド クライアント コンピューターの数と割合

    • Microsoft Defender ATP エージェントの正常性: Microsoft Defender for Endpoint エージェントの状態を報告するコンピューター クライアントの割合

      • 正常 - 正常に動作

      • 非アクティブ - 期間中にサービスに送信されるデータなし

      • エージェントの状態 - Windows のエージェントのシステム サービスが実行されていません

      • オンボードされていない - ポリシーが適用されましたが、エージェントがオンボードでポリシーを報告していない

オフボード構成ファイルをCreateする

  1. Microsoft Defender セキュリティ センターにサインインします。

  2. [ 設定] を選択し、[エンドポイント] 見出しの [ オフボード ] 選択します。

  3. オペレーティング システムのWindows 10と 11 を選択し、展開方法として Microsoft Endpoint Configuration Manager現在のブランチ以降を選択します。

    • Windows 10と 11 オプションを使用すると、コレクション内のすべてのデバイスがオフボード状態になり、必要に応じ MMA がアンインストールされます。

  4. 圧縮アーカイブ (.zip) ファイルをダウンロードし、内容を抽出します。 オフボード ファイルは 30 日間有効です。

  5. Configuration Manager コンソールで、資産とコンプライアンス>エンドポイント保護>Microsoft Defender ATP ポリシーに移動し、[ATP ポリシーのCreate Microsoft Defender] を選択します。 ポリシー ウィザードが開きます。

  6. Microsoft Defender for Endpoint ポリシーの [名前][説明] を入力し、[オフボード] を選択します。

  7. ダウンロードした .zip ファイルから抽出した構成ファイルを参照します。

  8. 概要を確認し、ウィザードを完了します。

[デプロイ] を選択して、Microsoft Defender for Endpoint ポリシーをクライアントにターゲットにします。

重要

Microsoft Defender for Endpoint構成ファイルには機密情報が含まれており、セキュリティで保護する必要があります。

既存のデバイスのオンボード情報の更新

組織は、Microsoft Configuration Managerを介してデバイスのオンボード情報を更新する必要がある場合があります。

これは、Microsoft Defender for Endpointのオンボード ペイロードが変更された場合、または Microsoft サポートから指示された場合に必要な場合があります。

オンボード情報を更新すると、次回の再起動時に新しいオンボード ペイロードの利用を開始するようにデバイスに指示 されます

このプロセスでは、既存のオンボード ポリシーを更新するためのアクションが侵害され、既存のすべてのデバイスで 1 回限りのアクションが実行され、オンボード ペイロードが更新されます。 グループ ポリシーオンボード スクリプトを利用して、古いペイロードから新しいペイロードへのデバイスの 1 回限りのアップリフトを実行します。

注:

この情報は、元のテナントからデバイスを完全にオフボードすることなく、必ずしもテナント間でデバイスを移動するとは限りません。 Microsoft Defender for Endpoint組織間でデバイスを移行するオプションについては、Microsoft サポートに参加します。

新しいオンボード ペイロードを検証する

  1. Microsoft Defender for Endpoint ポータルからグループ ポリシーオンボード パッケージをダウンロードします。

  2. しいオンボード ペイロードの検証用のコレクションをCreateする

  3. オンボード ペイロードを対象とする既存のMicrosoft Defender for Endpoint コレクションからこのコレクションを除外します。

  4. グループ ポリシーオンボード スクリプトをテスト コレクションにデプロイします。

  5. デバイスが新しいオンボード ペイロードを利用していることを確認します。

新しいオンボード ペイロードに移行する

  1. Microsoft Defender for Endpoint ポータルからMicrosoft Configuration Managerオンボード パッケージをダウンロードします。

  2. 既存のMicrosoft Defender for Endpointオンボード ポリシーを新しいオンボード ペイロードで更新します。

  3. [新しいオンボード ペイロードを検証する] から、Microsoft Defender for Endpoint オンボード ポリシーの既存のターゲット コレクションにスクリプトをデプロイします。

  4. デバイスが新しいオンボード ペイロードを使用し、スクリプトからペイロードを正常に使用していることを検証します

注:

すべてのデバイスが移行されたら、オンボード ポリシーを使用して、スクリプトと検証コレクションを環境から削除できます。

次の手順